Implementacion Servidores Linux SEPTIEMBRE 20090910

Implementacin De Servidores Con Implementacin De Servidores Con
GNU/Linux GNU/Linux
Edicin Edicin Septiembre 200 Septiembre 200
!0 De Septiembre De 200 !0 De Septiembre De 200
"oel #arrios Due$as "oel #arrios Due$as
|oe Barros Dueas Impementacn de Servdores con GNU/Lnux
2
S este bro e ha sdo de utdad, puede contrbur a desarroo de ste a travs de donatvos.
Sus aportacones nos ayudarn a crecer y desarroar ms y me|or contendo en e sto de red y
para me|orar este bro.
http://www.acancebre.org/statcpages/ndex.php/donatvos
Acance Lbre ofrece soporte tcnco gratuto a travs de nuestros foros ocazados en:
http://www.acancebre.org/forum/
Acance Lbre ofrece os sguentes productos y servcos basados sobre Software Lbre, gracas a
os cuaes fnanca sus operacones. Para mayor nformacn, estamos dsponbes a travs de
nmero teefnco (52) (55) 5677-7130 de a cudad de Mxco, a travs de nuestro %ormulario
de contacto o ben drectamente en nuestras ofcnas centraes en Sca 12, Resdenca Acoxpa,
Tapan, Mxco, D.F., C.P. 14300, Mxco.
Capactacn (cursos)
Conferencas y ptcas
Consutora
Impementacones (Servdores)
Soporte Tcnco
Pubcdad en e porta
1
A mi difunto padre, a quien debo reconocer jams supe comprender y a quien jams le d la
oportunidad de entenderme.
A mi madre, quien siempre tuvo una increble paciencia con mi desorden.
A Blanca, Ana Elena, Gabriela M. (q.e.p.d., Alejandra, Ana!, Gabriela "., #ely y $ulieta, las
personas que de al%una forma y en al%&n momento !an tenido si%nificado en mi vida y fueron
fuente de inspiraci'n durante diversas etapas de mi e(istencia.
Blanca, %racias a ti inici) mi %usto por escribir. *e a%rade+co el !aberme permitido escribirte
todas esas cosas !ace tantos a,os. -iempre tendrs un lu%ar muy especial en mi cora+'n y mis
pensamientos.
A mi !ijo, $oel Alejandro Barrios "aullieres.
A
2
Conformacin.
Me encuentro de regreso en mis races,
reviso mis trabajos pasados,
entre risas y otros cursis versos
(sueos entonces de adolescente),
desde existenciales a lo absurdo,
ligerezas tan sentimentales
construyendo un carcter (mi mundo).
3
&cerca de "oel #arrios Due$as'
Hay poco que decr respecto de m. Soa ser mdco veternaro zootecnsta, dedcado
prncpamente a a atencn mdca de pequeas especes y otras mascotas (perros, gatos,
peces y tortugas) y a a venta de amentos y accesoros para mascotas. Traba|o actvamente con
computadoras personaes desde 1990, con as cuaes sempre he tendo gran facdad. M prmera
computadora, fue una Appe IIe que me prest un amgo, y que eventuamente me vend.
Curosamente, savo por una case que tom en tercero de secundara, durante a cua nos
mparteron una ntroduccn a a programacn en BASIC y e uso genera de computadoras
Comodore 16, |ams he tomado un curso o capactacn reaconada con a nformtca o
computacn. Sempre he sdo auto-ddctca.
Utzo GNU/Lnux desde Febrero de 1998, y desde |uno de 1999 como nca pataforma en m
traba|o daro. Creo que es ms que evdente que equvoque de carrera.
Gran parte de as razones de m ncursn en e mundo de a nformtca fueron verdaderamente
ncdentaes. En 1997, nunca hubera magnado que me estara ganado a vda en un mbto
competamente dstnto a que me dedcaba durante ese tempo. Yo ya tena un consutoro
veternaro y negoco pequeo de dstrbucn de amentos para mascotas, os cuaes me
aseguraban un ngreso reguar y constante. Lamentabemente as condcones de mercado
durante e sguente ao repercuteron de forma mportante en ms ngresos, y fue entonces que
empec a buscar aternatvas. Durante 1999 me estuve dedcando a a venta de equpo de
cmputo y ago de dseo de stos de red. Fueron agunos meses durante os cuaes pude
sobrevvr gracas a ms ahorros y a a suerte de contar un con taento poco comn con as
computadoras.
(Cmo empec) este pro*ecto+
A medados de 1999, mentras vstaba a un buen amgo mo, tuve un encuentro amstoso de unos
10 mnutos con quen fue, en agn momento, a persona ms mportante que ha habdo en m
vda, Banca.
Yo suba por un eevador, dvagando en ms pensamentos con sutezas y otros menesteres
reaconados con m profesn de veternaro. Sa de ascensor y me drg haca a puerta de m
amgo. Me detuve unos nstantes antes de pusar e botn de tmbre. Haba una extraa
sensacn que crcundaba m mente, como un aroma famar que no era posbe recordar. M
amgo tena una reunn con varas personas, agunas de as cuaes yo conoca desde haca
agunos aos pero que por dversas crcunstancas no frecuentaba, as que supuse que era soo a
sensacn de vover a ver a personas despus de mucho tempo. Toque e tmbre y un nstante
despus m amgo abr a puerta. Le saud con un apretn de manos y tras saudare de a
acostumbrada forma corts, qued mudo a ver que a chca de a que me haba enamorado
durante ms aos de preparatora, estaba presente. Frente a m, sonrendo y mrndome.
Haban pasado varos aos desde a tma vez que nos habamos vsto. Conversamos un poco
mentras ea cargaba a perro de m amgo, a cua me dspona a apcar una vacuna. Fue dfc
de|ar de mrare y o fue tambn e gusto de vover a vere de nuevo. Me desped, pues tena otro
compromso, pero en m mente qued un sentmento de aegra de ver que aquea persona que
haba tendo un gran mpacto en m vda, estaba ben, muy hermosa y, en aparenca, fez.
Fue ese breve encuentro e que me nspr agunos meses despus a crear ago que me
proporconara os medos para ograr hacer ago mportante en vda. Fue ese deseo de ser aguen
y tener ago que ofrecer s agn da, y s as crcunstancas o permtan, buscar una segunda
oportundad con a persona de a que me haba enamorado muchos aos atrs y que de aguna
4
forma |ams ovd. Fue as que tras pasar muchas semanas paneando y tratando de dar forma a
as deas, e proyecto de comundad que nc con Lnux Para Todos un 27 de agosto de 1999 y
que hoy en da contnuo con &lcance Libre. Surg como un sueo, se materaz, se desarroo y
crec ms a de o que hubera magnado.
Es rnco que aos despus, m reencuentro con Banca, quen es hoy en da m esposa y madre
de m h|o |oe Ae|andro, concdera con e fn de cco de Lnux Para Todos, aunque tambn
concde con e nco de otros proyectos y una nueva etapa con &lcance Libre.
Esta obra, que ahora comparto con os ectores, consttuye a cumnacn de traba|o de ms de
10 aos de nvestgacn y experencas. Mucho de matera que e compone fue escrto durante
dferentes etapas de m cco mentras fu propetaro y admnstrador de Lnux Para Todos. E fn
de dcho cco me da a oportundad de exporar otras reas de a nformtca desde un dferente
enfoque, msmo que se ver refe|ado en e matera actuazado que compone esta obra. Nunca
me ha nteresado ser famoso o un monaro.
Respecto de futuro, tengo una percepcn dstnta acerca de trascender ms a de os recuerdos
famares y trascender en a hstora. Ta vez agn da, ta vez cen aos despus de haya muerto,
se que de aguna forma m egado en a hstora ser a travs de todo o que escrb y as cosas
que pensaba y aqueas en as que crea.
5
Curr,culo'
Datos personales
Nombre: |oe Barros Dueas.
Ao y ugar de nacmento: 1970, Mxco, Dstrto Federa.
Sexo: mascuno.
Estado cv: Unn Lbre.
Escolaridad
Secundara: Coego Mxco (Acoxpa). 1982-1985
Preparatora: Insttuto Centro Unn. 1985-1988
Facutad de Medcna Veternara y Zootecna, U.N.A.M. 1989-1993
Empleos en los -ue me .e desempe$ado'
1993-1999
M propa sub-dstrbudora de amentos y accesoros para mascotas. Dreccn
genera.
Vstador Mdco y asesor en nformtca. Dstrbudora de Amentos para Pequeas
Especes (Dape). |uno 1997 - Novembre 1997.
Consutor externo de Dape 1998 - 1999.
1999 a 2006:
Fu e creador, drector y admnstrador LnuxParaTodos.net. Dcho domno fue
tomado hostmente por m ex-soco quen se qued con todo y teramente me de|
en a cae. Dcha empresa contnua comercazando m traba|o voando a cenca
Creatve Commons Reconocmento-NoComerca-CompartrIgua 2.1, a cua
expctamente prohbe a expotacn comerca de matera sn a autorzacn de
autor.
Asesora y consutora en GNU/Lnux.
Capactacn en GNU/Lnux.
2002 - 2003:
Drector Operatvo Grupo MPR S.A. de C.V. (Actuamente Buytek Network Soutons)
2002 a 2006:
Drector de proyecto LPT Desktop.
2004 a 2006:
Drector Operatvo de a undad Lnux de Factor Evoucn S.A. de C.V.
2007 a a fecha:
Drector de proyecto AL Desktop.
Drector de proyecto AL Server.
Drector de proyecto aDOS.
Fundador y drector de proyecto de AcanceLbre.org
Drector Genera Acance Empresara, S.A. De C.V.
Capacidades
Ings 97.5%
Ensambe, confguracn y mantenmento de computadoras personaes.
Lengua|e HTML 4.0
Lengua|e CSS 1.0
Programacn BASH
Instaacn, confguracn y admnstracn de Lnux y servcos que traba|an sobre
ste (Samba, Apache, Sendma, MaScanner, CamAV, OpenLDAP, NFS, OpenSSH,
VSFTPD, Shorewa, SNMP, MRTG, Squd, etc.)
6
ndice de contenido
1.Oue es GNU/Lnux?............................................................................................31
1.1.Requermentos de sstema.................................................................................................32
2.Estndar de |erarqua de Sstema de Fcheros....................................................33
2.1.Introduccn.........................................................................................................................33
2.2.Estructura de drectoros......................................................................................................33
2.3.Partcones recomendadas para nstaar GNU/Lnux.............................................................35
3.Instaacn en modo texto de CentOS 5..............................................................36
3.1.Procedmentos.....................................................................................................................36
4.Instaacn en modo grfco de CentOS 5...........................................................53
4.1.Procedmentos.....................................................................................................................53
5.Cmo ncar e modo de rescate en CentOS.......................................................72
5.1.Procedmentos.....................................................................................................................72
6.Incando e sstema en nve de e|ecucn 1 (nve mono-usuaro).....................78
6.1.Introduccn.........................................................................................................................78
6.2.Procedmentos.....................................................................................................................78
7.Cmo compar e nceo (kerne) de GNU/Lnux en CentOS..............................82
7.1.Introduccn.........................................................................................................................82
7.1.1.Un e|empo de porque convene recompar e nceo..................................................................82
7.2.Procedmentos.....................................................................................................................83
7.2.1.Determnar e sustento fsco y controadores..............................................................................83
7.2.2.Instaacn e equpamento gco necesaro...............................................................................85
7.2.3.Obtener e cdgo fuente de nceo.............................................................................................86
7.2.4.Confguracn de nceo..............................................................................................................89
8.Cmo gestonar espaco de memora de ntercambo (swap) en GNU/Lnux......95
8.1.Introduccn.........................................................................................................................95
8.1.1.Ago de hstora.............................................................................................................................95
8.1.2.Ou es y como funcona e espaco de ntercambo?...................................................................95
8.1.3.Crcunstancas en as que se requere aumentar a cantdad de memora de ntercambo...........95
Procedmentos...........................................................................................................................96
8.1.4.Cambar e tamao de a partcn................................................................................................96
8.1.5.Crear un fchero para memora de ntercambo............................................................................96
8.2.Procedmentos.....................................................................................................................96
8.2.1.Actvar una partcn de ntercambo adcona.............................................................................96
8.2.2.Utzar un fchero como memora de ntercambo........................................................................97
8.2.3.Optmzando e sstema cambando e vaor de /proc/sys/vm/swappness....................................98
9.Procedmentos de emergenca........................................................................100
9.1.Introduccn.......................................................................................................................100
9.2.Dsco de rescate.................................................................................................................100
9.3.Verfcacn de a ntegrdad de dsco................................................................................101
9.4.Asgnacn de formato de as partcones...........................................................................101
7
10.Cmo optmzar e sstema de archvos ext3..................................................102
10.1.Introduccn......................................................................................................................102
10.1.1.Acerca de ext3..........................................................................................................................102
10.1.2.Acerca de regstro por daro (|ournang)................................................................................102
10.2.Procedmentos.................................................................................................................102
10.2.1.Utzando e mandato e2fsck....................................................................................................103
10.2.2.Opcones de montado...............................................................................................................103
11.Cmo confgurar y utzar Sudo......................................................................107
11.1.Introduccn.....................................................................................................................107
11.1.1.Hstora.....................................................................................................................................107
11.2.Equpamento gco necesaro.........................................................................................108
11.2.1.Instaacn a travs de yum......................................................................................................108
11.2.2.Instaacn a travs de Up2date...............................................................................................108
11.3.Fchero /etc/sudoers.........................................................................................................108
11.3.1.Cmnd_Aas...............................................................................................................................108
11.3.2.User_Aas.................................................................................................................................109
11.3.3.Host_Aas.................................................................................................................................109
11.3.4.Runas_Aas...............................................................................................................................109
11.4.Candados de segurdad....................................................................................................109
11.5.Lo que no se recomenda.................................................................................................110
11.6.Factando a vda a travs de -/.bash_profe.................................................................110
12.Cmo crear cuentas de usuaro......................................................................112
12.1.Introduccn......................................................................................................................112
12.2.Procedmentos.................................................................................................................112
12.2.1.Creando una cuenta en e modo de texto: useradd y passwd...................................................112
12.2.2.Emnar una cuenta de usuaro................................................................................................114
12.3.Mane|o de grupos.............................................................................................................115
12.3.1.Ata de grupos..........................................................................................................................115
12.3.2.Ata de grupos de sstema........................................................................................................115
12.3.3.Ba|a de grupos..........................................................................................................................115
12.3.4.Asgnacn de usuaros exstentes a grupos exstentes............................................................115
12.4.Comentaros fnaes acerca de a segurdad.....................................................................115
12.5.Apndce: Confgurando vaores predefndos para e ata de cuentas de usuaro............117
12.5.1.Fchero /etc/defaut/useradd para defnr varabes utzadas por e mandato useradd............117
12.5.2.Drectoro /etc/ske como mode para crear os drectoros de nco de os usuaros................118
12.6.Apndce: E|ercco: Creando cuentas de usuaro.............................................................119
12.6.1.Introduccn..............................................................................................................................119
12.6.2.Procedmentos.........................................................................................................................119
13.Breve eccn de mandatos bscos................................................................121
13.1.Introduccn......................................................................................................................121
13.2.Procedmentos.................................................................................................................121
13.2.1.Vsuazando contendo de fcheros...........................................................................................125
13.2.2.Generacn de texto por buces................................................................................................126
13.2.3.Buces.......................................................................................................................................127
13.2.4.Aases......................................................................................................................................128
13.2.5.Apagado y renco de sstema..................................................................................................128
13.3.Resumen de mandatos bscos........................................................................................129
14.Funcones bscas de v..................................................................................130
14.1.Introduccn.....................................................................................................................130
14.2.Procedmentos.................................................................................................................130
14.2.1.Instaacn y paquetes adconaes...........................................................................................130
14.3.Conocendo v...................................................................................................................130
14.4.Otras combnacones de tecas.........................................................................................143
8
14.5.Ms a de as funcones bscas.....................................................................................144
15.Introduccn a sed..........................................................................................145
15.1.Introduccn.....................................................................................................................145
15.1.1.Acerca de sed...........................................................................................................................145
15.2.Procedmentos.................................................................................................................145
15.3.Bbografa.......................................................................................................................149
16.Introduccn a AWK.........................................................................................150
16.1.Introduccn......................................................................................................................150
16.1.1.Acerca de AWK.........................................................................................................................150
16.1.2.Estructura de os programas escrtos en AWK..........................................................................150
16.2.Procedmentos.................................................................................................................151
17.Permsos de Sstema de Fcheros...................................................................156
17.1.Introduccn.....................................................................................................................156
17.2.Notacn smbca...........................................................................................................156
17.3.Notacn octa..................................................................................................................157
17.3.1.Permsos adconaes................................................................................................................157
17.4.E|empos...........................................................................................................................158
17.4.1.E|empos de permsos reguares...............................................................................................158
17.4.2.E|empos de permsos especaes..............................................................................................159
17.5.Uso de chmod...................................................................................................................159
17.5.1.Opcones de chmod..................................................................................................................160
17.5.2.E mandato chmod y os enaces smbcos.............................................................................160
18.Cmo utzar e mandato chattr.....................................................................161
18.1.Introduccn......................................................................................................................161
18.1.1.Acerca de mandato chattr.......................................................................................................161
18.2.Opcones...........................................................................................................................161
18.3.Operadores.......................................................................................................................161
18.4.Atrbutos...........................................................................................................................162
18.5.Utzacn.........................................................................................................................162
18.5.1.E|empos...................................................................................................................................162
19.Creando depstos yum..................................................................................164
19.1.Introduccn.....................................................................................................................164
19.2.Procedmentos.................................................................................................................164
20.Uso de yum para nstaar y desnstaar paquetera y actuazar sstema........166
20.1.Introduccn......................................................................................................................166
20.2.Procedmentos.................................................................................................................166
20.2.1.Actuazar sstema....................................................................................................................166
20.2.2.Bsquedas................................................................................................................................166
20.2.3.Consuta de nformacn...........................................................................................................166
20.2.4.Instaacn de paquetes............................................................................................................167
20.2.5.Desnstaacn de paquetes......................................................................................................167
20.2.6.Lstado de paquetes.................................................................................................................167
20.2.7.Lmpeza de sstema................................................................................................................168
21.Cmo utzar RPM...........................................................................................169
21.1.Introduccn......................................................................................................................169
21.1.1.Acerca de RPM..........................................................................................................................169
21.2.Procedmentos.................................................................................................................169
21.2.1.Reconstruccn de a base de datos de RPM.............................................................................169
9
21.2.2.Consuta de paquetera nstaada en e sstema.......................................................................169
21.2.3.Instaacn de paquetes............................................................................................................172
21.2.4.Desnstaacn de paquetes......................................................................................................178
22.Cmo crear paquetera con rpmbud.............................................................180
22.1.Introduccn......................................................................................................................180
22.2.Instaacn de sustento gco necesaro.........................................................................180
22.3.Procedmentos.................................................................................................................181
22.3.1.Creacn de a cave GnuPG......................................................................................................181
22.3.2.Confguracn y creacn de una |aua para rpmbud...............................................................181
22.3.3.Creacn de os fcheros*.spec..................................................................................................183
22.3.4.Uso de mandato rpmbud........................................................................................................186
22.4.E|erccos..........................................................................................................................188
22.4.1.Paquete RPM bnaro y e paquete *.src.rpm correspondente creando e fchero *.spec necesaro
............................................................................................................................................................188
22.4.2.Paquete RPM bnaro y e paquete *.src.rpm correspondente reazando mpeza de drectoro,
frma dgta.........................................................................................................................................189
23.Cmo asgnar cuotas de dsco........................................................................190
23.1.Introduccn......................................................................................................................190
23.3.Procedmentos.................................................................................................................190
23.3.1.Edquota....................................................................................................................................191
23.4.Comprobacones...............................................................................................................193
24.Introduccn a TCP/IP......................................................................................194
24.1.Introduccn.....................................................................................................................194
24.2.Nvees de pa..................................................................................................................194
24.2.1.Modeo TCP/IP...........................................................................................................................195
24.2.2.Modeo OSI...............................................................................................................................200
25.Introduccn a IP versn 4.............................................................................201
25.1.Introduccn......................................................................................................................201
25.2.Dreccones.......................................................................................................................201
25.2.1.Representacn de as dreccones............................................................................................201
25.3.Asgnacn........................................................................................................................202
25.3.1.Boques reservados..................................................................................................................202
25.4.Referenca de sub-redes de IP versn 4...........................................................................203
25.5.Referencas......................................................................................................................204
26.Cmo confgurar correctamente os parmetros de red.................................206
26.1.Introduccn......................................................................................................................206
26.2.Procedmentos.................................................................................................................206
26.2.1.Deteccn y confguracn de sustento fsco (hardware).........................................................206
26.2.2.Asgnacn de parmetros de red.............................................................................................207
26.2.3.Agregar encamnamentos (rutas) adconaes..........................................................................208
26.2.4.Funcn de Reenvo de paquetes para IP versn 4...................................................................208
26.2.5.Comprobacones.......................................................................................................................209
26.2.6.Ata de dreccones IP vrtuaes.................................................................................................209
26.2.7.La funcn Zeroconf..................................................................................................................210
Desactvando e soporte para IPv6......................................................................................................211
26.3.E|erccos..........................................................................................................................211
26.3.1.Encamnamentos esttcos......................................................................................................211
26.3.2.Dreccones IP vrtuaes.............................................................................................................214
10
27.Cmo confgurar acopamento de tar|etas de red (bondng).........................218
27.1.Introduccn.....................................................................................................................218
27.2.Procedmentos.................................................................................................................218
27.2.1.Fchero de confguracn /etc/modprobe.conf...........................................................................218
27.2.2.Fchero de confguracn /etc/sysconfg/network-scrpts/bond0................................................220
27.2.3.Incar, detener y rencar e servco network..........................................................................221
27.3.Comprobacones...............................................................................................................221
27.4.Bbografa.......................................................................................................................222
28.Cmo conectarse a una red Wf desde a termna........................................223
28.1.Introduccn......................................................................................................................223
28.1.1.Preparatvos.............................................................................................................................223
28.1.2.Autentcando en e punto de acceso.........................................................................................224
28.1.3.Asgando parmetros de red a a nterfaz.................................................................................225
29.Cmo utzar sof............................................................................................226
29.1.Introduccn......................................................................................................................226
29.1.1.Acerca de sof...........................................................................................................................226
29.2.Procedmentos.................................................................................................................226
30.Cmo utzar Netcat (nc)................................................................................229
30.1.Introduccn......................................................................................................................229
30.1.1.Acerca de Netcat......................................................................................................................229
30.3.Procedmentos.................................................................................................................229
30.3.1.Conexones smpes..................................................................................................................229
30.3.2.Revsn de puertos..................................................................................................................230
30.3.3.Creando un modeo cente servdor.........................................................................................231
30.3.4.Transferenca de datos.............................................................................................................231
31.Como utzar Netstat......................................................................................232
31.1.Introduccn......................................................................................................................232
31.1.1.Acerca de Netstat.....................................................................................................................232
31.2.Procedmentos.................................................................................................................232
32.Cmo utzar ARP...........................................................................................237
32.1.Introduccn.....................................................................................................................237
32.1.1.Acerca de ARP..........................................................................................................................237
32.2.Procedmentos.................................................................................................................237
33.Introduccn a IPTABLES.................................................................................240
33.1.Introduccn.....................................................................................................................240
33.1.1.Acerca de Iptabes y Netfter....................................................................................................240
33.2.2.Instaacn a travs de up2date................................................................................................240
33.3.Procedmentos.................................................................................................................241
33.3.1.Cadenas....................................................................................................................................241
33.3.2.Regas de destno.....................................................................................................................241
33.3.3.Potcas por defecto.................................................................................................................241
33.3.4.Lmpeza de regas especfcas.................................................................................................241
33.3.5.Regas especfcas....................................................................................................................241
E|empos de regas..............................................................................................................................242
33.3.6.Emnar regas..........................................................................................................................243
11
33.3.7.Mostrar a sta de cadenas y regas.........................................................................................243
33.3.8.Incar, detener y rencar e servco ptabes...........................................................................245
33.3.9.Agregar e servco ptabes a arranque de sstema................................................................245
33.4.Bbografa.......................................................................................................................246
34.Cmo utzar CBO...........................................................................................247
34.1.Introduccn.....................................................................................................................247
34.1.1.Acerca de cbq...........................................................................................................................247
34.2.Comprendendo a veocdad bnara (bt rate).................................................................247
34.4.Preparatvos.....................................................................................................................248
34.4.1.Parmetro DEVICE....................................................................................................................248
34.4.2.Parmetro de case WEIGHT.....................................................................................................249
34.4.3.Parmetro de case PRIO..........................................................................................................249
34.4.4.Parmetro de case PARENT.....................................................................................................249
34.4.5.Parmetro de case LEAF..........................................................................................................250
34.4.6.Parmetro de case BOUNDED..................................................................................................250
34.4.7.Parmetro de case ISOLETED..................................................................................................251
34.4.8.Parmetros de ftracn...........................................................................................................251
34.5.Procedmentos.................................................................................................................253
34.5.1.CBO sn compartr ancho de banda entre cases.......................................................................254
34.5.2.CBO compartendo ancho de banda entre cases......................................................................255
34.5.3.Incar, detener y rencar e servco cbq.................................................................................255
34.5.4.Agregar e servco cbq a arranque de sstema.......................................................................256
35.Introduccn a SELnux en CentOS 5 y Fedora................................................257
35.1.Introduccn.....................................................................................................................257
35.2.Ou es SELnux?.............................................................................................................257
35.3.Mandato getseboo...........................................................................................................257
35.4.Mandato setseboo...........................................................................................................258
35.4.1.Servcos de FTP........................................................................................................................258
35.4.2.OpenVPN...................................................................................................................................259
35.4.3.Apache......................................................................................................................................259
35.4.4.Samba......................................................................................................................................259
35.4.5.Otros servcos..........................................................................................................................260
36.Cmo confgurar un servdor DHCP en una LAN.............................................262
36.1.Introduccn......................................................................................................................262
36.1.1.Acerca de protocoo DHCP.......................................................................................................262
36.1.2.Acerca de dhcp por Internet Software Consortum, Inc.............................................................262
36.3.Procedmentos.................................................................................................................263
36.3.1.SELnux y e servco dhcpd.......................................................................................................263
36.3.2.Fchero de confguracn /etc/dhcpd.conf.................................................................................263
36.3.3.Fchero de confguracn /etc/sysconfg/dhcpd.........................................................................264
36.3.4.Incar, detener y rencar e servco dhcpd.............................................................................265
36.3.5.Agregar e servco dhcpd a arranque de sstema...................................................................265
36.4.Comprobacones desde cente DHCP...............................................................................265
36.5.Modfcacones necesaras en e muro cortafuegos..........................................................266
37.Cmo confgurar vsftpd (Very Secure FTP Daemon).......................................267
37.1.Introduccn.....................................................................................................................267
37.1.1.Acerca de protocoo FTP..........................................................................................................267
37.1.2.Acerca de protocoo FTPS........................................................................................................267
12
37.1.3.Acerca de RSA..........................................................................................................................267
37.1.4.Acerca de OpenSSL..................................................................................................................268
37.1.5.Acerca de X.509........................................................................................................................268
37.1.6.Acerca de vsftpd.......................................................................................................................268
37.3.Fcheros de confguracn.................................................................................................268
37.4.Procedmentos.................................................................................................................269
37.4.1.SELnux y e servco vsftpd......................................................................................................269
37.4.2.Fchero /etc/vsftpd/vsftpd.conf..................................................................................................269
37.4.3.Parmetro anonymous_enabe..................................................................................................269
37.4.4.Parmetro oca_enabe............................................................................................................269
37.4.5.Parmetro wrte_enabe............................................................................................................270
37.4.6.Parmetro anon_upoad_enabe................................................................................................270
37.4.7.Parmetro anon_mkdr_wrte_enabe........................................................................................270
37.4.8.Parmetro ftpd_banner.............................................................................................................270
37.4.9.Estabecendo |auas para os usuaros: parmetros chroot_oca_user y chroot_st_fe...........270
37.4.10.Contro de ancho de banda....................................................................................................271
37.4.11.Soporte SSL/TLS para VFSTPD................................................................................................271
37.4.12.Incar, detener y rencar e servco vsftpd...........................................................................273
37.4.13.Agregar e servco a arranque de sstema............................................................................273
37.6.E|ercco VSFTPD...............................................................................................................274
38.Cmo confgurar pure-ftpd..............................................................................276
38.1.Introduccn.....................................................................................................................276
38.1.1.Acerca de protocoo FTP..........................................................................................................276
38.1.2.Acerca de pure-ftpd..................................................................................................................276
38.3.Procedmentos.................................................................................................................277
38.3.1.Fchero de confguracn /etc/pure-ftpd/pure-ftpd.conf.............................................................277
38.3.2.Agregar e servco a arranque de sstema..............................................................................280
38.3.3.Incar, detener y rencar servco............................................................................................280
39.Cmo confgurar OpenSSH.............................................................................281
39.1.Introduccn......................................................................................................................281
39.1.1.Acerca de SSH..........................................................................................................................281
39.1.2.Acerca de SFTP.........................................................................................................................281
39.1.3.Acerca de SCP..........................................................................................................................281
39.1.4.Acerca de OpenSSH..................................................................................................................281
39.3.Fcheros de confguracn.................................................................................................282
39.4.Procedmentos.................................................................................................................282
39.4.1.Parmetro Port.........................................................................................................................282
39.4.2.Parmetro LstenAddress..........................................................................................................282
39.4.3.Parmetro PermtRootLogn......................................................................................................282
39.4.4.Parmetro X11Forwardng........................................................................................................283
39.4.5.Parmetro AowUsers...............................................................................................................283
39.5.Apcando os cambos......................................................................................................283
39.6.Probando OpenSSH...........................................................................................................284
39.6.1.Acceso a travs de ntrprete de mandatos.............................................................................284
39.6.2.Transferenca de fcheros a travs de SFTP..............................................................................284
39.6.3.Transferenca de fcheros a travs de SCP................................................................................285
40.Cmo utzar OpenSSH con autentcacn a travs de cave pbca.............287
13
40.1.Introduccn.....................................................................................................................287
40.2.Procedmentos.................................................................................................................287
40.2.1.Modfcacones en e Servdor...................................................................................................287
40.2.2.Modfcacones en e Cente.....................................................................................................287
40.2.3.Comprobacones.......................................................................................................................288
41.Cmo confgurar OpenSSH con Chroot...........................................................289
41.1.Introduccn.....................................................................................................................289
41.3.Procedmentos.................................................................................................................291
41.3.1.Componentes mnmos para a |aua.........................................................................................291
41.3.2.Fcheros /etc/passwd y /etc/group............................................................................................292
41.3.3.Dspostvos de boque..............................................................................................................292
41.4.E|empo prctco...............................................................................................................292
41.4.1.Crear as cuentas de os usuaros.............................................................................................292
41.4.2.E|empo apcado a sto de red vrtua con Apache...................................................................293
42.Cmo confgurar NTP......................................................................................295
42.1.Introduccn.....................................................................................................................295
42.1.1.Acerca de NTP..........................................................................................................................295
42.1.2.Acerca de UTC..........................................................................................................................296
42.3.Procedmentos.................................................................................................................296
42.3.1.Herramenta ntpdate................................................................................................................296
42.3.2.Fchero de confguracn /etc/ntp.conf......................................................................................296
42.3.3.Incar, detener y rencar e servco ntpd................................................................................297
42.3.4.Agregar e servco ntpd a arranque de sstema.....................................................................298
43.Cmo confgurar Camd..................................................................................299
43.1.Introduccn.....................................................................................................................299
43.2.Instaacn de equpamento gco necesaro..................................................................299
43.3.Procedmentos.................................................................................................................299
43.3.1.SELnux y e servco camd.......................................................................................................299
43.3.2.Confguracn de Camd............................................................................................................300
44.Cmo confgurar e sstema para sesones grfcas remotas..........................304
44.1.Introduccn.....................................................................................................................304
44.2.Sesn grfca remota con GDM.......................................................................................304
44.2.1.Procedmento...........................................................................................................................304
45.Cmo confgurar un servdor NFS...................................................................307
45.1.Introduccn.....................................................................................................................307
45.2.Procedmentos.................................................................................................................307
45.2.1.Instaacn de sustento gco necesaro..................................................................................307
45.3.Confgurando a segurdad...............................................................................................307
45.3.1.Compartr un voumen NFS.......................................................................................................308
45.3.2.Confgurando as mqunas centes.........................................................................................309
45.4.Instaacn de GNU/Lnux a travs de un servdor NFS.....................................................310
46.Cmo confgurar Samba bsco......................................................................312
46.1.Introduccn.....................................................................................................................312
46.1.1.Acerca de protocoo SMB.........................................................................................................312
46.1.2.Acerca de Samba......................................................................................................................312
14
46.3.Procedmentos.................................................................................................................313
46.3.1.SELnux y e servco smb..........................................................................................................313
46.3.2.Ata de cuentas de usuaro.......................................................................................................314
46.3.3.E fchero mhosts.....................................................................................................................314
46.3.4.Parmetros prncpaes de fchero smb.conf............................................................................314
46.3.5.Parmetro remote announce....................................................................................................315
46.3.6.Impresoras en Samba...............................................................................................................316
46.3.7.Compartendo drectoros a travs de Samba...........................................................................316
46.4.Incar e servco y aadro a arranque de sstema........................................................319
46.5.Comprobacones...............................................................................................................319
46.5.1.Modo texto................................................................................................................................319
46.5.2.Modo grfco.............................................................................................................................321
47.Cmo confgurar Samba denegando acceso a certos fcheros......................322
47.1.Introduccn.....................................................................................................................322
47.2.Procedmentos.................................................................................................................322
47.4.Comprobacones...............................................................................................................323
48.Cmo confgurar Samba con Papeera de Recca|e........................................324
48.1.Introduccn.....................................................................................................................324
48.2.Procedmentos.................................................................................................................324
48.4.Comprobacones...............................................................................................................326
49.Cmo nstaar y confgurar Samba-Vscan en CentOS 5..................................329
49.1.Introduccn.....................................................................................................................329
49.2.Acerca de Samba-Vscan...................................................................................................329
49.4.Procedmentos.................................................................................................................329
50.Cmo confgurar Samba como cente o servdor WINS..................................333
50.1.Introduccn......................................................................................................................333
50.2.Procedmentos.................................................................................................................333
50.2.1.Parmetros wns server y wns support....................................................................................333
50.2.2.Parmetro name resove order.................................................................................................334
50.2.3.Parmetro wns proxy...............................................................................................................334
50.2.4.Parmetro dns proxy................................................................................................................334
50.2.5.Parmetro max tt.....................................................................................................................334
50.2.6.Parmetros max wns tt y mn wns tt.....................................................................................334
51.La ngenera soca y os |ncorrectos| hbtos de usuaro............................336
51.1.Recomendacones para evtar ser vctmas de a ngenera soca a travs de correo
eectrnco...............................................................................................................................337
52.Confguracn bsca de Sendma..................................................................338
52.1.Introduccn......................................................................................................................338
52.1.1.Acerca de Sendma..................................................................................................................338
52.1.2.Acerca de Dovecot....................................................................................................................338
52.1.3.Acerca de SASL y Cyrus SASL...................................................................................................338
52.1.4.Protocoos utzados.................................................................................................................339
15
52.3.Procedmentos.................................................................................................................342
52.3.1.Ata de cuentas de usuaro y asgnacn de caves de acceso..................................................342
52.3.2.Domnos a admnstrar.............................................................................................................343
52.3.3.Contro de acceso.....................................................................................................................344
52.3.4.Aas de a cuenta de root.........................................................................................................345
52.3.5.Confguracn de funcones de Sendma..................................................................................345
52.3.6.Usuaros Vrtuaes.....................................................................................................................347
52.3.7.Contro de correo chatarra (Spam) a travs de DNSBLs..........................................................348
52.3.8.Protocoos para acceder haca e correo...................................................................................348
52.3.9.Rencando servco..................................................................................................................349
52.4.Encamnamento de domnos..........................................................................................349
52.4.1.Redundanca de servdor de correo.........................................................................................349
52.4.2.Servdor de correo ntermedaro..............................................................................................350
52.5.Verfcando e servco......................................................................................................351
52.6.Pruebas para e envo de correo.......................................................................................352
52.6.1.Utzando tenet........................................................................................................................352
52.6.2.Utzando mutt.........................................................................................................................354
52.7.Referencas......................................................................................................................354
53.Opcones avanzadas de segurdad para Sendma..........................................356
53.1.Introduccn......................................................................................................................356
53.2.Funcones.........................................................................................................................356
53.2.1.confMAX_RCPTS_PER_MESSAGE................................................................................................356
53.2.2.confBAD_RCPT_THROTTLE........................................................................................................356
53.2.3.confPRIVACY_FLAGS..................................................................................................................356
53.2.4.confMAX_HEADERS_LENGTH.....................................................................................................357
53.2.5.confMAX_MESSAGE_SIZE...........................................................................................................357
53.2.6.confMAX_DAEMON_CHILDREN..................................................................................................357
53.2.7.confCONNECTION_RATE_THROTTLE..........................................................................................357
54.Cmo confgurar Sendma y Dovecot con soporte SSL/TLS...........................358
54.1.Introduccn.....................................................................................................................358
54.1.1.Acerca de DSA..........................................................................................................................358
54.1.2.Acerca de RSA..........................................................................................................................358
54.1.3.Acerca de X.509.......................................................................................................................358
54.2.Procedmentos.................................................................................................................359
54.2.1.Sendma. .................................................................................................................................359
54.2.2.Dovecot. ..................................................................................................................................361
54.2.3.Confguracn de GNOME Evouton..........................................................................................363
54.2.4.Modfcacones necesaras en e muro cortafuegos...................................................................366
55.Cmo confgurar Cyrus IMAP..........................................................................368
55.1.Introduccn......................................................................................................................368
55.3.Procedmentos.................................................................................................................369
55.3.1.Ata de cuentas de usuaro y asgnacn de caves de acceso..................................................369
55.3.2.Incar, detener y rencar e servco cyrus-mapd....................................................................370
55.3.3.Agregar e servco cyrus-mapd a arranque de sstema.........................................................370
55.3.4.Integracn con Sendma.........................................................................................................370
55.4.Comprobacones...............................................................................................................370
56.Instaacn y confguracn de SqurreMa (correo a travs de nterfaz HTTP )...
373
16
56.1.Introduccn.....................................................................................................................373
56.2.Procedmentos.................................................................................................................373
56.2.1.Instaacn de sustento gco necesaro..................................................................................373
56.2.2.Confguracn de SqurreMa...................................................................................................373
56.3.Fnazando confguracn.................................................................................................376
56.4.A|ustes en php.n para optmzar e uso de Squrrema..................................................377
57.Cmo nstaar GroupOffce en CentOS............................................................379
57.1.Ou es Group Offce?......................................................................................................379
57.2.1.Confguracn de depstos YUM para CentOS 5 y Red Hat Enterprse Lnux 5.........................380
57.3.Procedmentos.................................................................................................................380
57.3.1.A|ustes posterores a a nstaacn...........................................................................................383
58.Apndce: Envar correo a todos os usuaros de sstema..............................390
58.1.Procedmentos.................................................................................................................390
58.2.Acerca de a segurdad.....................................................................................................390
59.Cmo nstaar y confgurar e programa vacaton para responder avsos
automtcos en vacacones..................................................................................391
59.1.Intruccn.........................................................................................................................391
59.3.Procedmentos.................................................................................................................392
60.Cmo confgurar camav-mter......................................................................394
60.1.Introduccn.....................................................................................................................394
60.1.1.Acerca de camav-mter...........................................................................................................394
60.1.2.Acerca de CamAV....................................................................................................................394
60.3.Procedmentos.................................................................................................................395
60.3.1.SELnux y e servco camav-mter...........................................................................................395
60.3.2.Requstos prevos.....................................................................................................................395
60.3.3.Fchero /etc/ma/sendma.mc..................................................................................................395
60.3.4.Confguracn...........................................................................................................................396
60.3.5.Incar, detener y rencar e servco camav-mter..................................................................396
61.Cmo confgurar spamass-mter....................................................................397
61.1.Introduccn.....................................................................................................................397
61.1.1.Acerca de spamass-mter.........................................................................................................397
61.1.2.Acerca de SpamAssassn..........................................................................................................397
61.3.Procedmentos.................................................................................................................398
61.3.1.SELnux y e servco spamass-mter........................................................................................398
61.3.2.Requstos prevos....................................................................................................................398
61.3.3.Fchero /etc/ma/sendma.mc..................................................................................................398
61.3.4.Confguracn...........................................................................................................................398
61.3.5.Fchero /etc/sysconfg/spamass-mter......................................................................................399
61.3.6.Fchero /etc/procmarc.............................................................................................................400
Fchero /etc/sysconfg/spamassassn...................................................................................................401
61.3.7.Incar, detener y rencar e servco spamass-mter...............................................................401
62.Cmo confgurar un servdor NIS....................................................................402
17
62.1.Introduccn.....................................................................................................................402
62.2.Procedmentos.................................................................................................................402
Instaacn de equpamento gco necesaro en e servdor NIS........................................................402
62.2.2.Confguracn de servdor NIS..................................................................................................403
62.2.3.Instaacn de equpamento gco necesaro en e cente NIS...............................................405
62.2.4.Confguracn de cente NIS....................................................................................................405
63.Cmo confgurar OpenLDAP como servdor de autentcacn.........................408
63.1.Introduccn.....................................................................................................................408
63.3.Procedmentos.................................................................................................................409
63.3.1.SELnux y e servco dap.........................................................................................................409
63.3.2.Creacn de drectoros.............................................................................................................409
63.3.3.Generacn de caves de acceso para LDAP.............................................................................409
63.3.4.Fchero de confguracn /etc/opendap/sapd.conf...................................................................409
63.3.5.Inco de servco dap..............................................................................................................410
63.3.6.Mgracn de cuentas exstentes en e sstema.........................................................................410
63.4.Comprobacones...............................................................................................................411
63.5.Confguracn de centes.................................................................................................412
63.5.1.authconfg (modo-texto)...........................................................................................................413
63.5.2.authconfg-tu (modo texto)......................................................................................................413
63.5.3.authconfg-gtk (modo grfco)..................................................................................................414
63.6.Admnstracn..................................................................................................................415
63.7.Respado de datos............................................................................................................415
63.8.Restauracn de datos......................................................................................................416
64.Cmo confgurar OpenLDAP como breta de dreccones...............................417
64.1.Introduccn.....................................................................................................................417
64.3.Procedmentos.................................................................................................................417
64.3.1.SELnux y e servco dap.........................................................................................................417
64.3.2.Creacn de drectoros.............................................................................................................418
64.3.3.Generacn de caves de acceso para LDAP.............................................................................418
64.3.4.Fchero de esquemas................................................................................................................418
64.3.5.Fchero de confguracn /etc/opendap/sapd.conf...................................................................418
64.3.6.Inco de servco dap..............................................................................................................419
64.3.7.Aadr datos a drectoro.........................................................................................................419
64.4.Confguracn de centes.................................................................................................421
64.4.1.Nove Evouton........................................................................................................................421
64.4.2.Moza Thunderbrd..................................................................................................................423
64.4.3.Squrrema..............................................................................................................................424
64.5.Admnstracn.................................................................................................................424
64.6.Respado de datos............................................................................................................424
64.7.Restauracn de datos......................................................................................................425
65.Cmo confgurar OpenLDAP con soporte SSL/TLS..........................................426
65.1.Introduccn.....................................................................................................................426
65.1.1.Acerca de LDAP en modo SSL/TLS............................................................................................426
65.1.2.Acerca de RSA..........................................................................................................................426
65.1.3.Acerca de X.509........................................................................................................................426
65.2.Procedmentos.................................................................................................................427
18
65.2.1.Generando cave y certfcado..................................................................................................427
65.2.2.Parmetros de /etc/opendap/sapd.conf...................................................................................428
65.2.3.Comprobacn..........................................................................................................................428
65.2.4.Confguracn de GNOME Evouton..........................................................................................428
65.2.5.Confguracn de Moza Thunderbrd.......................................................................................429
65.2.6.Confguracn LDAP Browser....................................................................................................430
65.2.7.Confguracn LDAP Admnstraton Too...................................................................................430
66.Cmo nstaar y confgurar MySOL...............................................................432
66.1.Introduccn.....................................................................................................................432
66.1.1.Acerca de MySOL...................................................................................................................432
66.3.Procedmentos.................................................................................................................433
66.3.1.SELnux y e servco mysqd.....................................................................................................433
66.3.2.Incar, detener y rencar e servco mysqd............................................................................433
66.3.3.Agregar e servco mysqd a arranque de sstema.................................................................433
66.3.4.Asgnacn de cave de acceso a usuaro root.........................................................................433
66.4.Creando y destruyendo bases de datos...........................................................................435
66.5.Otorgando permsos a os usuaros..................................................................................435
67.Confguracn bsca de Apache.....................................................................438
67.1.Introduccn.....................................................................................................................438
67.1.1.Acerca de protocoo HTTP........................................................................................................438
67.1.2.Acerca de Apache.....................................................................................................................438
67.3.Incar servco y aadr e servco a arranque de sstema.............................................439
67.4.Procedmentos.................................................................................................................440
67.4.1.SELnux y Apache.....................................................................................................................440
67.4.2.UTF-8 y codfcacn de documentos........................................................................................441
67.4.3.Fcheros de confguracn.........................................................................................................442
67.4.4.Drectoros vrtuaes.................................................................................................................442
67.4.5.Redreccn de drectoros........................................................................................................443
67.4.6.Tpos de MIME...........................................................................................................................443
67.4.7.Soporte para CGI con extensn *.cg.......................................................................................443
67.4.8.Robo de mgenes....................................................................................................................445
67.6.Apndce: Confguracn de Stos de Red vrtuaes en Apache........................................445
68.Cmo habtar os fcheros .htaccess y SSI )Server Sde Incudes) en Apache
2.x........................................................................................................................447
68.1.Introduccn.....................................................................................................................447
68.2.Procedmentos.................................................................................................................447
68.2.1.Autentcacn de drectoros.....................................................................................................447
68.2.2.Asgnacn de drectvas para PHP............................................................................................448
69.Cmo confgurar Apache con soporte SSL/TLS. .............................................451
69.1.Introduccn.....................................................................................................................451
69.1.1.Acerca de HTTPS.......................................................................................................................451
69.1.2.Acerca de RSA..........................................................................................................................451
69.1.3.Acerca de Trpe DES................................................................................................................451
69.1.4.Acerca de X.509.......................................................................................................................452
69.1.5.Acerca de OpenSSL...................................................................................................................452
19
69.1.6.Acerca de mod_ss....................................................................................................................452
69.2.Requstos.........................................................................................................................452
69.4.Procedmentos.................................................................................................................453
69.4.1.Generando cave y certfcado..................................................................................................453
69.4.2.Confguracn de Apache..........................................................................................................455
69.4.3.Comprobacn..........................................................................................................................456
69.4.4.Modfcacones necesaras en e muro cortafuegos...................................................................456
70.Cmo confgurar un servdor de nombres de domno (DNS).........................457
70.1.Introduccn.....................................................................................................................457
70.1.1.Bnd (Berkeey Internet Name Doman)....................................................................................457
70.1.2.DNS (Doman Name System)....................................................................................................457
70.1.3.NIC (Network Informaton Center).............................................................................................457
70.1.4.FODN (Fuy Ouafed Doman Name).......................................................................................458
70.1.5.Componentes de un DNS..........................................................................................................458
70.1.6.Herramentas de bsqueda y consuta.....................................................................................460
70.3.Procedmentos.................................................................................................................462
70.3.1.SELnux y e servco named.....................................................................................................462
70.3.2.Preparatvos.............................................................................................................................463
70.3.3.Creacn de os fcheros de zona..............................................................................................464
70.3.4.Segurdad adcona en DNS para uso pbco...........................................................................467
70.3.5.Segurdad adcona en DNS para uso excusvo en red oca....................................................471
70.3.6.Las zonas escavas...................................................................................................................471
70.3.7.Segurdad adcona para transferencas de zona.....................................................................472
70.3.8.Rencar servco y depuracn de confguracn......................................................................475
71.Cmo confgurar Squd: Parmetros bscos para Servdor Intermedaro
(Proxy).................................................................................................................477
71.1.Introduccn.....................................................................................................................477
71.1.1.Ou es Servdor Intermedaro (Proxy)?...................................................................................477
71.1.2.Acerca de Squd........................................................................................................................478
71.2.3.Otros componentes necesaros.................................................................................................479
71.3.SELnux y e servco squd...............................................................................................480
71.4.Antes de contnuar...........................................................................................................480
71.5.Confguracn bsca........................................................................................................480
71.5.1.Parmetro http_port: Oue puerto utzar para Squd?.............................................................481
71.5.2.Parmetro cache_mem.............................................................................................................482
71.5.3.Parmetro cache_dr: Cuanto desea amacenar de Internet en e dsco duro?........................482
71.5.4.Parmetro ftp_user...................................................................................................................483
71.5.5.Controes de acceso.................................................................................................................483
71.5.6.Apcando Lstas y Regas de contro de acceso........................................................................484
71.5.7.Parmetro chache_mgr.............................................................................................................486
71.5.8.Parmetro cache_peer: caches padres y hermanos..................................................................486
71.6.Cach con aceeracn.....................................................................................................487
71.6.1.Proxy Aceerado: Opcones para Servdor Intermedaro (Proxy) en modo convencona...........487
71.6.2.Proxy Aceerado: Opcones para Servdor Intermedaro (Proxy) Transparente.........................488
71.6.3.Proxy Aceerado: Opcones para Servdor Intermedaro (Proxy) Transparente para redes con
Internet Exorer 5.5 y versones anterores..........................................................................................488
71.7.Estabecendo e doma de os mensa|es mostrados por de Squd haca e usuaro.........489
71.8.Incando, rencando y aadendo e servco a arranque de sstema............................489
71.9.Depuracn de errores......................................................................................................489
20
71.10.A|ustes para e muro corta-fuegos..................................................................................490
71.10.1.Re-drecconamento de petcones a travs de ptabes y Frestarter.....................................490
71.10.2.Re-drecconamento de petcones a travs de a opcn REDIRECT en Shorewa..................490
72.Cmo confgurar Squd: Acceso por autentcacn.........................................492
72.1.Introduccn.....................................................................................................................492
72.3.Egendo e mduo de autentcacn...............................................................................492
72.3.1.Autentcacn a travs de mduo LDAP..................................................................................492
72.3.2.Autentcacn a travs de mduo NCSA..................................................................................493
72.4.Lstas y regas de contro de acceso.................................................................................494
72.4.1.Fnazando procedmento........................................................................................................495
73.Cmo confgurar Squd: Restrccn de acceso a Stos de Red......................496
73.1.Introduccn.....................................................................................................................496
73.3.Defnendo patrones comunes..........................................................................................496
73.4.Parmetros en /etc/squd/squd.conf................................................................................497
73.4.1.Permtendo acceso a stos nocentes ncdentamente boqueados.........................................497
74.Cmo confgurar Squd: Restrccn de acceso a contendo por extensn... .499
74.1.Introduccn.....................................................................................................................499
74.2.Software requerdo...........................................................................................................499
74.3.Defnendo eementos de a Lsta de Contro de Acceso...................................................499
74.4.Parmetros en /etc/squd/squd.conf................................................................................500
75.Cmo confgurar Squd: Restrccn de acceso por horaros...........................502
75.1.Introduccn.....................................................................................................................502
75.3.Procedmentos.................................................................................................................502
75.3.1.Ms e|empos............................................................................................................................503
76.Cmo confgurar squd con soporte para dreccones MAC.............................505
76.1.Introduccn.....................................................................................................................505
76.1.1.Acerca de Squd........................................................................................................................505
76.3.Procedmentos.................................................................................................................506
Fchero /etc/squd/stas/macsredoca.................................................................................................506
76.3.1.Fchero /etc/squd/squd.conf....................................................................................................507
76.4.Incar, detener y rencar e servco squd......................................................................507
77.Cmo nstaar y confgurar a herramenta de reportes Sarg..........................509
77.1.Introduccn.....................................................................................................................509
77.3.Procedmentos.................................................................................................................509
78.Apndce: Lstas y regas de contro de acceso para Squd............................513
78.0.1.Regas apcadas.......................................................................................................................513
79.Cmo confgurar un muro cortafuegos con Shorewa y tres nterfaces de red....
21
515
79.1.Introduccn.....................................................................................................................515
79.1.1.Acerca de Shorewa.................................................................................................................515
79.1.2.Acerca de Iptabes y Netfter....................................................................................................515
79.1.3.Acerca de Iproute.....................................................................................................................515
79.1.4.Requstos.................................................................................................................................516
79.2.Conceptos requerdos.......................................................................................................516
79.2.1.Ou es una zona desmtarzada?...........................................................................................516
79.2.2.Oue es una Red Prvada?........................................................................................................516
79.2.3.Ou es un NAT?.......................................................................................................................517
79.2.4.Ou es un DNAT?....................................................................................................................517
79.3.Procedmentos.................................................................................................................517
79.3.1.Equpamento gco necesaro.................................................................................................517
79.3.2.Fchero de confguracn /etc/shorewa/shorewa.conf............................................................517
79.3.3.Fchero de confguracn /etc/shorewa/zones..........................................................................518
79.3.4.Fchero de confguracn /etc/shorewa/nterfaces...................................................................518
79.3.5.Fchero de confguracn /etc/shorewa/pocy.........................................................................519
79.3.6.Fchero de confguracn /etc/shorewa/masq..........................................................................520
79.3.7.Fchero de confguracn /etc/shorewa/rues...........................................................................520
79.4.Incar e cortafuegos y aadro a os servcos de arranque de sstema.........................523
80.Cmo confgurar un servdor de OpenVPN en CentOS 5.................................524
80.1.Introduccn.....................................................................................................................524
80.1.1.Acerca de OpenVPN..................................................................................................................524
80.1.2.Breve expcacn de o que se ograr con este documento....................................................524
80.2.Instaacn de equpamento gco necesaro.................................................................525
80.2.1.Instaacn en CentOS 5............................................................................................................525
80.3.Procedmentos.................................................................................................................526
80.3.1.Confguracn de muro cortafuegos con Shorewa...................................................................529
80.3.2.Confguracn de centes Wndows..........................................................................................530
80.3.3.Centes GNU/Lnux...................................................................................................................533
80.4.Bbografa......................................................................................................................539
81.Cmo confgurar SNMP...................................................................................540
81.1.Introduccn.....................................................................................................................540
81.1.1.Acerca de SNMP........................................................................................................................540
81.1.2.Acerca de Net-SNMP.................................................................................................................540
81.3.Procedmentos.................................................................................................................541
Fchero de confguracn /etc/snmp/snmpd.conf.................................................................................541
81.3.2.Un e|empo funcona de confguracn.....................................................................................542
81.3.3.Incar, detener y rencar e servco snmpd............................................................................543
81.3.4.Agregar e servco snmpd a arranque de sstema..................................................................544
81.4.Comprobacones...............................................................................................................544
82.Cmo confgurar MRTG...................................................................................545
82.1.Introduccn.....................................................................................................................545
82.1.1.Acerca de MRTG.......................................................................................................................545
82.3.Procedmentos.................................................................................................................545
82.4.Comprobacones...............................................................................................................546
83.Cmo nstaar |ava 1.5 en CentOS 5...............................................................548
22
83.1.Introduccn.....................................................................................................................548
83.2.Instaacn de equpamento gco necesaro.................................................................548
83.3.Procedmentos.................................................................................................................548
83.3.1.Creacn de usuaro para utzar rpmbud...............................................................................548
83.3.2.Creacn de estructura de drectoros para rpmbud...............................................................548
84.Cmo nstaar a compemento (pug-n) Fash Payer para Frefox y otros
navegadores........................................................................................................551
84.1.Introduccn.....................................................................................................................551
84.2.Procedmentos.................................................................................................................551
84.2.1.Fedora, CentOS 5 y Red Hat Enterprse Lnux 5........................................................................551
84.2.2.CentOS 4 y Red Hat Enterprse Lnux 4.....................................................................................552
84.3.Comprobacones...............................................................................................................552
85.Cmo confgurar escner en red....................................................................554
85.1.Introduccn.....................................................................................................................554
85.1.1.Acerca de SANE........................................................................................................................554
85.1.2.Acerca de Xsane.......................................................................................................................554
85.2.1.Instaacn de servco saned...................................................................................................555
85.2.2.Instaacn de cente Xsane....................................................................................................555
85.3.Procedmentos.................................................................................................................555
85.3.1.Confguracn de servco saned..............................................................................................555
85.3.2.Confguracn de cente Xsane................................................................................................557
86.Usando Smartd para antcpar os desastres de dsco duro............................558
86.1.Introduccn......................................................................................................................558
86.2.Procedmentos.................................................................................................................558
87.Cmo crear un dsco con nstaacn personazada de CentOS 5..................560
87.2.Procedmentos.................................................................................................................560
87.2.1.Creacn de fchero de confguracn de nstaacn personazada..........................................560
87.2.2.Creacn de drectoro de traba|o y contendo de msmo........................................................561
87.2.3.Aadr equpamento gco adcona.......................................................................................563
87.2.4.Creacn de a magen ISO........................................................................................................564
88.E|erccos.........................................................................................................566
88.1.E|ercco NFS.....................................................................................................................566
88.1.1.Introduccn..............................................................................................................................566
88.1.2.Procedmentos.........................................................................................................................566
88.2.E|ercco SAMBA................................................................................................................568
88.2.1.Procedmentos.........................................................................................................................568
88.3.E|ercco Apache y VSFTPD............................................................................................571
88.3.1.Procedmentos.........................................................................................................................571
88.3.2.Comprobacones.......................................................................................................................572
88.4.E|ercco: Cuotas de dsco, Apache, VSFTPD y DNS..........................................................574
88.4.1.Procedmentos.........................................................................................................................574
88.4.2.Comprobacones.......................................................................................................................578
88.5.E|ercco: Servdor Intermedaro (Proxy)..........................................................................580
88.5.1.Introduccn..............................................................................................................................580
Procedmentos....................................................................................................................................580
89.E|ercco: Servdor DNS dnmco, servdor DHCP, Servdor Intermedaro
(Proxy) y Shorewa..............................................................................................586
23
89.1.Introduccn......................................................................................................................586
89.1.1.Potca: cerrar todo y abrr soo o necesaro............................................................................586
89.3.Procedmentos.................................................................................................................587
89.3.1.Modfcacn de a nterfaz de acceso haca Internet................................................................587
Confguracn de servdor DNS............................................................................................................588
Confguracn de servdor DHCP..........................................................................................................591
Confguracn de Squd.......................................................................................................................593
Confguracn de Shorewa.................................................................................................................598
Instaar y confgurar a herramenta de reportes Sarg.........................................................................602
90.E|ercco: confguracn de sstema para Lnux, Apache, PHP y MySOL.........603
91.E|ercco: Confguracn de sstema como estacn de traba|o......................606
Notas....................................................................................................................609
24
In/ormacin de Derec.os reservados
de esta publicacin'
0econocimiento1NoComercial1CompartirI2ual 2'!
Usted es libre de3
copar, dstrbur y comuncar pbcamente a obra
hacer obras dervadas
#a4o las condiciones si2uientes3
0econocimiento. Debe reconocer y ctar a autor orgna.
No comercial. No puede utzar esta obra para fnes comercaes.
Compartir ba4o la misma licencia. S atera o transforma esta obra, o
genera una obra dervada, so puede dstrbur a obra generada ba|o una
cenca dntca a sta.
A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta
obra.
Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os
derechos de autor
Los derec.os derivados de usos le2,timos u otras limitaciones no se ven a/ectados por
lo anterior'
0econocimiento1NoComercial1CompartirI2ual 2'!
CREATIVE COMMONS CORPORATION NO ES UN DESPACHO DE ABOGADOS Y NO PROPORCIONA SERVICIOS |URDICOS. LA DISTRIBUCION DE
ESTA LICENCIA NO CREA UNA RELACION ABOGADO-CLIENTE. CREATIVE COMMONS PROPORCIONA ESTA INFORMACION TAL CUAL (ON AN "AS-
IS" BASIS). CREATIVE COMMONS NO OFRECE GARANTA ALGUNA RESPECTO DE LA INFORMACION PROPORCIONADA, NI ASUME
RESPONSABILIDAD ALGUNA POR DANOS PRODUCIDOS A CONSECUENCIA DE SU USO.
.icencia
LA OBRA (SEGN SE DEFINE MAS ADELANTE) SE PROPORCIONA BA|O TRMINOS DE ESTA LICENCIA PBLICA DE CREATIVE COMMONS ("CCPL"
O "LICENCIA"). LA OBRA SE ENCUENTRA PROTEGIDA POR LA LEY ESPANOLA DE PROPIEDAD INTELECTUAL Y/O CUALESOUIERA OTRAS
NORMAS RESULTEN DE APLICACION. OUEDA PROHIBIDO CUALOUIER USO DE LA OBRA DIFERENTE A LO AUTORIZADO BA|O ESTA LICENCIA O
LO DISPUESTO EN LAS LEYES DE PROPIEDAD INTELECTUAL.
MEDIANTE EL E|ERCICIO DE CUALOUIER DERECHO SOBRE LA OBRA, USTED ACEPTA Y CONSIENTE LAS LIMITACIONES Y OBLIGACIONES DE
ESTA LICENCIA. EL LICENCIADOR LE CEDE LOS DERECHOS CONTENIDOS EN ESTA LICENCIA, SIEMPRE OUE USTED ACEPTE LOS PRESENTES
25
TRMINOS Y CONDICIONES.
!' De/iniciones
a. La 5obra5 es a creacn terara, artstca o centfca ofrecda ba|o os trmnos de esta cenca.
b. E 5autor5 es a persona o a entdad que cre a obra.
c. Se consderar 5obra con4unta5 aquea susceptbe de ser ncuda en aguna de as sguentes categoras:
. 56bra en colaboracin5, entendendo por ta aquea que sea resutado untaro de a coaboracn de varos autores.
d. 56bra colectiva5, entendendo por ta a creada por a ncatva y ba|o a coordnacn de una persona natura o |urdca que a
modfque y dvugue ba|o su nombre y que est consttuda por a reunn de aportacones de dferentes autores cuya
contrbucn persona se funde en una creacn nca y autnoma, para a cua haya sdo concebda sn que sea posbe atrbur
separadamente a cuaquera de eos un derecho sobre e con|unto de a obra reazada.
e. 56bra compuesta e independiente5, entendendo por ta a obra nueva que ncorpore una obra preexstente sn a coaboracn
de autor de esta tma.
f. Se consderarn 5obras derivadas5 aqueas que se encuentren basadas en una obra o en una obra y otras preexstentes, taes
como: as traduccones y adaptacones; as revsones, actuazacones y anotacones; os compendos, resmenes y extractos; os
arregos muscaes y, en genera, cuaesquera transformacones de una obra terara, artstca o centfca, savo que a obra
resutante tenga e carcter de obra con|unta en cuyo caso no ser consderada como una obra dervada a os efectos de esta
cenca. Para evtar a duda, s a obra consste en una composcn musca o grabacn de sondos, a sncronzacn tempora de
a obra con una magen en movmento ("synchng") ser consderada como una obra dervada a os efectos de esta cenca.
g. Tendrn a consderacn de 5obras audiovisuales5 as creacones expresadas medante una sere de mgenes asocadas, con
o sn sonorzacn ncorporada, as como as composcones muscaes, que estn destnadas esencamente a ser mostradas a
travs de aparatos de proyeccn o por cuaquer otro medo de comuncacn pbca de a magen y de sondo, con
ndependenca de a naturaeza de os soportes materaes de dchas obras.
h. E 5licenciador5 es a persona o a entdad que ofrece a obra ba|o os trmnos de esta cenca y e cede os derechos de
expotacn de a msma conforme a o dspuesto en ea.
. 5Usted5 es a persona o a entdad que e|ercta os derechos ceddos medante esta cenca y que no ha voado prevamente os
trmnos de a msma con respecto a a obra, o que ha recbdo e permso expreso de cencador de e|erctar os derechos
ceddos medante esta cenca a pesar de una voacn anteror.
|. La 5trans/ormacin5 de una obra comprende su traduccn, adaptacn y cuaquer otra modfcacn en su forma de a que se
derve una obra dferente. Cuando se trate de una base de datos segn se defne ms adeante, se consderar tambn
transformacn a reordenacn de a msma. La creacn resutante de a transformacn de una obra tendr a consderacn de
obra dervada.
k. Se entende por 5reproduccin5 a f|acn de a obra en un medo que permta su comuncacn y a obtencn de copas de toda
o parte de ea.
. Se entende por 5distribucin5 a puesta a dsposcn de pbco de orgna o copas de a obra medante su venta, aquer,
prstamo o de cuaquer otra forma.
m. Se entender por 5comunicacin p7blica5 todo acto por e cua una puradad de personas pueda tener acceso a a obra sn
preva dstrbucn de e|empares a cada una de eas. No se consderar pbca a comuncacn cuando se ceebre dentro de un
mbto estrctamente domstco que no est ntegrado o conectado a una red de dfusn de cuaquer tpo. A efectos de esta
cenca se consderar comuncacn pbca a puesta a dsposcn de pbco de a obra por procedmentos ambrcos o
nambrcos, ncuda a puesta a dsposcn de pbco de a obra de ta forma que cuaquer persona pueda acceder a ea
desde e ugar y en e momento que e|a.
n. La 5explotacin5 de a obra comprende su reproduccn, dstrbucn, comuncacn pbca y transformacn.
o. Tendrn a consderacn de 5bases de datos5 as coeccones de obras a|enas, de datos o de otros eementos ndependentes
como as antoogas y as bases de datos propamente dchas que por a seeccn o dsposcn de sus contendos consttuyan
creacones nteectuaes, sn per|uco, en su caso, de os derechos que puderan subsstr sobre dchos contendos.
26
p. Los 5elementos de la licencia5 son as caracterstcas prncpaes de a cenca segn a seeccn efectuada por e cencador e
ndcadas en e ttuo de esta cenca: Reconocmento de autora (Reconocmento), Sn uso comerca (NoComerca), Compartr
de manera gua (CompartrIgua).
2' L,mites * uso le2,timo de los derec.os' Nada en esta cenca pretende reducr o restrngr cuaesquera mtes egaes de os
derechos excusvos de ttuar de os derechos de propedad nteectua de acuerdo con a Ley de Propedad Inteectua o cuaesquera otras
eyes apcabes, ya sean dervados de usos egtmos, taes como e derecho de copa prvada o e derecho a cta, u otras mtacones como
a dervada de a prmera venta de e|empares.
8' Concesin de licencia' Conforme a os trmnos y a as condcones de esta cenca, e cencador concede (durante toda a vgenca de
os derechos de propedad nteectua) una cenca de mbto munda, sn derecho de remuneracn, no excusva e ndefnda que ncuye
a cesn de os sguentes derechos:
a. Derecho de reproduccn, dstrbucn y comuncacn pbca sobre a obra;
b. Derecho a ncorporara en una o ms obras con|untas o bases de datos y para su reproduccn en tanto que ncorporada a dchas
obras con|untas o bases de datos;
c. Derecho para efectuar cuaquer transformacn sobre a obra y crear y reproducr obras dervadas;
d. Derecho de dstrbucn y comuncacn pbca de copas o grabacones de a obra, como ncorporada a obras con|untas o bases
de datos;
e. Derecho de dstrbucn y comuncacn pbca de copas o grabacones de a obra, por medo de una obra dervada.
Los anterores derechos se pueden e|erctar en todos os medos y formatos, tangbes o ntangbes, conocdos o por conocer. Los derechos
menconados ncuyen e derecho a efectuar as modfcacones que sean precsas tcncamente para e e|ercco de os derechos en otros
medos y formatos. Todos os derechos no ceddos expresamente por e cencador quedan reservados, ncuyendo, a ttuo enuncatvo
pero no mtatvo, os estabecdos en a seccn 4(e).
9' 0estricciones' La cesn de derechos que supone esta cenca se encuentra su|eta y mtada a as restrccones sguentes:
a. Usted puede reproducr, dstrbur o comuncar pbcamente a obra soamente ba|o trmnos de esta cenca y debe ncur una
copa de a msma, o su Identfcador Unforme de Recurso (URI), con cada copa o grabacn de a obra que usted reproduzca,
dstrbuya o comunque pbcamente. Usted no puede ofrecer o mponer nngn trmno sobre a obra que atere o restrn|a os
trmnos de esta cenca o e e|ercco de sus derechos por parte de os cesonaros de a msma. Usted no puede subcencar a
obra. Usted debe mantener ntactos todos os avsos que se referan a esta cenca y a a ausenca de garantas. Usted no puede
reproducr, dstrbur o comuncar pbcamente a obra con meddas tecnogcas que controen e acceso o uso de a obra de una
manera contrara a os trmnos de esta cenca. Lo anteror se apca a una obra en tanto que ncorporada a una obra con|unta o
base de datos, pero no mpca que stas, a margen de a obra ob|eto de esta cenca, tengan que estar su|etas a os trmnos de
a msma. S usted crea una obra con|unta o base de datos, preva comuncacn de cencador, usted deber qutar de a obra
con|unta o base de datos cuaquer referenca a dcho cencador o a autor orgna, segn o que se e requera y en a medda de
o posbe. S usted crea una obra dervada, preva comuncacn de cencador, usted deber qutar de a obra dervada
cuaquer referenca a dcho cencador o a autor orgna, o que se e requera y en a medda de o posbe.
b. Usted puede reproducr, dstrbur o comuncar pbcamente una obra dervada soamente ba|o os trmnos de esta cenca, o de
una versn posteror de esta cenca con sus msmos eementos prncpaes, o de una cenca Commons de Creatve Commons
que contenga os msmos eementos prncpaes que esta cenca (e|empo: Reconocmento-NoComerca-Compartr 2.0 |apn).
Usted debe ncur una copa de a esta cenca o de a menconada anterormente, o ben su Identfcador Unforme de Recurso
(URI), con cada copa o grabacn de a obra que usted reproduzca, dstrbuya o comunque pbcamente. Usted no puede ofrecer
o mponer nngn trmno respecto de as obras dervadas o sus transformacones que ateren o restrn|an os trmnos de esta
cenca o e e|ercco de sus derechos por parte de os cesonaros de a msma, Usted debe mantener ntactos todos os avsos
que se referan a esta cenca y a a ausenca de garantas. Usted no puede reproducr, dstrbur o comuncar pbcamente a
obra dervada con meddas tecnogcas que controen e acceso o uso de a obra de una manera contrara a os trmnos de esta
cenca. Lo anteror se apca a una obra dervada en tanto que ncorporada a una obra con|unta o base de datos, pero no mpca
que stas, a margen de a obra ob|eto de esta cenca, tengan que estar su|etas a os trmnos de esta cenca.
c. Usted no puede e|erctar nnguno de os derechos ceddos en a seccn 3 anteror de manera que pretenda prncpamente o se
encuentre drgda haca a obtencn de un benefco mercant o a remuneracn monetara prvada. E ntercambo de a obra
por otras obras protegdas por a propedad nteectua medante sstemas de compartr archvos no se consderar como una
manera que pretenda prncpamente o se encuentre drgda haca a obtencn de un benefco mercant o a remuneracn
monetara prvada, sempre que no haya nngn pago de cuaquer remuneracn monetara en reacn con e ntercambo de as
obras protegdas.
d. S usted reproduce, dstrbuye o comunca pbcamente a obra o cuaquer obra dervada, con|unta o base datos que a
ncorpore, usted debe mantener ntactos todos os avsos sobre a propedad nteectua de a obra y reconocer a autor orgna,
de manera razonabe conforme a medo o a os medos que usted est utzando, ndcando e nombre (o e seudnmo, en su
caso) de autor orgna s es factado; e ttuo de a obra s es factado; de manera razonabe, e Identfcador Unforme de
Recurso (URI), s exste, que e cencador especfca para ser vncuado a a obra, a menos que ta URI no se refera a avso sobre
propedad nteectua o a a nformacn sobre a cenca de a obra; y en e caso de una obra dervada, un avso que dentfque e
uso de a obra en a obra dervada (e.g., "traduccn francesa de a obra de Autor Orgna," o "gun basado en obra orgna de
27
Autor Orgna"). Ta avso se puede desarroar de cuaquer manera razonabe; con ta de que, sn embargo, en e caso de una
obra dervada, con|unta o base datos, aparezca como mnmo este avso a donde aparezcan os avsos correspondentes a otros
autores y de forma comparabe a os msmos.
e. Para evtar a duda, sn per|uco de a preceptva autorzacn de cencador, y especamente cuando a obra se trate de una
obra audovsua, e cencador se reserva e derecho excusvo a percbr, tanto ndvduamente como medante una entdad de
gestn de derechos, o varas, (por e|empo: SGAE, Dama, VEGAP), os derechos de expotacn de a obra, as como os dervados
de obras dervadas, con|untas o bases de datos, s dcha expotacn pretende prncpamente o se encuentra drgda haca a
obtencn de un benefco mercant o a remuneracn monetara prvada.
f. En e caso de a ncusn de a obra en aguna base de datos o recopacn, e propetaro o e gestor de a base de datos deber
renuncar a cuaquer derecho reaconado con esta ncusn y concernente a os usos de a obra una vez extrada de as bases
de datos, ya sea de manera ndvdua o con|untamente con otros materaes.
:' Exoneracin de responsabilidad
A MENOS OUE SE ACUERDE MUTUAMENTE ENTRE LAS PARTES, EL LICENCIADOR OFRECE LA OBRA TAL CUAL (ON AN "AS-IS" BASIS) Y NO
CONFIERE NINGUNA GARANTA DE CUALOUIER TIPO RESPECTO DE LA OBRA O DE LA PRESENCIA O AUSENCIA DE ERRORES OUE PUEDAN O
NO SER DESCUBIERTOS. ALGUNAS |URISDICCIONES NO PERMITEN LA EXCLUSION DE TALES GARANTAS, POR LO OUE TAL EXCLUSION PUEDE
NO SER DE APLICACION A USTED.
;' Limitacin de responsabilidad'
SALVO OUE LO DISPONGA EXPRESA E IMPERATIVAMENTE LA LEY APLICABLE, EN NINGN CASO EL LICENCIADOR SERA RESPONSABLE ANTE
USTED POR CUALOUIER TEORA LEGAL DE CUALESOUIERA DANOS RESULTANTES, GENERALES O ESPECIALES (INCLUIDO EL DANO
EMERGENTE Y EL LUCRO CESANTE), FORTUITOS O CAUSALES, DIRECTOS O INDIRECTOS, PRODUCIDOS EN CONEXION CON ESTA LICENCIA O
EL USO DE LA OBRA, INCLUSO SI EL LICENCIADOR HUBIERA SIDO INFORMADO DE LA POSIBILIDAD DE TALES DANOS.
<' %inali=acin de la licencia
a. Esta cenca y a cesn de os derechos que contene termnarn automtcamente en caso de cuaquer ncumpmento de os
trmnos de a msma. Las personas o entdades que hayan recbdo obras dervadas, con|untas o bases de datos de usted ba|o
esta cenca, sn embargo, no vern sus cencas fnazadas, sempre que taes personas o entdades se mantengan en e
cumpmento ntegro de esta cenca. Las seccones 1, 2, 5, 6, 7 y 8 permanecern vgentes pese a cuaquer fnazacn de esta
cenca.
b. Conforme a as condcones y trmnos anterores, a cesn de derechos de esta cenca es perpetua (durante toda a vgenca de
os derechos de propedad nteectua apcabes a a obra). A pesar de o anteror, e cencador se reserva e derecho a dvugar
o pubcar a obra en condcones dstntas a as presentes, o de retrar a obra en cuaquer momento. No obstante, eo no
supondr dar por concuda esta cenca (o cuaquer otra cenca que haya sdo concedda, o sea necesaro ser concedda, ba|o
os trmnos de esta cenca), que contnuar vgente y con efectos competos a no ser que haya fnazado conforme a o
estabecdo anterormente.
>' ?iscel@nea
a. Cada vez que usted expote de aguna forma a obra, o una obra con|unta o una base datos que a ncorpore, e cencador
orgna ofrece a os terceros y sucesvos cencataros a cesn de derechos sobre a obra en as msmas condcones y trmnos
que a cenca concedda a usted.
b. Cada vez que usted expote de aguna forma una obra dervada, e cencador orgna ofrece a os terceros y sucesvos
cencataros a cesn de derechos sobre a obra orgna en as msmas condcones y trmnos que a cenca concedda a
usted.
c. S aguna dsposcn de esta cenca resuta nvda o napcabe segn a Ley vgente, eo no afectar a vadez o apcabdad
de resto de os trmnos de esta cenca y, sn nnguna accn adcona por cuaquera as partes de este acuerdo, ta dsposcn
se entender reformada en o estrctamente necesaro para hacer que ta dsposcn sea vda y e|ecutva.
d. No se entender que exste renunca respecto de agn trmno o dsposcn de esta cenca, n que se consente voacn
aguna de a msma, a menos que ta renunca o consentmento fgure por escrto y eve a frma de a parte que renunce o
consenta.
e. Esta cenca consttuye e acuerdo peno entre as partes con respecto a a obra ob|eto de a cenca. No caben nterpretacones,
acuerdos o trmnos con respecto a a obra que no se encuentren expresamente especfcados en a presente cenca. E
cencador no estar obgado por nnguna dsposcn compementara que pueda aparecer en cuaquer comuncacn de usted.
Esta cenca no se puede modfcar sn e mutuo acuerdo por escrto entre e cencador y usted.
Creatve Commons no es parte de esta cenca, y no ofrece nnguna garanta en reacn con a obra. Creatve Commons no ser
responsabe frente a usted o a cuaquer parte, por cuaquer teora ega de cuaesquera daos resutantes, ncuyendo, pero no mtado,
daos generaes o especaes (ncudo e dao emergente y e ucro cesante), fortutos o causaes, en conexn con esta cenca. A pesar de
as dos (2) oracones anterores, s Creatve Commons se ha dentfcado expresamente como e cencador, tendr todos os derechos y
28
obgacones de cencador.
Savo para e propsto mtado de ndcar a pbco que a obra est cencada ba|o a CCPL, nnguna parte utzar a marca regstrada
"Creatve Commons" o cuaquer marca regstrada o nsgna reaconada con "Creatve Commons" sn su consentmento por escrto.
Cuaquer uso permtdo se har de conformdad con as pautas vgentes en cada momento sobre e uso de a marca regstrada por
"Creatve Commons", en tanto que sean pubcadas su pgna web (webste) o sean proporconadas a petcn preva.
Auede contactar con Creative Commons en3 .ttp3//creativecommons'or2/'
29
6tras notas acerca de esta publicacin'
La nformacn contenda en este manua se dstrbuye con a esperanza de que sea de utdad, y se proporcona ta cua es pero SIN
G&0&NBC& &LGUN&, an sn a garanta mpcta de comercazacn o adecuamento para un propsto en partcuar, y e autor o autores
no asumrn responsabdad aguna s e usuaro o ector hace ma uso de esta.
Lnux es una marca regstrada de Lnus Torvads, Red Hat Lnux, RPM y GLINT son marcas regstradas de Red Hat Software, Unx
es marca regstrada de X/Open. MS-DOS, MS-Offce y Wndows son marcas regstradas de Mcrosoft Corporaton. X Wndow System
es marca regstrada de X Consortum, Inc., TrueType es una marca regstrada de Appe Computer, WordPerfect es una marca regstrada
de Core Corporaton, StarOffce es una marca regstrada de Sun Mycrosystems. Apache es una marca regstrada de The Apache Group.
Fetchma es una marca regstrada de Erc S. Raymond. Sendma es una marca regstrada de Sendma, Inc. Darkshram es 1987 y
marca regstrada de |oe Barros Dueas.
30
!' (Due es GNU/Linux+
Autor: $oel Barrios /ue,as
Correo electrnico: dar0s!ram en %mail punto com
Sitio de Red: http://www.alcancelibre.org/
Creative Commons 0econocimiento1NoComercial1CompartirI2ual 2'!
1999-2009 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as
condcones sguentes: a) Debe reconocer y ctar a autor orgna. b) No puede utzar esta obra para fnes comercaes. c) S atera o
transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o
dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se
obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por
o anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn
responsabdad aguna s e usuaro o ector hace ma uso de stos.
GNU es un acrnmo recursvo que sgnfca GNU No es Unix (GNU s Not Unx). Este proyecto
fue ncado por 0ic.ard Stallman, y anuncado e 27 de septembre de 1983, con e ob|etvo de
crear un sstema operatvo competamente bre.
GNU/LinuxE es un poderoso y sumamente verst sstema operatvo con cenca bre y que
mpemente e estndar A6SIF (acrnmo de Aortabe 6peratng System Interface, que se
traduce como Interfaz de Sstema Operatvo Portabe). Fue creado en 1991 por Linus Borvalds,
sendo entonces un estudante de a Unversdad de Hesnsk, Fnanda. En 1992, e nceo
Linux> fue combnado con e sstema GNU. E Sstema Operatvo formado por esta combnacn
se conoce como GNU/Linux.
GNU/Lnux es e-uipamiento l2ico libre o -oft1are .ibre. Esto sgnfca que e usuaro tene a
bertad de redstrbur y modfcar a de acuerdo a necesdades especfcas, sempre que se ncuya
e cdgo fuente, como o ndca a Lcenca Pbca Genera GNU (acrnmo de GNU s Not Unx),
que es e modo que ha dspuesto a Free Software Foundaton (Fundacn de equpamento gco
bre). Esto tambn ncuye e derecho a poder nstaar e nceo de GNU/LinuxE en cuaquer
nmero de ordenadores o equpos de cmputo que e usuaro desee.
GNU/Lnux no es e-uipamiento l2ico 2ratuito (comnmente denomnado como Freeware),
se trata de e-uipamiento l2ico libre o -oft1are .ibre. Cuando nos referrnos a libre, o
hacemos en reacn a a bertad y no a preco. La GAL (acrnmo de Genera Aubc Lcence, que
se traduce como Lcenca Pbca Genera), a a cua Lnus Torvads ncorpor a Lnux, est
dseada para asegurar que e usuaro tenga sempre a bertad de dstrbur copas de
equpamento gco (y cobrar por e servco s as o desea). La GAL tene como ob|etvo
garantzar a usuaro a bertad de compartr y cambar e-uipamiento l2ico libre, es decr,
asegurarse de que e equpamento gco sempre permanezca bre para todos os usuaros. La
GAL es apcabe a a mayora de equpamento gco de a Free Software Foundaton as como a
cuaquer otro programa cuyos autores se comprometan a usaro.
GNU/Lnux es tambn de a me|or aternatva de sgo XXI para os usuaros que no soo desean
bertad, sno que tambn desean un sstema operatvo estabe, robusto y confabe. Es un
sstema operatvo dneo para utzar en Redes, como es e caso de servdores, estacones de
traba|o y tambi)n para computadoras personaes.
Las caracterstcas de GNU/Lnux e permten desempear mtpes tareas en forma smutnea
de forma segura y confabe. Los dstntos servcos servcos se pueden detener, ncar o rencar
ndependentemente sn afectar a resto de sstema permtendo operar as 24 horas de da os
365 das de ao.
Ta ha sdo e mpacto acanzado por GNU/Lnux en os tmos aos, que muchas de as
31
empresas de Software ms mportantes de mundo, entre as cuaes estn IBM, Orace, y Sun
Mcrosystems, han encontrado en GNU/Lnux una pataforma con un muy ampo mercado, y se
han vocado a desarroo de versones para Lnux de sus ms mportantes apcacones. Grandes
corporacones, como Compaq, De, Hewett Packard, IBM y muchos ms, evan varos aos
dstrbuyendo equpos con GNU/Lnux como sstema operatvo.
Gracas a sus caracterstcas, a constante evoucn de os ambentes grfcos para X Wndow,
que cada vez son de ms fc uso, como es e caso de GNOME y KDE, a traba|o de centos de
programadores y usuaros fees arededor de mundo, Lnux ha de|ado de ser un sstema
operatvo poco atractvo y compcado de utzar para convertrse en una aternatva rea para
quenes buscan un sstema operatvo confabe y poderoso, ya sea para una servdor, estacn de
traba|o o a computadora persona de un usuaro ntrpdo.
!'!' 0e-uerimientos del sistema
Se debe contar con a sufcente cantdad de memora y un mcroprocesador en buen estado. Con
cas cuaquer dstrbucn comerca de Lnux, e ambente grfco necestar a menos 192 MB
RAM, y 650-800 MB de espaco en dsco duro para a nstaacn mnma. Para contar con a menor
cantdad de apcacones prctcas, se requeren a menos 800 MB adconaes de espaco en dsco
duro, repartdo en a menos 2 partcones. Se recomenda un mcroprocesador 80586 (pentum o
equvaente) a 200 MHz. Sn ambente grfco, como es e caso de un servdor, o ben soamente
apcacones para modo de texto, 64MB RAM y un mcroprocesador 80586 a 100 MHz sern
sufcentes.
E servdor de vdeo puede funconar con so 64 MB RAM; pero su desempeo ser muc.o mu*
lento. Agunas apcacones para modo grfco pueden necestar escaar 64 MB, 128 MB o 256 MB
de RAM adcona. E mnmo recomendado para utzar GNOME 2.x es de 192 MB RAM; se
recomendan 256 MB. E ptmo es de 512 MB RAM.
S desea nstaar Lnux en una computadora persona con as sufcentes apcacones para ser
totamente funcona y productvo y contar con e espaco necesaro para nstaar herramentas de
ofcna (OpenOffce.org), se recomienda contar con a menos 2 GB de espaco, a menos 256 MB
RAM y un mcroprocesador AMD K6, K6-II, K6-III, Athon, Duron, Pentum, Pentum MMX, Pentum II,
Pentum III, Pentum 4, o Cyrx MII a cuando menos 300 Mhz o ms.
32
2' Est@ndar de "erar-u,a de Sistema de
%ic.eros
Sitio de Red: !ttp233111.alcancelibre.or%3
Artculo basado sobre el publicado en in%l)s por 4i0ipedia, Enciclopedia .ibre, en !ttp233en.1i0ipedia.or%31i0i356-.
2'!' Introduccin'
E estndar de |erarqua de fcheros (%GS o %esystem Gerarchy Standard) defne os prncpaes
drectoros y sus contendos en GNU/Lnux y otros sstemas operatvos smares a Unx.
E procesos de desarroar un estndar de sstema de fcheros |errquco nc en Agosto de 1993
con un esfuerzo para reestructurar a estructuras de fcheros y drectoros de GNU/Lnux. E 14 de
Febrero de 1994 se pubc e %SSBND (%esystem Standard), un estndar de |erarqua de
fcheros especfco para GNU/Lnux. Revsones de ste se pubcaron e 9 de Octubre de 1994 y e
28 de Marzo de 1995.
A prncpos de 1996, con a ayuda de membros de a comundad de desarroadores de BSD, se
f| como ob|etvo e desarroar una versn de %SSBND ms detaada y drgda no soo haca
Lnux sno tambn haca otros sstemas operatvos smares a Unx. Como uno de os resutados
e estndar camb de nombre a %GS o %esystem Gerarchy Standard.
E %GS es mantendo por %ree Standards Group, una organzacn sn fnes de ucro consttuda
por compaas que manufacturan equpamento fsco (Hardware) y gco (Software) como
Hewett Packard, De, IBM y Red Hat. La mayora de as dstrbucones de Lnux, ncusve as que
forman parte de Free Software Standards, no apcan de forma estrcta e estndar. La versn
actua de FHS es a 2.3, anuncada en 29 de Enero de 2004.
2'2' Estructura de directorios'
Todos os fcheros y drectoros aparecen deba|o de drectoro raz /, an s estn amacenados
en dspostvos fscamente dferentes.
Directorio' Descripcin
/bin/ Mandatos bnaros esencaes (cp, mv, s, rm, etc.),
/boot/ Fcheros utzados durante e arranque de sstema (nceo y dscos RAM),
/dev/ Dspostvos esencaes,
/etc/ Fcheros de confguracn utzados en todo e sstema y que son especfcos de
anftrn.
/etc/opt/ Fcheros de confguracn utzados por programas ao|ados dentro de /opt/
33
/etc/X11/ (opcional) Fcheros de confguracn para e sstema X Wndow.
/etc/sgml/ (opcional) Fcheros de confguracn para SGML.
/etc/xml/ (opcional) Fcheros de confguracn para XML.
/home/ (opcional) Drectoros de ncos de os usuaros.
/lib/ Bbotecas compartdas esencaes para os bnaros de /bn/, /sbn/ y e nceo de
sstema.
/mnt/ Sstemas de fcheros montados temporamente.
/media/ Puntos de monta|e para dspostvos de medos como undades ectoras de dscos
compactos.
/opt/ Paquetes de apcacones esttcas.
/proc/ Sstema de fcheros vrtua que documenta sucesos y estados de nceo. Contene
prncpamente fcheros de texto.
/root/ (opcional) Drectoro de nco de usuaro root (super-usuaro).
/sbin/ Bnaros de admnstracn de sstema.
/tmp/ Fcheros temporaes
/srv/ Datos especfcos de sto servdos por e sstema.
/usr/ |erarqua secundara para datos compartdos de soo ectura (Unx system
resources). Este drectoro debe poder ser compartdo para mtpes anftrones y
no debe contener datos especfcos de anftrn que os comparte.
/usr/bin/ Mandatos bnaros.
/usr/include/ Fcheros de ncusn estndar (cabeceras de cabecera utzados para desarroo).
/usr/lib/ Bbotecas compartdas.
/usr/share/ Datos compartdos ndependentes de a arqutectura de sstema. Imgenes,
fcheros de texto, etc.
/usr/src/ (opcional) Cdgos fuente.
/usr/X11R6/ (opcional) Sstema X Wndow, versn 11, anzamento 6.
/usr/local/ |erarqua tercara para datos compartdos de soo ectura especfcos de anftrn.
/var/ Fcheros varabes, como son btcoras, bases de datos, drectoro raz de
servdores HTTP y FTP, coas de correo, fcheros temporaes, etc.
/var/account/ (opcional) Procesa btcoras de cuentas de usuaros.
/var/cache/ Cache da datos de apcacones.
/var/crash/ (opcional) Depsto de nformacn referente a estreamentos de de sstema.
/var/games/ (opional) Datos varabes de apcacones para |uegos.
/var/lib/ Informacn de estado varabe. Agunos servdores como MySOL y PostgreSOL
amacenan sus bases de datos en drectoros subordnados de ste.
/var/lock/ Fcheros de boqueo.
/var/log/ Fcheros y drectoros de btcoras.
/var/mail/ (opcional) Buzones de correo de usuaros.
/var/opt/ Datos varabes de /opt/.
/var/spool/ Coas y carretes de datos de apcacones.
34
/var/tmp/ Fcheros temporaes preservados entre rencos.
Ms detaes acerca de %GS en http://www.pathname.com/fhs/.
2'8' Aarticiones recomendadas para instalar GNU/Linux'
Como mnmo se requeren tres partcones:
/boot Requere a menos 75 MB. Asgnar ms espaco puede consderarse desperdco.
/ Requere de 512 a 1024 MB.
Swap Debe asgnarse e doble del tama$o del 0&? /,sico, esta ser sempre a tma
partcn de dsco duro y no se e asgna punto de monta|e.
Otras partcones que se recomenda asgnar, son:
/usr Requere a menos 1.5 GB en nstaacones bscas. Debe consderarse e
equpamento gco a utzar a futuro. Para uso genera, se recomendan no menos
de 5 GB y, de ser posbe, consdere un tamao ptmo de hasta 8 GB en
nstaacones promedo.
/tmp Requere a menos 350 MB y puede asgnarse hasta 2 GB o ms dependendo de a
carga de traba|o y tpo de apcacones. S por e|empo e sstema cuenta con un
grabador de DVD, ser necesaro asgnar a /tmp e espaco sufcente para
amacenar una magen de dsco DVD, es decr, a menos 4.2 GB.
/var Requere al menos 512 MB en estacones de traba|o sin servicios. En servdores
reguarmente se e asgna al menos la mitad del disco duro.
/home En estacones de traba|o se asgna a menos a mtad de dsco duro a esta
partcn.
35
8' Instalacin en modo texto de Cent6S :'
condcones sguentes: a) Debe reconocer y ctar a autor orgna. b) No puede utzar esta obra para fnes comercaes (ncuyendo su
pubcacn, a travs de cuaquer medo, por entdades con fnes de ucro). c) S atera o transforma esta obra, o genera una obra dervada,
so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos
de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los
derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. Lcenca competa en casteano. La nformacn
contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e
usuaro o ector hace ma uso de stos.
8'!' Arocedimientos'
Inserte e disco DHD de nstaacn de Cent6S : y en cuanto aparezca e dogo de nco
(boot:), ngrese Ilinux textJ para ncar a nstaacn en modo texto.
S desea verfcar a ntegrdad de dsco a partr de cua se reazar a nstaacn, seeccone
I6KJ y puse a teca ENBE0, consdere que esto puede demorar varos mnutos. S est seguro
de que e dsco o dscos a partr de os cuaes se reazar a nstaacn estn en buen estado,
seeccone ISLipJ y puse a teca ENBE0.
36
Puse a teca ENBE0 en a pantaa de benvenda a programa de nstaacn de CentOS.
Seeccone ISpanis.J como doma para ser utzado durante a nstaacn.
37
Seeccone e mapa de tecado que corresponda a dspostvo utzado. E mapa IesJ corresponde
a a dsposcn de tecado Espao Espaa. E mapa Ilatin1!J corresponde a a dsposcn de
tecado Espao Latno Amercano.
S se trata de un disco duro nuevo */o sin particiones, e sstema e advertr que es necesaro
ncazar a undad. Seeccone ISiJ y puse a teca ENBE0 para reazar a operacn.
38
Para crear as partcones de forma automtca, o cua puede funconar para a mayora de os
usuaros, puede seecconar:
I0emover particiones en dispositivos seleccionados * crear disposicinJM lo cual
eliminar,a cual-uier particin de cual-uier otro sistema operativo presente, y crear de
forma automtca as partcones necesaras.
I0emover particiones de linux en dispositivos seleccionados * crear disposicinJM lo
cual eliminar,a cual-uier particin otra instalacin de Linux presente, y crear de forma
automtca as partcones necesaras.
IUsar espacio disponible en dispositivos seleccionados * crear disposicinJ, o cua
crear de forma automtca as partcones necesaras en e espaco dsponbe.
Convene crear una dsposcn que permta un mayor contro. Seeccone ICrear disposicin
personali=adaJ y puse a teca ENBE0.
Hecho o anteror, ngresar haca a herramenta para gestonar partcones de dsco duro.
Proceda a crea una nueva partcn seecconado INuevoJ y pusando a teca ENBE0.
39
Asgne 100 MB a a partcn /boot, con formato ext8 y defna sta como partcn prmara,
sempre que a taba de partcones o permta.
A termnar, se mostrar a taba de partcones actuazada. S est conforme, seeccone otra vez
INuevoJ y proceda a crear a sguente partcn.
40
Asgne a a partcn / e resto de espaco dsponbe menos o que tenga cacuado asgnar para a
partcn de ntercambo (200% de a memora fsca, o cuanto baste para 2 GB). Se recomenda
asgnar / como partcn prmara, sempre que a taba de partcones o permta.
A termnar, se mostrar a taba de partcones actuazada. S est conforme, seeccone otra vez
INuevoJ y proceda a crear a sguente partcn.
41
La partcn para a memora de ntercambo no requere punto de monta|e. Seeccone en e
campo de IBipo de sistema de arc.ivosJ a opcn IsNapJ, asgne e 200% de a memora
fsca (o cuanto basta para 2 GB). Por tratarse de a tma partcn de a taba, es buena dea
asgnare e espaco por rango.
Otras partcones que se recomenda asgnar, s se dspone de espaco en dsco duro sufcente,
son:
/usr Requere a menos 1.5 GB en nstaacones bscas. Debe consderarse e sustento
gco a utzar a futuro. Para uso genera, se recomendan no menos de 5 GB y, de
ser posbe, consdere un tamao ptmo de hasta 8 GB en nstaacones promedo.
partcn.
42
S est conforme con a taba de partcones creada, seeccone I&CEAB&0J y puse a teca
ENBE0 para satar a a sguente pantaa.
Seeccone que se utzar e gestor de arranque GRUB y puse a teca ENBE0 para satar a a
sguente pantaa.
S necesta pasar agn parmetro en partcuar a nceo (kerne), como por e|empo acpiOo// o
nolapic cuando hay probemas de compatbdad de sustento fsco, ngrese en e campo
correspondente aqueo que sea necesaro. En la ma*or,a de los casos no necesitar@
in2resar par@metro al2uno.
43
Por motvos de segurdad, y prncpamente con a fnadad de mpedr que aguen sn
autorzacn y con acceso fsco a sstema pueda ncar e sstema en nve de e|ecucn 1, o
cuaquera otro, asgne, con confrmacn, una cave de acceso excusva para e gestor de
arranque. A termnar, puse a teca ENBE0 para satar a a sguente pantaa.
De haber otro sstema operatvo nstaado en e sstema, seeccone e que utzar para ncar de
forma predetermnada. S soo est nstaando Lnux, soo puse a teca ENBE0 para satar a a
sguente pantaa.
44
Seeccone que e gestor de arranque se nstae en e sector maestro de dsco duro (?#0 o
?aster #oot 0ecord). A termnar, puse a teca ENBE0 para satar a a sguente pantaa.
Defna a dreccn IP y mscara de subred que utzar en adeante e sstema. Confrme con e
admnstrador de a red donde se ocace que estos datos sean correctos antes de contnuar. A
termnar, puse a teca ENBE0 para satar a a sguente pantaa.
45
Defna a dreccn IP de a puerta de enace y as dreccones IP de os servdores DNS de os que
dsponga. A termnar, puse a teca ENBE0 para pasar a a sguente pantaa.
Asgne un nombre de anftrn (HOSTNAME) para e sstema. Se recomenda que dcho nombre sea
un %DDN (%uy Duafed Doman Name) resueto a menos en un DNS oca. S desconoce que
dato ngresar, defna ste como local.ost'localdomain. A termnar, puse a teca ENBE0 para
satar a a sguente pantaa.
46
Seeccone a casa IS*stem clocL uses UBCJ, que sgnfca que e reo| de sstema utzar
UBC (Bempo Unversa Coordnado), que es e sucesor de G?B (b>Greenwch ?ean Bme, que
sgnfca Tempo Promedo de Greenwch), y es a zona horara de referenca respecto a a cua se
cacuan todas as otras zonas de mundo. Puse a teca de tabuacn una vez y seeccone a
zona horara que corresponda a a regn donde se hospedar fscamente e sstema.
Asgne una cave de acceso a usuaro root. Debe escrbra dos veces a fn de verfcar que est
concde con o que reamente se espera. Por razones de segurdad, se recomenda asgnar una
cave de acceso que evte utzar paabras provenentes de cuaquer dcconaro, en cuaquer
doma, as como cuaquer combnacn que tenga reacn con datos personaes.
47
A termnar se reazar un cacuo de a paquetera a nstaar. Puede demorar agunos mnutos.
Reace una nstaacn con e mnmo de paquetes, desactvando todas as casas de cada grupo
de paquetes. E ob|eto de esto es soo nstaar o mnmo necesaro para e funconamento de
sstema operatvo, y permtr nstaar, posterormente, solo a-uello -ue realmente se
re-uiera de acuerdo a a fnadad productva que tendr e sstema.
48
A termnar se reazar un cacuo de as dependencas correspondentes a a paquetera que se
va a nstaar. Puede demorar agunos mnutos.
Antes de ncar a nstaacn sobre e dsco duro, e sstema e nformar respecto a que se
guardar un regstro de proceso en s en e fchero /root/install'lo2. Soo puse a teca ENBE0
mentras est seecconado I&CEAB&0J.
49
S ncar de forma automtca e proceso de formato de as partcones que haya creado para
nstaar e sstema operatvo. Dependendo de a capacdad de dsco duro, este proceso puede
demorar agunos mnutos.
Se reazar automtcamente una copa de a magen de programa de nstaacn sobre e dsco
duro a fn de hacer ms efcente e proceso. Dependendo de a capacdad de mcroprocesador y
cantdad de memora dsponbe en e sstema, este proceso puede demorar agunos mnutos.
50
Incar a nstaacn de os paquetes necesaros para e funconamento de sstema operatvo. E
proceso puede demorar varos mnutos.
Se podr supervsar e proceso de nstaacn de cada paquete, as como os tempos
correspondentes a tempo tota estmado de procesos, tempo competado y tempo restante.
51
Una vez concuda a nstaacn de os paquetes, proceda a pusar a teca ENBE0 para rencar e
sstema.
52
9' Instalacin en modo 2r@/ico de Cent6S :'
9'!' Arocedimientos'
Inserte e disco DHD de nstaacn de Cent6S : y en cuanto aparezca e dogo de nco
(boot:), puse a teca ENBE0 o ben ngrese as opcones de nstaacn deseadas.
S desea verfcar a ntegrdad de dsco a partr de cua se reazar a nstaacn, seeccone
I6KJ y puse a teca ENBE0, consdere que esto puede demorar varos mnutos. S est seguro
de que e dsco o dscos a partr de os cuaes se reazar a nstaacn estn en buen estado,
seeccone ISLipJ y puse a teca ENBE0.
53
Haga cc sobre e botn INextJ en cuanto aparezca a pantaa de benvenda de CentOS.
Seeccone ISpanis.J como doma para ser utzado durante a nstaacn.
54
Seeccone e mapa de tecado que corresponda a dspostvo utzado. E mapa IEspa$olJ o ben
ILatinoamericanoJ de acuerdo a o que corresponda. A termnar, haga cc sobre e botn
ISi2uienteJ.
Savo que exsta una nstaacn preva que se desee actuazar (no recomendado), de|e
seecconado IInstalar Cent6SJ y haga cc en e botn ISi2uienteJ a fn de reazar una
nstaacn nueva.
55
Para crear as partcones de forma automtca, o cua puede funconar para a mayora de os
usuaros, puede seecconar:
I0emover particiones en dispositivos seleccionados * crear disposicinJM lo cual
eliminar,a cual-uier particin de cual-uier otro sistema operativo presente, y crear de
forma automtca as partcones necesaras.
I0emover particiones de linux en dispositivos seleccionados * crear disposicinJM lo
cual eliminar,a cual-uier particin otra instalacin de Linux presente, y crear de forma
automtca as partcones necesaras.
IUsar espacio disponible en dispositivos seleccionados * crear disposicinJ, o cua
crear de forma automtca as partcones necesaras en e espaco dsponbe.
56
Convene crear una dsposcn que permta un mayor contro. Seeccone ICrear disposicin
personali=adaJ.
Una vez seecconado ICrear disposicin personali=adaJ, haga cc sobre e botn
ISi2uienteJ.
57
La herramenta de partcones mostrar e espaco dsponbe. Haga cc en e botn INuevoJ.
Asgne 100 MB a a partcn /boot y defna sta como partcn prmara, sempre que a taba de
partcones o permta.
58
S est conforme, haga cc otra vez en e botn INuevoJ y proceda a crear a sguente partcn.
Asgne a a partcn / e resto de espaco dsponbe menos o que tenga cacuado asgnar para a
partcn de ntercambo (200% de a memora fsca, o cuanto baste para 2 GB). Se recomenda
asgnar / como partcn prmara, sempre que a taba de partcones o permta.
59
S est conforme, haga cc otra vez en e botn INuevoJ y proceda a crear a sguente partcn.
La partcn para a memora de ntercambo no requere punto de monta|e. Seeccone en e
campo de IBipo de sistema de arc.ivosJ a opcn IsNapJ, asgne e 200% de a memora
fsca (o cuanto basta para 2 GB). Por tratarse de a tma partcn de a taba, es buena dea
asgnare e espaco por rango, especfcando vaores geramente por deba|o y geramente por
arrba de o paneado.
60
Otras partcones que se recomenda asgnar, s se dspone de espaco en dsco duro sufcente,
son:
/usr Requere a menos 1.5 GB en nstaacones bscas. Debe consderarse e sustento
gco a utzar a futuro. Para uso genera, se recomendan no menos de 5 GB y, de
ser posbe, consdere un tamao ptmo de hasta 8 GB en nstaacones promedo.
partcn.
S est conforme con a taba de partcones creada, haga cc sobre e botn Isi2uienteJ para
pasar a a sguente pantaa.
61
Ingresar a a confguracn de gestor de arranque. Por motvos de segurdad, y prncpamente
con a fnadad de mpedr que aguen sn autorzacn y con acceso fsco a sstema pueda
ncar e sstema en nve de e|ecucn 1, o cuaquera otro, haga cc en a casa IUsar la
contrase$a del 2estor de arran-ueJ.
Se abrr una ventana emergente donde deber ngresar, con confrmacn, a cave de acceso
excusva para e gestor de arranque. A termnar, haga cc sobre e botn I&ceptarJ.
62
A termnar, haga cc sobre e botn ISi2uienteJ.
Para confgurar os parmetros de red de sstema, haga cc sobre e botn I?odi/icarJ para a
nterfaz eth0.
63
En a ventana emergente para modfcar a nterfaz eth0, desactve a casa ICon/i2urar
usando DGCAJ y especfque a dreccn IP y mscara de subred que utzar en adeante e
sstema. S no va a utzar IPv6, tambn desactve a casa. Confrme con e admnstrador de a
red donde se ocace que estos datos sean correctos antes de contnuar. A termnar, haga cc
sobre e botn I&ceptarJ.
Asgne un nombre de anftrn (HOSTNAME) para e sstema. Se recomenda que dcho nombre sea
64
un %DDN (%uy Duafed Doman Name) resueto a menos en un DNS oca. Defna, adems, en
esta msma pantaa, a dreccn IP de a puerta de enace y as dreccones IP de os servdores
DNS de os que dsponga. S desconoce que dato ngresar, defna ste como
local.ost'localdomain. A termnar, haga cc sobre e botn ISi2uienteJ.
Seeccone a casa IEl sistema .orario usar@ UBCJ, que sgnfca que e reo| de sstema
utzar UBC (Bempo Unversa Coordnado), que es e sucesor de G?B (b>Greenwch ?ean
Bme, que sgnfca Tempo Promedo de Greenwch), y es a zona horara de referenca respecto a
a cua se cacuan todas as otras zonas de mundo. Haga cc con e ratn sobre a regn que
corresponda en e mapa munda o seeccone en e sguente campo a zona horara que
corresponda a a regn donde se hospedar fscamente e sstema.
65
Asgne una cave de acceso a usuaro root. Debe escrbra dos veces a fn de verfcar que est
concde con o que reamente se espera. Por razones de segurdad, se recomenda asgnar una
cave de acceso que evte utzar paabras provenentes de cuaquer dcconaro, en cuaquer
doma, as como cuaquer combnacn que tenga reacn con datos personaes.
A termnar, haga cc sobre e botn ISi2uienteJ, y espere a que e sstema haga a ectura de
nformacn de os grupos de paquetes.
66
En a sguente pantaa podr seecconar os grupos de paquetes que quera nstaar en e
sstema. Aada o emne a su convenenca. Lo recomendado, sobre todo s se trata de un
servdor, es reazar una nstaacn con e mnmo de paquetes, desactvando todas as casas
para todos os grupos de paquetes. E ob|eto de esto es soo nstaar o mnmo necesaro para e
funconamento de sstema operatvo, y permtr nstaar posterormente soo aqueo que
reamente se requera de acuerdo a a fnadad productva que tendr e sstema. A termnar,
haga cc sobre e botn ISi2uienteJ.
67
Se reazar una comprobacn de dependencas de os paquetes a nstaar. Este procesos puede
Antes de ncar a nstaacn sobre e dsco duro, e sstema e nformar respecto a que se
guardar un regstro de proceso en s en e fchero /root/install'lo2. Para contnuar, haga cc
sobre e botn ISi2uienteJ.
68
S ncar de forma automtca e proceso de formato de as partcones que haya creado para
nstaar e sstema operatvo. Dependendo de a capacdad de dsco duro, este proceso puede
Se reazar automtcamente una copa de a magen de programa de nstaacn sobre e dsco
duro a fn de hacer ms efcente e proceso. Dependendo de a capacdad de mcroprocesador y
cantdad de memora dsponbe en e sstema, este proceso puede demorar agunos mnutos.
69
Espere a que se termnen os preparatvos de nco de proceso de nstaacn.
Se reazarn preparatvos para reazar as transaccones de nstaacn de paquetes.
Incar a nstaacn de os paquetes necesaros para e funconamento de sstema operatvo.
Espere agunos mnutos hasta que concuya e proceso.
70
Una vez concuda a nstaacn de os paquetes, haga cc sobre e botn I0einiciarJ.
71
:' Cmo iniciar el modo de rescate en Cent6S'
:'!' Arocedimientos'
Inserte e dsco de nstaacn de CentOS y en cuanto aparezca e dogo de nco (boot:), ngrese
linux rescue para dar comenzo a modo de rescate.
En cuanto nce e programa, e|a ISpanis.J (espao) como e doma a utzar.
72
Seeccone e mapa de tecado que corresponda a dspostvo utzado. E mapa IesJ corresponde
a a dsposcn de tecado Espao Espaa. E mapa Ilatin1!J corresponde a a dsposcn de
tecado Espao Latno Amercano.
E programa preguntar s desea actvar as tar|etas de red presentes en e sstema. Responda
que si. Resuta muy convenente, para agunas tareas de mantenmento y reparacones, contar
con conectvdad.
73
Defna a dreccn IA y mscara de subred que utzar en adeante e sstema. Confrme con e
admnstrador de a red donde se ocace que estos datos sean correctos antes de contnuar. A
termnar, puse a teca ENBE0 para satar a a sguente pantaa.
Defna a dreccn IA de a puerta de enace y as dreccones IP de os servdores DNS de os que
dsponga. A termnar, puse a teca ENBE0 para satar a a sguente pantaa.
74
Puede eegr Continuar para montar e sstema en modo de ectura y escrtura, para reazar
tareas admnstratvas y modfcacones en confguracones, o ben en modo de Solo Lectura,
para reazar verfcacn y reparacn de sstema de fcheros.
Una vez hecha a eeccn, e sstema e ndcar que e sstema se ha montado ba|o
/mnt/s*sima2e y que s desea que ste sstema de fcheros sea e entorno de root, soo deber
utzar c.root /mnt/s*sima2e. Soo puse a teca ENBE0 para sar a ntrprete de mandatos.
75
Desde e ntrprete de mandatos se pueden reazar tareas admnstratvas y correctvas,
dependendo de a stuacn y as condcones. Utce c.root /mnt/s*sima2e para cambar e
entorno de root haca e sstema de fcheros en dsco duro, o ben utce herramentas, como /scL,
para reazar otras operacones.
76
77
;' Iniciando el sistema en nivel de e4ecucin !
Pnivel mono1usuarioQ'
;'!' Introduccin'
Exsten stuacones en as cuaes se puede requerr e nco de sstema en nve de e|ecucn 1 o
nve mono-usuaro a fn de reazar tareas de mantenmento o, en su defecto, reparacones.
;'2' Arocedimientos'
A ncar e sstema, ste o har presentando a pantaa de gestor de arranque conocdo como
Grub presentando una pantaa smar a a sguente:
Grub version 0.93 (639K lower / 261056K upper memory)
_________________________________________________________________
|Cen!" 5.3 (2.6.1#$12#.2.1.el5) |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
|________________________________________________________________|
%se &e 'n( &e o sele) w&i)& enry is &i*&li*&e(.
+ress ener o boo &e sele)e( !" or ,p, o ener '
p'sswor( o unlo)- &e ne. se o/ /e'ures.
78
Puse a teca 'p' e ngrese a cave de acceso defnda desde e programa de nstaacn de
sstema operatvo:
_________________________________________________________________
|Cen!" 5.3 (2.6.1#$12#.2.1.el5) |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
|________________________________________________________________|
%se &e 0 'n( &e 1 o sele) w&i)& enry is &i*&li*&e(.
+'sswor(2333333
E texto de opcones cambar despus de ngresar a cave de acceso correcta:
_________________________________________________________________
|Cen!" 5.3 (2.6.1#$12#.2.1.el5) |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
|________________________________________________________________|
+ress ener o boo &e sele)e( !"4 ,e, o e(i &e
)omm'n(s be/ore booin*4 ,', o mo(i/y &e -ernel 'r*umens
be/ore booin*4 or ,), /or ' )omm'n( line.
79
Puse a teca 'e' para modfcar as opcones de arranque de nceo seecconado:
_________________________________________________________________
|roo (&(040) |
|-ernel /vmlinu5$2.6.1#$12#.2.1.el5 ro roo6789:76/ |
|inir( /inir($2.6.1#$12#.2.1.el5.im* |
| |
| |
| |
| |
| |
| |
| |
| |
|________________________________________________________________|
+ress ,b, o boo4 ,e, oe(i &e sele)e( )omm'n( in &e
boo se;uen)e4 ,), /or ' )omm'n( line4 ,o, o open ' new line
'/er (,0, /or be/ore) &e sele)e( line4 ,(, o remove &e
sele)e( line4 or es)'pe o *o b')- o &e m'in menu.
Seeccone a nea referente a nceo y vueva a pusar a teca 'e' a fn de modfcar dcha nea:
_________________________________________________________________
|roo (&(040) |
|-ernel /vmlinu5$2.6.1#$12#.2.1.el5 ro roo6789:76/ |
|inir( /inir($2.6.1#$12#.2.1.el5.im* |
| |
| |
| |
| |
| |
| |
| |
| |
|________________________________________________________________|
80
Agregue un espaco y un nmero 1 a fna de a nea y puse a teca ENTER
< =inim'l 98">$li-e line e(iin* is suppore(. ?or &e /irs wor(4 @89
lis possible )omm'n( )ompleiions. 8nyw&ere else @89 liss &e
possible )ompleiions o/ ' (evi)e//ilen'me. :"C ' 'ny )'n)els.
:A@:B ' 'ny ime '))eps your )&'n*es C
*rub e(iD -ernel /vmlinu5$2.6.1#$12#.2.1.el5 ro roo6789:76/ 1
Regresar a a pantaa anteror. Smpemente puse a teca 'b' para ncar e sstema en nve de
e|ecucn 1:
_________________________________________________________________
|roo (&(040) |
|-ernel /vmlinu5$2.6.1#$12#.2.1.el5 ro roo6789:76/ 1 |
|inir( /inir($2.6.1#$12#.2.1.el5.im* |
| |
| |
| |
| |
| |
| |
| |
| |
|________________________________________________________________|
81
<' Cmo compilar el n7cleo PLernelQ de
GNU/Linux en Cent6S'
condcones sguentes: a) Debe reconocer y ctar a autor orgna. b) No puede utzar esta obra para fnes comercaes Pinclu*endo su
publicacinM a trav)s de cual-uier medioM por entidades con /ines de lucroQ. c) S atera o transforma esta obra, o genera una obra
dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro
os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de
autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. Lcenca competa en casteano. La
nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad
aguna s e usuaro o ector hace ma uso de stos.
<'!' Introduccin'
Una de as grandes venta|as de que e nceo (0ernel) GNU/Linux sea equpamento gco bre
(-oft1are .ibre) es e poder descargar e cdgo fuente de nceo, confgurar ste para compar
especfcamente con opcones adecuadas a necesdades partcuares o con controadores
especfcos para un sustento fsco (!ard1are) en partcuar, comparo y obtener como resutado
me|oras en e desempeo.
La gran varedad de dstrbucones de GNU/Linux nstaan un nceo (0ernel) que fue confgurado
y compado con opcones genrcas y que permten utzar ste en una gran varedad de
dspostvos y computadoras. Esto facta a vda a os desarroadores y empaquetadores que
traba|an para cada dstrbucn pues de esta forma con cuatro o cnco versones de paquete de
nceo abarcan a mayora de os sustentos fscos en e mercado. sto emna a necesdad de os
usuaros por compar e nceo.
Por menconar un e|empo, e paquete de nceo de Cent6S : y 0ed Gat Enteprise Linux :
que se dstrbuye para arqutecturas i;>; ncuye opcones y optmzacones genrcas que
permten utzar un msmo paquete 0A? de nceo para una ampa varedad de sstemas. ste
ncuye e soporte para ser utzado con mcroprocesadores como Aentium Aro, Aentium II,
Aentium III, Aentium 9, Aentium ?, Celeron, &t.lon, Duron, C*rix i;>;, etc. Evdentemente
este soporte genrco mpde poder expotar todo e potenca e nstruccones de un modeo de
mcroprocesador en partcuar.
<'!'!' Un e4emplo del por-ue conviene recompilar el n7cleo'
S, por e|empo, se dspone una computadora portt (.aptop) Compa- &rmada ?800 con
mcroprocesador Aentium III (Coppermine) de 500 MHz, con 820 ?# 0&?, crcutos ntegrados
Intel AIIF9, tar|eta de audo ESS Bec.nolo2* ES!<>, tar|eta de red Et.ernet Aro !00 y otros
certos dspostvos en partcuar, e nceo genrco ncudo en a nstaacn funconar ben,
pero se tendr un desempeo nferor. Confgurar y compar e nceo especfcamente para as
caracterstcas de este modeo de computadora portt, excuyendo de a confguracn funcones
que |ams se utzarn en este sstema, me|orar su desempeo sgnfcatvamente.
En sstemas caseros y computadoras porttes con certa antgedad, pueden excurse funcones
como e soporte para ms de 4 GB de RAM, soporte genrco para arqutectura ix>;, soporte para
otros modeos de computadoras porttes, soporte para ms de un mcroprocesador, soporte
para IAv; y otras opcones que soo seran tes en otro tpo de sstemas como servdores.
82
Puede agregarse soporte para ms perfrcos, como por e|empo ms dspostvos US#, y
compar agunos controadores (cmo e soporte para LH?) dentro de nceo en ugar de hacero
como mduos a fn de me|orar e desempeo durante e arranque de sstema.
En un servdor se puede me|orar mucho e desempeo confgurando y compando excusvamente
as opcones y mduos especfcos para a confguracn de sustento fsco (!ard1are) y funcones
requerdas para os servcos a brndar.
<'2' Arocedimientos'
<'2'!' Determinar el sustento /,sico * controladores'
Este procedmento es compcado e mpca contar con un certa experenca y conocmentos
generaes acerca de sustento fsco (!ard1are).
<'2'!'!' ?dulos utili=ados por el sistema'
Utzando e mandato lsmod es posbe determnar que controadores se estn utzando en e
sstema. Esta sta de controadores debe tomarse muy en cuenta a fn de evtar excur aguno de
stos. Utce e mandato de a sguente forma:
/sbin/lsmod
Lo anteror puede devover una sada smar a a sguente, que depender de sustento fsco de
sstema:
!odule Si"e #sed b$
nls%ut&' 1''' 1
v&at 1()6' 1
&at *+(6' 1 v&at
sg ,**,6 +
sd%mod ('11( (
usb%storage -6'-' 1
scsi%mod 1-'+-- , sg.sd%mod.usb%storage
i(c%dev )-/( +
dm%multipath 1''*6 +
backlight *((+ +
snd%es1/6' ('1/( 1
gameport 1,6+' 1 snd%es1/6'
snd%ac/)%codec /))6+ 1 snd%es1/6'
ac/)%bus 1)(' 1 snd%ac/)%codec
snd%se0%dumm$ ,**6 +
snd%se0%oss ,+/)6 +
snd%se0%midi%event )++' 1 snd%se0%oss
snd%se0 -)'*6 * snd%se0%dumm$.snd%se0%oss.snd%se0%midi%event
snd%pcm%oss -11'- +
snd%mixer%oss 161/( 1 snd%pcm%oss
batter$ 1(/,( +
ac *)/6 +
snd%pcm )(16' , snd%es1/6'.snd%ac/)%codec.snd%pcm%oss
button )/'- +
parport%pc ()*(- +
snd%timer ((1-' ( snd%se0.snd%pcm
snd%page%alloc 1+(16 ( snd%es1/6'.snd%pcm
parport ,*-++ 1 parport%pc
snd%mpu-+1%uart )')( 1 snd%es1/6'
83
snd%rawmidi (,,/( 1 snd%mpu-+1%uart
1o$dev 11(,( +
snd%se0%device '+-- - snd%se0%dumm$.snd%se0%oss.snd%se0.snd%rawmidi
snd *(+6' 1, snd%es1/6'.snd%ac/)%codec.snd%se0%oss.snd%se0.
snd%pcm%oss.snd%mixer%oss.snd%pcm.snd%timer.
snd%mpu-+1%uart.snd%rawmidi.snd%se0%device
e1++ ,-((+ +
soundcore )(6- 1 snd
mii *--+ 1 e1++
i(c%piix- ')'+ +
pcspkr (6(- +
i(c%core (--,( ( i(c%dev.i(c%piix-
serio%raw 6*++ +
&lopp$ **6*( +
dm%snapshot 1)-)( +
dm%"ero 1/(+ +
dm%mirror (**6' +
ext, 1,(-'' (
1bd -(1++ 1 ext,
uhci%hcd (,6/6 +
ohci%hcd ((/16 +
ehci%hcd ,,)-+ +
<'2'!'2' Bipo de microprocesador'
La nformacn de mcroprocesador se puede consutar eyendo e contendo de fchero vrtua
/proc/cpuin/o utzando e mandato less de sguente modo:
less /proc/cpuin&o
Lo anteror puede devover una sada smar a a sguente, que depender de tpo de
mcroprocesador de que se dsponga:
processor 2 +
vendor%id 2 3enuine4ntel
cpu &amil$ 2 6
model 2 '
model name 2 5entium 444 (6oppermine)
stepping 2 ,
cpu !7" 2 -/'816-
cache si"e 2 (*6 9:
&div%bug 2 no
hlt%bug 2 no
&++&%bug 2 no
coma%bug 2 no
&pu 2 $es
&pu%exception 2 $es
cpuid level 2 (
wp 2 $es
&lags 2 &pu vme de pse tsc msr pae mce cx' sep
mtrr pge mca cmov pat pse,6 mmx &xsr sse
bogomips 2 //68'6
cl&lush si"e 2 ,(
<'2'!'8' Dispositivos ACI'
E mandato lspci permte determnar os dspostvos ACI (Aerphera Component Interconnect o
Interconexn de Componentes Perfrcos) presentes en e sstema.
84
/sbin/lspci
Lo anteror puede devover una sada smar a a sguente, que depender de os dspostvos ACI
de os que que se dsponga:
++2++8+ 7ost bridge2 4ntel 6orporation --+:X/;X/<X = '(--,:X/;X/<X 7ost bridge
(>35 disabled) (rev +,)
++2+-8+ 6ard:us bridge2 ?exas 4nstruments 5641(11
++2+*8+ @3> compatible controller2 >?4 ?echnologies 4nc ,< Rage A? 5ro (rev dc)
++2+)8+ :ridge2 4ntel 6orporation '(,)1>:/B:/!: 544X- 4S> (rev +()
++2+)81 4:/B:/!: 544X- 4:/B:/!: 544X- #S: (rev +1)
++2+)8, :ridge2 4ntel 6orporation '(,)1>:/B:/!: 544X- >654 (rev +,)
++2+'8+ !ultimedia audio controller2 BSS ?echnolog$ BS1/)' !aestro (B (rev 1+)
++2+/8+ Bthernet controller2 4ntel 6orporation '(**)/'///+/1 Bthernet 5ro 1++ (rev
+/)
++2+/81 Serial controller2 >gere S$stems A? Cin!odem
+12++8+ Bthernet controller2 ,6om 6orporation ,6R5>31)* Cireless 56 6ard (rev +1)
<'2'!'9' Dispositivos US#'
De manera smar a mandato lspci, e mandato lsusb permte determnar os dspostvos US#
(Unversa Sera #us o Transporte Unversa en Sere) presentes en e sstema. Conecte a as
ranuras US# de sstema os dspostvos US# ms frecuentemente utzados y utce e mandato
lsusb.
/sbin/lsusb
Lo anteror puede devover una sada smar a a sguente, que depender de tpo de
dspostvos US# de os que se dsponga:
:us ++1 <evice ++*2 4< +-*)2+1*1 Silicon 4ntegrated S$stems 6orp8 Super Dlash
13: / 3X? 6-!: Dlash <rive
:us ++1 <evice ++-2 4< +*ac2+(+1 >pple. 4nc8 #S: 9e$board E>lps or Aogitech.
!(-*(F
:us ++1 <evice ++,2 4< +*ac21++1 >pple. 4nc8 9e$board 7ub E>A5SF
:us ++1 <evice ++12 4< 1d6b2+++1 Ainux Doundation 181 root hub
<'2'2' Instalacin el e-uipamiento l2ico necesario'
Para Cent6S, a fn de dsponer de os paquetes 0A? de fuentes, se debe confgurar prmero os
depstos *um de os paquetes 0A? fuentes (.src.rpm) como e nuevo fchero
/etc/*um'repos'd/Cent6S1Sources'repo, con e sguente contendo:
Gsource packages
EsourcesF
nameH6entIS=Jreleasever = Sources
baseurlHhttp2//mirror8centos8org/centos/Jreleasever/os/SR5!S/
gpgcheckH1
enabledH1
gpgke$Hhttp2//mirror8centos8org/centos/R5!=353=9BK=6entIS=*
Gsource packages
Esources=updatesF
nameH6entIS=Jreleasever = Sources #pdates
baseurlHhttp2//mirror8centos8org/centos/*/updates/SR5!S/
gpgcheckH1
enabledH1
85
gpgke$Hhttp2//mirror8centos8org/centos/R5!=353=9BK=6entIS=*
A termnar se contna con a nstaacn de os paquetes 0A? bnaros de e compador 2cc,
cabeceras de desarroo para e engua|e de programacn C, paquete de desarroo de ncurses,
para construr a herramenta de confguracn de nceo, y e paquete para creacn de
paquetera 0A?:
$um =$ install gcc glibc=devel ncurses=devel rpm=build
S se va a utzar a herramenta de confguracn grfcos, hay que nstaar adems os paquetes
-t1devel y 2cc1cRR de sguente modo:
$um =$ install 0t=devel gcc=cLL
<'2'8' 6btener el cdi2o /uente del n7cleo'
<'2'8'!' & partir de los depsitos de la distribucin utili=ada'
Utzar e paquete fuente de a dstrbucn de GNU/Linux utzada garantza que se utzar a
msma versn ofca de nceo para produccn de dstrbudor, a cua seguramente ncuye
parches especfcos para funconar con a nstaacn de esa dstrbucn de GNU/Linux. Esto
garantza que se mantendr a compatbdad de os &AI (&ppcaton Arogrammng Interface o
Interfaz de Programacn de Apcacones) requerdos por apcacones de terceros.
Prmero se nstaa e paquete *um1utils de a sguente forma:
$um =$ install $um=utils
E paquete *um1utils ncuye a herramenta *umdoNnloader, msma que se utzar para
descargar e paquete fuente de paquete 0A? de kerne, de sguente modo:
$umdownloader ==source kernel
Suponendo que se tene nstaado e paquete de nceo denomnado Lernel12';'!>12'!';'el:,
o anteror descargara desde os depstos de equpamento gco en Internet e paquete Lernel1
2';'!>12'!';'el:'src'rpm dentro de drectoro de traba|o actua.
Se procede a nstaar e paquete fuente Lernel12';'!>12'!';'el:'src'rpm de a sguente
forma:
rpm =ivh kernel=M8src8rpm
Esto nstaar os fuentes y parches para e nceo en e drectoro /usr/src/red.at/S6U0CES/ y
e fchero de especfcacn para construr e paquete bnaro 0A? como
/usr/src/red.at/SAECS/Lernel12';'spec.
Para poder utzar e cdgo fuente, hay que descomprmr y apcar os parches ncudos por e
dstrbudor. Esto se consgue utzando e mandato rpmbuild con as opcones -bp y
11tar2etOSar-uitecturaT, donde Sar-uitecturaTrepresenta a arqutectura genrca de
mcroprocesador. En e caso de Cent6S :, estn dsponbes as confguracones genrcas para
86
i:>;, i;>;, x>;U;9, ia;9, ppc, ppc;9, s80 y s80x, y as varantes i;>;1A&E, para equpos ,
i;>;1xen, ia;91xen y x>;U;91xen, para utzar as funcones de Fen que permten utzar
paravrtuazacn.
Las opcones 1bp ncan parcamente e a construccn de paquete (build) pero soo hasta a
seccn Vprep (preparatvos) de fchero de especfcacn, o que sgnfca que se descomprmr
e fuente de nceo y se apcarn os parches.
Se debe acceder a drectoro /usr/src/red.at/SAECS/.
cd /usr/src/redhat/S5B6S/
Posterormente se procede a descomprmr fuentes y apcar parches. La opcn 11tar2etOi;>; se
utzar en e|empo a contnuacn para que se nstae un fchero prevamente confgurado con
opciones 2en)ricas para a arqutectura i;>;.
rpmbuild =bp ==targetHi6'6 kernel=(868spec
Consderando en e e|empo que se nsta e paquete fuente 0A? Lernel12';'!>1
2'!';'el:'src'rpm, soo resta es acceder a drectoro /usr/src/red.at/#UILD/Lernel1
2';'!>/linux12';'!>'i;>;/ para confgurar as opcones que se utzarn.
cd 88/:#4A</kernel=(8681'/linux=(8681'8i6'6/
Dentro de paquete 0A? se ncuyen varos fcheros con confguracones genrcas de acuerdo a
a arqutectura, os cuaes se nstaan dentro de drectoro /usr/src/red.at/S6U0CES/. Uno de
estos fcheros se seeccona y copa automtcamente dentro de drectoro
/usr/src/red.at/#UILD/Lernel12';'!>/linux12';'!>'i;>;/ cuando se defne a arqutectura con
a opcn 11tar2et de mandato rpmbuild.
kerne-2.6.18-
586.confg
Confguracn genrca para arqutectura i:>; (Pentum, Pentum MMX, AMD
K5, AMD K6, AMD K6 II, AMD K6 III).
kerne-2.6.18-
686.confg
Confguracn genrca para arqutectura i;>; (Pentum Pro, Pentum II,
Pentum III, Pentum 4, Pentum M, Xeon, Ceeron, AMD K7, AMD Athon XP,
AMD Duron).
kerne-2.6.18-686-
debug.confg
Confguracn genrca para arqutectura i;>;, con opcones de depuracn.
Soo recomendado para desarroadores y escenaros donde se requere
dagnstco.
kerne-2.6.18-686-
PAE.confg
Confguracn genrca para arqutectura i;>;, con soporte A&E (Ahysca
&ddress Extenson) que aade capacdades para utzar mayor espaco de
ntercambo (s1apspace). Utzado en sstemas con ms de 4 GB de RAM.
kerne-2.6.18-686-
xen.confg
Confguracn genrca para arqutectura ia;9 (Inte Itanum), con soporte
para Xen. Permte utzar paravrtuazacn a travs de Xen.
kerne-2.6.18-
a64.confg
Confguracn genrca para arqutectura ia;9.
kerne-2.6.18-a64-
debug.confg
Confguracn genrca para arqutectura ia;9, con opcones de depuracn.
dagnstco.
kerne-2.6.18-a64-
xen.confg
Confguracn genrca para arqutectura ia;9, con soporte para Xen.
Permte utzar paravrtuazacn a travs de Xen.
87
kerne-2.6.18-
ppc64.confg
Confguracn genrca para arqutectura AAC de 64 bt (G5).
kerne-2.6.18-ppc64-
debug.confg
Confguracn genrca para arqutectura AAC de 64 bt, con opcones de
depuracn. Soo recomendado para desarroadores y escenaros donde se
requere dagnstco.
kerne-2.6.18-
ppc.confg
Confguracn genrca para arqutectura AAC de 32 bt (G3 y G4).
kerne-2.6.18-ppc-
smp.confg
Confguracn genrca para arqutectura AAC de 32 bt, con soporte de
Mut-Procesamento Smtrco (S?A).
kerne-2.6.18-
s390.confg
Confguracn genrca para arqutectura s80.
kerne-2.6.18-
s390x.confg
Confguracn genrca para arqutectura s80x.
kerne-2.6.18-s390x-
debug.confg
Confguracn genrca para arqutectura s80, con opcones de depuracn.
dagnstco.
kerne-2.6.18-
x86_64.confg
Confguracn genrca para arqutectura x>;U;9 (AMD K8, AMD Athon 64,
AMD Opteron).
kerne-2.6.18-
x86_64-debug.confg
Confguracn genrca para arqutectura x>;U;9, con opcones de
depuracn. Soo recomendado para desarroadores y escenaros donde se
requere dagnstco.
kerne-2.6.18-
x86_64-xen.confg
Confguracn genrca para arqutectura x>;U;9, con soporte para Xen.
Permte utzar paravrtuazacn a travs de Xen.
<'2'8'2' Descar2ar desde Lernel'or2
La prncpa venta|a de descargar e nceo desde Lernel'or2 es que se contar con a ms
recente versn, me|oras y ms dspostvos soportados. E nconvenente es que puede perderse
a estandarzacn con a dstrbucn utzada o ben a compatbdad con agunas apcacones
de terceros que dependen drecta o ndrectamente de una versn en partcuar de nceo, o un
&AI ncudo en aguna versn en partcuar de nceo.
Se accede haca .ttp3//NNN'Lernel'or2/ y se descarga, desde a parte nferor de a portada de
sto, a versn ms recente de nceo.
wget N
http2//www8kernel8org/pub/linux/kernel/v(86/linux=(868(*81+8tar8b"(
Lo anteror descargar e paquete linux12';'2:'!0'tar'b=2.
Se procede a descomprmr linux12';'2:'!0'tar'b=2 utzando o sguente:
tar 1xv& linux=(868(*81+8tar8b"(
Lo anteror descomprmr e contendo en un drectoro denomnado linux12';'2:'!0. Soo resta
es acceder haca este drectoro para confgurar as opcones que se utzarn.
cd linux=(868(*81+
88
<'2'9' Con/i2uracin del n7cleo'
Se puede utzar e mandato maLe con a opcn con/i2 de a sguente forma:
make con&ig
E nconvenente de sto es que se tendr que responder una a una cada una de as opcones de
nceo. Soo se recomenda para usuaro muy expermentados.
Se puede utzar e mandato maLe con a opcn menucon/i2 de a sguente forma:
make menucon&ig
Lo anteror compar y e|ecutar una nterfaz hecha en ncurses que permtr examnar e rbo
de opcones y habtar y deshabtar de una forma ms amstosa, pues cada opcn ncuye una
ayuda que expca para que srve y s es seguro ncura, compara como mduo o excura.
En genera, se puede empezar excuyendo as optmzacones genrcas y funcones que nunca se
utzarn en e sstema como e mutprocesamento smtrco y soporte para ms de 4 GB de
RAM.
89
Y uego seecconado e tpo exacto de mcroprocesador y excur as funcones genrcas.
90
Pueden habtarse o excurse funcones y mduos, de acuerdo a as necesdades y e sustento
fsco determnado prevamente con os mandatos lsmod, lspci y lsusb, en e resto de as
opcones de rbo de confguracn de menucon/i2.
En genera se puede compar dentro de nceo o sguente:
Controadores para dspostvos ntegrados en a tar|eta madre que sean de uso contnuo.
Controadores de dspostvos de uso contnuo, como controadores de dsco y transportes
(buses) SCSI (Sma Computers System Interface o Sstema de Interfaz para Pequeas
Computadoras), &B& (&dvanced Bechnoogy &ttachment), A&B& (Aarae &dvanced
Bechnoogy &ttachment), S&B& (Sera &dvanced Bechnoogy &ttachment), 0&ID
(0edundant &rray of Inexpensve Dsks o con|unto redundante de dscos ndependentes),
etc.
Soporte de LH? (Logca Houme ?anager o Gestor de Vomenes Lgcos).
Controadores para sstemas de fcheros (ext8).
En genera se debe evtar ncur dentro de kerne y soo compar como mduo o sguente:
91
Controadores de dspostvos perfrcos (como os controadores para cmaras dgtaes).
Controadores para cuaquer dspostvo que se pueda remover de sstema (es decr
dspostvos US#, %ireNire, #luetotoot., etc.).
Controadores de dspostvos que se ntercamben con frecuenca.
La rega genera es mantener el n7cleo lo m@s pe-ue$o posible y evtar ncur dentro de ste
demasados controadores. S se compa un controador dentro de nceo y e dspostvo es
retrado de sstema o ste sufre agn tpo de dao que afecte su funconamento, e nceo
puede sufrr confctos con e resto de os controadores, o ben sufrr un fao. Es preferbe
compar como mduos os controadores de todo aqueo que se pueda remover de sstema,
ncuyendo os dspostvos que utcen ranuras ACI.
A termnar de confgurar o anteror, smpemente se sae de menucon/i2 para guardar os
cambos.
<'2'9'!' Compilacin del n7cleo'
La compacn se nca utzando e mandato maLe.
92
make
<'2'9'2' Instalacin del n7cleo'
Despus de varos mnutos, dependendo de a capacdad de sstema, se procede a nstaar
prmero os mduos:
make modules%install
A concur e procedmento, se nstaa e nceo.
make install
Lo anteror nstaar e nceo en e drectoro /boot, crear e fchero s*stem'map
correspondente, crear a magen de dsco RAM correspondente y aadr una entrada en e
fchero /boot/2rub/2rub'con/, respetando os nceos prevamente nstaados a coocarse como
opcn de arranque secundara.
Smpemente rence y pruebe e nuevo nceo. S todo parece funconar correctamente, puede
edtar e fchero /boot/2rub/2rub'con/ y coocar e nuevo nceo como predetermnado.
G grub8con& generated b$ anaconda
G
G Oote that $ou do not have to rerun grub a&ter making changes to this &ile
G OI?46B2 Kou have a /boot partition8 ?his means that
G all kernel and initrd paths are relative to /boot/. eg8
G root (hd+.+)
G kernel /vmlinu"=version ro rootH/dev/@ol3roup++/Aog@ol++
G initrd /initrd=version8img
GbootH/dev/hda
(e/'ul60
timeoutH*
splashimageH(hd+.+)/grub/splash8xpm8g"
hiddenmenu
ile Cen!" (2.6.25.10)
roo (&(040)
-ernel /vmlinu5$2.6.25.10 ro roo6/(ev/EolGroup00/7o*Eol00
inir( /inir($2.6.25.10.im*
title 6entIS ((8681'=/(81868el*)
root (hd+.+)
kernel /vmlinu"=(8681'=/(81868el* ro rootH/dev/@ol3roup++/Aog@ol++
initrd /initrd=(8681'=/(81868el*8img
N6B&3 Es muy mportante sempre conservar una copa de nceo que vene con a dstrbucn
utzada en caso de presentarse probemas.
<'2'9'8' Creando pa-uete 0A?'
Se puede crear un paquete 0A? a partr de os bnaros recn compados. Acceda de nuevo
haca e drectoro de nceo recn compado y utce e mandato maLe con a opcn binrpm1
pL2 de a sguente forma:
make binrpm=pkg
93
S desea crear un paquete 0A? compando todo de nuevo, puede utzar e mandato maLe con
a opcn rpm1pL2 de a sguente forma:
make rpm=pkg
La nstaacn de paquete resutante se reaza utzando e mandato rpm con as opcones 1iv.
(nstaar, descrptvo y mostrar barra de progreso), a fn de que se mantengan nstaados os
paquetes de nceo exstentes en e sstema y estos coexstan, permtendo eegr con cua ncar
e sstema desde e arranque con Grub.
rpm =ivh /usr/src/redhat/R5!S/i,'6/kernel=(8(*81+=(8i,'68rpm
Lo anteror nstaar e paquete 0A? de nceo recn creado, sn afectar a otras versones de
paquetes de nceo que estn prevamente nstaadas. A termnar, soo ser necesaro egr
desde Grub e nceo con e cua se ncar e sstema.
Grub version 0.9F (639K lower / 261056K upper memory)
_________________________________________________________________
|Cen!" (2.6.25.10) |
|Cen!" (2.6.1#$92.1.6.el5) |
|Cen!" (2.6.1#$92.1.1.el5) |
| |
| |
| |
| |
| |
| |
| |
| |
|________________________________________________________________|
%se &e 'n( &e o sele) w&i)& enry is &i*&li*&e(.

94
>' Cmo 2estionar espacio de memoria de
intercambio PsNapQ en GNU/Linux'
condcones sguentes: a) Debe reconocer y ctar a autor orgna. b) No puede utzar esta obra para fnes comercaes Pinclu*endo su
publicacinM a trav)s de cual-uier medioM por entidades con /ines de lucroQ. c) S atera o transforma esta obra, o genera una obra
dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro
os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de
autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. Lcenca competa en casteano. La
nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad
aguna s e usuaro o ector hace ma uso de stos.
>'!' Introduccin'
>'!'!' &l2o de .istoria'
Hace muchos aos, GNU/Linux, en os tempos de nceo versn 2.0, se encontraba mtado a
utzar una soa partcn de memora de ntercambo de un mxmo de 128 MB, sendo esto una
de os prncpaes argumentos utzados por sus detractores. Por fortuna as cosas han cambado,
y hoy en da ya no exste dcho mte, y es posbe adems utzar cuanta memora de
ntercambo sea requerda para satsfacer as necesdades de cuaquer sstema.
>'!'2' (Du) es * como /unciona el espacio de intercambio+
E espaco de memora de ntercambo o SNap, es o que se conoce como memoria virtual. La
dferenca entre a memora rea y a vrtua es que est tma utza espaco en e dsco duro en
ugar de un mduo de memora. Cuando a memora rea se agota, e sstema copa parte de
contendo de esta drectamente en este espaco de memora de ntercambo a fn de poder
reazar otras tareas.
Utzar memora vrtua tene como venta|a e proporconar a memora adcona necesara
cuando a memora rea se ha agotado y se tene que reazar un proceso. E nconvenente radca
en que, como consecuenca de utzar espaco en e dsco duro, a utzacn de esta es mucho
muy enta. Uno puede percatarse de esto cuando e dsco duro empeza a traba|ar
repentnamente hasta por varos mnutos despus de abrr varas apcacones.
Cuanto espaco para memora de ntercambo se debe asgnar a sstema?
Menos de 1 GB de RAM Msma cantdad de memora RAM tota
2-4 GB de RAM 50% de memora RAM tota
Ms de 4 Gbytes de RAM 2 GB
>'!'8' Circunstancias en las -ue se re-uiere aumentar la cantidad de
memoria de intercambio'
Contar con mayor espaco para utzar memora vrtua puede ser prctco en os sguentes casos:
Sstemas en donde adqurr memora adcona est fuera de toda dscusn.
En equpos con traba|o ntensvo que consume mucha memora (dseo grfco, por
95
e|empo).
Servdores de ato desempeo en donde se desea contar con un ampo margen de
espaco Swap para satsfacer as demandas de servcos.
Sstemas que actuazaron desde una versn de nceo 2.2 a una versn de nceo
2.4 o 2.6.
Sstemas donde se aument a cantdad de memora RAM y se encuentran con a
probemtca de cubrr a cuota mnma de espaco de memora de ntercambo.
Arocedimientos'
Todos os procedmentos stados a contnuacn requeren hacerse como e usuaro root o ben
utzando e mandato sudo.
>'!'9' Cambiar el tama$o de la particin'
Cambar e tamao de as partcones e dsco duro y cambar as dmensones una partcn de
memora de ntercambo adcona es e mtodo ms efectvo.Sn embargo,sto representa un
resgo, debdo que podra ocurrr un error durante e procesos de repartcn que podra
desencadenar en prdda de datos en un dsco duro. S se utza este mtodo, es mportante
dsponer de un respado de todos os datos mportantes antes de comenzar e proceso.
>'!':' Crear un /ic.ero para memoria de intercambio'
Otro mtodo ms senco y sn resgo aguno, consste en utzar un archvo de ntercambo de
forma smar a como se hace en otros sstemas operatvos.
Ante todo, a me|or soucn sempre ser adqurr ms RAM.
>'2' Arocedimientos'
>'2'!' &ctivar una particin de intercambio adicional'
S se cambo a taba de partcones de dsco duro y se ha creado una nueva partcn de memora
de ntercambo, se e da formato de a sguente forma con e mandato mLsNap, donde a opcn
1c ndca se verfquen sectores de dsco duro buscando boques daados a fn de marcar estos y
evtar utzaros:
/sbin/mkswap =c EdispositivoF
En e sguente e|empo se dar formato como partcn de memora de ntercambo a a partcn
/dev/.da> de 256 MB, verfcando sectores en busca de boques daados:
/sbin/mkswap =c /dev/hda'
Lo anteror puede devover una sada smar a a sguente:
Settting up Swapspace version +. si"eH(6(1-- b$tes
Para actvar a partcn y que sea utzada nmedatamente por e sstema operatvo, se utza e
mandato sNapon de a sguente forma:
96
swapon EdispositivoF
En e sguente e|empo se actva como partcn de memora de ntercambo a a partcn
/dev/.da>:
/sbin/swapon /dev/hda'
Para corroborar que a nueva partcn de memora de ntercambo est sendo utzada por e
sstema operatvo, se utza e e mandato /ree, que puede devover una sada smar a a
sguente:
total used &ree shared bu&&ers cached
!em2 ,(1,6- ,1(*)6 ')'' + /-+ 6,-('
=/L bu&&ers/cache2 (-'(+' ),1*6
"w'p2 6399#G 105FG0 53G2GG
Para que esta partcn se utce como memora de ntercambo automtcamente en e sguente
arranque de sstema, debe agregarse a nea correspondente en e fchero /etc//stab de
sguente modo:
EparticiPnF swap swap de&aults + +
En e sguente e|empo se defnr como partcn de memora de ntercambo a a partcn
/dev/.da> en e fchero /etc//stab:
/dev/hda' swap swap de&aults + +
>'2'2' Utili=ar un /ic.ero como memoria de intercambio'
Este mtodo no requere hacer cambos en a taba de partcones de dsco duro. Es dneo para
usuaros poco expermentados, para quenes desean evtar tomar resgos a cambar a taba de
partcones e dsco duro, o ben para quenes requeren ms de memora de ntercambo ocasona
o crcunstancamente.
Consderando que e fchero de memora de ntercambo puede ser coocado en cuaquer
drectoro de dsco duro, se utza e mandato dd, especfcando que se escrbrn ceros
(i/O/dev/=ero) para crear e fchero /sNap (o/O/sNap), en boques de 1024 bytes hasta
competar una cantdad en bytes determnada (countOScantidad en b*tesT). En e sguente
e|empo se reaza o anteror hasta competar 2;2!99 b*tes (countO2;2!99), que equvaen a
2:; ?#:
dd i&H/dev/"ero o&H/swap bsH1+(- countH(6(1--
Se requere dare formato de memora de ntercambo a fchero creado con e mandato mLsNap.
En e sguente e|empo se dar formato fchero /sNap para ser utzado como memora de
ntercambo especfcando que ste ser de 2;2!99 b*tes:
/sbin/mkswap /swap (6(1--
97
Settting up Swapspace version +. si"eH(6(1-- b$tes
p>Para actvar a partcn y que sea utzada nmedatamente por e sstema operatvo, se utza
e mandato sNapon. En e sguente e|empo se actva como partcn de memora de ntercambo
a e fchero /sNap:
/sbin/swapon /swap
Para corroborar que nuevo fchero de memora de ntercambo est sendo utzada por e sstema
operatvo, se utza e e mandato /ree, que puede devover una sada smar a a sguente:
total used &ree shared bu&&ers cached
!em2 ,(1,6- ,1(*)6 ')'' + /-+ 6,-('
=/L bu&&ers/cache2 (-'(+' ),1*6
"w'p2 6399#G 105FG0 53G2GG
Para que este fchero se utce como memora de ntercambo automtcamente en e sguente
arranque de sstema, debe agregarse a nea correspondente en e fchero /etc//stab de
sguente modo:
/swap swap swap de&aults + +
>'2'8' 6ptimi=ando el sistema cambiando el valor de
/proc/s*s/vm/sNappiness
E nceo de GNU/Linux permte cambar con que frecuenca as apcacones y programas son
movdas de a memora fsca haca a memora de ntercambo. E vaor predetermnado es 60,
como puede observarse a mrar e contendo de /proc/s*s/vm/sNappiness de a sguente
forma:
cat /proc/s$s/vm/swappiness
Pueden estabecerse vaores entre 0 y 100, donde e vaor ms ba|o estabece que se utce
menos a memora de ntercambo, o cua sgnfca que se recamar en su ugar e cach de a
memora. E vaor predetermnado de 60 fue estabecdo tenendo en mente a os desarroadores
de nceo de GNU/Lnux a fn de permtr reazar pruebas y dagnstcos.
Para a mayora de os casos, convene cambar este vaor por uno ms ba|o a fn de que e
sstema utce menos a memora de ntercambo y utce ms a memoria cac.e. sta es una
case de memora RAM esttca de acceso aeatoro (S0&? o Statc 0andom &ccess ?emory). Se
sta entre a Unidad Central de Arocesamiento (CAU) y a memora RAM y se presenta de
forma tempora y automtca para e usuaro proporconado acceso rpdo a os datos de uso ms
frecuente.
Un vaor apropado y que funconar para a mayora de os sstemas en produccn es !0. En e
sguente e|empo se apca e vaor !0 para e fchero /proc/s*s/vm/sNappiness.
echo 1+ Q /proc/s$s/vm/swappiness
Para o anteror, tambn se puede utzar e mandato s*sctl de a sguente forma:
98
s$sctl =w vm8swappinessH1+
Lo anteror devueve una sada smar a a sguente, confrmando que se ha apcado e cambo:
ErootRmlocalhost SFG sudo =w s$sctl vm8swappinessH1+
vm8swappiness H 1+
Este cambo en as varabes de sstema de forma apca nmedata hasta e sguente renco de
sstema. Para hacer que e cambo sea permanente, se edta e fchero /etc/s*sctl'con/ y se
aade a sguente nea:
vm8swappiness H 1+
99
' Arocedimientos de emer2encia
'!' Introduccin
En ocasones suee ser necesaro reazar tareas de mantenmento y de reparacn en e sstema
de archvos. Estas stuacones requeren que e admnstrador conozca a menos as herramentas
correspondentes.
'2' Disco de rescate
E prmer dsco de nstaacn de Red Hat Enterprse Lnux 3 y Whte Box Enterprse Lnux 3
ncuye a opcn de ncar e sstema en modo de rescate desde ste. Soo bastar dgtar nux
rescue en e avso de nco (prompt) que aparece a arrancar e sstema con e dsco 1:
boot2 linux rescue
Despus de ncar, confgurar e tecado y, de forma opcona, a conectvdad a travs de
dspostvos de red, se ngresar a un nterprete de mandatos (BASH) con un con|unto bsco de
herramentas que permtrn reazar tareas de mantenmento y reparacn.
Dgte o sguente a fn de mostrar en pantaa as partcones de sstema:
d& =h
Lo anteror deber mostrar ago parecdo a o sguente:
S8&icheros ?amaTo #sado <isp #soU !ontado en
/dev/sda( 1*3 -8'3 /8(3 ,-U /
/dev/sda1 )6! '81! 6-! 1(U /boot
none *+)! + *+)! +U /dev/shm
/dev/hda* -+3 ,*3 (863 /-U /home
/dev/sdb, (8+3 ,6! 18/3 (U /tmp
/dev/sdb1 68-3 -8+3 (8(3 66U /usr/local
/dev/sdb* 68-3 -8,3 18'3 )1U /usr/src
/dev/sdb( (8+3 *)+! 18-3 ,+U /var
/dev/hda6 1/3 1)3 //'! /*U /var/&tp
/dev/hda( 68+3 (*)! *8-3 *U /var/lib
/dev/hda1 68/3 )/(! *8'3 1(U /var/www
100
'8' Heri/icacin de la inte2ridad del disco
La verfcacn de cuaquer partcn de dsco duro requere, necesaramente, desmontar antes
sta. Una vez hecho esto es posbe reazar una verfcacn utzando o sguente, consderando
en e e|empo que se ntenta verfcar a partcn /dev/.da!:
&sck =&$ /dev/hda1
De ser necesara una verfcacn de superfce en busca de sectores daados, considerando
-ue dic.o proceso puede demorar incluso varias .oras, se puede utzar o sguente:
&sck =&$c /dev/hda1
'9' &si2nacin de /ormato de las particiones
Cuando a stuacn o amerte, ser posbe dar formato a una partcn en partcuar utzando o
sguente, consderando en e e|empo que se ntenta proporconar formato EXT3 a a partcn
/dev/.da!:
mk&s8ext, /dev/hda1
Se encuentran tambn dsponbes as sguentes herramentas para asgnacn de formato:
mkfs.ext2
mkfs.vfat (fat32)
mkfs.msdos (fat16)
mkswap
S se necesta dar un formato de ba|o nve a fn de emnar toda a nformacn de dsco duro,
puede utzarse o sguente, consderando en e e|empo que se ntenta dar formato de ba|o nve
a dsco duro /dev/.da, para escrbr 0 (ceros) en cada sector de dsco duro.
dd i&H/dev/"ero o&H/dev/hda
S se requere, tambn es posbe dar formato de ba|o nve escrbendo nmeros aeatoros en
todos os sectores de dsco duro:
dd i&H/dev/urandom o&H/dev/hda
101
!0' Cmo optimi=ar el sistema de arc.ivos
ext8'
!0'!' Introduccin'
Cuando se traba|a con servdores y estacones de traba|o con nstaacones de Ubuntu, Cent6S,
0ed Gat o %edora y se busca optmzar e uso de dsco duro de sstemas de archvos ext3, hay
a|ustes que pueden me|orar e desempeo sgnfcatvamente.
!0'!'!' &cerca de ext8'
ext8 (t!ird e(tended filesystem o tercer sstema de archvos extenddo) es e sstema de archvo
ms utzado por as dstrbucones de GNU/Linux y. Se dferenca de ext2 en que traba|a con
regstro por daro (journalin%) y porque utza un rbo bnaro baanceado (rbo &HL, creado por
os matemtcos rusos Georg &deson-Hesk y Yevgeny Lands) y tambn por ncorporar e
mtodo 6rlov de asgnacn para boques de dsco (e msmo que se gestona a travs de os
mandatos lsattr y c.attr). Adems ext8 permte ser montado y utzado como s fuera ext2 y
actuazar desde ext2 haca ext8 sn necesdad de formatear a partcn y, por tanto, sn perder
os datos amacenados en sta.
!0'!'2' &cerca del re2istro por diario P4ournalin2Q'
E regstro por daro (journalin%) es un mecansmo por e cua un sstema de archvos mpementa
transaccones. Consste en un regstro en e que se amacena a nformacn necesara para
restabecer os datos daados por una transaccn en caso de que sta fae, como puede ocurrr
durante una nterrupcn de energa.
!0'2' Arocedimientos
Para determnar que dspostvos corresponden a as partcones en e dsco duro, se utza e
mandato d/. E|empo:
ErootRm+6- SFG d&
S8&icheros :lo0ues de 19 #sado <ispon #soU !ontado en
/dev/hda( 1/(',+(- 1)()/(6+ 1(+)*'- /-U /
/dev/sda1 )))-/ (1/+* *1',+ ,+U /boot
/dev/sdb1 1)-/66'- 1+61'/'+ */''/1( 6-U /home
/dev/hda* *-1*''-- -1('-*-- 11((,6(- )/U /var/&tp
/dev/sda( 1*,*(,-' -')-(,( /6/'16- ,-U /home/rpmbuild
tmp&s )))),( + )))),( +U /dev/shm
102
Una vez determnados que dspostvos corresponden a as dferentes partcones, pueden
apcarse varos mtodos de optmzacn.
!0'2'!' Utili=ando el mandato e2/scL'
E mandato e2/scL se utza reguarmente para revsar y reparar partcones con formato ext2 y
ext8. Incuye a opcn 1D que reaza a optmzacn de drectoros en e sstema de archvos. La
optmzacn de todos os drectoros de una partcn consste en vover a posconar (reinde(in%)
os drectoros, cuando e sstema de archvos ncuye soporte para ta, o vovendo a acomodar y
comprmendo drectoros. La opcn 1D se debe utzar |unto con a opcn 1/ para forzar a
verfcacn de a partcn de dsco duro.
Para optmzar una partcn en formato ext8, es ndspensabe que sta est desmontada. Para
poder desmontar una partcn es ndspensabe que e sstema funcone sn procesos hacendo
uso de contendos en dcha partcn. Puede utzarse e mandato lso/ para determnar esto y as
defnr que es o que se debe detener momentneamente. S e sstema funcona sn procesos
hacendo uso de contendos en a partcn, se puede segur e procedmento e|empfcado a
contnuacn con e dspostvo /dev/sda8 que en este partcuar e|empo corresponde a a
partcn para /.ome:
umount /home
e(&sck =& =< /dev/sda,
La sada puede devover ago smar a o sguente:
ErootRm1++ S5B6SFG e(&sck =< =& /dev/sda,
e(&sck 18,/ ((/=!a$=(++6)
5ass 12 6hecking inodes. blocks. and si"es
5ass (2 6hecking director$ structure
5ass ,2 6hecking director$ connectivit$
+'ss 382 !pimi5in* (ire)ories
5ass -2 6hecking re&erence counts
5ass *2 6hecking group summar$ in&ormation
/home2 MMMMM D4AB SKS?B! C>S !I<4D4B< MMMMM
/home2 1,/*(--),6 &iles ()8)U non=contiguous). (+',1//*(-,(1- blocks
Una vez termnado e procedmento, se pueden vover a montar as partcones optmzadas.
En e caso de tratarse de partcones que sea mposbe desmontar por encontrarse en uso, puede
utzarse e dsco de nstaacn de CentOS, Fedora o Red Hat en modo de rescate (boot3 linux
rescue), o un Dsco Vvo (.ive"/), en e caso de Ubuntu, y desmontando as partcones que se
quera optmzar antes de utzar e mandato e2/scL 1/ 1D.
!0'2'2' 6pciones de montado'
Los sstemas de archvos ext3 permten tres opcones que partcuarmente son tes. Todas se
especfcan en a coumna de opcones de os dspostvos en e fchero /etc//stab.
!0'2'2'!' 6pcin noatime Pno tiempos de accesoQ'
Es a forma ms rpda y fc de ograr me|oras en e desempeo. Esta opcn mpde se actuace
os tempos de acceso de os nodos (nodos ndce), os cuaes reamente son poco utzados por a
mayora de os usuaros. Esto permte me|or desempeo en servdores de notcas y GBBA pues
103
permte un ms rpdo acceso haca e sstema de archvos. Es partcuarmente t en
computadoras porttes pues reduce consderabemente a cantdad de procesos de E/S o
Entrada y Sada (I/6 o Input/6utput) de dsco duro. Equvae a utzar c.attr R&, pero apcado
a todos os datos de a partcn.
En e sguente e|empo, se confgurar a opcn noatime para a partcn /var/NNN en e
fchero /etc//stab de un servdor HTTP.
A>:BAH/var/www /var/www ext, de&aults.noatime 1 (
!0'2'2'2' 6pcin commit Pconsi2nacin de cambiosQ'
Esta opcn controa e tempo que se utzar entra cada operacn sncronzacn (s*nc) de
datos y metadatos en una partcn. E tiempo predeterminado es de : se2undos. Puede
ncrementarse geramente para me|orar e desempeo, tomando en cuenta que s se especfca
demasado tempo y ocurre una nterrupcn de energa antes de hacer una operacn de
sncronzacn (s*nc), se perdern os datos ms recentes con os que se haya traba|ado. Esta
opcn solo se recomienda si se dispone de un sistema de respaldo de ener2,a con/iable.
En e sguente e|empo, se confgurar a opcn commit con e vaor equvaente a > se2undos
para a partcn /var/NNN en e fchero /etc//stab de un servdor HTTP.
A>:BAH/var/www /var/www ext, de&aults.commitH' 1 (
!0'2'2'8' 6pcin data PdatosQ'
Nota3 Debdo a que se debe desmontar y vover a montar, as modfcacones de esta opcn
requeren que a partcn est sn utzar. Por o cua se recomenda reazar este procedmento
desde un dsco de rescate o ben ncando e sstema en nve de e|ecucn 1 (monousuaro).
Esta opcn permte tres posbes vaores:
ordered: Es e vaor predetermnado. Escrbe os datos asocados a os metadatos prmero
en e sstema de archvos antes de hacero en e regstro por daro. S es prortaro
garantzar a ntegrdad de datos o ben se carece de un sstema de respado de energa
confabe, es a opcn que debe utzarse.
NritebacL: Hace que e sstema de archvos se comporte de manera smar a F%S. Sn
preservar e ordenamento a escrbr en e dsco, de modo que as consi2naciones de
cambios (commits) en e regstro por daro puede ocurrr antes de a escrtura en e
sstema de archvos. Este mtodo es el m@s r@pido porque soo os metadatos se
amacenan en e regstro por daro, pero puede hacer que se muestren datos ve|os
despus de una faa de sstema o nterrupcn de energa. Solo se recomienda si se
dispone de un sistema de respaldo de ener2,a con/iable.
4ournal: Es o opuesto a ordered. Obga a escrbr prmero os datos en e regstro por
daro y uego en e sstema de archvos, por o cua utza un regstro por daro ms
grande y que por o tanto demora ms tempo en recuperarse en caso de una faa de
sstema o nterrupcn de energa. Este es evdentemente e mtodo ms ento en a
mayora de os casos, savo que se reacen operacones de ectura y escrtura a msmo
tempo, como ocurre con as bases de datos.
En e sguente e|empo se confgurar en e fchero /etc//stab de un servdor GBBA y base de
104
datos a partcn /var/NNN con a opcn data con e vaor NritebacL y a partcn /var/lib con
a opcn data y e vaor 4ournal:
A>:BAH/var/www /var/www ext, de&aults.(''6wrieb')- 1 (
A>:BAH/var/lib /var/lib ext, de&aults.(''6Hourn'l 1 (
Antes de desmontar y vover a montar o rencar e sstema, hay que convertr os regstros de
daros a NritebacL o ben 4ournal, dependendo e caso. Para ta fn se utza e mandato
tune2/s de sguente modo, en e caso donde se desea cambar a modo NritebacL e regstro
por daro de a partcn L&#ELO/var/NNN:
tune(&s =o 1ournal%data%writeback A>:BAH/var/www
En e caso donde se desea cambar a modo 4ournal e regstro por daro de a partcn
L&#ELO/var/lib, se utza o sguente:
tune(&s =o 1ournal%data A>:BAH/var/lib
Para revertr e cambo y vover a utzar e modo ordered, se puede utzar e mandato tune2/s
con a opcn 1o 4ournalUdata.
Para apcar os cambos, sn correr e resgo de rencar con errores de sntaxs en e fchero
/etc//stab que mpedran montar as partcones confguradas, se puede utzar e mandato
umount para desmontar a partcn a modfcar, y posterormente e mandato mount para
vover a desmontaras. E|empos:
umount /var/www
umount /var/lib
mount /var/www
mount /var/lib
Utzar e mandato mount cn a opcn 1o remount sempre devover un error de opcn
ncorrecta. Esta es a razn por a cua se desmontan y montan as partcones para cambar e
tpo de regstro por daro de as partcones.
S o anteror devueve e smboo de sstema sn errores, sgnfca que as opcones se aplicaron
correctamente y que e sstema puede ser rencado con toda segurdad en e momento que se
consdere apropado.
Para regresar todo a como estaba orgnamente, se edta e fchero /etc//stab y se qutando as
opcones dataOvalor prevamente confguradas:
A>:BAH/var/www /var/www ext, de&aults 1 (
A>:BAH/var/lib /var/lib ext, de&aults 1 (
Se desmontan as partcones:
umount /var/lib
umount /var/www
Y con e mandato tune2/s se defne nuevamente e formato ordered:
105
tune(&s =o 1ournal%data%ordered A>:BAH/var/lib
tune(&s =o 1ournal%data%ordered A>:BAH/var/www
Y fnamente se vueven a montar as partcones:
mount /var/lib
mount /var/www
S o anteror devueve e smboo de sstema sn errores, sgnfca que as opcones /ueron
revertidas * aplicadas correctamente y que e sstema puede ser rencado con toda
segurdad en e momento que se consdere apropado.
106
!!' Cmo con/i2urar * utili=ar Sudo
!!'!' Introduccin'
Sudo es una herramenta de sstema que permte a os usuaros reazar a e|ecucn de mandatos
como superusuaro u otro usuaro de acuerdo a como se especfque en e fchero /etc/sudoers,
donde se determna quen est autorzado. Los nmeros de dentdad de usuaro y de grupo (UID y
GID) reaes y efectvas se estabecen para guaar a aqueas de usuaro ob|etvo como est
especfcado en e fchero /etc/passNd.
De modo predetermnado sudo requere que os usuaros se autentquen as msmos con su propa
cave de acceso (nunca la clave de acceso de root). Una vez que e usuaro se ha autentcado,
e usuaro podr utzar nuevamente sudo sn necesdad de vover a autentcarse durante 5
mnutos, savo que se especfque o contraro en e fchero /etc/sudoers. S e usuaro e|ecuta e
mandato sudo 1v podr refrescar ste perodo de tempo sn necesdad de tener que e|ecutar un
mandato, en cuyo caso contraro exprar esta autentcacn y ser necesaro vover a reazar
sta.
S un usuaro no stado en e fchero /etc/sudoers. trata de e|ecutar un mandato a travs de
sudo, se regstra a actvdad en a btcora de sstema (a travs de s*slo2d) y se enva un
mensa|e de correo eectrnco a admnstrador de sstema (root).
!!'!'!' Gistoria'
Sudo fue ncamente concebdo en 1980 por Bob Coggesha y Cff Spencer de departamento de
cenca computacona en SUNY (State Unversty of New York o Unversdad Estata de Nueva
York), en Buffao.
En 1985 se pubc e grupo de notcas net.sources una versn me|orada acredtada a Ph
Betche, Cff Spencer, Gretchen Phps, |ohn LoVerso y Don Gworek. Garth Snyder pubc otra
versn me|orada en e verano de 1986 y durante os sguentes cnco aos fue mantendo con a
coaboracn de muchas personas, ncuyendo Bob Coggesha, Bob Manchek, y Trent Hen.
En 1991 Dave Heb y |eff Neusma escrberon una nueva versn con un formato me|orado para e
fchero /etc/sudoers ba|o contrato con a frma consutora The Root Group, versn que
posterormente fue pubcada ba|o os trmnos de a Lcenca Pbca Genera de GNU (GNU/GPL).
Desde 1996 e proyecto es mantendo por Todd Mer con a coaboracn de Chrs |epeway y
Aaron Spanger.
107
!!'2' E-uipamiento l2ico necesario'
!!'2'!' Instalacin a trav)s de *um'
S se utza de CentOS 5, Red Hat Enterprse Lnux 5 o Whte Box Enterprse Lnux 5, o versones
posterores, se puede nstaar o necesaro utzando o sguente:
$um =$ install sudo
!!'2'2' Instalacin a trav)s de Up2date
S se utza de Red Hat Enterprse Lnux 4, o versones posterores, se puede nstaar utzando
o sguente:
up(date =i sudo
!!'8' %ic.ero /etc/sudoers
E fchero /etc/sudoers se edta con e mandato visudo, herramenta que a travs de v permte
reazar cambos y verfcar sntaxs y errores. S se trata de modfcar drectamente /etc/sudoers,
ste tene permsos de soo ectura.
La sntaxs bsca de una sta sera:
XXXX%>lias OI!:RBA4S?> H elemento1. elemento(. elemento,
La sntaxs bsca de una rega sera:
Eusuario. Ugrupo. OI!:RBA4S?>F Ean&itriPnF H (id de usuario a usar) mandatos
Se pueden defnr Aases y regas. Los aases permten defnr una sta de mandatos , una sta
de usuaros, un asta de anftrones o ben e|ecutar como otros usuaros.
!!'8'!' CmndU&lias'
6mnd%>lias !>O<>?IS7??5< H /sbin/service httpd restart. N
/usr/bin/vim /etc/httpd/con&8d/variables8con&. N
/usr/bin/vim /etc/php8ini
Lo anteror defne una sta de mandatos que podran utzarse para rencar e servco de httpd,
modfcar un fchero de confguracn en a ruta /etc/.ttpd/con/'d/varables'con/ y modfcar e
fchero
&ulano >AA H !>O<>?IS7??5<
Lo anteror defne que e usuaro fuano puede utzar os mandatos de a sta MANDATOSHTTPD
desde cuaquer anftrn.
108
!!'8'2' UserU&lias'
#ser%>lias #S#>R4IS7??5 H &ulano. mengano. "utano
Lo anteror defne una sta denomnada GBBAUSE0S, ntegrada por os usuaros fuano, mengano
y zutano.
#S#>R4IS7??5 >AA H /usr/bin/vim
La rega anteror defne que os usuaros que conforman a sta USU&0I6SGBBA pueden utzar
e mandato vm desde cuaquer anftrn.
!!'8'8' GostU&lias'
7ost%>lias 7IS?S7??5< H 1/(816'8+8(*. 1/(816'8+8(6. 1/(816'8+8(,
Lo anteror defne que a sta G6SBSGBBAD est ntegrada por as 3 dreccones IP stadas
anterormente. S adems se aade a sguente rega:
#S#>R4IS7??5< 7IS?S7??5< H ><!4O7??5<
Lo anteror defne que os usuaros de a sta GBBADUSE0S pueden utzar os mandatos stados
en &D?INGBBAD soamente s estn conectados desde as dreccones IP stadas en
G6SBSGBBAD.
!!'8'9' 0unasU&lias'
S por e|empo se qusera que os usuaros de a sta USU&0I6SGBBA puderan adems utzar
os mandatos s, rm, chmod, cp, mv, mkdr, touch y vm como e usuaros |uan, pedro y hugo, se
requere defnr una sta para estos mandatos y otra para os aases de usuaros aternos, y a
rega correspondente.
Runas%>lias 6A4BO?BS1 H 1uan. pedro. hugo
6mnd%>lias !>O<>?IS6A4BO?BS H /bin/ls. N
/bin/rm. N
/bin/chmod. N
/bin/cp. /bin/mv. N
/bin/mkdir. N
/bin/touch. N
/usr/bin/vim
#S#>R4IS7??5< 7IS?S7??5< H (6A4BO?BS1) !>O<>?IS6A4BO?BS
Lo anteror permte a os usuaros defndos en USU&0I6SGBBAD (fuano, mengano y zutano),
utzar os mandatos defndos en ?&ND&B6SCLIENBES (s, rm, chmod, cp, mv, mkdr, touch y
vm) dentfcndose como os usuaros defndos en CLIENBES! (|uan, pedro y hugo) soamente s
se reaza desde as dreccones IP stadas en G6SBSGBBAD (192.168.0.25, 192.168.0.26,
192.168.0.23).
!!'9' Candados de se2uridad'
Sudo ncuye varos candados de segurdad que mpden se puedan reazar tareas pegrosas.
109
S se defne e mandato /usr/bin/vim en /etc/sudoers, se podr hacer uso de ste de os
sguentes modos:
J sudo /usr/bin/vim
J sudo vim
Sn embargo, no podr ser utzado as:
J cd /usr/bin
J sudo 8/vim
S se defne e mandato /bin/ec.o, e usuaro podr utzaro de os sguentes modos:
J sudo /bin/echo V7olaV
J sudo echo V7olaV
Pero no podr utzaro de a sguente forma:
J sudo echo V7olaV Q algo8txt
Para poder reazar a operacn anteror, tendra que utzar:
J sudo bash =c Vecho W7olaW Q algo8txtV
Sudo e permtr reazar una tarea sobre cuaquer fchero dentro de cuaquer drectoro an s
no tene permsos de acceso para ngresar a dcho drectoro sempre y cuando especfque la
ruta exacta de dcho fchero.
J sudo chown named /var/named/dominio8"one
Pero no podr utzaro as:
J sudo chown named /var/named/M8"one
!!':' Lo -ue no se recomienda'
S se quere permtr a un usuaro utzar lo -ue sea, desde cuaquer anftrn, cmo cuaquer
usuaro de sstema y sin necesidad de autenticar, se puede smpemente defnr:
&ulano >AA H (>AA) OI5>SSC<2 >AA
!!';' %acilitando la vida a trav)s de W/'bas.Upro/ile'
BASH (#ourne-&gan S.e) permte utzar varabes de entorno y aases defndas en
W/'bas.Upro/ile a ncar a sesn, sendo que e admnstrador utzar actvamente muchos
mandatos dversos, estos se pueden smpfcar a travs de aases que resuman stos. Por
e|empo, s se quere defnr que se utce sudo cada vez que se nvoque a mandato c.Lcon/i2,
se puede aadr o sguente a fchero W/'bas.Upro/ile:
110
alias chkcon&igHVsudo /sbin/chkcon&igV
Lo anteror permtr e|ecutar drectamente e mandato c.Lcon/i2 sn necesdad de preceder ste
con e mandato sudo. A contnuacn s dversos aases que pueden ser de utdad en e fchero
W/'bas.Upro/ile y que permtrn utzar mandatos dversos con sudo.
G 8bash%pro&ile
G 3et the aliases and &unctions
i& E =& S/8bashrc FX then
8 S/8bashrc
&i
G #ser speci&ic environment and startup programs
5>?7HJ5>?72J7I!B/bin2/sbin2/usr/sbin
export 5>?7
unset #SBRO>!B
'li's )&-)on/i*6Isu(o /sbin/)&-)on/i*I
'li's servi)e6Isu(o /sbin/servi)eI
'li's roue6Isu(o /sbin/roueI
'li's (epmo(6Isu(o /sbin/(epmo(I
'li's i/)on/i*6Isu(o /sbin/i/)on/i*I
'li's )&mo(6Isu(o /bin/)&mo(I
'li's )&own6Isu(o /bin/)&ownI
'li's )&*rp6Isu(o /bin/)&*rpI
'li's user'((6Isu(o /usr/sbin/user'((I
'li's user(el6Isu(o /usr/sbin/user(elI
'li's *roup'((6Isu(o /usr/sbin/*roup'((I
'li's *roup(el6Isu(o /usr/sbin/*roup(elI
'li's e(;uo'6Isu(o /usr/sbin/e(;uo'I
'li's vi6Isu(o /usr/bin/vimI
'li's less6Isu(o /usr/bin/lessI
'li's 'il6Isu(o /usr/bin/'ilI
'li's yum6Isu(o /usr/bin/yumI
'li's s'slp'ssw(26Isu(o /usr/sbin/s'slp'ssw(2I
'li's &p'ssw(6Isu(o /usr/bin/&p'ssw(I
'li's openssl6Isu(o /usr/bin/opensslI
'li's smbp'ssw(6Isu(o /usr/bin/smbp'ssw(I
'li's sysem$)on/i*$priner6Isu(o /usr/sbin/sysem$)on/i*$prinerI
'li's sysem$)on/i*$newor-6Isu(o /usr/sbin/sysem$)on/i*$newor-I
'li's sysem$)on/i*$(ispl'y6Isu(o /usr/bin/sysem$)on/i*$(ispl'yI
Para que surtan efectos os cambos, hay que sar de a sesn y vover a ngresar a sstema con
a msma cuenta de usuaro, en cuyo fchero W/'bas.Upro/ile se aaderon estos aases.
111
!2' Cmo crear cuentas de usuario
!2'!' Introduccin
GNU/Lnux es un sstema operatvo con muchas caracterstcas y una de eas es que se dse
para ser utzado por mtpes usuaros. An cuando se tenga una PC con un nco usuaro, es
mportante recordar que no es convenente reazar e traba|o daro desde a cuenta de root,
msma que so debe utzarse para a admnstracn de sstema .
Una cuenta de usuario contene as restrccones necesaras para mpedr que se e|ecuten
mandatos que puedan daar e sstema 7pro%ramas troyanos como el Bliss7, se atere
accdentamente a confguracn de sstema, os servcos que traba|an en e trasfondo, os
permsos y ubcacn de os archvos y drectoros de sstema, etc.
Generamente e paso que procede a una nstaacn de GNU/Lnux es a creacn de cuentas de
usuaro. Para eo exsten dstntos mtodos, todos sencos que permten crear una cuenta con su
propo drectoro de traba|o y os archvos necesaros.
Actuamente exsten recursos como e programa nstaador de Red Hat Lnux y programas que
funconan desde un entorno grfco, como es Lnuxconf y Webmn, as como recursos que
funconan en modo de texto o desde una ventana termna, como son os mandatos tradconaes,
useradd y pass1d, y agunos otros programas, como YaST y a versn correspondente de
Lnuxconf o Webmn.
!2'2'!' Creando una cuenta en el modo de texto3 useradd * passwd
Este procedmento puede reazarse de forma segura tanto fuera de X Wndow como desde una
ventana termna en e entorno grfco de que se dsponga. Fue e mtodo comnmente utzado
antes de a aparcn de programas como YaST y Lnuxconf. Sn embargo an resuta t para a
admnstracn de servdores, cuando no se tene nstaado X Wndow, no se tenen nstaados
YaST o Lnuxconf 7o las versiones de estos que se !an instalado no trabajan correctamente7, o
ben se tenen mtacones o probemas para utzar un entorno grfco.
!2'2'!'!' Lo primero3 el mandato useradd
E prmer paso para crear una nueva cuenta consste en utzar e mandato useradd de sguente
modo:
useradd nombre%del%usuario
112
E|empo:
useradd &ulano
!2'2'!'2' Lo se2undo3 el mandato passwd
E paso sguente despus de crear a nueva cuenta con useradd es especfcar una contrasea
para e usuaro. Determne una que e resute fc de recordar, que mezce nmeros, mayscuas
y mnscuas y que, preferentemente, no contenga paabras que se encontraran fcmente en e
dcconaro. Exsten otras recomendacones, por o que es convenente eer, antes de contnuar,
os comentaros fnaes acerca de a segurdad ncudos en este msmo artcuo.
Aunque e sstema sempre tratar de prevenro cuando se esco|a una mala contrasea, ste no
e mpedr que o haga. Especfcar una nueva contrasea para un usuaro, o ben cambar a
exstente, se puede reazar utzando e mandato passwd de sguente modo:
passwd nombre%del%usuario
E|empo:
passwd &ulano
E sstema soctar entonces que proceda a escrbr a nueva contrasea para e usuaro y que
repta sta para confrmar. Por segurdad, e sstema no mostrar os caracteres teceados, por o
que debe hacero con cudado. S se consdera que ta vez se cometeron errores de teceado,
puede presonarse as veces que sean necesaras a teca <Backspace> o <Retroceso>. De
cuaquer forma e sstema e nformar s concde o no o teceado. S todo sa ben recbr
como respuesta de sstema code 0. S en cambo recbe code 1, sgnfcar que deber repetr e
procedmento, en vrtud de haberse producdo un error.
Este procedmento tambn puede utzarse para cambar una contrasea exstente.
!2'2'!'8' 6pciones avan=adas
En muchos casos as opcones pueden no ser necesaras, pero s se est admnstrando un
servdor o estacn de traba|o, o ben se es un usuaro un poco ms expermentado, y se quere
crear una cuenta con mayores o menores restrccones, atrbutos y/o permsos, pueden utzarse
as sguentes opcones de useradd:
-c comment
Se utza para especfcar e archvo de comentaro de campo para a nueva cuenta.
-d home dr
Se utza para estabecer e drectoro de traba|o de usuaro. Es convenente, a fn de tener un sstema
ben organzado, que este se ocace dentro de drectoro 3!ome.
-e expre date
Se utza para estabecer a fecha de expracn de una cuenta de usuaro. sta debe ngresarse en
e sguente formato: AAAA-MM-DD.
-g nta group
Se utza para estabecer e grupo nca a que pertenecer e usuaro. De forma predetermnada se
estabece como nco grupo 1. Nota: e grupo asgnado debe exstr.
113
-G group,|...|
Se utza para estabecer grupos adconaes a os que pertenecer e usuaro. stos deben separarse
utzando una coma y sn espacos. Lo anteror es muy convenente cuando se desea que e usuaro
tenga acceso a determnados recursos de sstema, como acceso a a undad de dsquetes,
admnstracn de cuentas PPP y POP. Nota: os grupos asgnado deben de exstr.
-m
Se utza para especfcar que e drectoro de traba|o de usuaro debe ser creado s acaso este no
exstese, y se coparn dentro de ste os archvos especfcados en 3etc3s0el.
-s she
Se utza para estabecer e ntrprete de mandatos que podr utzar e usuaro. De forma
predetermnada, en Red Hat Lnux y Fedora Core, se estabece bas! como ntrpete de
mandatos predefndo.
-u ud
Se utza para estabecer e UID, es decr, a ID de usuaro. Este debe ser nco. De forma
predetermnada se estabece como UID e nmero mnmo mayor a 99 y mayor que e de otro usuaro
exstente. Cuando se crea una cuenta de usuaro por prmera vez, como ocurre en Red Hat Lnux y
Fedora Core generamente se asgnar 899 como UID de usuaro. Los UID entre 0 y 99 son
reservados para as cuentas de os servcos de sstema.
E|empo:
useradd =u *++ =d /home/&ulano =3 &lopp$.pppusers.popusers &ulano
Lo anteror crear una cuenta de usuaro amada fuano, que se encuentra ncuda en os
grupos foppy, pppusers y popusers, que tendr un UID=500; utzar Bash como ntrprete de
mandatos y tendr un drectoro de traba|o en /home/fuano.
Exsten ms opcones y comentaros adconaes para e mandato useradd, as que se encuentran
especfcadas en os manuaes. Para acceder a esta nformacn, utce e mandato man useradd
desde una ventana termna.
!2'2'2' Eliminar una cuenta de usuario
En ocasones un admnstrador necestar emnar una o ms cuentas de usuaro. Este es un
procedmento prncpamente utzado en servdores y estacones de traba|o a os cuaes acceden
mtpes usuaros. Para ta fn nos vadremos de mandato userdel. La sntaxs bsca de este
mandato es a sguente:
userdel nombre%del%usuario
E|empo:
userdel &ulano
S se desea emnar tambn todos os archvos y drectoros subordnados contendos dentro de
drectoro de traba|o de usuaro a emnar, se deber agregar a opcn -r:
userdel =r nombre%del%usuario
E|empo:
114
userdel =r &ulano
!2'8' ?ane4o de 2rupos
!2'8'!' &lta de 2rupos
groupadd grupo=0ue=sea
!2'8'2' &lta de 2rupos de sistema
Un grupo de sstema es aque que tene un nmero de dentdad de grupo (GID) por deba|o de
500. Reguarmente se asgna automtcamente e nmero de dentdad de grupo ms ba|o
dsponbe.
groupadd =r grupo=0ue=sea
!2'8'8' #a4a de 2rupos
groupdel grupo=0ue=sea
!2'8'9' &si2nacin de usuarios existentes a 2rupos existentes
gpasswd =a usuario=0ue=sea grupo=0ue=sea
!2'9' Comentarios /inales acerca de la se2uridad
Cuando, en a mayora de os casos, un dencuente nformtco consgue nftrarse en un sstema
GNU/Lnux o Unx no es porque ste cuente con un hueco de segurdad, sno porque e ntruso
pudo vunerar aguna de as contraseas de as cuentas exstentes. S usted especfc durante e
proceso de nstaacn de Lnux una mala contrasea de root, ago muy comn entre usuaros
novcos, es atamente recomendado cambara.
Evte especfcar contraseas fces de advnar . Con esto nos refermos partcuarmente a
utzar contraseas que utcen paabras ncudas en cuaquer dcconaro de cuaquer
doma, datos reaconados con e usuaro o empresa, como son e regstro federa de
causantes (R.F.C.), fechas de nacmento, nmeros teefncos, seguro soca, nmeros de
cuentas de acadmcos o aumnos y nombres de mascotas, a paabra .inu(:, nombres de
persona|es de cenca fccn, etc.
Evte escrbr as contraseas sobre medos fscos, prefera sempre mtarse a
memorzaras.
S necesta amacenar contraseas en un archvo, hgao utzando cfrado.
S se e dfcuta memorzar contraseas compe|as, utce entonces contraseas fces de
recordar, pero c@mbielas peridicamente.
|ams proporcone una contrasea a personas o nsttucones que se a socten. Evte
proporconara en especa a personas que se dentfquen como membros de agn
servco de soporte o ventas. Este tmo caso o mencona con nfass a pgna de manua
115
de mandato passwd.
Consderaremos como una buena contrasea aquea se compone de una combnacn de
nmeros y etras mayscuas y mnscuas y que contene a menos 8 caracteres. Tambn es
posbe utzar pares de paabras con puntuacn nsertada y frases o secuencas de paabras, o
ben acrnmos de stas.
Observar estas recomendacones, prncpamente en sstemas con acceso a redes ocaes y/o
pbcas como Internet, har que e sstema sea ms seguro.
116
!2':' &p)ndice3 Con/i2urando valores prede/inidos para el
alta de cuentas de usuario
!2':'!' %ic.ero /etc/de/ault/useradd para de/inir variables utili=adas por
el mandato useradd
Como root, utce un edtor de texto sobre /etc/de/ault/useradd. Encontrar, nvarabemente, e
sguente contendo:
G useradd de&aults &ile
3RI#5H1++
7I!BH/home
4O>6?4@BH=1
BX54RBH
S7BAAH/bin/bash
S9BAH/etc/skel
Puede cambar o vaores que consdere convenentes.
!2':'!'!' Hariable G6?E
E drectoro de nco de usuaro ser creado dentro de /home, de acuerdo a como se estpua en
Est@ndar de "erar-u,a de Sistema de %ic.eros o FHS (%esystem Gerarchy Standard). E
vaor de esta varabe puede ser cambado de acuerdo a as necesdades o preferencas de
admnstrador.
Por e|empo, en e caso de un sstema dedcado a servco de hospeda|e de stos de red vrtuaes
a travs de HTTPD, pudera preferrse utzar /var/www para este fn a modo de smpfcar tareas
para e admnstrador de sstema.
En otros casos, especfcamente en servdores de correo, donde se quere apcar una soa cuota
de disco genera para buzn de correo y carpetas de correo en e drectoro de nco, pudera
crearse un drectoro dentro de /var, como por e|empo /var/home o /var/users, de modo que a
apcar cuota de dsco sobre a partcn /var, sta nvoucrara tanto e buzn de entrada de
usuaro, ocazado en /var/spool/mail/usuario, como as carpetas de correo en e drectoro de
nco de usuaro, ocazados dentro de drectoro /var/home/usuario/mail/.
!2':'!'2' Hariable SGELL
E ntrprete de mandatos a utzar para as nuevas cuentas que sean creadas en adeante se
defne a travs de a varabe SGELL. De modo predefndo e sstema asgna /bin/bash (BASH o
#ourne &gan S.e) como ntrprete de mandatos; sn embargo o certo es que s e sstema se
utzar como servdor, o ms convenente sera asgnare de modo predefndo otro vaor.
E ms utzado es /sbin/nologin, e cua es un programa que de forma corts rechaza e ngreso
en e sstema (ogn). Muestra un mensa|e respecto a que a cuenta no est dsponbe (o ben o
que se defna en /etc/nologin.txt) y da sada. Se utza como reempazo de un ntrprete de
mandatos en cuentas que han sdo desactvadas o ben que no se quere accedan haca un
ntrprete de mandatos. Este programa regstra en a btcora de sstema todo ntento de acceso.
Para utzaro como vaor para a varabe SHELL, so hay que cambar SGELLO/bin/bas. por
SGELLO/sbin/nolo2in.
117
G useradd de&aults &ile
GROUP=100
7I!BH/home
4O>6?4@BH=1
BX54RBH
">:776/sbin/nolo*in
S9BAH/etc/skel
En adeante todo nuevo usuaro que sea dado de ata en e sstema con e mandato useradd sn
parmetro aguno, de modo predefndo no podr acceder a sstema a travs de ntrprete de
mandatos (she), es decr, acceso en termna oca o remotamente. Los usuaros con estas
caracterstcas podrn, sn embargo, utzar cuaquer otro servcos como FTP, correo o Samba sn
probema aguno.
Otros vaores para a varabe SHELL pueden ser:
/sbin/nolo2in, programa que de forma corts rechaza e ngreso en e sstema
(ogn).
/bin//alse, programa que reaza sada nmedata ndcando faa. Es decr, que no
permte a reazacn de cosa aguna y adems con faa. Idea s se quere tener
cuentas de usuaro con acceso haca FTP, correo, Samba, etc., aunque sn permtr e
acceso haca un ntrprete de mandatos.
/dev/null, e dspostvo nuo que descarta todos os datos escrtos sobre ste y no
provee datos para cuaquer proceso que o ea. Idea para defnrse cuando se quere
utzar una cuenta que so tenga acceso a correo (SMTP, POP3, IMAP y/o cente de
correo con nterfaz HTTP).
/bin/bas., ntrprete de mandatos desarroado por e proyecto GNU. Es e ntrprete
de mandatos predefndo en Lnux y Mac OS X (a partr de Tger).
/bin/s., un enace smbco que apunta haca /bn/bash y ofrece una versn
smpfcada de Bash muy smar a Bourne She (sh).
/bin/tcs., una versn me|orada de de mandatos de C (csh).
/bin/as., un con de Bourne she (sh) que utza menos memora.
/bin/=s., una versn me|orada de sh con funcones tes encontradas en Bash y
tcsh.
!2':'2' Directorio /etc/sLel como molde para crear los directorios de
inicio de los usuarios
De modo predefndo as cuentas de usuaro de sstema utzarn como mode a drectoro
/etc/skel para crear e drectoro de nco de todos os usuaros de sstema. En sstemas
basados sobre Red Hat, reguarmente y como mnmo, e drectoro /etc/skel ncuye os
sguentes guones de nco:
8bash%logout 8bash%pro&ile 8bashrc 8gtkrc
S, por e|empo, se desea que cada cuenta de usuaro ncuya un drectoro subordnado para
carpetas de correo y suscrpcn a stas a travs de servco de IMAP, se debe reazar e
sguente procedmento:
mkdir /etc/skel/mail/
touch /etc/skel/mail/:orradores
touch /etc/skel/mail/Bnviados
touch /etc/skel/mail/5apelera
118
Y ,fnamente, crear con el editor de texto e fchero /etc/skel/.mailboxlist que srve para
regstrar as suscrpcones haca carpetas de correo que sern utzadas por e servco IMAP con
un servdor UW-IMAP, utzando e sguente contendo:
mail/:orradores
mail/Bnviados
mail/5apelera
S se pretende utzar modo grfco en e sstema, de forma adcona se puede corregr un
probema con agunas versones de Frefox que generan un drectoro -/.moza con permsos de
acceso so para root, de modo ta que a aadro en /etc/ske se ncuya un drectoro -/.moza
con permsos de acceso para e usuaro a crear cada cuenta de usuaro.
mkdir /etc/skel/8mo"illa
!2';' &p)ndice3 E4ercicio3 Creando cuentas de usuario
!2';'!' Introduccin
A fn de poder traba|ar con comoddad, se crearn agunos grupos y cuentas de usuaro con
dversas caracterstcas.
!2';'2' Arocedimientos
1. Genere contendo predefndo para os drectoros de nco a fn de que e de cada usuaro
contenga os drectoro subordnados -/Desktop, -/Documents, -/ma y -/.moza:
ls =a /etc/skel
mkdir /etc/skel/Y<esktop.<ocuments.mail.8mo"illaZ
ls =a /etc/skel
2. Genere, s no o ha hecho an como parte de os procedmentos de curso, a usuaro
denomnado fuano con derecho a ntrprete de mandatos, drectoro de nco /.ome//ulano
y grupo prncpa fuano (vaores por defecto):
useradd =s /bin/b's& &ulano
passwd &ulano
3. Genere a usuaro denomnado mengano sn derecho a ntrprete de mandatos, asgnando e
drectoro de nco /.ome/men2ano y grupo prncpa mengano (vaores por defecto):
useradd =s /sbin/nolo*in mengano
passwd mengano
4. Genere e grupo denomnado desarroo:
groupadd desarrollo
5. Genere e grupo denomnado sstemas como grupo de sstema:
119
groupadd $r sistemas
6. Genere os drectoros subordnados /.ome/desarrollo y /.ome/sistemas/ de sguente
modo:
mkdir =p /home/desarrollo
mkdir =p /home/sistemas
7. Genere a usuaro denomnado perengano con derecho a ntrprete de mandatos, asgnando
e drectoro de nco /home/desarrollo/perengano, grupo prncpa de desarroo y grupo
adcona sstemas:
useradd =s /sbin/nologin =m =d /&ome/(es'rrollo/peren*'no $* (es'rrollo =3 sistemas perengano
passwd perengano
8. Genere a usuaro denomnado zutano con derecho a ntrprete de mandatos, asgnando e
drectoro de nco /home/sistemas/zutano, grupo prncpa sstemas y grupo adcona de
desarroo:
useradd =s /bin/bash =m =d /&ome/sisem's/5u'no $* sisem's =3 desarrollo "utano
passwd "utano
9. Vsuace e contendo de os fcheros /etc/2roup y /etc/passNd y compare y determne as
dferencas entre os grupos desarroo y sstemas y os usuaros fuano, mengano,
perengano y zutano.
cat /etc/group
cat /etc/passwd
120
!8' #reve leccin de mandatos b@sicos'
!8'!' Introduccin'
Por favor si2a los procedimientos al pie de la letra. En varos e|empos utzar e carcter -
(tde), que es una forma de abrevar e drectoro de nco de usuaro con e que se ha ngresado
a sstema.
!8'2' Arocedimientos'
Ingrese a sstema como usuaro (fuano).
Una vez que ha ngresado a sstema, reace o sguente:
pwd
Lo anteror e mostrar a ruta actua donde se ocaza, en este caso su drectoro de nco. E
mandato pNd, por tanto, srve para mostrar a ruta de drectoro de traba|o actua (pat! of
wor0in% directory).
Reace o sguente:
cd /usr/local
pwd
Lo anteror o cambar a drectoro /usr/local y e mostrar a ruta actua. E mandato cd, por
tanto, srve para cambar de drectoro de traba|o (c!an%e directory).
Reace o sguente:
cd
pwd
Lo anteror o regresar a drectoro de nco (-) y e mostrar que ahora se ocaza dentro de
ste.
Reace o sguente:
ls /usr/local
121
Lo anteror mostrar e contendo de drectoro /usr/local y adems e demostrar que es
nnecesaro cambarse a un drectoro en partcuar para ver su contendo. E mandato ls, por
tanto, srve para mostrar a sta de contendo de drectoros (list)
Reace o sguente:
ls
ls =a
Lo anteror prmeramente mostrar que aparentemente no hay contendo en e drectoro de nco
(-); despus se mostrar o sguente y que en readad s hay contendo; os fcheros y drectoros
de converten a ocutos a renombrares y poneres un punto a nco.
8bash%logout 8bash%pro&ile 8bashrc
Reace o sguente:
ls =la
Lo anteror deber de mostrar todo e contendo de su drectoro de nco (-) y mostrar adems
os atrbutos y permsos:
drwxr=xr=x ( &ulano &ulano -+/6 ago 1, ++216 8
drwxr=xr=x (6 root root '1/( ago (/ 112+/ 88
=rw=r==r== 1 &ulano &ulano (- dic 11 (++, 8bash%logout
=rw=r==r== 1 &ulano &ulano 1/1 dic 11 (++, 8bash%pro&ile
=rw=r==r== 1 &ulano &ulano 1(- dic 11 (++, 8bashrc
Reace o sguente:
ls ==help
Lo anteror e mostrar a ayuda rpda de s. Puse smutneamente en su tecado os botones
<SHIFT> y <Re Pg> y uego puse smutneamente en su tecado os botones <SHIFT> y <Av
Pg>; sto har que se despace a pantaa permtendo eer toda a nformacn.
Puse e botn <ENTER> y reace o sguente:
man ls
Lo anteror e mostrar e manua en espao. Puse as tecas de <Av Pg> y <Reg Pg> para
avanzar en e manua. Puse a teca / y a contnuacn ngrese nmedatamente a paabra
drectoro y uego puse a teca <ENTER>:
2/directorio
Lo anteror e mostrar que se ha reazado una bsqueda y resatado de a paabra drectoro
en e manua de s. Para sar de manua de s, puse a teca -.
Reace o sguente para crear un nuevo drectoro:
122
mkdir e1emplos1
Reace o sguente para ntentar generar un subdrectoro denomnado uno dentro de
drectoro e|empos2 (e cua no exste ;n).
mkdir e1emplos(/uno/
Lo anteror deber devover un mensa|e de error como e sguente:
mkdir2 no se puede crear el directorio [e1emplos(/uno\2 Oo existe el &ichero o el
directorio
A fn de poder crear e subdrectoro uno dentro de drectoro e|empos2, es necesaro crear
prmero e|empos2. Sn embargo puede ndcare a mkdr que genere toda a ruta aadendo a
opcn -p (path):
mkdir =p e1emplos(/uno
ls
ls e1emplos(
Lo anteror creo e drectoro e|empos2 |unto con e subdrectoro uno en su nteror y mostr
que fue creado e|empos2 y posterormente e contendo de e|empos2 para verfcar que
tambn fue creado uno.
Ahora coparemos agunos fcheros para expermentar un poco dentro de esta carpeta utzando
e mandato cp:
cp /etc/&stab S/e1emplos1/
Luego vueva a utzar e mandato cp de este modo:
cp /etc/passwd S/e1emplos1/
Con os dos anterores procedmentos habr copado dos dstntos fcheros (/etc//stab y
/etc/passNd) dentro de drectoro ejemplos;. Proceda entonces a |ugar con estos. Utce de
nuevo e mandato mLdir y genere una carpeta denomnada adicional dentro de drectoro de
e4emplos!.
mkdir S/e1emplos1/adicional
Ahora acceda haca e drectoro de ejemplos; para contnuar. Reace o sguente:
cd S/e1emplos1/
Y ahora proceda a ver e contendo de esta carpeta. Utce e sguente mandato:
ls
Observar en a pantaa ago como esto:
123
E&ulanoRlocalhost e1emplos1FJ
adicional &stab passwd
Ahora est vsuazando os fcheros /stab y passNd y e drectoro adicional
Mueva uno de estos fcheros dentro de drectoro adicional utzando e mandato mv:
mv &stab adicional
Para ver e resutado, prmero vea que ocurr en e drectoro e4emplos! utzando de nuevo e
mandato ls:
ls
Ver una sada en pantaa smar a a sguente:
adicional passwd
Acceda haca e drectoro adicional con e mandato cd
cd adicional
Se observar una sada smar a a sguente:
E&ulanoRlocalhost adicionalFJ
&stab
E&ulanoRlocalhost adicionalFJ

Regrese haca e drectoro e4emplos! que se encuentra en e nve superor utzando e
mandato cd:
cd 88/
Ahora proceda a emnar e fchero passNd que se encuentra en e drectoro e4emplos!
rm passwd
Haga o msmo con /stab, e cua se ocaza dentro de drectoro adicional:
rm adicional/&stab
Emne e drectoro adicional:
rmdir adicional
124
!8'2'!' Hisuali=ando contenido de /ic.eros'
S utza e mandato cat sobre un fchero, a sada devover e contendo de este. utce o
sguente para ver e contendo de fchero /etc/crontab:
cat /etc/crontab
Lo anteror debe devover una sada similar a a sguente:
S7BAAH/bin/bash
5>?7H/sbin2/bin2/usr/sbin2/usr/bin
!>4A?IHroot
7I!BH/
G run=parts
+1 M M M M root run=parts /etc/cron8hourl$
+( - M M M root run=parts /etc/cron8dail$
(( - M M + root run=parts /etc/cron8weekl$
-( - 1 M M root run=parts /etc/cron8monthl$
S soo se qusera ver as neas que contengan a cadena de caracteres root, se utza e
mandato grep como subrutna de sguente modo:
cat /etc/crontab ] grep root
Lo anteror debe devover una sada smar a a sguente:
!>4A?IHroot
S se qusera hacer o contraro, y soo vsuazar as neas que no contengan a cadena de
caracteres root, se utza e mandato 2rep como subrutna de sguente modo:
cat /etc/crontab ] grep =v VrootV
S7BAAH/bin/bash
7I!BH/
G run=parts
Lo anteror ncuye tambn as neas vacas. Para mostrar e msmo resutado sn neas vacas, se
utza e msmo mandato agregando sed -e '/$/d' como subrutna de sguente modo, donde sed
es un edtor para ftrado y transformacn de texto, e|ecutando (1e) /XY/d que se refere a neas
vacas:
cat /etc/crontab ] grep =v VrootV ] sed =e W/^J/dW
125
S7BAAH/bin/bash
7I!BH/
G run=parts
!8'2'2' Generacin de texto por bucles'
Reace o sguente, donde se utza e mandato perl e|ecutando (1e) e gun for($=1;$<10;$+
+){prnt "$n";}, en e cua se genera a varabe i que es gua a 1 y menor a 10 y a a cua se va
sumando y devueve una sada con e vaor de i con retorno de carro.
perl =e W&or(JiH1XJi_1+XJiLL)Yprint VJiNnVXZW
1
(
,
-
*
6
)
'
/
Modfque e gun de mandato anteror y reempace 5Yin5 por 5N7mero Yin5 de sguente
modo:
perl =e W&or(JiH1XJi_1+XJiLL)Yprint VO`mero JiNnVXZW
O`mero 1
O`mero (
O`mero ,
O`mero -
O`mero *
O`mero 6
O`mero )
O`mero '
O`mero /
Para guardar sto en un fchero, aada a mandato anteror >> -/texto.txt de sguente modo
para cambar a sada estndar de a pantaa haca e fchero -/texto.txt:
perl =e W&or(JiH1XJi_1+XJiLL)Yprint VO`mero JiNnVXZW QQ S/texto8txt
Lo anteror soo regresa e smboo de sstema. Utce emandato cat para vsuazar e contendo
de fchero -/texto.txt de sguente modo:
126
cat S/texto8txt
Lo anteror debe devover una sada smar a a sguente y que corresponde a contendo de
fchero -/texto.txt:
O`mero 1
O`mero (
O`mero ,
O`mero -
O`mero *
O`mero 6
O`mero )
O`mero '
O`mero /
!8'2'8' #ucles'
A contnuacn aprender a utzar funcones ms avanzadas. En e sguente caso usted crear
respados de un con|unto de fcheros de mgenes, asgnando a cada uno un nombre dstnto a
que tenan en su drectoro de orgen. Prmero crear un nuevo drectoro:
mkdir S/respaldos
Reace os sguentes mandatos:
)( /usr/s&'re/pi.m'ps/
&or & in M8png
do
cp J& S/respaldos/copia=J&
done
cd
Lo anteror reazar a copa en sere de os fcheros dentro de /usr/s.are/pixmaps/ dentro de
W/respaldos/ anteponendo en e nombre de as copas a paabra copa. Mre e contendo de
W/respaldos/ de sguente modo:
ls S/respaldos/
En e sguente caso usted defnr dos varabes ($hombre y $mu|er) cuyos datos sern obtendos
a partr de un fchero de texto smpe (pare|as.txt) y obtendr una sada por cada |uego de
varabes.
cd
echo Vauan aose&inaV QQ pare1as8txt
echo V5edro aulietaV QQ pare1as8txt
echo V5ablo !iriamV QQ pare1as8txt
echo Vaorge >ntoniaV QQ pare1as8txt
echo VBrnesto 6armenV QQ pare1as8txt
while read hombre mu1er
do
echo VJhombre es pare1a de Jmu1erV
echo V========================================V
done _ pare1as8txt
127
!8'2'9' &liases'
Reace o sguente:
touch algo=nuevo8txt
touch otro=nuevo8txt
cp algo=nuevo8txt otro=nuevo8txt
En o anteror se crearon con e mandato touc. os fcheros al2o1nuevo'txt y otro1nuevo'txt y
se reaz una copa de al2o1nuevo'txt sobreescrbendo otro1nuevo'txt. Note que se
sobreescrb a otro1nuevo'txt sn preguntar.
E|ecute ahora o sguente:
alias cpHVcp =iV
cp algo=nuevo8txt otro=nuevo8txt
En o anteror se creo un aas denomnado cp que corresponde en readad a mandato cp con a
opcn 1i, a cua corresponde a preguntar s se sobreescrben fcheros reguares destno
exstentes. Cuando se e|ecuta de nuevo e mandato cp, ste o drectamente hace con a opcn
1i.
Para deshacer e aas sobre e mandato cp, soo se necesta e|ecutar:
unalias cp
Reace o sguente para crear un nuevo mandato como alias:
alias mi=mandatoHVls =l ]lessV
Lo anteror crea un alias denomnado mi1mandato, e cua corresponder a e|ecutar e mandato
s con a opcn - y adems e|ecutar como subrutna a mandato ess. e|ecute mi1mandato de
sguente modo y estude a sada.
mi=mandato /etc
Lo anteror debe haber mostrado e contendo de drectoro /etc utzando less para poder
despazar cmodamente a pantaa. Para sar de less soo puse a teca -.
Los aases creados perduran hasta que es cerrada a sesn de usuaro. Para que cuaquer aas
sea permanente para un usuaro en partcuar, hay que especfcar estos a fna de fchero
W/'bas.Upro/ile, o ben como root en agn fchero *.sh dentro de drectoro /etc/pro/ile'd/ para
que sea utzado por todos os usuaros de sstema. E|ecute e mandato alias para ver a sta de
aases predefndos en e sstema.
alias
!8'2':' &pa2ado * reinicio de sistema'
Fnamente, y para concur a breve eccn de mandatos, es mportante conocer que en
128
GNU/Lnux se desempean varos procesos en e trasfondo. Estos servcos deben ser fnazados
apropadamente. E sstema operatvo es muy dferente a MS-DOS, en donde se poda apagar e
sstema en cuaquer momento. Hay que cerrar e sstema apropadamente, termnando servcos,
guardar en dsco e contendo de amacenamento prevo de a memora (buffer) que o requera,
y desmontar todos os sstemas de fcheros. Para ta fn se utzan os mandatos poNero// y
reboot.
Para cerrar y apagar e sstema, debe utzar e sguente mandato:
powero&&
Para cerrar y rencar e sstema, debe utzarse e sguente mandato:
reboot
!8'8' 0esumen de mandatos b@sicos'
Puede y debe obtener mas detaes acerca de estos y otros muchos ms mandatos utzando a
opcn 11.elp con cuaquer cas cuaquer mandato. Pude consutar e manua detaado de cas
cuaquer mandato conocdo teceando man precedendo de mandato a consutar:
man Enombre del mandatoF
Para sar de as pgnas de manua de mandatos soo puse a teca -.
Babla !' 0esumen de mandatos b@sicos'
S se necesta acceder haca una
carpeta en especa, utce:
cd Eruta exacta o relativaF
S se necesta crear una nueva carpeta,
utce:
mkdir Enombre del directorioF
S se desea copar un fchero, utce: cp EorigenF EdestinoF
S se desea mover una fchero, utce: mv Eruta del &ichero a moverF Edirectorio en donde
se desea moverF
S se desea emnar un fchero, utce: rm Enombre del &ichero o ruta exacta hacia el
&icheroF
S se desea emnar una carpeta,
utce:
rmdir Enombre del &ichero o ruta exacta hacia el
directorioF
S se desea apagar o rencar e
sstema, utce:
powero&& $ reboot (pueden ser utili"ados como
usuario)
shutdown E=h =rF Enow 1.(.,.-.*.6888F (solo se
pueden utili"ar como roo)
129
!9' %unciones b@sicas de vi
!9'!' Introduccin
v es uno de os edtores de texto ms poderosos y ae|os que hay en e mundo de a nformtca.
Resuta sumamente t conocer a funconadad bsca de v a fn de factar a edcn de
fcheros de texto smpe, prncpamente fcheros de confguracn.
!9'2'!' Instalacin * pa-uetes adicionales
Por o genera, v se nstaa de modo predefndo en a mayora de as dstrbucones de GNU/Lnux
a travs de paquete vim1minimal. Puede aadrse funconadad adcona a travs de os
sguentes paquetes:
vim1en.anced3 Una versn me|orada de v que aade coor a a sntaxs y otras me|oras en a
nterfaz.
vim1F!!: Versn de v para modo grfco que resuta ms fc de utzar gracas a os
mens y barra de herramentas.
S o desea, puede proceder a nstaar v y e resto de os paquetes reaconados reazando o
sguente:
$um =$ install vim vim=enhanced vim=common vim=minimal
!9'8' Conociendo vi
Acceda a sstema autentcando como usuaro (fuano) y reace o sguente:
vi holamundo8txt
Lo anteror mostrar una nterfaz como a sguente:
130
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
Vholamundo8txtV EDichero nuevoF +.+=1 ?odo
Puse una vez e botn <INSERT> de su tecado y observe os cambos en a pantaa
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
$$ JA":B@8B $$ +=1 ?odo
Note que en a parte nferor de a pantaa aparece a paabra INSE0B&0. Esto sgnfca que, a
gua que cuaquer otro edtor de texto conocdo, puede comenzar a nsertar texto en e fchero.
Escrba a frase Acance Lbre, puse a teca <ENTER> y escriba de forma propostva a frase
un vuen cto donde empesa:
131
>lcance Aibre
un vuen citio donde empesar
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
$$ JA":B@8B $$ +=1 ?odo
Poscone e cursor de tecado |usto por deba|o de a v de a paabra vuen y puse de nuevo a
teca <INSERT> de tecado. Notar que ahora aparece a paabra REEMPLAZAR:
>lcance Aibre
un vuen citio donde empesar
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
$$ B::=+78K8B $$ +=1 ?odo
Puse a teca b y observe como se reempaza a etra v dando como resutado que a paabra
quede ortogrfcamente correcta como buen:
132
>lcance Aibre
un buen citio donde empesar
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
$$ B::=+78K8B $$ +=1 ?odo
Mueva e cursor con as fechas de tecado y repta e procedmento reempazando a etra c
por una s en a paabra cto de modo que quede como sto y de gua modo reempace a
etra s por una z en a paabra reempasar de modo que quede como empezar:
>lcance Aibre
un buen sitio donde empe"ar
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
$$ B::=+78K8B $$ +=1 ?odo
Puse a teca <ESC> para sar de modo de reempazo e nmedatamente puse a teca : (dos
puntos) segudo de a etra w a fn de proceder a guardar e fchero en e dsco duro:
133
>lcance Aibre
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
2w
Puse a teca <ENTER> y notar que aparece un mensa|e en a parte nferor de a pantaa que
ndcar que e fchero ha sdo guardado:
>lcance Aibre
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
Vholamundo8txtV EOuevoF (A. --6 escritos (., ?odo
Vueva a pusar a teca 3 (dos puntos) e nmedatamente escrba saveas adosmundo.txt:
134
>lcance Aibre
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
2saveas adiosmunto8txt
Puse nuevamente a teca <ENTER> y observe e mensa|e en a parte nferor de a pantaa que
ndca que e fchero acaba de ser guardado como adosmundo.txt:
>lcance Aibre
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
Vadiosmundo8txtV EOuevoF (A. --6 escritos (., ?odo
Vueva a pusar a teca INSERT para regresar a modo de nsercn y escrba o sguente:
135
>lcance Aibre
6reo 0ue el mundo es un lugar mu$ malo
Aa gente 0ue cono"co es mala
!i vida ha sido mu$ mala
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
== 4OSBR?>R == *.(- ?odo
A contnuacn puse a teca <ESC> e nmedatamente puse a teca 3 (dos puntos) segudo de a
combnacn de tecas Vs/mal/buen/2 de sguente modo:
>lcance Aibre
6reo 0ue el mundo es un lugar mu$ malo
Aa gente 0ue cono"co es mala
!i vida ha sido mu$ mala
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
2Us/mal/buen/g
Puse de nuevo a teca <ENTER> y observe como ha sdo reempazada a cadena de caracteres
ma por a cadena de caracteres buen en todo e fchero, quedando de sguente modo:
136
>lcance Aibre
6reo 0ue el mundo es un lugar mu$ bueno
Aa gente 0ue cono"co es buena
!i vida ha sido mu$ buena
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
, sustituciones en , lbneas *.1 ?odo
En e procedmento anteror, e smboo % ndcaba que se apcara un procedmento a todo e
fchero, no soo en a msma nea; a etra s ndcaba que se reazara a bsqueda de a cadena
de caracteres ma defnda despus de a dagona (/) por a cadena de caracteres buen en
toda a nea, ndcado por a etra g.
A contnuacn, poscone e cursor de tecado utzando as fechas de tecado hasta e prmer
carcter de a prmera nea:
>lcance Aibre
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
, sustituciones en , lbneas *.1 ?odo
Ahora puse dos veces consecutvas a teca d, es decr, pusar dd. Observe como
desaparece a prmera nea:
137
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S

Puse ahora a teca p para vover a pegar a nea:
>lcance Aibre
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S

Observe que a nea Acance Lbre reaparec deba|o de a nea un buen sto donde
empezar. Utzando as fechas de tecado, cooque e cursor de tecado nuevamente sobre e
prmer carcter de a prmera nea de fchero, es decr, sobre a etra u de a nea un buen
sto donde empezar:
138
>lcance Aibre
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
1.1 ?odo
Vueva a pusar dd para cortar a nea un buen sto donde empezar e nmedatamente puse
a teca p para pegar a nea en e ugar correcto:
>lcance Aibre
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
(.1 ?odo
Cooque ahora e cursor sobre a etra C de a nea Creo que e mundo es un ugar muy bueno
y puse a teca 3 segudo de dd y observe como son cortadas as tres sguentes neas:
139
>lcance Aibre
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
, lbneas menos (.1 ?odo
Puse a teca p una vez, observe e resutado. Vueva a pusar a teca p y observe e
resutado. Las dos accones anterores aaderon ahora 6 neas restaurando as emnadas
anterormente y agregando tres neas ms con e msmo contendo:
>lcance Aibre
S
S
S
S
S
S
S
S
S
S
S
S
, lbneas mcs (.1 ?odo
Puse ahora a teca 3 (dos puntos) segudo de a teca x y a teca <ENTER> a fn de sar
guardando e fchero.
Abra nuevamente e fchero adiosmundo'txt con v y puse a combnacn de tecas 3/buen, de
modo que se reace una bsqueda de a cadena de caracteres buen y adems se resaten as
concdencas:
140
>lcance Aibre
S
S
S
S
S
S
S
S
S
S
S
S
/buen (.1 ?odo
Para cancear o que se encuentra resatado de os resutados, puse a combnacn de tecas
3no.l:
>lcance Aibre
S
S
S
S
S
S
S
S
S
S
S
S
(.1 ?odo
Puse & (combnacn de as tecas SHIFT+a) mentras e cursor permanece en a segunda nea y
observe que ncar e modo INSE0B&0 coocando e cursor a fna de a nea donde se
encontraba:
141
>lcance Aibre
S
S
S
S
S
S
S
S
S
S
S
S
$$ JA":B@8B $$ (.1 ?odo
Puse a teca <ESC> y enseguda o. Notar que ncar e modo INSE0B&0 abrendo una nueva
nea:
>lcance Aibre

S
S
S
S
S
S
S
S
S
S
S
$$ JA":B@8B $$ ,.1 ?odo
Puse nuevamente a teca <ESC> y en seguda a combnacn dG (d, uego SHIFT+G). Notar
que se emna todo e contendo de texto desde a poscn de cursor hasta e fna de fchero:
142
>lcance Aibre
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
) lbneas menos (.1 ?odo
Puse a combnacn 3u y notar que e cambo se ha descartado, regresando as 7 neas que
haban sdo emnadas:
>lcance Aibre

S
S
S
S
S
S
S
S
S
S
S
) lbneas mcs ,.+=1 ?odo
!9'9' 6tras combinaciones de teclas
Combinacin 0esultado
|o ben a teca nsert| Inca nsertar texto antes de cursor
a Inca nsertar texto despu)s de cursor
I ( + SHIFT) Inca nsertar texto a inicio de a nea donde se encuentra e cursor
A (a + SHIFT) Inca nsertar texto a /inal de a nea donde se encuentra e cursor.
o Abre una nueva nea e nca nsertar texto en a nueva nea.
x Emna e carcter que est sobre e cursor.
143
Combinacin 0esultado
dd Emna a nea actua donde se encuentre e cursor.
D Emna desde a poscn actua de cursor hasta e fna de a msma nea
donde se encuentra e cursor.
dG Emna todo hasta e fna de fchero.
:q Aparece s no hubo cambos en e fcheros.
:q! Aparece descartando os cambos en e fchero.
:w Guarda e fchero sn sar.
:wq Guarda e fchero y sae de v.
:x Lo msmo que :wq
:saveas /o/que/sea Guarda e fchero como otro fchero donde sea necesaro.
:wq! ++enc=utf8 Codfca e fchero en UTF-8.
:u Deshacer cambos
:red Rehacer cambos.
:/cadena de caracteres Bsqueda de cadenas de caracteres.
:noh Cancear e resatado de resutados de Bsqueda.
!9':' ?@s all@ de las /unciones b@sicas
Instae e paquete vm-enhanced:
$um =$ install vim=enhanced
Utce vimtutor y compete e tutor interactivo o/icial de v a fn de que conozca e resto de as
funconadades ms mportantes.
144
!:' Introduccin a sed
!:'!' Introduccin'
!:'!'!' &cerca de sed'
Sed es un edtor de emsones (stream edtor) utzado para e procesamento de texto en
fcheros. Utza un engua|e de programacn para reazar transformacones en una emsn de
datos eyendo nea por nea de estos. Fue desarroado entre 1973 y 1974 por Lee E. McMahon de
Be Labs. Est ncudo en as nstaacones bscas de prctcamente todas as dstrbucones de
GNU/Lnux.
!:'2' Arocedimientos'
A contnuacn se mostrarn e|empos de uso de sed.
Utce v para crear e fchero usuaro.txt:
vi usuario8txt
Ingrese e sguente contendo y saga de v:
Dulano >lgo
6alle !engana 1(,
6olonia 5erengana
6iudad de ;utano. 6858 1(,-*6
S utza e mandato cat sobre e fchero, vsuazar ta cua e contendo de usuaro.txt como fue
ngresado en v.
cat usuario8txt
S se quere convertr a dobe espaco a sada de fchero usuaro.txt, utce e sguente mandato:
sed 3 usuario8txt
La sada devover o sguente:
Dulano >lgo
145
6alle !engana 1(,
6olonia 5erengana
Para guardar esta sada en e fchero usuaro2.txt, utce o sguente:
sed 3 usuario8txt Q usuario(8txt
S se quere convertr a dobe espaco a sada de fchero usuaro.txt, utce e sguente mandato:
sed W3X3W usuario8txt
Dulano >lgo
6alle !engana 1(,
6olonia 5erengana
Para guardar esta sada en e fchero usuaro2.txt, utce o sguente:
sed W3X3W usuario8txt Q usuario,8txt
E contendo de usuaro3.txt tendr trpe espaco de separacn. S se desea convertr un fchero a
dobe espaco, pero que no haya ms de una nea vaca entre cada ena con datos, se utza o
sguente:
sed W/^J/dX3W usuario,8txt
Dulano >lgo
6alle !engana 1(,
6olonia 5erengana
S se desea emnar e dobe espaco de fchero usuaro2.txt, se utza o sguente:
sed WnXdW usuario(8txt
Dulano >lgo
6alle !engana 1(,
6olonia 5erengana
S se quere agregar una nea en banco arrba de toda nea que contenga a expresn reguar
en2a, se utza o sguente:
146
sed W/enga/YxXpXxXZW usuario8txt
Dulano >lgo
6alle !en*'na 1(,
6olonia 5erengana
S se quere agregar una nea en banco deba|o de toda nea que contenga a expresn reguar 8,
se utza o sguente:
sed W/,/3W usuario8txt
Dulano >lgo
6alle !engana 1(3
6olonia 5erengana
6iudad de ;utano. 6858 1(3-*6
S se quere agregar una nea en banco arrba y deba|o de toda nea que contenga a expresn
reguar 8, se utza o sguente:
sed W/,/YxXpXxX3XZW usuario8txt
Dulano >lgo
6alle !engana 1(,
6olonia 5erengana
Para reempazar texto se utza e modeo 's/texto/nuevo-texto/' donde texto puede ser tambn
una expresn reguar. En e sguente e|empo se reempazarn as ncdencas de nmero por e
nmero 9:
sed Ws/,///gW usuario8txt
Dulano >lgo
6alle !engana 1(9
6olonia 5erengana
En e sguente e|empo se reempazan os espacos por tabuadores a todo o argo de todas as
neas:
sed Ws/N /Nt/gW usuario8txt
147
Dulano >lgo
6alle !engana 1(,
6olonia 5erengana
En e sguente e|empo se reempazan soo e prmer espaco de cada nea por un tabuador:
sed Ws/N /Nt/W usuario8txt
Dulano >lgo
6alle !engana 1(,
6olonia 5erengana
La sguente nea aade 5 espacos a nco de cada nea:
sed Ws/^/ /W usuario8txt
Dulano >lgo
6alle !engana 1(,
6olonia 5erengana
E sguente mandato soo mprme a prmera nea de fchero usuaro.txt:
sed 0 usuario8txt
Dulano >lgo
E sguente mandato soo mprme as prmeras dos neas de fchero usuaro.txt:
sed (0 usuario8txt
Dulano >lgo
6alle !engana 1(,
E sguente mandato soo muestra as tmas tres neas de fchero usuaro.txt:
sed =e 2a =e WJ0XOX-.J<XbaW usuario8txt
148
6alle !engana 1(,
6olonia 5erengana
E sguente mandato soo mostrar as neas que ncuyen 8:
sed W/,/ddW usuario8txt
6alle !engana 1(3
E sguente mandato soo mostrar as neas que no ncuyen 8:
sed W/,/dW usuario8txt
Dulano >lgo
6olonia 5erengana
E sguente mandato pde mostrar a nea que est nmedatamente despus de a expresn
%ulano, pero no a nea en s que ncuye %ulano:
sed =n W/Dulano/YnXpXZW usuario8txt
6alle !engana 1(,
E sguente mandato pde mostrar a nea que est nmedatamente antes de a expresn Calle,
pero no a nea en s que ncuye Calle:
sed =n W/6alle/YgX1dpXZXhW usuario8txt
Dulano >lgo
!:'8' #iblio2ra/,a'
Erc Pement: http://student.northpark.edu/pemente/sed/sed1ne.txt
Wkpeda: http://en.wkpeda.org/wk/Sed
149
!;' Introduccin a &ZK
!;'!' Introduccin'
!;'!'!' &cerca de &ZK'
&ZK, cuyo nombre derva de a prmera etra de os apedos de sus autores Afred &ho, Peter
Zenberger y Bran Kernghan, es un engua|e de programacn que fue dseado con e ob|etvo
de procesar datos basados sobre texto y una de as prmeras herramentas en aparecer en Unx.
Utza stas en un ndce ordenado por cadenas cave (stas asocatvas) y expresones reguares.
Es un engua|e ampamente utzado para a programacn de guones e|ecutabes pues aade
funconadad a as tuberas en os sstemas operatvos tpo A6SIF. Est ncudo en as
nstaacones bscas de prctcamente todas as dstrbucones de GNU/Lnux.
!;'!'2' Estructura de los pro2ramas escritos en &ZK'
E mandato aNL utza un fchero o emsn de ordenes y un fchero o emsn de entrada. E
prmero ndca como procesar a segundo. E fchero de entrada es por o genera texto con agn
formato que puede ser un fchero o ben a sada de otro mandato.
La sntaxs genera utzada para e mandato aNL sgue e sguente patrn:
awk 'expresn-reguar { orden }'
Cuando se utza e mandato awk, ste examna e fchero de entrada y e|ecuta a orden cuando
encuentra a expresn reguar especfcada.
E sguente modeo e|ecutara a orden a nco de programa y antes de que sean procesados os
datos de fchero de entrada:
awk W:B34O Y orden ZW
E sguente modeo e|ecutara a orden a fna de programa y despus de que sean procesados
os datos de fchero de entrada:
awk W:B34O Y orden ZW
E sguente modeo e|ecutara a orden por cada una de as neas de fchero de entrada:
150
awk WY orden ZW
!;'2' Arocedimientos'
A contnuacn se mostrarn e|empos de uso de AWK.
E sguente mandato especfca que a nco se mprma en a sada a frase "Hoa mundo" y
termnar e procesamento.
awk W:B34O Y print V7ola mundoVX exit ZW
Lo anteror deber devover una sada como a sguente:
7ola mundo
S se genera e fchero prueba.txt de sguente modo:
echo =e V6olumna1Nt6olumna(Nt6olumna,Nt6olumna-NnV Q e1emplo8txt
Y se vsuaza con e mandato cat:
cat e1emplo8txt
Devover e sguente contendo:
6olumna1 6olumna( 6olumna, 6olumna-
S se utza e mandato awk para que soo muestre a coumna 1 y a coumna 3 de sguente
modo:
awk WY print J1. J,ZW e1emplo8txt
6olumna1 6olumna,
S se utza e mandato awk para que soo muestre a coumna 3 y a coumna 1, en ese orden, de
sguente modo:
awk WY print J,. J1ZW e1emplo8txt
6olumna, 6olumna1
S se aaden datos a fchero e|empo.txt de sguente modo:
echo =e V<ato1Nt<ato(Nt<ato,Nt<ato-NnV QQ e1emplo8txt
151
echo =e V<ato*Nt<ato6Nt<ato)Nt<ato'NnV QQ e1emplo8txt
echo =e V<ato/Nt<ato1+Nt<ato11Nt<ato-N1(V QQ e1emplo8txt
Y se vsuaza con e mandato cat:
cat e1emplo8txt
Devover e sguente contendo:
6olumna1 6olumna( 6olumna, 6olumna-
<ato1 <ato( <ato, <ato-
<ato* <ato6 <ato) <ato'
<ato/ <ato1+ <ato11 <ato-
S se utza nuevamente e mandato awk para que soo muestre a coumna 1 y a coumna 3 de
sguente modo:
awk WY print J1. J,ZW e1emplo8txt
6olumna1 6olumna,
<ato1 <ato,
<ato* <ato)
<ato/ <ato11
S se utza e mandato awk de sguente modo para que soo muestre soo a nea cuya coumna
contenga a expresn reguar Dato5:
awk W/<ato*/ Y print ZW e1emplo8txt
<ato* <ato6 <ato) <ato'
S se utza e mandato awk de sguente modo para que soo muestre soo a nea cuya coumna
contenga a expresn reguar Dato5, y adems soo as coumnas 1 y 4:
awk W/<ato*/ Y print J1. J-ZW e1emplo8txt
<ato* <ato'
S se utza e mandato awk de sguente modo para que muestre soo as neas con ms de 35
caracteres en e fchero /etc/crontab:
awk Wlength Q ,*W /etc/crontab
152
S se utza e mandato awk de sguente modo para que muestre soo as neas con menos de 35
caracteres en e fchero /etc/crontab:
awk Wlength _ ,*W /etc/crontab
S7BAAH/bin/bash
!>4A?IHroot
7I!BH/
G run=parts
Utza v para crear e fchero usuaro.txt:
vi usuario8txt
Ingrese e sguente contendo:
Dulano >lgo
6alle !engana 1(,
6olonia 5erengana
Para que e mandato aNL reconozca cada nea como un regstro competo, en ugar de
consderar cada paabra como una coumna, se utza [#EGIN \ %SO5]n5 ^ 0SO55_[, donde e
vaor de %S (%ed Separator o separador de campo) se estabece como un retorno de carro y e
vaor de 0S (0ecord Separator o separador de regstro) se estabece como una nea vaca. S
utza e sguente mandato donde se estabecen os vaores menconados para FS y RS y se pde
se mprman os vaores de cada regstro (cada nea) separados por una coma y un espaco:
awk W:B34O Y DSHVNnVX RSHVV Z Y print J1 V. V J( V. V J, V. V J- ZW usuario8txt
Dulano >lgo. 6alle !engana 1(,. 6olonia 5erengana. 6iudad de ;utano. 6858 1(,-*6
E mandato aNL puede reazar conteo de neas, paabras y caracteres. E e sguente mandato
se estabece que e vaor de N sea gua a nmero de campos (New %ed o N%), c sea gua a
ongtud de cada campo, y que se mprma e nmero de campos, e vaor de N y e vaor de c:
awk WY w LH ODX c LH lengthZ N
BO< Y print N
V6ampos2 V OR . VNn5alabras2 V w. VNn6aracteres2 V c ZW N
usuario8txt
153
6ampos2 -
5alabras2 1(
6aracteres2 )-
Genere e fchero numeros.txt con e sguente contendo, donde as coumnas sern separadas
por un tabuador:
1 ( , -
* 6 ) '
/ 1+ 11 1(
E mandato awk puede reazar operacones matemtcas. e sguente mandato estabece que s
es gua a a suma de vaor de os campos de a prmera coumna de fchero numeros.txt, e
mprme e vaor de s:
awk WY s LH J1 Z BO< Y print s ZW numeros8txt
La sada devover o sguente (resutado de a suma de 1+5+9):
1*
S se hace o msmo, pero con os vaores de a coumna 2:
awk WY s LH J( Z BO< Y print s ZW numeros8txt
La sada devover o sguente (resutado de a suma de 2+6+10):
1'
Para hacer conteo de frecuenca de paabras, Se estabece que e vaor para %S (%ed Separator o
separador de nea) sea gua a expresones reguares que van desde a a a a z y desde a A a a Z,
se estabece que e vaor de a varabe es gua a 1 y menor a nmero de campos.
awk W:B34O Y DSHVE^a=">=;FLVZ N
Y &or (iH1X i_HODX iLL) wordsEtolower(Ji)FLL Z N
BO< Y &or (i in words) print i. wordsEiF ZW /etc/crontab
)
bin ,
run *
etc -
sbin ,
bash 1
weekl$ 1
dail$ 1
cron -
usr (
path 1
shell 1
parts *
home 1
154
mailto 1
monthl$ 1
hourl$ 1
root 6
155
!<' Aermisos del Sistema de %ic.eros
Sitio de Red: http://www.alcancelibre.org
!<'!' Introduccin
La asgnacn de permsos de acceso (de ectura, escrtura y e|ecucn) pueden asgnarse a travs
de modos, que son combnacones de nmeros de tres dgtos (usuaro, grupo y resto de mundo)
y e mandato c.mod.
!<'2' Notacin simblica
E esquema de notacn smbca se compone de 10 caracteres, donde e prmer carcter ndca
e tpo de fchero:
Halor Descripcin
= <enota un &ichero regular8
d <enota un directorio8
b <enota un &ichero especial de dispositivos de blo0ue8
c <enota un &ichero de carccter especial
l <enota un enlace simbPlico8
p <enota una tuberba nombrada (D4DI)
s <enota un "Pcalo de dominio (socket)
Cada case de permsos es representada por un con|unto de tres caracteres. E prmer con|unto de
caracteres representa a case de usuaro, e segundo con|unto de tres caracteres representa a
case de grupo y e tercer con|unto representa a case de otros (resto de mundo). Cada uno de
os tres caracteres representa permsos de ectura, escrtura y e|ecucn, respectvamente y en
ese orden.
E|empos:
Aermisos Descripcin
(rwxr$.r=x Drectoro con permso 755.
)rw=rw$r== Fchero de carcter especa con permso 664.
srwxrw.r=x Zcao con permso 775.
prw=rw$r== Tubera (FIFO) con permso 664.
156
Aermisos Descripcin
$rw=r$$r== Fchero reguar con permso 644.
!<'8' Notacin octal
La notacn octa consste de vaores de tres a cuatro dgtos en base-8. Con a notacn octa de
tres dgtos cada nmero representa un componente dferente de permsos a estabecer: case de
usuaro, case de grupo y case de otros (resto de mundo), respectvamente. Cada uno de estos
dgtos es a suma de sus bts que o componen (en e sstema numera bnaro). Como resutado,
bts especfcos se aaden a a suma conforme son representados por un numera:
E Bt de e|ecucn aade ! a a suma.
E bt de escrtura aade 2 a a suma.
E bt de ectura aade 9 a a suma.
Estos vaores nunca producen combnacones ambguas y cada una representa un con|unto de
permsos especfcos. De modo ta puede consderarse a sguente taba:
Halor Aermiso Decripcin
+ = Oada
1 x B1ecuciPn
( w Bscritura
, wx Bscritura $ e1ecuciPn
- r Aectura
* rx Aectura $ B1ecuciPn
6 rw Aectura $ Bscritura
) rwx Aectura. Bscritura $ B1ecuciPn
Nota3 3 (wx) es e resutado de 1+2 (w+x). 5 (rx) es e resutado de 4+1 (r+x). 6 (rw) es e
resutado de 4+2 (r+w). 7 (rwx) es e resutado de 4+3 (r+xw).
!<'8'!' Aermisos adicionales
Hay una forma de cuatro dgtos. Ba|o este esquema e estndar de tres dgtos descrto arrba se
converte en os tmos tres dgtos de con|unto. E prmer dgto representa permsos adconaes.
En sstemas y sustento gco donde no puede ser omtdo este prmer dgto de con|unto de
cuatro, se estabece cero como vaor de ste.
E prmer dgto de con|unto de cuatro es tambn a suma de sus bts que e componen:
1. E bt pega|oso (stcky bt) aade ! a tota de a suma.
2. E bt setgd aade 2 a tota de a suma.
3. E bt setud aade 9 a tota de a suma.
157
Lo que hace e permso SUID o bt setud es que cuando se ha estabecdo a e|ecucn, e proceso
resutante asumr a dentdad de usuaro dado en a case de usuaro (propetaro de eemento).
De a msma manera que e anteror, o que hace e permso SGID o bt setgd es que cuando se ha
estabecdo a e|ecucn, e proceso resutante asumr a dentdad de grupo dado en a case de
grupo (propetaro de eemento). Cuando setgd ha sdo apcado a un drectoro, todos os nuevos
fcheros creados deba|o de este drectoro heredarn e grupo propetaro de este msmo
drectoro. Cuando no se ha estabecdo setgd, e comportamento predefndo es asgnar e grupo
de usuaro a crear nuevos eementos.
E bt pega|oso (stcky bt) sgnfca que un usuaro so podr modfcar y emnar fcheros y
drectoros subordnados dentro de un drectoro que e pertenezca. En ausenca de bt pega|oso
(stcky bt) se apcan as regas generaes y e derecho de acceso de escrtura por s soo permte
a usuaro crear, modfcar y emnar fcheros y drectoros subordnados dentro de un drectoro.
Los drectoros a os cuaes se es ha estabecdo bt pega|oso restrngen as modfcacones de os
usuaros a so ad|untar contendo, mantenendo contro tota sobre sus propos fcheros y pueden
crear nuevos fcheros; sn embargo, so pueden ad|untar o aadr contendo a os fcheros de
otros usuaros. E bt pega|oso (stcky bt) es utzado en drectoros como /tmp y
/var/spool/mail.
De modo ta puede consderarse a sguente taba:
Halor Aermiso Descripcin
1 === === == bit pega1oso
( === ==s === bit setgid
, === ==s == bit pega1oso L bit setgid
- ==s === === bit setuid
* ==s === == bit setuid L bit pega1oso
6 ==s ==s === bit setuid L bit setgid
) ==s ==s == bit setuid L bit setgid L bit pega1oso
Cuando un fchero no tene permsos de e|ecucn en aguna de as cases y e es asgnado un
permso especa, ste se representa con una etra mayscua.
Aermiso Clase E4ecuta No e4ecuta
setuid #suario s S
setgid 3rupo s S
pega1oso (stick$) Itros t ?
!<'9' E4emplos
!<'9'!' E4emplos de permisos re2ulares
Aermiso Clase de Usuario Clase de Grupo Clase de 6tros
+-++ r== === ===
+--+ r== r== ===
158
+--- r== r== r==
+*++ r=x === ===
+**+ r=x r=x ===
+*** r=x r=x r=x
+6-- rw= r== r==
+66- rw= rw= r==
+666 rw= rw= rw=
+)++ rwx === ===
+)11 rwx ==x ==x
+)+) rwx === rwx
+)*+ rwx r=x ===
+)** rwx r=x r=x
+))) rwx rwx rwx
!<'9'2' E4emplos de permisos especiales
16-- rw= r== r=@
26-- rw= r=" r==
36-- rw= r=" r=@
G6-- rw" r== r==
56-- rw" r== r=@
66-- rw" r=" r==
F6-- rw" r=" r=@
1))) rwx rwx rw
2)** rwx r=s r=x
3)** rwx r=s r=
G)** rws r=x r=x
5)** rws r=x r=
6)** rws r=s r=x
F)** rws r=s r=
!<':' Uso de c.mod
chmod EopcionesF modo &ichero
E|empo:
159
mkdir =p S/tmp/
touch S/tmp/algo8txt
ls =l S/tmp/algo8txt
chmod )** S/tmp/algo8txt
ls =l S/tmp/algo8txt
Lo anteror debe arro|ar una sada smar a a sguente:
E&ulanoRlocalhost SFJ mkdir =p S/tmp/
E&ulanoRlocalhost SFJ touch S/tmp/algo8txt
E&ulanoRlocalhost SFJ ls =l S/tmp/algo8txt
$rw$rw$r$$ 1 /ul'no /ul'no 0 m'r 2 15209 /home/&ulano/tmp/algo8txt
E&ulanoRlocalhost SFJ chmod )** S/tmp/algo8txt
E&ulanoRlocalhost SFJ ls =l S/tmp/algo8txt
$rw.r$.r$. 1 /ul'no /ul'no 0 m'r 2 15209 /home/&ulano/tmp/algo8txt
E&ulanoRlocalhost SFJ
!<':'!' 6pciones de c.mod
Opcn Descripcin
-R Camba permsos de forma descendente en un drectoro dado. Es a nca opcn de os
estndares POSIX
-c Muestra que fcheros han cambado recentemente en una ubcacn dada
-f No muestra errores de fcheros o drectoros que no se hayan poddo cambar
-v Descrpcn detaada de os mensa|es generados por e proceso
!<':'2' El mandato c.mod * los enlaces simblicos
E mandato c.mod |ams camba os permsos de enaces smbcos; sn embargo no representa
un probema en vrtud de que |ams se utzan os permsos de os enaces smbcos. S se apca
e mandato c.mod sobre un enace smbco, se cambar e permso de fchero o drectoro
haca e cua apunta. Cuando se apca c.mod de forma descendente en un drectoro, ste gnora
os enaces smbcos que pudera encontrar en e recorrdo.
160
!>' Cmo utili=ar el mandato c.attr'
!>'!' Introduccin'
!>'!'!' &cerca del mandato c.attr'
E mandato c.attr se utza para cambar os atrbutos de os sstemas de fcheros ext2 y ext8.
Desde certo punto de vsta, es anogo a mandato c.mod, pero con dferente sntaxs y
opcones. Utzado adecuadamente, dfcuta as accones en e sstema de fcheros por parte de
un ntruso que haya ogrado sufcentes prvegos en un sstema.
En a mayora de os casos, cuando un ntruso consgue sufcentes prvegos en un sstema, o
prmero que har ser emnar os regstros de sus actvdades modfcando estructuras de os
fcheros de btcoras de sstema y otros componentes. Utzar e mandato c.attr certamente no
es obstcuo para un usuaro experto, pero, afortunadamente, a gran mayora de os ntrusos
potencaes no sueen ser expertos en GNU/Lnux o Unx, dependendo enormemente de dversos
programas o guones (os denomnados root0its y +appers) para emnar aqueo que permta
descubrr sus actvdades.
Utzar e mandato c.attr, ncudo en e paquete e2/spro2s, que se nstaa de forma
predetermnada en todas as dstrbucones de GNU/Lnux por, tratarse de un componente
esenca, hace ms dfc borrar o aterar btcoras, fcheros de confguracn y componentes de
sstema. Theodore Ts'o es e desarroador y quen se encarga de mantener e2/spro2s, msmo
que se dstrbuye ba|o os trmnos de a cenca GNU/GAL, e ncuye otras herramentas como
e2fsck, e2abe, fsck.ext2, fsck.ext3, mkfs.ext2, mkfs.ext3, tune2fs y dumpe2fs, entre otras.
URL: http://e2fsprogs.sourceforge.net/
!>'2' 6pciones'
10 Camba recursvamente os atrbutos de drectoros y sus contendos. Los
enaces smbcos que se encuentren, son gnorado
1H Sada de c.arttr ms descrptva, mostrando adems a versn de
programa.
1v Ver e nmero de versn de programa.
!>'8' 6peradores'
R Hace que se aadan os atrbutos especfcados a os atrbutos exstentes
161
de un fchero.
1 Hace que se emnen os atrbutos especfcados de os atrbutos exstentes
de un fchero
O Hace que soamente haya os atrbutos especfcados.
!>'9' &tributos'
& Estabece que a fecha de tmo acceso (atme) no se modfca.
a Estabece que e fchero soo se puede abrr en modo de ad|untar para
escrtura.
c Estabece que e fchero es comprmdo automtcamente en e dsco por e
nceo de sstema operatvo. A reazar ectura de este fchero, se
descomprmen os datos. La escrtura de dcho fchero comprme os datos
antes de amacenaros en e dsco.
D Cuando se trata de un drectoro, estabece que os datos se escrben de
forma sncrnca en e dsco. Es decr, os datos se escrben
nmedatamente en ugar de esperar a operacn correspondente de
sstema operatvo. Es equvaente a a opcn dirs*nc de mandato mount,
pero apcada a un subcon|unto de fcheros.
d Estabece que e fchero no sea canddato para respado a utzar a
herramenta dump.
i Estabece que e fchero ser nmutabe. Es decr, no puede ser emnado,
n renombrado, no se pueden apuntar enaces smbcos, n escrbr datos
en e fchero.
4 En os sstemas de fcheros ext3, cuando se montan con as opcones
dataOordered o dataONritebacL, se estabece que e fchero ser
escrto en e regstro por daro ("ournal). S e sstema de fcheros se
monta con a opcn dataO4ournal (opcn predetermnada), todo e
sstema de fcheros se escrbe en e regstro por daro y por o tanto e
atrbuto no tene efecto.
s Cuando un fchero tene este atrbuto, os boques utzados en e dsco
duro son escrtos con ceros, de modo que os datos no se puedan
recuperar por medo aguno. Es a forma ms segura de emnar datos.
S Cuando e fchero tene este atrbuto, sus cambos son escrtos de forma
sncrnca en e dsco duro. Es decr, os datos se escrben nmedatamente
en ugar de esperar a operacn correspondente de sstema operatvo. Es
equvaente a a opcn s*nc de mandato mount.
u Cuando un fchero con este atrbuto es emnado, sus contendos son
guardados permtendo recuperar e fchero con herramentas para ta fn.
!>':' Utili=acin'
chattr E=R@F L=HE>ac<di1sSuF E=v versiPnF &icheros
!>':'!' E4emplos'
e sguente mandato agrega e atrbuto nmutabe a fchero ago.txt..
chattr Li algo8txt
E sguente mandato emna e atrbuto nmutabe a fchero ago.txt.
162
chattr =i algo8txt
E sguente mandato agrega e modo de soo ad|untar para escrtura a fchero ago.txt.
chattr La algo8txt
E sguente mandato emna e modo de soo ad|untar para escrtura a fchero ago.txt.
chattr =a algo8txt
E sguente mandato estabece que e fchero ago.txt soo tendr os atrbutos a, &, s y S.
chattr Ha>sS algo8txt
E sguente mandato sta os atrbutos de fchero ago.txt.
lsattr algo8txt
163
!' Creando depsitos *um
!'!' Introduccin'
Yum es una herramenta sumamente t para e mane|o de paquetera RPM. Aprender a crear en
e dsco duro as bases de datos para os depstos yum resuta prctco puesto que no habr
necesdad de recurrr haca os depstos ocazados en servdores en Internet y consumr
nnecesaramente ancho de banda en e proceso.
!'2' Arocedimientos
Prmero se deben generar os drectoros que ao|arn os depstos. Uno para a paquetera
ncuda en os dscos de nstaacn y otro para as actuazacones:
mkdir =p /var/&tp/pub/os
mkdir =p /var/&tp/pub/updates
Tome todos os dscos de nstaacn y cope ntegramente su contendo haca e nteror de
drectoro ocazado en a ruta /var/ftp/pub/os/ con e sguente procedmento:
mount /media/cdrom
cp =R& /media/cdrom/M /var/&tp/pub/os/
e1ect
De msmo modo, s dspone de CD correspondente, cope (o ben descargue) todas as
actuazacones dentro de drectoro ocazado en a ruta /var/ftp/pub/updates/ con e sguente
procedmento:
mount /media/cdrom
cp =R& /media/cdrom/M /var/&tp/pub/updates/
e1ect
Una vez copado todo a dsco duro, hay que nstaar e paquete createrepo, ncudo en os dscos
de nstaacn de CentOS y Whte Box Enterprse Lnux.
$um =$ install createrepo
Una vez nstaado, so basta e|ecutar createrepo sobre cada drectoro a fn de generar os
depstos yum:
164
createrepo /var/&tp/pub/os/
createrepo /var/&tp/pub/updates/
Se puede acceder ocamente a os depstos generados utili=ando las si2uientes l,neas como
contendo de fchero `'repo ocazado dentro de /etc/*um'repos'd/, en ugar de as neas que
apuntan haca servdores en Internet:
EbaseF
nameHBnterprise Ainux Jreleasever = Jbasearch = base
baseurlH&ile2///var/&tp/pub/os/
gpgcheckH1
enabledH1
Eupdates=releasedF
nameHBnterprise Ainux Jreleasever = Jbasearch = #pdates Released
baseurlH&ile2///var/&tp/pub/updates/
gpgcheckH1
enabledH1
S se desea acceder a estos msmo depstos utzando e servco FTP, y suponiendo que e
servdor utzara 192.168.1.1 como dreccn IP, as mqunas cente deben utzar o sguente:
EbaseF
nameHBnterprise Ainux Jreleasever = Jbasearch = base
baseurlH&tp2//1/(816'8181/pub/os/
gpgcheckH1
enabledH1
Eupdates=releasedF
nameHBnterprise Ainux Jreleasever = Jbasearch = #pdates Released
baseurlH&tp2//1/(816'8181/pub/updates/
gpgcheckH1
enabledH1
Antes de utzar a opcn 2p2c.ecLO!, se debern mportar as aves pbcas GPG que estn
en e dsco 1 de nstaacn de sstema.
mount /media/cdrom
rpm ==import /media/cdrom/M9BKM
S cre un depsto con e dsco de extras de curso, a ave pbca de Acance Lbre se encuentra
en e drectoro raz de CD.
S utza Red Hat Enterprse Lnux 3, CentOS 3.0 o Whte Box Enterprse Lnux 3, se utza *um1
arc. en ugar de createrepo, y /mnt/cdrom en ugar de /meda/cdrom.
Whte Box Enterprse Lnux 4 no ncuye yum por defecto, por o que hay que nstaaro
manuamente desde os dscos de nstaacn.
165
20' Uso de *um para instalar * desinstalar
pa-ueter,a * actuali=ar sistema
20'!' Introduccin
Actuazar e sstema apcando os ms recentes parches de segurdad y correctvos a sstema
operatvo no es tan dfc como muchos suponen, n tampoco tene que ser un nferno de
dependencas entre paquetes RPM como agunos argumentan. La readad de as cosas es que es
mucho muy smpe y so requere de un buen ancho de banda, o ben, de muchsma pacenca. A
contnuacn presentamos os procedmentos para utzar yum y reali=ar /@cilmente o que
agunos denomnan como !orrible, difcil y complicado<.
Los procedmentos son tan smpes que reamente no hay muchas excusas para no apcar os
parches de segurdad y correctvos a sstema.
20'2' Arocedimientos
20'2'!' &ctuali=ar sistema
Actuazacn de sstema con todas as dependencas que sean necesaras:
$um update
20'2'2' #7s-uedas
ealizar una b!s"ueda de alg!n pa"uete o t#rmino en la base de datos en alguno de los dep$sitos yum
confgurados en e sstema:
$um search cual0uier=pa0uete
E|empo:
$um search httpd
20'2'8' Consulta de in/ormacin
Consutar a nformacn contenda en un paquete en partcuar:
166
$um in&o cual0uier=pa0uete
E|empo:
$um in&o httpd
20'2'9' Instalacin de pa-uetes
Instaacn de paquetera con resoucn automtca de dependencas:
$um install cual0uier=pa0uete
E|empo:
$um install httpd
20'2':' Desinstalacin de pa-uetes
Desnstaacn de paquetes |unto con todo aqueo que dependa de os msmos:
$um remove cual0uier=pa0uete
E|empo:
$um remove httpd
20'2':'!' &l2unos pa-uetes -ue se pueden desinstalar del sistema'
Los sguentes paquetes pueden ser desnstaados de sstema de manera segura |unto con todo
aqueo que dependa de stos:
1. pcmca-cs (kerne-pcmca-cs): requerdo so en computadoras porttes para e soporte
de PCMCIA.
2. mdadm: requerdo so para arregos RAID.
3. autofs: servco de auto-montado de undades de dsco.
4. ypserv: servdor NIS, utzado prncpamente como servdor de autentcacn.
5. ypbnd, yp-toos: herramentas necesaras para autentcar contra un servdor NIS (ypserv)
6. hwcrypto: bbotecas y herramentas para nteractuar con aceeradores crptogrfcos de
sustento fsco (hardware).
7. vnc-server: servdor VNC
8. rda-uts: herramentas y soporte para dspostvos nfrarro|os.
E|ecute o sguente para desnstaar os paquetes anterormente menconados:
$um =$ remove pcmcia=cs mdadm auto&s $pserv $pbind $p=tools hwcr$pto vnc=
server irda=utils
20'2';' Listado de pa-uetes
Lo sguente star todos os paquetes dsponbes en a base de datos yum y que pueden
167
nstaarse:
$um list available ] less
Lo sguente star todos os paquetes nstaados en e sstema:
$um list installed ]less
Lo sguente star todos os paquetes nstaados en e sstema y que pueden (y deben)
actuazarse:
$um list updates ] less
20'2'<' Limpie=a del sistema
Yum proporcona como resutado de su uso cabeceras y paquetes RPM amacenados en e nteror
de drectoro ocazado en a ruta /var/cac.e/*um/. Partcuarmente os paquetes RPM que se
han nstaado pueden ocupar mucho espaco y, es por ta motvo, que convene emnaros una
vez que ya no tenen utdad. Iguamente convene hacer o msmo con as cabeceras ve|as de
paquetes que ya no se encuentran en a base de datos. A fn de reazar a mpeza
correspondente, puede e|ecutarse o sguente:
$um clean all
168
2!' Cmo utili=ar 0A?
2!'!' Introduccin'
2!'!'!' &cerca de 0A?'
0A? AacLa2e ?ana2er, anterormente conocdo como 0ed Hat Aackage ?anager y que es ms
conocdo por su nombre abrevado 0A?, es un sstema de gestn de paquetera para
dstrbucones de GNU/Lnux y que est consderado en a Base Estndar para Lnux (Lnux
Standard #ase o LS#), que es un proyecto cuyo ob|etvo es desarroar y promover estndares
para me|orar a compatbdad entre as dstrbucones de GNU/Lnux para permtr a as
apcacones ser utzadas en cuaquer dstrbucn.
RPM fue orgnamente desarroado por 0ed Gat para su dstrbucn de GNU/Lnux, y ha sdo
evado haca otra dstrbucones de Lnux y sstemas operatvos.
RPM utza una base de datos que se amacena en /var/lib/rpm, a cua contene toda a meta-
nformacn de todos os paquetes que son nstaados en e sstema y que es utzada para dar
segumento a todos os componentes que son nstaados. Esto permte nstaar y desnstaar
mpamente todo tpo de apcacones, bbotecas, herramentas y programas y gestonar sus
dependencas exactas.
2!'2' Arocedimientos'
RPM vene nstaado de modo predetermnado en 0ed Gat Enterprise Linux, %edora, Cent6S,
Z.ite #ox Enterprise Linux, SuSE Linux, 6penSuSE, ?andriva y dstrbucones dervadas de
estas.
2!'2'!' 0econstruccin de la base de datos de 0A?'
Hay certos escenaros en donde se puede corromper a base de datos de 0A?. sta se puede
reconstrur fcmente utzando e sguente mandato:
rpm ==rebuilddb
2!'2'2' Consulta de pa-ueter,a instalada en el sistema'
S se desea conocer s est nstaado un paquete en partcuar, se utza e mandato rpm con a
opcn 1-, que reaza una consuta (query) en a base de datos por un nombre de paquete en
partcuar. En e sguente mandato, donde como e|empo se preguntar a 0A? s est nstaado e
169
paquete traceroute:
rpm =0 traceroute
traceroute=(8+81=(8el*
S se desea conocer que es o que nformacn ncuye e paquete traceroute, se utza e
mandato rpm con as opcones 1-i, para hacer a consuta y soctar nformacn de paquete
(query info). En e sguente e|empo se consuta a mandato rpm por a nformacn de paquete
traceroute:
rpm =0i traceroute
Oame 2 traceroute Relocations2 (not relocatable)
@ersion 2 (8+81 @endor2 6entIS
Release 2 (8el* :uild <ate2 scb +6 ene (++) +-2+(21, 6S?
4nstall <ate2 mie ,+ abr (++' 112-62+/ 6<? :uild 7ost2 builder*8centos8org
3roup 2 >pplications/4nternet Source R5!2 traceroute=(8+81=
(8el*8src8rpm
Si"e 2 */)(6 Aicense2 35A
Signature 2 <S>/S7>1. mar +, abr (++) 1/2('21( 6<?. 9e$ 4< a'a--)dce'*6('/)
#RA 2 http2//dmitr$8butsko$8name/traceroute
Summar$ 2 ?races the route taken b$ packets over an 45v-/45v6 network
<escription 2
?he traceroute utilit$ displa$s the route used b$ 45 packets on their
wa$ to a speci&ied network (or 4nternet) host8 ?raceroute displa$s
the 45 number and host name (i& possible) o& the machines along the
route taken b$ the packets8 ?raceroute is used as a network debugging
tool8 4& $ouWre having network connectivit$ problems. traceroute will
show $ou where the trouble is coming &rom along the route8
4nstall traceroute i& $ou need a tool &or diagnosing network connectivit$
problems8
Puede consutarse qu componentes forman parte de paquete utzando e mandato rpm con as
opcones 1-l, donde se reaza una consuta stando os componentes que o ntegran (query list).
S se desea conocer que componentes nsta e paquete traceroute, utce e sguente
mandato:
rpm =0l traceroute
/bin/traceroute
/bin/traceroute
/bin/traceroute6
/bin/tracert
/usr/share/doc/traceroute=(8+81
/usr/share/doc/traceroute=(8+81/6I5K4O3
/usr/share/doc/traceroute=(8+81/6RB<4?S
/usr/share/doc/traceroute=(8+81/RB><!B
/usr/share/doc/traceroute=(8+81/?I<I
/usr/share/man/man'/traceroute8'8g"
170
S se desea consutar a cua paquete pertenece un eemento nstaado en e sstema, se utza e
mandato rpm con as opcones 1-/, que reazan una consuta por un fchero en e sstema de
archvos (query file). En e sguente e|empo se consutar a a mandato rpm a que paquete
pertenece e fchero /etc/crontab:
rpm =0& /etc/crontab
crontabs=181+='
S desea consutar a sta competa de paquetes nstaados en e sstema, utce e sguente
mandato, donde 1-a sgnfca consutar todo (query all):
rpm =0a
Debdo a que o anteror devueve una sta demasado grande para podera vsuazar con
comoddad, puede utzarse less o more como subrutna:
rpm =0a ]less
S se quere ocazar un paquete o paquetes en partcuar, se puede utzar e mandato rpm con
as opcones 1-a y utzar 2rep como subrutna. En e sguente e|empo se hace una consuta
donde se quere conocer que paquetes estn nstaado en e sstema y que ncuyan a cadena
p.p en e nombre.
rpm =0a ]grep php
Lo anteror pudera devover una sada smar a a sguente:
php=*8186=1*8el*
php=mbstring=*8186=1*8el*
php=pear=18-8/=-
php=ldap=*8186=1*8el*
php=cli=*8186=1*8el*
php=m$s0l=*8186=1*8el*
php=odbc=*8186=1*8el*
php=common=*8186=1*8el*
php=pdo=*8186=1*8el*
S se quere revsar en orden cronogco, de ms nuevos a ms antguos, que paquetes estn
nstaados, se puede agregar a 1-a a opcn 11last, y less o more como subrutna para vsuazar
con comoddad a sada.
rpm =0a ==last]less
Lo anteror devueve una sada extensa dentro con less como vsor. Puse a tecas de arriba ()
y aba4o (J) o &v' A@2' y 0e2' A@2' para despazarse en a sta. Puse a teca - para sar.
S se quere verfcar s os componentes nstaados por un paquete 0A? han sdo modfcados o
aterados o emnados, se puede utzar e mandato rpm con a opcn 1H, a cua reaza una
171
verfcacn de a ntegrdad de os componentes de acuerdo a as frmas dgtaes de cada
componente (MD5SUM o suma MD5). En e sguente e|empo se verfcara s e paquete crontabs
ha sdo aterado:
rpm =@ crontabs
S agn componente fue modfcado, puede devoverse una sada smar a a sguente, donde e
fchero /etc/crontab fue modfcado tras su nstaacn:
S8*8888? c /etc/crontab
S se desea reazar una verfcacn de todos os componentes de sstema, se puede utzar e
mandato rpm con as opcones 1Ha, que hace una consuta, especfca todos os paquetes, y
socta se verfque s hubo cambos (query all =erify).
rpm =@a
Lo anteror puede devover una sada muy extensa, pero sn duda aguna mostrar todos os
componentes que fueron modfcados o aterados o emnados tras a nstaacn de paquete a
que pertenecen. Un e|empo de una sada comn sera:
8888888? c /etc/pki/nssdb/cert'8db
8888888? c /etc/pki/nssdb/ke$,8db
88*8888? c /etc/pki/nssdb/secmod8db
S8*8888? c /etc/crontab
8888888? c /etc/inittab
S8*8888? c /etc/rc8d/rc8local
S8*8888? c /etc/mail/access
S8*8888? c /etc/mail/local=host=names
S8*8888? c /etc/mail/sendmail8c&
S8*8888? c /etc/mail/sendmail8mc
2!'2'8' Instalacin de pa-uetes'
La mayora de os dstrbudores seros de equpamento gco en formato RPM sempre utzan
una frma dgta PG/GnuPG para garantzar que stos son confabes y como un mtodo de evtar
que paquetes aterados pasen por e usuaro admnstrador de sstema y sstemas de gestn de
paquetes como yum, up2date, Yast, Pup, etc., sn ser detectados. Las frmas dgtaes de os
responsabes de a dstrbucn sempre ncuyen frmas dgtaes en e dsco de nstaacn o ben
en aguna parte de sstema de archvos. En e caso de Cent6S y 0ed Gat Enterprise, as frmas
dgtaes estn en /usr/share/doc/rpm-*/ o ben /usr/s.are/r.n/. Agunos dstrbudores pueden
tener estas frmas en agn servdor HTTP o FTP. Para mportar una frma dgta, se utza e
mandato rpm con a opcn 11import. Para e|empfcar, reace e sguente procedmento:
rpm ==import http2//www8alcancelibre8org/al/>A=R5!=9BK
Lo anteror mporta a frma dgta de &lcance Libre y permtr detectar s un paquete de
Acance Lbre fue aterado o est corrupto o s fue daado. S se utza *um para gestonar a
paquetera, ste de modo predetermnado mpde nstaar paquetes que s estos carecen de una
frma dgta que est nstaada en a base de datos de 0A?.
Cuando se desee nstaar un paquete con extensn `'rpm, sempre es convenente revsar dcho
paquete. Hay varas formas de verfcar su contendo antes de proceder a nstaado. Para fnes
172
demostratvos, ngrese haca http://www.acancebre.org/a/webapps/ y descarge e paquete tne/.
Una vez descargado e paquete tne/, se puede verfcar a nformacn de dcho paquete
utzando e mandato rpm con as opcones 1-p, para reazar a consuta especfcando que se
trata de un paquete 0A? (query pac0a%e), y a opcn -, para soctar nformacn.
rpm =0pi tne&=18(8,81=1818el*8al8i,'68rpm
Oame 2 tne& Relocations2 /usr
@ersion 2 18(8,81 @endor2 >lcance Aibre. 4nc8
Release 2 1818el*8al :uild <ate2 mie +( ma$ (++) 1-2+62*/ 6<?
4nstall <ate2 (not installed) :uild 7ost2 localhost8localdomain
3roup 2 !ail/Bncoders Source R5!2 tne&=18(8,81=
1818el*8al8src8rpm
Si"e 2 1,-6/* Aicense2 35A
Signature 2 <S>/S7>1. mie +( ma$ (++) 1-2+)2++ 6<?. 9e$ 4< /1++-d&')c+'+b,,
5ackager 2 aoel :arrios _http2//1oel=barrios8blogspot8com/Q
#RA 2 http2//tne&8source&orge8net
Summar$ 2 <ecodes !S=?OBD attachments8
<escription 2
?OBD is a program &or unpacking !4!B attachments o& t$pe
Vapplication/ms=tne&V8 ?his is a !icroso&t onl$ attachment8
<ue to the proli&eration o& !icroso&t Iutlook and Bxchange mail servers.
more and more mail is encapsulated into this &ormat8
?he ?OBD program allows one to unpack the attachments which were
encapsulated into the ?OBD attachment8 ?hus alleviating the need to use
!icroso&t Iutlook to view the attachment8
S se desea conocer que componentes va a nstaar un paquete RPM en partcuar, se puede
utzar e mandato rpm con as opcones 1-pl, para reazar a consuta, especfcar que se trata
de un paquete 0A? y para soctar a sta de componentes (query pac0a%e list). En e sguente
e|empo se reaza esta consuta contra e paquete tne/1!'2'8'!1!'!'el:'al'i8>;'rpm:
rpm =0pl tne&=18(8,81=1818el*8al8i,'68rpm
/usr/bin/tne&
/usr/man/man1/tne&818g"
/usr/share/doc/tne&=18(8,81
/usr/share/doc/tne&=18(8,81/>#?7IRS
/usr/share/doc/tne&=18(8,81/:#3S
/usr/share/doc/tne&=18(8,81/6I5K4O3
/usr/share/doc/tne&=18(8,81/6hangeAog
/usr/share/doc/tne&=18(8,81/OBCS
/usr/share/doc/tne&=18(8,81/RB><!B
/usr/share/doc/tne&=18(8,81/?Ieys):
rpm =9 tne&=18(8,81=1818el*8al8i,'68rpm
S e paquete est ntegro, debe devover una sada smar a a sguente:
173
tne&=18(8,81=1818el*8al8i,'68rpm2 (sha1) dsa sha1 md* gpg I9
S e paquete RPM fue daado, aterado o est corrupto, puede devover una sada smar a a
sguente:
tne&=18(8,81=1818el*8al8i,'68rpm2 (sha1) dsa sha1 !<* 353 A!@ !K
Para nstaar un paquete, se utza e mandato rpm con as opcones 1iv., que sgnfca nstaar,
devover una sada descrptva y mostrar una barra de progreso (install verbose !as!). S e
paquete no hace confcto con otro y/o no sobreescrbe componentes de otro paquete, se
proceder a nstaar e msmo. En e sguente e|empo se nstaar e paquete tne/1!'2'8'!1
!'!'el:'al'i8>;'rpm:
rpm =ivh tne&=18(8,81=1818el*8al8i,'68rpm
5reparing888 GGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGG E1++UF
12tne& GGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGG E1++UF
S hubera una versn de ste paquete nstaada en e sstema, rpm 1iv. no reazar a
nstaacn y devover un mensa|e respecto a que a est nstaado dcho paquete. Repta e
sguente mandato:
rpm =ivh tne&=18(8,81=1818el*8al8i,'68rpm
A ya haber sdo nstaado e paquete tne/, e sstema deber devover una sada smar a a
sguente:
package tne&=18(8,81=1818el*8al is alread$ installed
Hay crcunstancas y escenaros donde se requere renstaar de nuevo e paquete. Para ograr
esto se agrega a opcn 11/orce para forzar a renstaacn de un paquete. En e sguente
e|empo se socta a mandato rpm forzar a renstaacn de e paquete tnef-1.2.3.1-
1.1.e5.a.386.rpm:
rpm =ivh ==&orce tne&=18(8,81=1818el*8al8i,'68rpm
12tne& GGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGG E1++UF
Para verfcar as dependencas de un paquete descargado, se utza e mandato rpm con
as opcones 1-p y 11re-uires, a cua consuta as dependencas de paquete. En e sguente
e|empo, se ha descargado e paquete 4oomla1!'0'!:12''el:'al'noarc.'rpm desde
http://www.acancebre.org/a/webapps/, y se procede a consutar sus dependencas:
rpm =0p ==re0uires 1oomla=18+81*=(8/8el*8al8noarch8rpm
174
con&ig(1oomla) H 18+81*=(8/8el*8al
httpd
php QH *
php=m$s0l
php=xml
rpmlib(6ompressedDileOames) _H ,8+8-=1
rpmlib(5a$loadDiles7ave5re&ix) _H -8+=1
Pueden hacerse consutas a a nversa de o anteror, es decr, consutar a mandato rpm que
paquete provee aguna dependenca en partcuar. En e sguente e|empo se soctar a
mandato rpm que paquete provee a dependenca p.p.
rpm =0 ==whatprovides php
php=*8186=1*8el*
Tambn puede consutarse qu requere de un paquete o componente en partcuar. En e
sguente e|empo se consuta a mandato rpm que paquetes requeren a paquete .ttpd.
rpm =0 ==whatre0uires httpd
s$stem=con&ig=httpd=18,8,81=18el*
s0uirrelmail=18-8'=-8+818el*8centos8(
s0uirrelmail=18-8'=-8+818el*8centos8(
gnome=user=share=+81+=68el*
De ser necesaro, se puede ncuso hacer consutas respecto a fcheros (como bbotecas
compartdas) para conocer que paquetes dependen de stos. En e sguente e|empo se consuta
a mandato rpm que paquetes requeren a a bboteca libb=2'so'!:
rpm =0 ==whatre0uires libb"(8so81
Lo anteror debe devover una sada smar a a sguente, y que consste en una sta de paquetes
0A? nstaados en e sstema:
b"ip(=libs=18+8,=,
b"ip(=18+8,=,
p$thon=(8-8,=1/8el*
gnupg=18-8*=1,
elinks=+81181=*818+818el*
rpm=-8-8(=-)8el*
rpm=libs=-8-8(=-)8el*
rpm=p$thon=-8-8(=-)8el*
gnome=v&s(=(8168(=-8el*
libgs&=181-81=681
php=cli=*8186=1*8el*
php=*8186=1*8el*
175
kdelibs=,8*8-=1,8el*8centos
4mage!agick=68(8'8+=-8el*%181
Para nstaar o actuazar un paquete, se utza e mandato rpm con as opcones -Uvh, que
sgnfca nstaar o actuazar, devover una sada descrptva y mostrar una barra de progreso
(update verbose !as!), y se procede a nstaar y/o actuazar e msmo:
rpm =#vh 1oomla=18+81*=(8/8el*8al8noarch8rpm
S fata aguna de as dependencas, e sstema devover una sada smar a a sguente:
error2 Dailed dependencies2
php=xml is needed b$ 1oomla=18+81*=(8/8el*8al8noarch
Evdentemente se debe nstaar e paquete p.p1xm para poder nstaar e paquete 4oomla1
!'0'!:12''el:'al'noarc.'rpm. Este puede estar ncudo en e dsco de nstaacn o ben estar
ncudo entre as actuazacones de sstema.
S e paquete php-xm hubera estado nstaado (*um 1* install p.p1xml), a sada hubera sdo
smar a a sguente:
121oomla GGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGG E1++UF
Antes de a aparcn de *um, este era e tal'n de Aquiles de 0A?. Actuamente estos probemas
se pueden resover utzando *um en os sstemas que o ncuyen. La forma ms prctca de
nstaar paquetera 0A? resovendo dependencas automtcamente es a travs de *um. En e
sguente e|empo se reaza e procedmento de nstaacn de paquete 4oomla1!'0'!:1
2''el:'al'noarc.'rpm utzando *um:
$um =$ localinstall 1oomla=18+81*=(8/8el*8al8noarch8rpm
Aoading V&astestmirrorV plugin
Aoading Vskip=brokenV plugin
Aoading Vinstallonl$nV plugin
Setting up Aocal 5ackage 5rocess
Bxamining 1oomla=18+81*=(8/8el*8al8noarch8rpm2 1oomla = 18+81*=
(8/8el*8al8noarch
!arking 1oomla=18+81*=(8/8el*8al8noarch8rpm to be installed
Setting up repositories
Aoading mirror speeds &rom cached host&ile
Reading repositor$ metadata in &rom local &iles
Resolving <ependencies
==Q 5opulating transaction set with selected packages8 5lease wait8
===Q 5ackage 1oomla8noarch +218+81*=(8/8el*8al set to be updated
==Q Running transaction check
==Q 5rocessing <ependenc$2 php=xml &or package2 1oomla
==Q Restarting <ependenc$ Resolution with new changes8
==Q 5opulating transaction set with selected packages8 5lease wait8
===Q 5ackage php=xml8i,'6 +2*8186=1*8el* set to be updated
==Q Running transaction check
<ependencies Resolved
176
HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH
5ackage >rch @ersion Repositor$ Si"e
4nstalling2
1oomla noarch 18+81*=(8/8el*8al 1oomla=18+81*=
(8/8el*8al8noarch8rpm 68, !
4nstalling &or dependencies2
php=xml i,'6 *8186=1*8el* base /, k
?ransaction Summar$
4nstall ( 5ackage(s)
#pdate + 5ackage(s)
Remove + 5ackage(s)
?otal download si"e2 68- !
<ownloading 5ackages2
Running ?ransaction ?est
Dinished ?ransaction ?est
?ransaction ?est Succeeded
Running ?ransaction
4nstalling2 php=xml GGGGGGGGGGGGGGGGGGGGGGGGG E1/(F
4nstalling2 1oomla GGGGGGGGGGGGGGGGGGGGGGGGG E(/(F
4nstalled2 1oomla8noarch +218+81*=(8/8el*8al
<ependenc$ 4nstalled2 php=xml8i,'6 +2*8186=1*8el*
6ompleted
Agunos paquetes ncuyen guones que e|ecutan procesos que pueden ser requerdos prevo o
posteror a a nstaacn. S no se desea que se e|ecuten estos guones, se aade a rpm 1iv. o
rpm 1Uv. a opcn 11noscripts. En e sguente e|empo, se nstaar e paquete 4oomla1!'0'!:1
2''el:'al'noarc.'rpm sn a e|ecucn de os guones que puderan estar defndos en e
paquete 0A?:
rpm =#vh ==noscripts 1oomla=18+81*=(8/8el*8al8noarch8rpm
2!'2'8'!' 0ecuperacin de permisos ori2inales a partir de rpm'
En crcunstancas en as cuaes ser reazaron cambos en os permsos en e sstema de archvos,
es posbe vover a de|aros de acuerdo a os especfcados en e paquete 0A? orgna utzando
e mandato rpm con a opcn 11setperms de sguente modo:
rpm ==setperms pa0uete
Vea e permso de /usr/bin/passNd de sguente modo:
ls =l /usr/bin/passwd
=rwsr=xr=x 1 root root ((/'- ene 6 (++) /usr/bin/passwd
Cambe e permso de sguente modo:
chmod )++ /usr/bin/passwd
Vueva a ver e permso de /usr/bin/passNd de sguente modo:
177
=rwx====== 1 root root ((/'- ene 6 (++) /usr/bin/passwd
E fchero /usr/bin/passNd pertence a paquete passwd, confrmeo de sguente modo:
rpm =0& /usr/bin/passwd
passwd=+8),=1
Para recuperar de nuevo e permso orgna de /usr/bin/passNd, utce o sguente:
rpm ==setperms passwd
Vueva a ver e permso de /usr/bin/passNd de sguente modo:
Lo anteror debe devover una sada smar a a sguente y que corresponde a permso orgna
de fchero /usr/bin/passNd:
=rwsr=xr=x 1 root root ((/'- ene 6 (++) /usr/bin/passwd
2!'2'9' Desinstalacin de pa-uetes'
Para desnstaar paquetera, se utza e mandato rpm con a opcn -e, que se utza para
emnar, seguda de nombre de paquete. En e sguente e|empo, se socta a mandato rpm
desnstaar os paquetes 4oomla y p.p1xml:
rpm =e 1oomla php=xml
S no hay dependencas que o mpdan, e sstema soo devover e smboo de sstema. S e
paquete o aguno de sus componentes fuera dependenca de otro u otros paquetes, e sstema
nformar que no es posbe desnstaar y devover a sta de paquetes que o requeren. En e
sguente e|empo se tratar de desnstaar e paquete crontabs:
rpm =0 crontabs
Como e paquete crontabs es requerdo por anacron, e sstema devover una sada smar a a
sguente:
error2 Dailed dependencies2
crontabs is needed b$ (installed) anacron=(8,=-*8el*8centos8i,'6
S se desea des nstaar cuaquer paquete sn mportar que otros dependan de este, se puede
178
utzar agregar a opcn 11nodeps. Esto es contrandcado, y soo debe ser utzado es
stuacones muy partcuares o escenaros donde as se requere. Evte sempre desnstaar
paquetes que sean dependenca de otros en e sstema a menos que vaya a renstaar
nmedatamente un paquete que os susttuya.
179
22' Cmo crear pa-ueter,a con rpmbuild
22'!' Introduccin
Crear paquetera a travs de rpmbud no es tan compcado como agunos suponen. Aunque no se
nstaa de modo predetermnado, rpmbud es una herramenta que forma parte de paquete
rpm-bud y que se ncuye en a mayora de as dstrbucones actuaes que utzan paquetera en
formato RPM.
Este documento mostrar os procedmentos para:
Generar una cave GnuPG para frmar dgtamente os paquetes creados.
Confguracn y creacn de una |aua para rpmbud.
Creacn de fcheros *.spec.
Uso de mandato rpmbud.
22'2' Instalacin del sustento l2ico necesario
Es ndspensabe contar con a paquetera de desarroo mnma necesara nstaada en e sstema.
Lamentabemente no hay recetas mgcas. S se pretende crear paquetera a partr de cdgos
fuente es necesaro estar famarzado con as bbotecas compartdas necesaras, cabeceras de
desarroo, compadores y otras herramentas de desarroo reaconadas o requerdas por un
sustento gco en partcuar. Un con|unto mnmo sera e sguente:
Gcc: compador.
gbc-deve: bbotecas de desarroo para C.
automake: generador de fcheros Makefe.
autoconf: herramenta para confguracn de cdgos fuente y fcheros Makefe.
rpm-bud y rpm-deve.
gnupg
Gpgme y seahorse: .erramientas incluidas en LAB DesLtop que se utzarn en
os procedmentos de este documento para generar a cave utzada para frmar
dgtamente os paquetes rpm resutantes.
S va a crear paquetera para GNOME, necestar por o menos o sguente, con todo
o que dependa de ste: gb2-deve, atk-deve, pango-deve, gtk2-deve, bbonobou-
deve, bgnomeu-deve, gnome-vfs2-deve, bwnck-deve, gnome-pane-deve,
gnome-desktop-deve, nautus-deve, gstreamer-deve y gstreamer-pugns-deve.
S va a crear paquetera para KDE, necestar a menos o sguente, con todo o que
dependa de ste: qt-deve, arts-deve, kdebs-deve, kdebase-deve, kdenetwork-
deve, kdegraphcs-deve y kdemutmeda-deve.
S utza Cent OS, Whte Box Enterprse Lnux o ben Red Hat Enterprse Lnux, necestar correr
180
o sguente para nstaar e mnmo de paquetera:
$um =$ install gccM automakeM autocon&M rpm=build rpm=devel gnupg
S desea generar paquetera para GNOME, necestar tambi)n nstaar e mnmo de paquetera
de desarroo de GNOME:
$um =$ install glib(=devel atk=devel pango=devel gtk(=devel libbonoboui=devel
libgnomeui=devel gnome=v&s(=devel libwnck=devel gnome=panel=devel gnome=desktop=devel
nautilus=devel gstreamer=devel gstreamer=plugins=devel
S va a generar paquetera para KDE, necestar tambi)n nstaar e mnmo de paquetera de
desarroo de KDE:
yum -y nsta qt-deve arts-deve kdebs-deve kdebase-deve kdenetwork-deve kdegraphcs-deve
kdemutmeda-deve
S adems tene nstaado LPT Desktop, puede nstaar tambi)n e sustento gco restante:
$um =$ install seahorse gpgme
22'8'!' Creacin de la clave GnuAG
1. Desde una sesn grfca, nce seahorse y de cc en en botn de Nuevo en e pane de
Opcones de prmera vez.
2. Lo anteror ncar un asstente de creacn de caves.
3. E|a e nve de segurdad como Segurdad extra ata.
4. Especfque su nombre competo, un breve comentaro opcona y su cuenta de correo
eectrnco permanente que se reaconar excusvamente con a nueva cave.
5. Especfque una frase de paso que so usted pueda recordar. Se recomenda utzar
espacos y sgnos de puntuacn.
6. En a pantaa de Fecha de caducdad, savo que especfcamente requera o contraro,
especfque Sn caducdad.
7. Tome nota de como aparece exactamente e nombre de a ave, ncuyendo parntess,
espacos y otros smboos, ya que se utzarn en e sguente procedmento.
22'8'2' Con/i2uracin * creacin de una 4aula para rpmbuild
"am@s utilice la cuenta de root sn mportar a crcunstanca, para crear o reconstrur
paquetera en formato RPM. Esto puede resutar pegroso debdo a que a confguracn de
agunos programas pueden tratar de nstaar componentes en e sstema en ugar de drectoro
especfcado para rpmbud, o cua dar como resutado dversas consecuencas de segurdad y
de estabdad para e sstema.
181
La |aua ser creada de modo seguro dentro de una cuenta de usuario normal sin privile2ios,
a fn de poder detectar e mpedr que agunos procedmentos durante a creacn de paquetes
ntenten nstaar componentes no deseados en e sstema.
22'8'2'!' Componentes del /ic.ero W/'rpmmacros
Utzando cuaquer edtor de texto, genere e fchero -/.rpmmacros, en e cua se defnrn
vaores para agunas varabes utzadas por rpmbud:
%debug_package: srve para especfcar s se anua o no a generacn de paquetera
de depuracn. La paquetera de depuracn soo es t para os programadores a fn
de ocazar faas en os programas empaquetados. Para a mayora de os casos se
especfca e vaor %{n} a fn de mpedr que se genere paquetera de depuracn.
%_unpackaged_fes_termnate_bud: srve para especfcar s a construccn de un
paquete se deber nterrumpr s hay componentes gnorados por e fchero *.spec. 0
deshabta, 1 habta. Ou vaor se recomenda?; a respuesta es obva: no es
deseabe un paquete a cua e fatan componentes, as que se especfcar 1.
%_sgnature: se utzar gpg para frmar os paquetes resutantes.
%_gpg_path: ruta de drectoro .gpg a utzar. Estar ocazado dentro de a carpeta
de nco de usuaro utzado.
%_gpg_name: dentdad a utzar para frmar os paquetes resutantes. E formato
utzado es e msmo como aparece e nombre de su cave GnuPG en seahorse: Su
Nombre (Breve comentaro) <su cuenta de correo eectrnco>.
%_gpgbn: ruta de bnaro gpg, normamente en /usr/bn/gpg.
%_topdr: ruta donde se ocaza a |aua para rpmbud.
%_tmppath: drectoro de eementos temporaes que ser utzado para smuar
nstaacones.
%packager: su nombre competo y dreccn de correo eectrnco o ben e URL de su
sto de red.
%dstrbuton: nombre de producto o ben para especfcar para que dstrbucn de
GNU/Lnux se utzar a paquetera.
%vendor: nombre de su empresa u organzacn.
%desktop_vendor: varabe opcona (y no ofca) para defnr e nombre de a
empresa en e nombre agunos fcheros, prncpamente entradas de men.
Especfque e nombre corto de su empresa sin espacios.
A contnuacn un e|empo de contendo de fchero -/.rpmmacros, utzando vaores fctcos:
Udebug%package UYnilZ
U%unpackaged%&iles%terminate%build 1
U%signature gpg
U%gpg%path U(echo VJ7I!BV)/8gnupg
U%gpg%name ?ul'no (e +eren*'no (%n' empres' /i)i)i') L/ul'noM'l*Nn$(ominio.)omD
U%gpgbin /usr/bin/gpg
U%topdir U(echo VJ7I!BV)/rpmbuild
U%tmppath U(echo VJ7I!BV)/rpmbuild/?!5
Upackager Dulano de 5erengano _su )uen' (e )orreo o bien &p2//su$siio$(e$re(.)omQ
Udistribution nombre (e su pro(u)o ';uO
Uvendor su nombre o nombre (e su empres' ';uO
Udesktop%vendor nombre$(e$su$empres'$sin$esp')ios
22'8'2'2' Creacin de la estructura de la 4aula para rpmbuild
Desde una termna, genere a estructura de drectoros necesara utzando o sguente:
mkdir =p S/rpmbuild/Y:#4A<.R5!S.SI#R6BS.SR5!S.S5B6S.?!5Z
182
mkdir =p S/rpmbuild/R5!S/Yathlon.i,'6.i*'6.i6'6.noarchZ
22'8'8' Creacin de los /ic.eros`'spec
Los fcheros *.spec contenen a nformacn que utzar rpmbud para construr un paquete. De
contendo de stos depender que sea posbe descomprmr, confgurar, compar, nstaar
vrtuamente y empaquetar un sustento gco en partcuar a partr de un cdgo fuente.
Name:
Se refere nombre de paquete. No puede evar espacos. Reguarmente es e msmo nombre utzado para e
paquete de cdgo fuente.
Verson:
Se refere a nmero de versn de paquete
Reease:
Nmero de anzamento o entrega
URL:
URL orgna de sto de red de sustento gco que se va a empaquetar.
Summary:
Resumen o descrpcn corta de paquete.
Lcense:
Lcenca o cencas utzadas por e paquete.
Group:
Grupo o categora de sustento gco a cua pertenece e paquete. Lsta de grupos vdos:
%musements&'ames
%musements&'rap(ics
%pplications&%rc(iving
%pplications&)ommunications
%pplications&*atabases
%pplications&+ditors
%pplications&+mulators
%pplications&+ngineering
%pplications&,ile
%pplications&-nternet
%pplications&Multimedia
%pplications&.roductivity
%pplications&.ublis(ing
%pplications&/ystem
%pplications&0ext
*evelopment&*ebuggers
*evelopment&1anguages
*evelopment&1ibraries
*evelopment&/ystem
*evelopment&0ools
*ocumentation
/ystem +nvironment&2ase
/ystem +nvironment&*aemons
/ystem +nvironment&3ernel
/ystem +nvironment&1ibraries
/ystem +nvironment&/(ells
4ser -nter5ace&*es6tops
4ser -nter5ace&7
4ser -nter5ace&7 8ard9are /upport
Budroot:
183
Ruta donde se reazar a nstaacn vrtua, es decr: UY%tmppathZ/UYnameZ=UYversionZ=root
Source:
Se puede especfcar soamente e nombre de paquete utzado para e cdgo fuente, aunque por norma se
sugere especfcar e URL exacto haca e cdgo fuente.
BudRequres:
Lsta separada por comas o espacos de componentes o paquetes requerdos para poder construr e sustento gco
nvoucrado.
BudPreReq:
Lsta de componentes o paquetes que deben estar prevamente nstaados en e sstema antes de ncar a
compacn de sustento gco nvoucrado.
Requres:
Lsta de paquetes de os cuaes depende e sustento gco empaquetado para poder funconar.
PreReq:
Lsta de componentes o paquetes que deben estar prevamente nstaados en e sstema antes de ncar a
nstaacn de e sustento gco nvoucrado.
%descrpton
Descrpcn detaada acerca de paquete
%prep
Procedmentos, s os hubere, requerdos antes de desempaquetar e cdgo fuente. Reguarmente no os hay.
%setup
Procedmentos, s os hubere, requerdos a desempaquetar o despus de desempaquetar e cdgo
fuente. Reguarmente aqu es donde se apcan parches y otros correctvos.
%bud
Procedmentos necesaros para poder compar desde e cdgo fuente de un sustento gco en
partcuar. Por o genera basta con un Ucon&igure y U%%make, pero se recomenda eer a detae
e nstructvo de nstaacn de cada programa en partcuar a fn de asegurar os procedmentos
correctos para compar e sustento gco.
%nsta
Procedmento de nstaacn requerdo para un paquete en partcuar. Se recomenda mpar
cuaquer nstaacn preva utzando U%%rm =&r UYbuildrootZ. La nstaacn ser vrtua y se
reazar dentro de -/rpmbud/TMP/ que es estabecdo por a varabe %{budroot}. Por o genera
es sufcente U%%make <BS?<4RHUYbuildrootZ install, ; sn embargo agunos programas
puderan requerr nstaacn ndvdua de agunos o todos sus componentes.
%cean
Procedmentos para mpar aqueo que ya no se necesta despus de haber creado extosamente
e paquete RPM. Especfcamente se refere a a nstaacn vrtua que se reaz dentro de
-/rpmbud/TMP/. Para a mayora de os casos es sufcente utzar U%%rm =&r UYbuildrootZ..
%preun
184
Procedmentos que se deben correr |usto antes de proceder a nstaar un paquete. Se utza
prncpamente con paquetes que necestan crear cuentas de sstema u otros preparatvos.
%post
Procedmentos que se deben correr |usto despus de proceder a nstaar un paquete. E|empos:
Cuando os paquetes ncuyen bbotecas compartdas, se e|ecuta dconfg. S un paquete ncuye un
esquema para GConf, se debe correr o necesaro para regstrar e esquema.
%postun
Procedmentos que se deben correr |usto despus de proceder a desnstaar un paquete. Se utza
prncpamente con paquetes que necestan correr tareas admnstratvas, como detener y/o dar de
ba|a un servco.
%fes
Lsta de todos os componentes de e sustento gco empaquetado en sus rutas defntvas.
%changeog
Btcora de cambos de fchero *.spec. Requere un formato especa:
* |Da de a semana en abrevado y en ngs| |Mes abrevado en ngs| da ao Nombre
empaquetador <correo eectrnco o URL de sto de red>
- Agunos cambos
- Ms cambos
- Otros cambos
E|empo:
* Sun Sep 25 2005 Fuano de Perengano <http://m-sto-geb.ago/>
- Fchero *.spec nca.
- Se aaderon cosas
- Se puso un gun para ago
22'8'8'!' E4emplo de /ic.ero `'spec'
Oame2 'l*o
@ersion2 0.1
Release2 1
#RA2 &p2//siio$(e$re($(el$suseno$lP*i)o$'$uili5'r/
Summar$2 +';uee im'*in'rio ;ue &')e 'l*o.
Aicense2 G+7
3roup2 8ppli)'ions/?ile
:uildroot2 UY%tmppathZ/UYnameZ=UYversionZ=root
Source2 &p2//un$siio$*Qeb.'l*o/'l*o$0.1.'r.b52
:uildRe0uires2 *-2$(evel
:uild5reRe02 /usr/bin/(es-op$/ile$ins'll
Re0uires2 *-2
5reRe02 /usr/bin/up('e$(es-op$(''b'se
Udescription
+ro*r'm' im'*in'rio es)rio en un len*u'He 'bsr')o e ine.isene ;ue &')e
)os's im'*in'ri's e imposibles sPlo p'r' /ines (emosr'ivos.
Uprep
Usetup =0
Ubuild
Ucon&igure
U%%make
Uinstall
U%%make <BS?<4RHUYbuildrootZ install
185
Uclean
U%%rm =&r UYbuildrootZ
Upreun
Upost
/sbin/ldcon&ig
Upostun
U&iles
de&attr(=.root.root)
/usr/bin/algo
/usr/lib/libalgo8so8+
/usr/share/applications/algo8desktop
Uchangelog
M Sun Sep (* (++* Dulano de 5erengano _http2//mi=sitio=gfeb8algo/Q
= Se aTadieron cosas
= Se puso un guiPn para algo
M Sat Sep (- (++* Dulano de 5erengano _http2//mi=sitio=gfeb8algo/Q
= Dichero M8spec inicial8
22'8'9' Uso del mandato rpmbuild
Lsta y descrpcn de opcones prncpaes:
==sign
Especfca que se debe frmar un paquete con cave dgta predetermnada.
==clean
Socta a rpmbud corra os procesos especfcados en a seccn %cean para de|ar mpo e
drectoro de temporaes utzado para reazar nstaacones vrtuaes.
==targetHEar0uitecturaF
Se utza para ndcar a rpmbud para que arqutectura ser construdo e paquete. De modo
predefndo rpmbud crea os paquetes para a arqutectura predetermnada de sstema.
Puede especfcarse 386, 585, 686, noarch, athon, etc., de acuerdo a o que sea requerdo.
=ba
Socta a rpmbud corra todos os procedmentos necesaros para generar un paquete RPM
bnaro y e paquete RPM fuente (*.src.rpm) a partr de un fchero *.spec.
=bb
Socta a rpmbud corra todos os procedmentos necesaros para generar soamente un
paquete RPM bnaro a partr de un fchero *.spec.
=bp
Socta a rpmbud corra todos os procedmentos necesaros en a seccn %prep y
apcacn de parches en %setup. Se utza prncpamente para verfcar y depurar estos
procedmentos antes de comenzar a compacn e nstaacn.
=bc
Socta a rpmbud corra todos os procedmentos necesaros en a seccn %prep,
apcacn de parches en %setup y compacn en %bud. No reaza nstaacn vrtua n
crea paquetes RPM. Se utza prncpamente para verfcar y depurar estos procedmentos.
186
=bi
Socta a rpmbud corra todos os procedmentos necesaros en a seccn %prep,
apcacn de parches en %setup, compacn en %bud e nstaacn vrtua en %nsta. No
crea paquetes RPM. Se utza prncpamente para verfcar y depurar estos procedmentos.
==short=circuit
Se utza en combnacn con -bc y b. Socta a rpmbud satar todos os pasos prevos y
correr ncamente a compacn, en e caso de ser combnado con -bc, o ben satar todos
os pasos prevos y correr ncamente os procedmentos para reazar a nstaacn vrtua,
en e caso de ser combnado con -b. Se utza prncpamente para verfcar y depurar estos
procedmentos.
==rmspec
Socta a rpmbud emne e fchero *.spec despus de crear extosamente os paquetes
RPM correspondentes. Se utza para mantener mpa a |aua de rpmbud.
==rmsource
Socta a rpmbud emne todo o que corresponda a as fuentes, es decr, cdgos fuentes,
parches y otros eementos, despus de crear extosamente os paquetes RPM
correspondentes. Se utza para mantener mpa a |aua de rpmbud.
==rebuild
Socta a rpmbud reconstruya un paquete a partr de un *.src.rpm.
22'8'9'!' E4emplos de uso del mandato rpmbuild
Construr so un paquete RPM, sin 2enerar `'src'rpm, a partr de un fchero *.spec:
rpmbuild =bb algo8spec
Construr so un paquete RPM |unto con e correspondente *.src.rpm a partr de un fchero
*.spec:
rpmbuild =ba ==clean ==sign ==rmspec ==rmsource algo8spec
Construr soo un paquete RPM sn *.src.rpm a partr de un fchero *.spec, con frma dgta,
mpeza de drectoro de nstaacones vrtuaes y emnacn de *.spec y fuentes tras termnar
extosamente:
rpmbuild =bb M8spec
Construr so un paquete RPM y e correspondente *.src.rpm a partr de un fchero *.spec, con
frma dgta, mpeza de drectoro de nstaacones vrtuaes y emnacn de *.spec y fuentes
tras termnar extosamente:
rpmbuild =ba ==clean ==sign ==rmspec ==rmsource M8spec

Reconstrur so un paquete RPM a partr de un *.src.rpm:
rpmbuild ==rebuild cual0uier=pa0uete8src8rpm
187
Reconstrur so un paquete RPM a partr de un *.src.rpm, con frma dgta, mpeza de drectoro
de nstaacones vrtuaes y emnacn de *.spec y fuentes tras termnar extosamente:
rpmbuild ==rebuild ==clean ==sign ==rmspec ==rmsource cual0uier=pa0uete8src8rpm
22'9' E4ercicios
22'9'!' Aa-uete 0A? binario * el pa-uete `'src'rpm correspondiente
creando el /ic.ero `'spec necesario
1. Acceda haca http://www.nano-edtor.org y descargue e cdgo fuente de la m@s reciente
versin estable de edtor de texto Nano.
2. Cooque e *.tar.gz de cdgo fuente dentro de drectoro -/rpmbud/SOURCES/
mv nano=18(8*8tar8g" S/rpmbuild/SI#R6BS/
3. Cambe haca e drectoro -/rpmbud/SPECS/
cd S/rpmbuild/S5B6S/
4. Con cuaquer edtor de texto smpe, genere e fchero -/rpmbud/SPECS/nano.spec con e
sguente contendo Pal terminarM por /avor veri/i-ue la sintaxisM l,nea por l,neaQ:
Oame2 n'no
@ersion2 1.2.5
Release2 1
#RA2 &p2//www.n'no$e(ior.or*/
Summar$2 %n pe;ueRo e(ior (e e.o.
Aicense2 G+7
3roup2 8ppli)'ions/:(iors
:uildroot2 UY%tmppathZ/UYnameZ=UYversionZ=root
Source2 &p2//www.n'no$e(ior.or*/(is/v1.2/n'no$1.2.5.'r.*5
:uildRe0uires2 n)urses$(evel4 *lib)$(evel4 *))
Re0uires2 n)urses
Udescription
GA% n'no es un pe;ueRo y /S)il (e uili5'r e(ior (e e.o.
Uprep
Usetup =0
Ubuild
Ucon&igure
U%%make
Uinstall
U%%make <BS?<4RHUYbuildrootZ install
Uclean
U%%rm =&r UYbuildrootZ
U&iles
Ude&attr(=.root.root)
Udoc >#?7IRS :#3S 6I5K4O3 6hangeAog 4OS?>AA OBCS RB><!B ?7>O9S ?I3BS/nano8mo
Uchangelog
M Sun Sep (* (++* Dulano de 5erengano _http2//mi=sitio=gfeb8algo/Q
= Dichero M8spec inicial8
5. Para poder construr nano, necestar tener nstaados os paquetes ncurses-deve
(cabeceras de desarroo para ncurses), gbc-deve (cabeceras de desarroo para C) y gcc
(compador de GNU.org). De ser necesaro, proceda a nstaar stos:
$um =$ install ncurses=devel glibc=devel gcc
6. Utce o sguente para generar os paquetes bnaro y fuente correspondentes:
rpmbuild =ba nano8cpec
7. Suponendo que utza una computadora con mcroprocesador compatbe con Inte; a
concur e proceso, encontrar e paquete bnaro RPM dentro de drectoro
S/rpmbuild/R5!S/i,'6/ y e paquete *.src.rpm dentro de drectoro S/rpmbuild/SR5!S/.
22'9'2' Aa-uete 0A? binario * el pa-uete `'src'rpm correspondiente
reali=ando limpie=a de directorioM /irma di2ital
1. Utzar e msmo fchero *.spec de e|ercco pasado.
2. Utce o sguente para generar os paquetes correspondentes, ngresando a cave de
acceso para GnuPG cuando e sea requerda:
rpmbuild =ba ==clean ==sign nano8cpec
3. Suponendo que utza una computadora con mcroprocesador compatbe con Inte; a
termnar e proceso, encontrar e paquete bnaro RPM dentro de drectoro
S/rpmbuild/R5!S/i,'6/ y e paquete *.src.rpm dentro de drectoro S/rpmbuild/SR5!S/.
189
28' Cmo asi2nar cuotas de disco
28'!' Introduccin
La utzacn de cuotas de dsco permte a os admnstradores de sstemas reazar a gestn
efcente de espaco compartdo en dsco por mtpes usuaros. Las cuotas restrngen a
capacdad de os usuaros para acceder haca os recursos de sstema, taes como boques
(asgnacn de undades) e nodos (entradas de sstema de fcheros). Cuando una cuota es
excedda se apca una potca determnada por e admnstrador. Las cuotas se admnstran por
sstema de archvos ndvduaes y son ncas para usuaros o grupos.
28'2' E-uipamiento l2ico necesario'
28'2'!' Instalacin a trav)s de *um'
$um =$ install 0uota
28'2'2' Instalacin a trav)s de Up2date
o sguente:
up(date =i 0uota
I. Debe ncarse e sstema en nve de e|ecucn 1 (mono usuaro), ya que se re-uiere no
.a*a procesos activos utzando contendo de a partcn a a cua se e apcar a
cuota de dsco.
II. Obvamente, durante a nstaacn, deb asgnarse una partcn dedcada para, por
menconar un e|empo, os drectoros /var y /home.
III. Con a fnadad de aadr e soporte para cuotas en as partcones anterormente
menconadas, se debe aadr en e fchero /etc//stab os parmetros usr-uota y
2rp-uota a as neas que defnen a confguracn de as partcones /var y /home:
190
A>:BAH/var /var ext, de&aults.usr;uo'4*rp;uo' 1 (
A>:BAH/home /home ext, de&aults.usr;uo'4*rp;uo' 1 (
IV. Debe remontar as partcones para que surtan efecto os cambos:
mount =o remount /var
mount =o remount /home
V. Se deben crear os fcheros aquota.user, aquota.group, quota.user y quota.group, os
cuaes se utzarn en adeante para amacenar a nformacn y estado de as cuotas en
cada partcn.
cd /var
touch a0uota8user a0uota8group 0uota8user 0uota8group
cd /home
touch a0uota8user a0uota8group 0uota8user 0uota8group
VI. E|ecutar:
0uotacheck =avug
La prmera vez que se e|ecuta e mandato anteror es norma que marque advertencas
refrndose a posbes fcheros truncados, que en readad no eran otra cosa sno fcheros
de texto smpe vacos a os cuaes se es acaba de convertr a formato bnaro. S se
e|ecuta de nuevo -uotac.ecL 1 avu2, no deber mostrar advertenca aguna.
VII.Para actvar as cuotas de dsco recn confguradas, soo bastar e|ecutar:
0uotaon /var
0uotaon /home
VIII.Vaya a nve de e|ecucn 3 a fn de apcar cuota de dsco a agunos usuaros.
init ,
28'8'!' Ed-uota
Es mportante conocer que sgnfca cada coumna mostrada por edquota.
#locLs3 Boques. Corresponde a a cantdad de boques de 1 Kb que est utzando e usuaro.
Inodes3 Inodos. Corresponde a nmero de fcheros que est utzando e usuaro. Un inodo (tambn
conocdo como Index Node) es un apuntador haca sectores especfcos de dsco duro en os cuaes se
encuentra a nformacn de un fchero. Contene adems a nformacn acerca de permsos de acceso
as como os usuaros y grupos a os cuaes pertenece e fchero.
So/t3 Lmte de graca. Lmte de boques de 1 KB que e usuaro puede utzar y que puede rebasar
hasta que sea exceddo e perodo de graca (de modo predetermnado son 7 das).
Gard3 Lmte absouto. Lmte que no puede ser rebasado por e usuaro ba|o crcunstanca aguna.
Asgnar cuotas de dsco a cuaquer usuaro o grupo. Soamente har fata utzar ed-uota
191
ctando e nombre de usuaro a cua se e quere apcar:
ed0uota &ulano
Lo anteror deber mostrar ago como o sguente a travs de vi u otro edtor de texto smpe:
<isk 0uotas &or user &ulano (uid *+1)2
Diles$stem blocks so&t hard inodes so&t hard
/dev/hda) + + + + + +
/dev/hda* (- + + 1+ + +
28'8'!'!' Cuota absoluta
Suponendo que se quere asgnar una cuota de dsco de 6 MB para e usuaro fuano en en
/dev/hda) y /dev/hda*, se utzara o sguente:
/dev/hda) + + 61-- + + +
/dev/hda* (- + 61-- 1+ + +
E usuaro sempre podr rebasar una cuota de 2racia pero nunca una cuota absoluta.
28'8'!'2' Cuota de 2racia
E sstema tene de modo predetermnado un periodo de 2racia de 7 das que se puede
modfcar con e mandato ed-uota 1t, donde se puede estabecer un nuevo perodo de graca por
das, horas, mnutos o segundos.
3race period be&ore en&orcing so&t limits &or users2
?ime units ma$ be2 da$s. hours. minutes. or seconds
Diles$stem :lock grace period 4node grace period
/dev/hdb) )da$s )da$s
/dev/hdb* )da$s )da$s
La cuota de 2racia estabece os mtes de boques o inodos que un usuaro tene en una
partcn. Cuando e usuaro excede e mte estabecdo por a cuota de graca, e sstema
adverte a msmo que se ha exceddo a cuota de dsco; sn embargo permte a usuaro contnuar
escrbendo hasta que trascurre e tempo estabecdo por e perodo de graca, tras e cua a
usuaro se e mpde contnuar escrbendo sobre a partcn. Suponendo que quere asgnar una
cuota de graca de 6 MB en /dev/hda7 y /dev/hda5, a cua podr ser excedda hasta por 7 das,
entonces se utzara o sguente:
/dev/hda) + 61-- + + + +
/dev/hda* (- 61-- + 1+ + +
28'8'!'8' &plicando cuotas masivamente
S se quere que todo apque para os usuaros exstentes a partr de UID 510, por e|empo, s se
que tene a usuaro pepto como mode Pnote por /avor el acento 2rave en el mandato
4usto antes de aNLM no es una comilla ni apostro/eQ:
192
ed0uota =p pepito gawk =D2 WJ, Q *1+ Yprint J1ZW /etc/passwdg
28'9' Comprobaciones
Utce e mandato edquota con e usuaro fuano.
ed0uota &ulano
Asgne a usuaro fuano una cuota de dsco de 50 MB en todas as partcones con cuota de
dsco habtada:
/dev/hda) + + *1(++ + + +
/dev/hda* (- + *1(++ 1+ + +
Desde otra terminal acceda haca e sstema como e usuaro fuano y e|ecute e mandato
-uota y observe con detenmento a sada:
Diles$stem blocks 0uota limit grace &iles 0uota limit grace
/dev/hda) + + *1(++ 1 + +
/dev/hda* (- + *1(++ 1+ + +
Reace una copia de drectoro /usr/lib como e drectoro subordnado W/prueba1cuotas dentro
de su drectoro de nco:
cp =r /usr/lib S/prueba=cuotas
Notar que egar un momento en e que e sstema ndcar que ya no es posbe contnuar
copando contendo dentro de W/prueba1cuotas debdo a que se ha agotado e espaco en a
partcn.
Utilice de nuevo e mandato -uota y observe con detenmento a sada, en donde aparecer
un astersco |usto |unto a a cantdad en a coumna de boques, a cua ndca que se ha exceddo
a cuota de dsco:
Diles$stem blocks 0uota limit grace &iles 0uota limit grace
/dev/hda) + + *1(++ 1 + +
/dev/hda* *1(++M + *1(++ )-,/ + +
Para poder vover a escrbr sobre a partcn, es necesaro berar espaco. Emne por competo
e drectoro W/prueba1cuotas y vueva a utzar e mandato quota:
rm =&r S/prueba=cuotas
0uota
193
29' Introduccin a BCA/IA
29'!' Introduccin
TCP/IP fue desarroado y presentado por e Departamento de Defensa de EE.UU. en 1972 y fue
apcado en &0A&NEB (&dvanced 0esearch Aro|ects &gency Network), que era a red de rea
extensa de Departamento de Defensa como medo de comuncacn para os dferentes
organsmos de EE.UU. La transcn haca TCP/IP en &0A&NEB se concret en 1983.
Se conoce como /amilia de protocolos de Internet a con|unto de protocoos de red que son
mpementados por a pa de protocoos sobre os cuaes se fundamenta Internet y que permten
a transmsn de datos entre as redes de computadoras.
Los dos protocoos ms mportantes, y que fueron tambn os prmeros en defnrse y tambn os
ms utzados, son BCA (Protocoo de Contro de Transmsn o Bransmsson Contro Arotoco) e
IA (Protocoo de Internet o Internet Arotoco), de ah que se denomne tambn como Con4unto
de Arotocolos BCA/IA. Los tpos de protocoos exstentes superan os cen, ente os cuaes
podemos menconar como os ms conocdos a HTTP, FTP, SMTP, POP, ARP, etc.
TCP/IP es a pataforma que sostene Internet y que permte a comuncacn entre dferentes
sstemas operatvos en dferentes computadoras, ya sea sobre redes de rea oca (LAN) o redes
de rea extensa (WAN).
29'2' Niveles de pila
En a actuadad contna a dscusn respecto a s e modeo TCP/IP de cnco nvees enca|a
dentro de modeo OSI (Interconexn de Sstemas Abertos u 6penSystems Interconnecton) de
sete nvees.
?odelo Niveles
TCP/IP 5 Apcacn
4 Transporte
3 Red
2 Enace
1 Fsco.
OSI 7 Apcacn
6 Presentacn
5 Sesn
4 Transporte
3 Red
2 Enace de datos
1 Fsco
194
29'2'!' ?odelo BCA/IA
Utza encapsuamento para proveer a abstraccn de protocoos y servcos haca dferentes
capas en a pa. La pa consste de cnco nvees:
Nivel Nombre Descripcin
5 &plicacin Se compone de dversos protocoos de servcos como:
DNS (Doman Name System)
BLS/SSL (Bransport Layer Securty)
B%BA (Brva %e Bransfer Arotoco)
%BA (%e Bransfer Arotoco)
GBBA (Gyper Bext Bransfer Arotoco)
I?&A (Internet ?esssage &ccess Arotoco)
I0C (Internet 0eay Chat)
NNBA (Network News Bransfer Arotoco)
A6A8 (Aost 6ffce Arotoco)
SIA (Sesson Incaton Arotoco)
S?BA (Smpe ?a Bransfer Arotoco)
SN?A (Smpe Network ?anagement Arotco)
SSG (Secure S.e)
BELNEB
#itBorrent
0BA (0ea-tme Bransport Arotoco)
rlo2in
EN0A (Endpont Gandespace 0edundancy Arotoco)
Los protocoos de encamnamento como #GA (#order Gateway Arotoco) y 0IA (0outng
Informaton Arotoco) que utzan transporte por TCP y UDP respectvamente pueden ser
consderados como parte de este nve.
4 Bransporte Se compone de dversos protocoos de servcos como:
BCA (Bransmson Contro Arotoco)
UDA (User Datagram Arotoco),
DCCA (Datagram Congeston Contro Arotoco)
195
SCBA (Stream Contro Bransmson Arotococo)
IL (Internet Lnk Protoco, smar a TCP pero ms smpe)
0UDA (0eabe User Datagram Arotoco), etc.
Los protocoos como 6SA% (6pen Shortest Aath %rst), que corren sobre IP, pueden ser
tambn consderados como parte de esta capa. IC?A (Internet Contro ?essage Arotoco) e
IG?A (Internet Group ?anagement Arotoco) que tambn utzan IP, pueden ser
consderados parte de Nve de Red.
3 0ed Se compone de dversos protocoos de servcos como IA (ncuyendo IAv9 e IAv;).
Protocoos como &0A (&ddress 0esouton Arotoco) y 0&0A (0everse &ddress 0esouton
Arotoco) que operan por deba|o de IP, pero arrba de Nve de enace, de modo que
pertenecen a un punto ntermedo entre e Nve de Red y e Nve de Enace.
2 Enlace Compuesto de protocoos como:
Et.ernet
Zi1%i
BoLen rin2
AAA (Pont-to-Pont Arotoco)
SLIA (Sera Lne Internet Arotoco)
%DDI (Fber Dstrbuted Data Interface)
&B? (&synchronous Bransfer Arotoco)
%rame 0ela*
S?DS (Swtched ?ut-megabt Data Servces)
1 %,sico Medo fsco.
Los nvees ms cercanos atos son os ms cercanos a usuaro, mentras que os que estn ms
haca aba|o se encuentran ms cercanos a a transmsn fsca de os datos. Savo por evdentes
razones en e prmer y tmo nvees, cada nve tene un nve superor y un nve nferor que,
respectvamente, o ben utzan un servco de nve o proveen un servco. Un mtodo de
abstraccn para entender esto es mrar os nvees como proveedores o consumdores de
servcos. E|empo: TCP en e nve de transporte requere un protocoo de nve de Red, como
sera IPv4, e cua a su vez requere de un protocoo de nve de enace, sendo TCP un proveedor
de servco para os protocoos de nve de apcacn.
29'2'!'!' Nivel de aplicacin
Es e nve que utzan os programas de red ms comunes a fn de comuncarse a travs de una
red. La comuncacn que se presenta en este nve es especfca de as apcacones y os datos
transportados desde e programa que estn en e formato utzado por a apcacn y van
encapsuados en un protocoo de Nivel de Bransporte. Sendo que e modeo TCP/IP no tene
nvees ntermedos, e nve de Apcacn debe ncur cuaquer protocoo que acte de msmo
modo que os protocoos de Nivel de Aresentacin y Nivel de Sesin de ?odelo 6SI. Los
protocoos de Nve de Transporte ms comnmente utzados son TCP y UDP, msmos que
196
requeren un puerto dsponbe y especfco para e servco para os servdores y puertos efmeros.
Aunque os encamnadores (routers) e nterruptores (swtches) no utzan este nve, as
apcacones que controan e ancho de banda s o utzan.
29'2'!'2' Nivel de Bransporte
Este nve prncpamente provee o necesaro para conectar apcacones entre s a travs de
puertos. Mentras que IP (Internet Protoco),de Nve de Red, provee soamente a me|or forma de
entrega, e nve de transporte es e prmer nve que se encarga de a fabdad. De entre todos
os protocoos de este nve, tanto TCP como UDP son utzados para transportar un gran nmero
de apcacones de ato nve. Las apcacones en cuaquer nve se dstnguen a travs de os
puertos TCP o UDP que utcen.
BCA'
E me|or e|empo de este nve es TCP, que es un protocoo orentado haca conexn que
resueve numerosos probemas de fabdad para proveer una transmsn de bytes fabe,
ya que se encarga de que os datos eguen en orden, tenga un mnmo de correccones de
errores, se descarten datos dupcados, se vuevan a envar os paquetes perddos o
descartados e ncuya contro de congestn de trfco.
La conexones a travs de TCP tenen tres fases:
I' Establecimiento de la conexin
Antes de que e cente ntente conectarse con e servdor, ste tmo debe prmero
garse haca e puerto para abrro para as conexones, es decr, una apertura
pasiva. Una vez estabecda, e cente puede ncar a apertura activa. Se requere
de un saudo de tres etapas:
1. La apertura actva se reaza envando un paquete SYN (sncronza) haca e
servdor.
2. En respuesta, e servdor responde con un paquete SYN-ACK (conformacn de
sncronzacn).
3. Fnamente e cente enva un paquete ACK (confrmacn) de regreso haca e
servdor.
En este punto tanto cente como servdor han recbdo una conformacn de a
conexn.
II' Brans/erencia de datos
Hay tres funcones cave que dferencan a TCP de UDP:
1. Transferenca de datos bre de errores.
2. Transferenca de datos ordenada.
3. Retransmsn de paquetes perddos.
4. Descartado de paquetes dupcados.
5. A|uste en a congestn de a transmsn de datos.
III. Berminacin de la conexin.
Esta etapa utza un saudo de tres vas, con cada extremo de a conexn
termnando ndependentemente. Cuando uno de os extremos desea detener su
197
parte de a conexn, enva un paquete FIN, que a otra parte confrma con un
paquete ACK. Por tanto, una nterrupcn de a conexn requere un par de paquetes
FIN y ACK desde cada ado de a conexn TCP.
Una conexn puede quedar aberta a medas cuando uno de os extremos ha
termnado a conexn desde su ado pero e otro extremo no. E extremo que termn
a conexn ya no puede envar datos en a conexn, pero e e otro extremo s.
E mtodo ms comn es un saudo de tres etapas donde un anftrn A enva un
paquete FIN y e anftrn B responde con un paquete FIN y un ACK (en e msmo
paso) y e anftrn A responde con un paquete ACK.
TCP reaza as sguentes etapas en su zcao:
1. LISTEN
2. SYN-SENT
3. SYN-RECEIVED
4. ESTABLISHED
5. FIN-WAIT-1
6. FIN-WAIT-2
7. CLOSE-WAIT
8. CLOSING
9. LAST-ACK
10.TIME-WAIT
11.CLOSED
LISBEN representa a conexn en espera de petcones desde cuaquer puerto TCP remoto.
SaN1SENB representa a espera de TCP remoto para envar de regreso e paquete TCP
estabecendo banderas SaN y &CK. SaN10ECIHED representa a espera para e TCP
remoto para envar de regreso a confrmacn despus de haber envado de regreso otra
confrmacn de conexn a TCP remoto (estabecdo por e servdor TCP). ESB&#LISGED
representa que e puerto est sto para recbr/envar datos desde/haca e TCP remoto (o
hacen tanto centes como servdores TCP). BI?E1Z&IB representa e tempo de espera
necesaro para asegurar que e TCP remoto ha recbdo a confrmacn de su soctud de
termnacn de a conexn.
UDA'
UDP, a veces referdo sarcstcamente como ?nreliable Datagram Protoco (Protcoo no
fabe de datagrama), es un protocoo de datagrama sn correccn; no provee as garanta
de fabdad y ordenamento de TCP a os protocoos de Nivel de &plicacin y os
datagramas pueden egar en desorden o perderse sn notfcacn. Como consecuenca de o
anteror es que UDP es un protocoo ms rpdo y efcente para tareas geras o sensbes a
tempo una nterfaz muy smpe entre e Nivel de 0ed y Nivel de &plicacin. S se
requere agn tpo de fabdad para os datos transmtdos, sta debe ser mpementada en
os nvees superores de a pa.
A gua que IP, y a dferenca de TCP, es un protocoo de me|or esfuerzo o no-fabe. E nco
probema de fabdad que resueve es a correccn de errores en a cabecera y datos
transmtdos a travs de un campo de 16 bts para suma de veri/icacin (checksum), una
forma de contro de redundanca con a fnadad de proteger a ntegrdad de datos
verfcando que no hayan sdo corrompdos.
La estructura de paquetes UDP consste de 4 campos.
198
Auerto de ori2en. Encargado de dentfcar e puerto que enva y que se asume ser
e puerto haca donde se enva a respuesta s se necesta. Este campo es opcona: s
no se utza, e vaor de campo debe ser 0.
Auerto de destino. Identfca e puerto de destno. Es obgatoro.
Lon2itud. Un campo de 16 bts que especfca a ongtud de datagrama competo:
cabecera y datos. La ongtud mnma es de 8 bytes ya que es a ongtud msma de a
cabecera.
Suma de veri/icacin. Un campo de 16 bts que se utza para verfcar errores en
cabecera y datos.
Las apcacones ms comunes que hacen uso de este tpo de protocoo son DNS,
apcacones de transmsn de medos, voz sobre IP (VoIP), TFTP y |uegos en nea.
SCBA'
SCTP es un mecanismo de transporte /iable orentado haca conexn. Est orentado
tambn haca transmsn de datos pero no est orentado haca bytes como TCP. Provee
mtpes transmsones dstrbudos sobre una msma conexn. Puede adems representar
una conexn con mtpes dreccones IP de modo que s una IP faa, a conexn no se
nterrumpe. Se desarro ncamente para apcacones de teefona pero se puede utzar
en otras apcacones.
DCCA'
DCCP se encuentra en fase de desarroo y ba|o a tutea de a IETF (Internet Engneerng
Task Force) que pretende proveer a semntca de contro de fu|o de TCP y e modeo de
servco de datagrama de UDP a a vsta de usuaro.
0BA'
RTP es un protocoo de datagrama que fue dseado para datos en tempo rea como a
transmsn de audo y vdeo. Es un nve de sesn que utza e formato de paquetes de
UDP como base. Sn embargo se consdera que este protocoo pudera acomodar deba|o de
nve de transporte de modeo TCP/IP.
29'2'!'8' Nivel de 0ed
Este nve resueve e probema de capturar os datos a travs de una red nca. IA (Internet
Arotoco) reaza a tarea bsca de capturar os paquetes de datos desde una fuente haca un
destno. IP puede transportar datos para una gran cantdad de protocoos de nve superor (Nve
de Transporte). Otro e|empo de protocoo de este nve es X.25, que es un con|unto de protocoos
para redes WAN utzando neas teefncas o sstema ISDN.
29'2'!'9' Nivel de Enlace
Este nve no es reamente parte de Con4unto de Arotocolos BCA/IA, sno que es e mtodo
utzado para pasar paquetes desde e Nve de Red sobre dos dferentes anftrones. Este proceso
puede ser controado a travs de sustento gco utzado como controador de dspostvo para
una tar|eta de red as como tambn sobre a Aro2ramacin en /irme (Frmware) o crcutos
ntegrados auxares (chpsets). Estos procesos reazarn funcones de enace de datos taes
como aadr una cabecera de paquete para preparar a transmsn, y entonces transmtr e todo
a travs de un medo fsco.
199
Este nve es donde os paquetes son nterceptados y envados haca una Red Prvada Vrtua
(VPN). Cuando esto se eva a acabo, os datos de Nve de Enace se consderan como os datos
de a apcacn y procede descendendo por a pa de modeo TCP/IP para reazar a verdadera
transmsn. En e extremo receptor, os datos suben por a pa de modeo TCP/IP dos veces, una
para a VPN y otra para e encamnamento (routng).
29'2'!':' Nivel %,sico
A gua que e Nve de Enace, no es reamente parte de Con4unto de Arotocolos BCA/IA.
Contempa todas as caracterstcas fscas de a comuncacn como a naturaeza de medo,
detaes de conectores, cdgo de canaes y moduacn, potencas de sea, ongtudes de onda,
sncronzacn y tempo de vda as como dstancas mxmas.
29'2'2' ?odelo 6SI
E Con4unto de Arotocolos BCA/IA (y su correspondente pa) han sdo utzados antes de que
se estabecera e modeo OSI (Interconexn de Sstemas Abertos u 6pen Systems
Interconnecton) y desde entonces e modeo TCP/IP ha sdo comparado con e modeo OSI tanto
en bros como en nsttucones educatvas. Ambas se reaconan pero no son equparabes. E
modeo OSI utza sete nvees, mentras que e modeo TCP/IP utza cnco. Los dos nvees que
hacen a dferenca en e Modeo OSI son e Nivel de Aresentacin y e Nivel de Sesin,
msmos que podran ser equvaentes a Nivel de &plicacin de modeo TCP/IP.
De msmo modo que a pa de modeo TCP/IP, e modeo OSI no es o sufcentemente dverso en
os nvees nferores para abarcar as verdaderas capacdades de Con4unto de Arotocolos
BCA/IA. Un caro e|empo es que fata un nve ntermedo para acomodar entre e Nivel de 0ed y
e Nivel de Bransporte para poder determnar donde corresponden os protocoos ICMP e IGMP,
y otro nve ntermedo entre e Nivel de 0ed y e Nivel de Bransporte para determnar donde
corresponden os protocoos ARP y RARP.
7 &plicacin HTTP, SMTP, SNMP, FTP, Tenet, SIP, SSH, NFS, RTSP, F?AA (Extensbe ?essagng and
Aresence Arotoco), Whos, ENRP Tenet.
6 Aresentacin FD0 (Externa Data 0epresentaton), &SN'! (&bstract Syntax Notaton 1), S?# (Server
?essage #ock),&%A (&ppe %ng Arotoco), NCA (NetWare Core Arotoco)
5 Sesin &S&A (&ggregate Server &ccess Arotoco), TLS, SSH, ISO 8327 / CCITT X.225, 0AC
(0emote Arocedure Ca), Net#I6S, &SA (&ppetak Sesson Arotoco), Wnsock, BSD
sockets
4 Bransporte TCP, UDP, RTP, SCTP, SPX, ATP, IL
2 Enlace de datos Ethernet, Token rng, HDLC, Frame reay, ISDN, ATM, 802.11 WF, FDDI, PPP
1 %,sico Defne todas as especfcacones fscas y ectrcas de os dspostvos, como son
dsposcn de pnes, vota|es, especfcacones de cabeado, concentradores,
repetdores, adaptadores de red, etc.
Cable, 0adio, fibra ptica, 0ed por palomas.
Los nvees 7 a 4 se casfcan como nvees de anftrn, mentras que os niveles in/eriores de
1 a 3 se casfcan como niveles de medios.
200
2:' Introduccin a IA versin 9
2:'!' Introduccin'
IAv9 es a versn 4 de Protocoo de Internet (IA o Inernet Arotoco) y consttuye a prmera
versn de IP que es mpementada de forma extensva. IAv9 es e prncpa protocoo utzado en
e Nve de Red de Modeo TCP/IP para Internet. Fue descrto nca mente en e RFC 791
eaborado por a Fuerza de Traba|o en Ingenera de Internet (IEB% o Internet Engneerng Bask
%orce) en Septembre de 1981, documento que de| obsoeto a RFC 760 de Enero de 1980.
IPv4 es un protocoo orentado haca datos que se utza para comuncacn entre redes a travs
de nterrupcones (swtches) de paquetes (por e|empo a travs de Ethernet). Tene as sguentes
caracterstcas:
Es un protocoo de un servco de datagramas no fabe (tambn referdo como de mejor esfuer+o).
No proporcona garanta en a entrega de datos.
No proporcona n garantas sobre a correccn de os datos.
Puede resutar en paquetes dupcado o en desorden.
Todos os probemas menconados se resueven en e nve superor en e modeo TCP/IP, por
e|empo, a travs de BCA o UDA.
E propsto prncpa de IA es proveer una dreccn nca a cada sstema para asegurar que una
computadora en Internet pueda dentfcar a otra.
2:'2' Direcciones'
IAv9 utza dreccones de 32 bts (4 bytes) que mta e nmero de dreccones posbes a utzar
a 4,294,967,295 dreccones ncas. Sn embargo, muchas de estas estn reservadas para
propstos especaes como redes prvadas, ?ultidi/usin (Mutcast), etc. Debdo a esto se
reduce e nmero de dreccones IP que reamente se pueden utzar, es esto msmo o que ha
mpusado a creacn de IAv; (actuamente en desarroo) como reempazo eventua dentro de
agunos aos para IAv9.
2:'2'!' 0epresentacin de las direcciones'
Cuando se escrbe una dreccn IAv9 en cadenas, a notacn ms comn es a decimal con
puntos. Hay otras notacones basadas sobre os vaores de os octetos de a dreccn IP.
Utzando como e|empo: www.acancebre.org que tene como dreccn IP 201.161.1.226 en a
notacn decma con puntos:
201
Notacin Halor Conversin desde decimal con puntos
Decma con puntos 201.161.1.226 -
Hexadecma con
puntos
0xC9.0xA1.0x01.0xE2 Cada octeto de a dreccn es convertdo
ndvduamente a hexadecma.
Octa con puntos 0311.0241.0001.0342 Cada octeto es convertdo ndvduamente a
octa.
Bnaro con puntos 11001001.10100001.00000001.11100010 Cada octeto es convertdo ndvduamente a
bnaro
Hexadecma 0xC9A101E2 Concatenacn de os octetos de
hexadecma con puntos.
Decma 3382772194 La forma hexadecma convertda a decma.
Octa 31150200742 La forma hexadecma convertda a octa.
Bnaro 11001001101000010000000111100010 La forma hexadecma convertda a bnaro.
*e'ricamente, todos estos formatos menconados deberan ser reconocdos por os navegadores
(sn combnar). Adems, en as formas con puntos, cada octeto puede ser representado en
combnacn de dferentes bases. E|empo: 201.0241.0x01.226.
2:'8' &si2nacin
Desde 1993 rge e esquema CID0 (Cassess Inter-Doman 0outng o Encamnamento Inter-
Domnos sn Cases) cuya prncpa venta|a es permtr a subdvsn de redes y permte as
entdades sub-asgnar dreccones IP, como hara un ISP con un cente.
E prncpo fundamenta de encamnamento (routng) es que a dreccn codfca nformacn
acerca de ocazacn de un dspostvo dentro de una red. Esto mpca que una dreccn
asgnada a una parte de una red no funconar en otra parte de a red. Exste una estructura
|errquca que se encarga de a asgnacn de dreccones de Internet arededor de mundo. Esta
estructura fue creada para e CID0, y hasta 1998 fue supervsada por a I&N& (Internet &ssgned
Numbers &uthorty o Agenca de Asgnacn de Nmeros Internet) y sus 0I0 (0egona Internet
0egstres o Regstros Regonaes de Internet). Desde e 18 de Septembre de 1998 a supervsn
est a cargo de a IC&NN (Internet Corporaton for &ssgned Names and Numbers o Corporacn
de Internet para os Nombres y Nmeros Asgnados). Cada 0I0 mantene una base de datos
ZG6IS dsponbe a pubco y que permte hacer bsquedas que proveen nformacn acerca de
as asgnacones de dreccones IP. La nformacn obtenda a partr de estas bsquedas |uega un
pape centra en numerosas herramentas as cuaes se utzan para ocazar dreccones IP
geogrfcamente.
2:'8'!' #lo-ues reservados'
#lo-ues de direcciones reservadas
#lo-ue de direcciones CID0 Descripcin 0e/erencia
0.0.0.0/8 Red actua (soo vdo como dreccn de orgen) RFC 1700
10.0.0.0/8 0ed Arivada RFC 1918
14.0.0.0/8 Red de datos pbcos RFC 1700
39.0.0.0/8 Reservado RFC 1797
127.0.0.0/8 Anftrn oca (ocahost) RFC 1700
128.0.0.0/16 Reservado
202
#lo-ue de direcciones CID0 Descripcin 0e/erencia
169.254.0.0/16 0ed Arivada (Zeroconf) RFC 3927
172.16.0.0/12 0ed Arivada RFC 1918
191.255.0.0/16
192.0.0.0/24
192.0.2.0/24 Red de pruebas RFC 3330
192.88.99.0/24 Retransmsn desde IAv; haca IAv9 RFC 3068
192.168.0.0/16 0ed Arivada RFC 1918
198.18.0.0/15 Pruebas de desempeo de red RFC 2544
223.255.255.0/24 Reservado RFC 3330
224.0.0.0/4 Mutdfusn (Mutcast, antes red Case D) RFC 3171
240.0.0.0/4 Reservado (Antes red Case E) RFC 1700
255.255.255.255 Dfusones (Broadcast)
2:'8'!'!' 0edes privadas'
De os ms de cuatro mil millones de dreccones permtdas por IAv9, tres rangos estn
especamente reservados para utzarse soamente en redes prvadas. Estos rangos no tenen
encamnamento fuera de una red prvada y as mqunas dentro de estas redes prvadas no
pueden comuncarse drectamente con as redes pbcas. Pueden, sn embargo, comuncarse
haca redes pbcas a travs de a Traduccn de Dreccones de Red o N&B (Network &ddress
Bransaton).
#lo-ues reservados para redes privadas
Nombre
0an2o de direcciones
IA
Numero de
direcciones IA
Bipo de clase
#lo-ue CID0
ma*or
Boque de
24bts
10.0.0.0 - 10.255.255.255 16,777,215 nca case A 10.0.0.0/8
Boque de
20bts
172.16.0.0 -
172.31.255.255
1,048,576
16 cases B
contguas
172.16.0.0/12
Boque de
16bts
192.168.0.0 -
192.168.255.255
65,535
256 cases C
contguas
192.168.0.0/16
2:'8'!'2' &n/itrin local PLocal.ostQ
Adems de as redes prvadas, e rango 127.0.0.0 - 127.255.255.255, o 127.0.0.0/8 en a notacn
CID0, est reservado para a comuncacn de anftrn oca (ocahost). Nnguna dreccn de
este rango deber aparecer en una red, sea pbca o prvada, y cuaquer paquete envado haca
cuaquer dreccn de este rango deber regresar como un paquete entrante haca a msma
mquna.
2:'9' 0e/erencia de sub1redes de IA versin 9'
Agunos segmentos de espaco de dreccones de IP, dsponbes para a versn 4, se especfcan
y asgnan a travs de documentos 0%C (0equest %or Comments, o Soctud De Comentaros), que
son con|untos de notas tcncas y de organzacn que se eaboran desde 1969 donde se
descrben os estndares o recomendacones de Internet, antes ARPANET. E|empos de esto son
os usos de Retorno de sstema (oopback, RFC 1643), as redes prvadas (RFC 1918) y Zeroconf
203
(RFC 3927) que no estn ba|o e contro de os 0I0 (0egona Internet 0egstres o Regstros
Regonaes de Internet).
La mscara de sub-red es utzada para separar os bts de un dentfcados de una red a partr de
os bts de dentfcados de anftrn. Se escrbe utzando e msmo tpo de notacn para escrbr
dreccones IP.
CID0 ?@scara de sub1red &n/itriones
Nombre de la
clase
Uso t,pico
/8 255.0.0.0 16777216 Case A
Boque ms grande defndo por a
IANA
/9 255.128.0.0 8388608
/10 255.192.0.0 4194304
/11 255.224.0.0 2097152
/12 255.240.0.0 1048576
/13 255.248.0.0 524288
/14 255.252.0.0 262144
/15 255.254.0.0 131072
/16 255.255.0.0 65536 Case B
/17 255.255.128.0 32768 ISP / negocos grandes
/20 255.255.240.0 4096 ISP pequeos / negocos grandes
/21 255.255.248.0 2048 ISP pequeos / negocos grandes
/22 255.255.252.0 1024
/23 255.255.254.0 512
/24 255.255.255.0 256 Case C LAN grande
/25 255.255.255.128 128 LAN grande
/26 255.255.255.192 64 LAN pequea
/27 255.255.255.224 32 LAN pequea
/28 255.255.255.240 16 LAN pequea
/29 255.255.255.248 8
/30 255.255.255.252 4
Redes de unn (enaces punto a
punto)
/31 255.255.255.254 2
Red no utzabe, sugerda para
enaces punto a punto (RFC 3021)
/32 255.255.255.255 1 Ruta de anftrn
2:':' 0e/erencias'
http://www.etf.org/rfc/rfc760.txt
204
205
2;' Cmo con/i2urar correctamente los
par@metros de red
2;'!' Introduccin
Confgurar os parmetros de red en una estacn de traba|o GNU/Lnux o un servdor no es
reamente compcado. Soamente requerr de agunos conocmentos bscos sobre redes y
cuaquer edtor de texto smpe.
2;'2' Arocedimientos
2;'2'!' Deteccin * con/i2uracin del sustento /,sico P.ardNareQ'
La deteccn de sustento fsco (!ard1are<) es reazada o ben por e programa de nstaacn, o
ben a travs de 0ud+u, un servco que nca con e sstema y que se encarga de detectar y
confgurar os dspostvos de sustento fsco (!ard1are) nstaados. En trmnos generaes, no
hace fata confgurar parmetro aguno mentras os dspostvos de red sean compatbes y exsta
un controador para a versn de nceo (0ernel) e|ecutado.
S acaso no fuese detectado e dspostvo de red debdo a a ausenca de 0ud+u, es posbe
confgurar todo manuamente. La marca de a tar|eta de red es o que menos nteresa, o que es
mportante es que se determne con exacttud que crcuto ntegrado auxar (chpset) utza a
tar|eta de red. Esto puede determnarse examnando fscamente a tar|eta de red o ben
examnando a detae a sada en pantaa que se obtene a e|ecutar e sguente mandato:
lspci ] grep Bthernet
Lo anteror devueve una sada smar a a sguente (en e caso de una tar|eta 3Com 905 C)
Bthernet controller2 ,6om 6orporation ,c/+*6=?X EDast BtherlinkF (rev 1(+)8
Debe modfcarse con un edtor de textos e fchero /etc/modules'con/ (nceos de a sere 2.4) o
/etc/modprobe'con/ (nceos de a sere 2.6). Debe verfcarse que e mduo correspondente a
a tar|eta de red reamente este especfcado de forma correcta. E|empo:
alias eth+ ,c*/x
S se reaz aguna edcn de este fchero, deber de e|ecutarse e sguente mandato, a fn de
actuazar dependencas:
206
depmod =a
S utza un nceo de a sere 2.4.x o 2.6, a sta de mduos exstentes en e sstema que se
pueden utzar para dstntos crcutos ntegrados auxares (chpset) de dstntos modeos de
tar|etas de red se puede obtener stando e contendo de drectoro /lib/modules/Sversin del
n7cleoT/Lernel/drivers/net/. E|empo:
ls /lib/modules/(868/=-(8+8(8BA/kernel/drivers/net/
2;'2'2' &si2nacin de par@metros de red'
2;'2'2'!' Nombre del an/itrin PG6SBN&?EQ'
Debe modfcarse con un edtor de textos e fchero /etc/.osts, y debe verfcarse que este
dferencado e eco o retorno de sstema de nombre de sstema, e cua deber estar asocado a
una de as dreccones IP, especfcamente a que est asocado a dcho nombre en e servdor de
sstema de nombres de domno (DNS) s se cuenta con uno en a red oca. E|empo:
1()8+8+81 localhost8localdomain localhost
1/(816'818*+ nombre8dominio nombre
Se debe estabecer un nombre para e sstema. Este deber ser un %DDN (acrnmo de %uy
Duafed Doman Name o Nombre de Domno Penamente Cafcado) resueto por un servdor de
nombres de domno (DNS) o ben. En e caso de sstemas sn conexn a red o sstemas caseros,
sea resueto ocamente en e fchero /etc/.osts. De ta modo, e nombre del an/itrin
(!ostname) de sstema se defnr dentro de fchero /etc/s*scon/i2/netNorL de sguente
modo:
OB?CIR94O3H$es
7IS?O>!BHnombre8dominio
2;'2'2'2' Direccin IAM m@scara de subred * puerta de enlace'
Debe modfcarse con cuaquer edtor de textos, y verfcar que sus parmetros de red sean os
correctos, e fchero ocazado en a ruta /etc/s*scon/i2/netNorL1scripts/i/c/21et.0. E|empo:
<B@46BHeth+
IO:II?H$es
:II?5RI?IHstatic
45><<RH1/(816'818*+
OB?!>S9H(**8(**8(**8+
3>?BC>KH1/(816'818(*-
Los parmetros anterores son proporconados por e admnstrador de a red oca en donde se
ocace a mquna que est sendo confgurada, o ben defndos de acuerdo a una panfcacn
prevamente estabecda. E admnstrador de a red deber proporconar una dreccn IP
dsponbe (IPADDR) y una mscara de a subred (NETMASK).
2;'2'2'8' Servidores de nombres'
Debe modfcarse con un edtor de textos /etc/resolv'con/, donde se estabecern os servdores
de sstema de resoucn de nombres de domno (DNS). E|empo:
207
nameserver 1/(816'818(*-
nameserver 1/(816'8181
2;'2'8' &2re2ar encaminamientos PrutasQ adicionales'
Los encamnamentos adconaes se pueden aadr utzando e mandato /sbin/route, sguendo
a sguente sntaxs:
/sbin/route add =net E45=red=destinoF netmask Emcscara=subredF gw E45=puerta=de=
enlaceF dispositivo
En e sguente e|empo se defnr a ruta esttca haca a red !2'!;>'8'0 con mscara
2::'2::'2::'0, puerta de enace a travs de a dreccn IP !2'!;>'!'8; y a travs de
dspostvo de red et.!:
/sbin/route add =net 1/(816'8,8+ netmask (**8(**8(**8+ gw 1/(816'818,6 eth1
Es un requsto que a puerta de enace de destno sea acanzabe desde e dspostvo utzado.
Una ruta esttca no puede ser estabecda s no es posbe acanzar a puerta de enace necesara.
S se renca e servco de red, os cambos se perdern.
S se requere estabecer encamnamentos adconaes para obtener conectvdad con otras redes
y que os cambos sean permanentes, se pueden generar fcheros para cada nterfaz que sea
necesaro, en donde se estabecen os vaores para puerta de enace, red a a que se quere
acceder y a mscara de subred correspondente. Los fcheros se deben generar dentro de
drectoro /etc/s*scon/i2/netNorL1scripts/ como route7@interfa+A y deben evar e sguente
formato:
3>?BC>K0Hxxx8xxx8xxx8xxx
><<RBSS0Hxxx8xxx8xxx8xxx
OB?!>S90Hxxx8xxx8xxx8xxx
Por ctar un e|empo, magnemos que nos encontramos dentro de a red 192.168.1.0 y se requere
estabecer conectvdad con as redes 192.168.2.0 y 192.168.3.0, con mscaras 255.255.255.0, a
travs de as puertas de enace o enrutadores o encamnadores con dreccn IP 192.168.2.1 y
192.168.3.1, correspondentemente para cada red ctada, a travs de a prmera nterfaz Ethernet
de sstema (eth0). La confguracn de /etc/s*scon/i2/netNorL1scripts/route1et.0 sera a
sguente:
3>?BC>K0H1/(816'8(81
><<RBSS0H1/(816'8(8+
OB?!>S90H(**8(**8(**8+
3>?BC>K1H1/(816'8,81
><<RBSS1H1/(816'8,8+
OB?!>S91H(**8(**8(**8+
2;'2'9' %uncin de 0eenv,o de pa-uetes para IA versin 9'
S se tene paneado mpementar un NAT o DNAT, se debe habtar e reenvo de paquetes para IP
versn 4. Esto se reaza en e fchero /etc/s*sctl'con/ cambando net'ipv9'ipU/orNard O 0 por
net'ipv9'ipU/orNard O !:
208
net8ipv-8ip%&orward H 1
2;'2':' Comprobaciones'
Despus de hacer confgurado todos os parmetros de red deseados, soo deber de ser
rencado e servco de red, e|ecutando o sguente:
service network restart
Basta soamente comprobar s hay reamente conectvdad. Puede e|ecutarse e mandato pin2
haca cuaquer dreccn de a red oca para ta fn.
ping 1/(816'818(*-
Las nterfaces y a nformacn de as msmas se puede examnar utzando:
i&con&ig
Los encamnamentos se pueden comprobar utzando:
route =n
Para comprobar s hay resoucn de nombres, se puede reazar una consuta haca os servdores
DNS defndos para e sstema, utzando:
host alg`n8dominio
2;'2';' &lta de direcciones IA virtuales
E ata de dreccones IP es verdaderamente smpe. Basta defnr soamente a dreccn IP,
mscara de subred y e nombre de dspostvo. E fchero se genera guamente con e nombre de
dspostvo con e pref|o i/c/21. E|empo de contendo de fchero /etc/s*scon/i2/netNorL1
scripts/i/c/21et.030 que corresponde a prmer dspostvo vrtua de prmer dspostvo ethernet:
<B@46BHe&020
45><<RH1/(816'8(8(*-
OB?!>S9H(**8(**8(**8+
La comprobacn, a e|ecutar e mandatoi/con/i2, deber regresar ago como o sguente
eth+ Aink encap2Bthernet 7Caddr ++2+12+(2+,2+-2+*
inet addr21/(816'818(*- :cast21/(816'818(** !ask2(**8(**8(**8+
#5 :RI><6>S? R#OO4O3 !#A?46>S? !?#21*++ !etric21
RX packets2(6-',+ errors2+ dropped2+ overruns2+ &rame2+
?X packets2(**,/6 errors2+ dropped2+ overruns2+ carrier2+
collisions2,-' tx0ueuelen21+++
RX b$tes2-(,)*61' (-+8- !i:) ?X b$tes2(+,+6+'+ (1/8, !i:)
4nterrupt211 :ase address2+xd+++
eth+2+ Aink encap2Bthernet 7Caddr ++2+12+(2+,2+-2+*
inet addr21/(816'8(8(*- :cast21/(816'8(8(** !ask2(**8(**8(**8+
209
#5 :RI><6>S? R#OO4O3 !#A?46>S? !?#21*++ !etric21
lo Aink encap2Aocal Aoopback
inet addr21()8+8+81 !ask2(**8+8+8+
#5 AII5:>69 R#OO4O3 !?#216-,6 !etric21
RX packets2(*/+ errors2+ dropped2+ overruns2+ &rame2+
?X packets2(*/+ errors2+ dropped2+ overruns2+ carrier2+
collisions2+ tx0ueuelen2+
RX b$tes2,,()'// (,81 !i:) ?X b$tes2,,()'// (,81 !i:)
2;'2'<' La /uncin berocon/'
De modo predetermnado, y a fn de permtr a comuncacn entre dos dferentes sstemas a
travs de un cabe R|45 cruzado (crossover), e sstema tene habtado berocon/, tambn
conocdo como bero Con/i2uration NetNorLin2 o &utomatic Arivate IA &ddressin2 (APIPA).
Es un con|unto de tcncas que automtcamente crean una dreccn IP utzabe sn necesdad
de confguracn de servdores especaes. Permte a usuaros sn conocmentos de redes
conectar computadoras, mpresoras en red y otros artcuos entre s.
Sn Zeroconf os usuaros sn conocmentos tendran que confgurar servdores especaes como
DHCP y DNS para poder estabecer conectvdad entre dos equpos.
Estando habtado Zeroconf se mostrar un regstro en a taba de encamnamentos para a red
!;'2:9'0'0 a utzar e mandato route 1n, devovendo una sada smar a a sguente:
1/(816'818+ +8+8+8+ (**8(**8(**8+ # + + + eth+
169.25G.0.0 0.0.0.0 255.255.0.0 % 0 0 0 e&0
1()8+8+8+ +8+8+8+ (**8(**8(**8(** # + + + lo
+8+8+8+ 1/(816'8181 +8+8+8+ #3 + + + eth+
S se desea desactvar Zeroconf, soo bastar aadr en e fchero /etc/s*scon/i2/netNorL e
parmetro N6bE06C6N% con e vaor *es:
OB?CIR94O3H$es
7IS?O>!BHnombre8dominio
A!K:B!C!A?6yes
A termnar, soo hay que rencar e servco de red para que surtan efecto os cambos y
comprobar de nuevo con e mandato route 1n que a ruta para berocon/ ha desaparecdo:
1/(816'818+ +8+8+8+ (**8(**8(**8+ # + + + eth+
1()8+8+8+ +8+8+8+ (**8(**8(**8(** # + + + lo
+8+8+8+ 1/(816'8181 +8+8+8+ #3 + + + eth+
Una vez hecho o anteror, exsten dos servcos en e sstema en CentOS, Whte Box y Red Hat
Enterprse Lnux 4, que se pueden desactvar puesto que srven para estabecer a comuncacn a
travs de Zeroconf, estos son mDNSResponder y nfd. Desactvar estos dos servcos ahorrar
tempo en e arranque y se consumrn al2unos pocos menos recursos de sistema.
chkcon&ig ni&d o&&
chkcon&ig m<OSResponder o&&
service ni&d stop
service m<OSResponder stop
210
Muchas apcacones y componentes para e modo grfco dependen de Zeroconf para su correcto
funconamento. Por tanto, no es convenente desactvar este soporte s se va a hacer uso de e
modo grfco.
Para ms detaes acerca de berocon/, puede consutara nformacn dsponbe en:
http://www.zeroconf.org/
http://en.wkpeda.org/wk/Zeroconf
Desactivando el soporte para IAv;'
IPv6 o Protocoo de Internet versn 6 (Internet Protoco Verson 6) es un estndar de Nivel de
0ed de TCP/IP orentado haca datos utzada por dspostvos eectrncos para transmtr datos a
travs de una Bnterred (Internetworkng) creado por Steve Deerng y Crag Mudge mentras
traba|aban para e Centro de Investgacones de Pao Ato de Xerox, o Ferox Aalo &lto 0esearc.
Center (Xerox PARC).
Sucedendo a IPv4, es a segunda versn de Protocoo de Internet en ser formamente adoptada
para uso genera. IPv6 tene como ob|etvo souconar e probema concernente a mte de
dreccones IP que se pueden asgnar a travs de IPv4, as cuaes tendrn mucha demanda en un
futuro no muy e|ano cuando se ncrementen e nmero de tefonos mves y otros dspostvos
de comuncacn que ofrezcan acceso haca Internet.
IPv4 soo ncuye soporte para 4,294 m mones (4,294 x 10
9
) de dreccones IP, o cua es
adecuado para asgnar una dreccn IP a cada persona de paneta. IPv6 ncuye soporte para 340
undecones (340 x 10
38
) de dreccones IP. Se espera que IPv4 sga sendo t hasta arededor
de ao 2025, o cua dar tempo a corregr errores y probemas en IPv6.
Mentras no se mpemente de modo forma IPv6, e sstema cargar un controador que har que
agunas apcacones manfesten un acceso ento haca Internet o probemas de conectvdad. S
no se va a utzar IPv6 o me|or es desactvar ste de sstema. Edte e fchero
/etc/modprobe'con/ y aada o sguente:
alias ipv6 o&&
alias net=p&=1+ o&&
A termnar utce:
depmod =a
Rence e sstema a fn de que surtan efecto os cambos.
reboot
2;'8' E4ercicios'
2;'8'!' Encaminamientos est@ticos'
Este e|ercco consdera o sguente:
1. Se tene dos equpos de computo con GNU/Lnux nstaado en ambos.
211
2. pc!'dominio tene una dreccn IP 192.168.0.101 con mscara de subred 255.255.255.0
en e dspostvo eth0. Una dreccn IP 10.3.2.1 con mscara de subred 255.255.255.240
en e dspostvo eth1.
3. pc2'dominio tene una dreccn IP 192.168.0.102 (o cuaquera otra en e msmo
segmento) con mscara de subred 255.255.255.0 en e dspostvo eth0. No tene otros
dspostvos de red actvos.
Vsuace desde pc2'dominio os regstros de a taba de encamnamento.
route =n
Obtendr una sada smar a a sguente:
9ernel 45 routing table
<estination 3atewa$ 3enmask Dlags !etric Re& #se 4&ace
1/(816'8+8+ +8+8+8+ (**8(**8(**8+ # + + + eth+
+8+8+8+ 1/(816'8+81 +8+8+8+ #3 + + + eth+
Intente e|ecutar pin2 haca a dreccn recn aadda en pc!'dominio.
ping =c , 1+8,8(81
E resutado esperado es que pin2 devueva que hay 100% de prdda de paquetes.
54O3 1+8,8(81 (1+8,8(81) *6('-) b$tes o& data8
=== 1+8,8(81 ping statistics ===
, packets transmitted. + received. 1++U packet loss. time 1///ms
Proceda a aadr e encamnamento que corresponde especfcando a red, mascar de subred y
puerta de enace necesaros para egar haca 10.3.2.1.
route add N
=net 1+8,8(8+ N
netmask (**8(**8(**8(-+ N
gw 1/(816'8+81+1 N
eth+
Vsuace de nuevo os regstros de a taba de encamnamento.
route =n
Obtendr una sada smar a a sguente:
1/(816'8+8+ +8+8+8+ (**8(**8(**8+ # + + + eth+
+8+8+8+ 1/(816'8+81 +8+8+8+ #3 + + + eth+
10.3.2.0 192.16#.0.1 255.255.255.2G0 %G 0 0 0 e&0
212
ping =c , 1+8,8(81
E resutado esperado es que pin2 responda a png, obtenndose una sada smar a a
sguente:
54O3 1+8,8(81 (1+8,8(81) *6('-) b$tes o& data8
6- b$tes &rom 1+8,8(812 icmp%se0H+ ttlH6- timeH+8-*, ms
6- b$tes &rom 1+8,8(812 icmp%se0H1 ttlH6- timeH+8,6' ms
6- b$tes &rom 1+8,8(812 icmp%se0H( ttlH6- timeH+8,-) ms
=== 1+8,8(81 ping statistics ===
, packets transmitted. , received. +U packet loss. time 1///ms
rtt min/avg/max/mdev H +8,-)/+8,'//+8-*,/+8+-' ms. pipe (
Rence e servco de red, vsuace de nuevo os regstros de a taba de encamnamento y
compruebe que ya no hay respuesta a hacer pin2 haca 10.3.2.1 porque e regstro en a taba de
encamnamento fue emnado a rencar e servco de red.
route =n
ping =c , 1+8,8(81
Para hacer permanente e regstro en a taba de encamnamento utce un edtor de texto e
fchero /etc/s*scon/i2/netNorL1scripts/route1et.0 y ponga e sguente contendo:
><<RBSS0H1+8,8(8+
OB?!>S90H(**8(**8(**8(-+
3>?BC>K0H1/(816'8+81+1
A termnar rence e servco de red.
Vsuace nuevamente os regstros de a taba de encamnamento.
route =n
1/(816'8+8+ +8+8+8+ (**8(**8(**8+ # + + + eth+
+8+8+8+ 1/(816'8+81 +8+8+8+ #3 + + + eth+
10.3.2.0 192.16#.0.1 255.255.255.2G0 %G 0 0 0 e&0
ping =c , 1+8,8(81
213
Rence e servco de red, vsuace de nuevo os regstros de a taba de encamnamento y
compruebe de nuevo que hay respuesta a hacer png haca 10.3.2.1.
route =n
ping =c, 1+8,8(81
2;'8'2' Direcciones IA virtuales'
Este e|ercco consdera o sguente:
1. Se tene dos (o ms) equpos de computo con GNU/Lnux nstaado en stos.
2. pc!'dominio tene una dreccn IP 192.168'0'101 con mscara de subred 255.255.255.0
en e dspostvo eth0. No tene otros dspostvos de red actvos.
3. pc2'dominio tene una dreccn IP 192.168'0'102 con mscara de subred 255.255.255.0
en e dspostvo eth0. No tene otros dspostvos de red actvos.
Vsuace as nterfaces de red actvas en e sstema.
i&con&ig
Lo anteror debe devover una sada smar a a sguente, donde se mostrar que soo estn
actvas a nterfaz et.0 y a correspondente a retorno de sstema (oopback):
inet addr21/(816'8+81+1 :cast21/(816'8+8(** !ask2(**8(**8(**8+
#5 :RI><6>S? R#OO4O3 !#A?46>S? !?#21*++ !etric21
RX packets2(-)'- errors2+ dropped2+ overruns2+ &rame2+
?X packets2(,,66 errors2+ dropped2+ overruns2+ carrier2+
collisions211( tx0ueuelen21+++
RX b$tes21*,(,,1) (1-86 !i:) ?X b$tes2*)/-('' (*8* !i:)
inet addr21()8+8+81 !ask2(**8+8+8+
#5 AII5:>69 R#OO4O3 !?#216-,6 !etric21
RX packets21,,) errors2+ dropped2+ overruns2+ &rame2+
?X packets21,,) errors2+ dropped2+ overruns2+ carrier2+
RX b$tes21(*1+( (1((81 9i:) ?X b$tes21(*1+( (1((81 9i:)
Utce pin2 para comprobar s acaso hay aguna respuesta desde a nterfaz vrtua et.030.
ping =c, 1/(816'.1.1+1
54O3 1/(816'8181+1 (1/(816'8181+1) *6('-) b$tes o& data8
=== 1/(816'8181+1 ping statistics ===
214
Confgure a travs de i/con/i2 os parmetros de a nterfaz vrtua et.030. S a sntaxs fue
correcta, e sstema no deber devover mensa|e aguno.
i&con&ig eth+2+ 1/(816'8181+1 netmask (**8(**8(**8+
Utce pin2 para comprobar que haya respuesta desde a nterfaz vrtua et.030.
ping =c, 1/(816'.1.1+1
54O3 1/(816'8181+1 (1/(816'8181+1) *6('-) b$tes o& data8
6- b$tes &rom 1/(816'8181+12 icmp%se0H+ ttlH6- timeH+8-*, ms
6- b$tes &rom 1/(816'8181+12 icmp%se0H1 ttlH6- timeH+8,6' ms
6- b$tes &rom 1/(816'8181+12 icmp%se0H( ttlH6- timeH+8,-) ms
=== 1/(816'8181+1 ping statistics ===
i&con&ig
Lo anteror debe devover una sada smar a a sguente, donde se mostrar que est actva a
nterfaz et.030 |unto con a nterfaz et.0 y a correspondente a retorno de sstema (oopback):
#5 :RI><6>S? R#OO4O3 !#A?46>S? !?#21*++ !etric21
RX b$tes21*,(,,1) (1-86 !i:) ?X b$tes2*)/-('' (*8* !i:)
e&020 Aink encap2Bthernet 7Caddr ++2+12+(2+,2+-2+*
inet addr21/(816'.1.1+1 :cast21/(816'.1.(** !ask2(**8(**8(**8+
#5 :RI><6>S? R#OO4O3 !#A?46>S? !?#21*++ !etric21
inet addr21()8+8+81 !ask2(**8+8+8+
#5 AII5:>69 R#OO4O3 !?#216-,6 !etric21
RX b$tes21(*1+( (1((81 9i:) ?X b$tes21(*1+( (1((81 9i:)
Rence e servco de red.
215
Utce pin2 para comprobar s an hay respuesta desde a nterfaz vrtua et.030.
ping =c, 1/(816'.1.1+1
54O3 1/(816'8181+1 (1/(816'8181+1) *6('-) b$tes o& data8
=== 1/(816'8181+1 ping statistics ===
i&con&ig
Lo anteror debe devover una sada smar a a sguente, donde se mostrar que ya no est
actva a nterfaz et.030, y soo se muestran actvas a nterfaz et.0 y a correspondente a
retorno de sstema (oopback):
#5 :RI><6>S? R#OO4O3 !#A?46>S? !?#21*++ !etric21
RX b$tes21*,(,,1) (1-86 !i:) ?X b$tes2*)/-('' (*8* !i:)
inet addr21()8+8+81 !ask2(**8+8+8+
#5 AII5:>69 R#OO4O3 !?#216-,6 !etric21
RX b$tes21(*1+( (1((81 9i:) ?X b$tes21(*1+( (1((81 9i:)
Para hacer permanente a nterfaz de red vrtua en et.030 utce un edtor de texto e fchero
/etc/s*scon/i2/netNorL1scripts/i/c/21et.030 y ponga e sguente contendo Pc0espete
ma*7sculas * min7sculasdQ:
<B@46BHeth+2+
45><<RH1/(816'8181+1
OB?!>S9H(**8(**8(**8+
Rence e servco de red.
216
i&con&ig
Lo anteror debe devover una sada smar a a sguente, donde nuevamente se mostrar que
est actva a nterfaz et.030 |unto con a nterfaz et.0 y a correspondente a retorno de
sstema (oopback):
#5 :RI><6>S? R#OO4O3 !#A?46>S? !?#21*++ !etric21
RX b$tes21*,(,,1) (1-86 !i:) ?X b$tes2*)/-('' (*8* !i:)
e&020 Aink encap2Bthernet 7Caddr ++2+12+(2+,2+-2+*
inet addr21/(816'.1.1+1 :cast21/(816'.1.(** !ask2(**8(**8(**8+
#5 :RI><6>S? R#OO4O3 !#A?46>S? !?#21*++ !etric21
inet addr21()8+8+81 !ask2(**8+8+8+
#5 AII5:>69 R#OO4O3 !?#216-,6 !etric21
RX b$tes21(*1+( (1((81 9i:) ?X b$tes21(*1+( (1((81 9i:)
Utce pin2 para comprobar que haya respuesta desde a nterfaz vrtua et.030.
ping =c, 1/(816'.1.1+1
54O3 1/(816'8181+1 (1/(816'8181+1) *6('-) b$tes o& data8
6- b$tes &rom 1/(816'8181+12 icmp%se0H+ ttlH6- timeH+8-*, ms
6- b$tes &rom 1/(816'8181+12 icmp%se0H1 ttlH6- timeH+8,6' ms
6- b$tes &rom 1/(816'8181+12 icmp%se0H( ttlH6- timeH+8,-) ms
=== 1/(816'8181+1 ping statistics ===
La nterfaz et.030 estar actva a sguente vez que nce e sstema operatvo con a dreccn IP
y mscara de subred asgnados.
217
2<' Cmo con/i2urar acoplamiento de tar4etas
de red Pbondin2Q'
2<'!' Introduccin'
E controador bondin2, orgnamente creado por Donald #ecLer, est ncudo en
prctcamente todas as dstrbucones de GNU/Lnux y permte sumar as capacdades de varas
nterfaces fscas de red con ob|eto de crear una nterfaz gca. Esto se eva a cabo con e ob|eto
de contar con redundanca o ben baanceo de carga.
2<'2' Arocedimientos'
2<'2'!' %ic.ero de con/i2uracin /etc/modprobe'con/'
Se estabece e controador bondin2 para crear a nterfaz bond0 de sguente modo:
alias bonding bond+
E controador puede evar parmetros que permten modfcar su funconamento, de entre os
cuaes os ms mportantes son mode y miimon. A fn de obtener un buen funconamento
confabe, es mportante confgurar a menos stos dos parmetros.
Para fnes generaes, se puede smpemente confgurar de sguente modo:
alias bond+ bonding
options bonding modeH+ miimonH+
Lo anteror estabece en e parmetro mode a potca de baanceo de carga y toeranca a faos
y desactva en e parmetro miimon a supervsn de ?II, que corresponde a confguracn ms
comn.
A termnar con e fchero /etc/modprobe'con/, es mportante utzar e mandato depmod para
regenerar e fchero modules'dep y os fcheros mapa de os controadores.
depmod
Lo anteror soo debe devover e smboo de sstemas despus de unos segundos.
218
2<'2'!'!' Aar@metro mode'
Se utza para estabecer a potca ba|a a cua se har traba|ar as tar|etas en con|unto. Los
posbes vaores son:
0 (cero): Estabece una potca de 0ound10obin, que es un agortmo que asgna una carga
equtatva y ordenada a cada proceso, para proporconar tolerancia a /allos y balanceo de
car2a entre os membros de arrego de dspostvos. Todas as transmsones de datos son
envadas y recbdas de forma secuenca en cada nterfaz escava de arrego empezando con a
prmera que est dsponbe. Es la pol,tica predeterminada de controador y a que funcona
para a mayora de os casos.
1 (uno): Estabece una potca de respado actvo que proporcona tolerancia a /allos. Todo e
trfco se transmte a travs de una tar|eta y soo se utzar a otra en caso de que fae a
prmera.
2 (dos): Estabece una potca F60 (e(clusive7or, excusva-o) para proporconar tolerancia a
/allos y balanceo de car2a. Este agortmo compara as soctudes entrantes de as dreccones
?&C hasta que concden para a dreccn ?&C (?eda &ccess Contro) de una de as tar|etas
escavas. Una vez que se estabece e enace, as transmsones de datos de datos son envadas
en forma secuenca empezando con a prmera nterfaz dsponbe.
3 (tres): Estabece una potca de 0ound10obinpara proporconar tolerancia a /allos y
balanceo de car2a. Todas as transmsones de datos son envadas de forma secuenca en cada
nterfaz escava de arrego empezando con a prmera que est dsponbe.
En e sguente e|empo se estabece a potca 0 (cero):
options bonding mo(e60
2<'2'!'2' Aar@metro miimon'
Se utza para especfcar cada cuantos msegundos se debe supervsar e enace ?II (?eda
Independent Interface). Se utza cuando se necesta ata dsponbdad para verfcar s a
nterfaz est actva y verfcar s hay un cabe de red conectado. En e sguente e|empo se
estabecen 100 msegundos:
options bonding modeH+ miimon6100
Se requere que todos os controadores de arrego de tar|etas tengan soporte para ?II. Para
verfcar s e controador de a tar|eta tene soporte para ?II, se utza e mandato et.tool,
donde a sada debe devover e parmetro LinL Detected con e vaor *es. E|empo:
ethtool eth+
Lo anteror debe devover ago smar a o sguente:
Settings &or eth+2
Supported ports2 E ?5 !44 F
Supported link modes2 1+base?/7al& 1+base?/Dull
1++base?/7al& 1++base?/Dull
Supports auto=negotiation2 Kes
219
>dvertised link modes2 1+base?/7al& 1+base?/Dull
1++base?/7al& 1++base?/Dull
>dvertised auto=negotiation2 Kes
Speed2 1++!b/s
<uplex2 7al&
5ort2 !44
57K><2 ,(
?ransceiver2 internal
>uto=negotiation2 on
Supports Cake=on2 pumbg
Cake=on2 d
6urrent message level2 +x+++++++) ())
Aink detected2 $es
Para desactvar esta funcn, se utza e vaor 0 (cero). E|empo:
options bonding modeH+ miimon60
2<'2'2' %ic.ero de con/i2uracin /etc/s*scon/i2/netNorL1scripts/bond0'
Este se confgura con os msmo parmetros que una tar|eta norma. Requere os parmetros
6N#66B, #66BA06B6, DEHICE, IA&DD0, NEB?&SK y G&BEZ&a.
En e sguente e|empo se confgura a nterfaz bond0 con a dreccn IP esttca 192.168.0.1,
mscara de subred 255.255.255.0, puerta de enace 192.168.0.254 y a nterfaz nca |unto con e
sstema creando e fchero /etc/s*scon/i2/netNorL1scripts/i/c/21bond0 con e sguente
contendo:
<B@46BHbond+
IO:II?H$es
:II?5RI?IHstatic
45><<RH1/(=16'8+81
OB?!>S9H(**8(**8(**8+
3>?BC>KH1/(816'8+8(*-
Las nterfaces de red a utzar como escavas se confguran de a sguente forma, consderando
que se tene eth0 y eth1, e contendo de fchero /etc/s*scon/i2/netNorL1scripts/i/c/21et.0
sera:
<B@46BHeth+
:II?5RI?IHnone
IO:II?Hno
SA>@BH$es
!>S?BRHbond+
Y e contendo de fchero /etc/s*scon/i2/netNorL1scripts/i/c/21et.! sera:
<B@46BHeth1
:II?5RI?IHnone
IO:II?Hno
SA>@BH$es
!>S?BRHbond+
220
2<'2'8' IniciarM detener * reiniciar el servicio netNorL'
Para e|ecutar por prmera vez e servco netNorL tras confgurar e acopamento de tar|etas,
utce:
service network start
Para hacer que os cambos hechos tras modfcar a confguracn surtan efecto, utce:
Para detener e servco netNorL utce:
service network stop
2<'8' Comprobaciones'
Para verfcar que a nterfaz gca qued confgurada, en e caso de haber utzado as nterfaces
eth0 y eth1, utce:
i&con&ig
bond+ Aink encap2Bthernet 7Caddr ++2+12'+2-12/62'>
inet addr21/(816'8186- :cast21/(816'818(** !ask2(**8(**8(**8+
inet6 addr2 &e'+22(+12'+&&2&e-12/c'a/6- Scope2Aink
#5 :RI><6>S? R#OO4O3 !>S?BR !#A?46>S? !?#21*++ !etric21
RX packets2*1(' errors2+ dropped2+ overruns2+ &rame2+
?X packets2,'1) errors2) dropped2+ overruns2+ carrier2+
collisions2, tx0ueuelen2+
RX b$tes2,-/,1,/ (,8, !i:) ?X b$tes2-/*+(* (-',8- 9i:)
eth+ Aink encap2Bthernet 7Caddr ++2+12'+2-12/62'>
#5 :RI><6>S? R#OO4O3 SA>@B !#A?46>S? !?#21*++ !etric21
RX packets2*+*6 errors2+ dropped2+ overruns2+ &rame2+
?X packets2,)'1 errors2+ dropped2+ overruns2+ carrier2+
collisions2, tx0ueuelen21+++
RX b$tes2,-)-6'* (,8, !i:) ?X b$tes2-''6,( (-))81 9i:)
4nterrupt211 :ase address2+xc+++
eth1 Aink encap2Bthernet 7Caddr ++2+12'+2-12/62'>
#5 :RI><6>S? R#OO4O3 SA>@B !#A?46>S? !?#21*++ !etric21
RX packets2)( errors2+ dropped2+ overruns2+ &rame2+
?X packets2,6 errors2) dropped2+ overruns2+ carrier2+
collisions2+ tx0ueuelen21+++
RX b$tes21'-*- (1'8+ 9i:) ?X b$tes26,/, (68( 9i:)
4nterrupt21+
inet addr21()8+8+81 !ask2(**8+8+8+
inet6 addr2 221/1(' Scope27ost
#5 AII5:>69 R#OO4O3 !?#216-,6 !etric21
221
RX packets261,' errors2+ dropped2+ overruns2+ &rame2+
?X packets261,' errors2+ dropped2+ overruns2+ carrier2+
RX b$tes2',6-'6- ()8/ !i:) ?X b$tes2',6-'6- ()8/ !i:)
Para verfcar que as nterfaces de red estn funconando correctamente, y que hay un cabe de
red conectado a stas, se utza e mandato et.tool de sguente modo:
ethtool eth+ ]grep VAink detectedV
ethtool eth1 ]grep VAink detectedV
S ambas tar|etas tene soporte para ?II, o anteror debe devover o sguente:
Aink detected2 $es
Aink detected2 $es
2<'9' #iblio2ra/,a'
Thomas Davs: http://www.nuxfoundaton.org/en/Net:Bondng
Thomas Davs: http://www.kerne.org/pub/nux/kerne/peope/marceo/nux-
2.4/Documentaton/networkng/bondng.txt
222
2>' Cmo conectarse a una red Zi/i desde la
terminal'
2>'!' Introduccin'
Confgurar y conectarse a una red Wf desde a nterfaz grfca es un procedmento
reatvamente trva, de|ando que todos os procedmentos os reacen NetworkManager o
Connman. Sn embargo ha crcunstancas en as cuaes puede ser necesaro conectarse a una red
Wf desde una termna. A contnuacn descrbr os procedmentos para conectarse a os dos
tpos de redes Wf ms utzados, WEP y WPA, con confguracones bscas utzadas en
dspostvos como sern os puntos de acceso de os modem ADSL de Prodgy Infntum.
2>'!'!' Areparativos'
En sstemas operatvos basados sobre Fedora, CentOS y Red Hat, e prmer paso consste en
cambarse a usuaro root:
su =l
En sstemas operatvos basados sobre Ubuntu Lnux, se puede utzar e mandato sudo para
todos os precedmentos, precedendo todos os mandatos utzados con sudo.
sudo cual0uier mandato utili"ado
E|empos:
sudo i&up lo
sudo iwcon&ig wlan+
sudo iwlist wlan+ scan
Debdo a que e servco NetworkManager har confcto con os procedmentos, se debe detener
este servco:
service Oetwork!ananger stop
Muchos componentes de sstema requeren que est actva a nterfaz de retrono de sstema
(loopbac0, por o que es mportante ncar sta:
223
i&up lo
Para poder comenzar a utzar a nterfaz Wf, soo basta e|ecutar e mandato wconfg sobre
dcha nterfaz:
iwcon&ig wlan+
Es buena dea reazar un escaneado de as redes Wf dsponbes para asegurarse se puede
acceder a a red Wf deseada, y para determnar e protocoo a utzar:
iwlist wlan+ scan
2>'!'2' &utenticando en el punto de acceso'
2>'!'2'!' & trav)s de redes ZEA'
Para redes WEP, que se caracterzan por tener una segurdad muy pobre, es muy smpe. Soo
basta utzar dos mandatos. E prmero defne e nombre de punto de acceso a utzar:
iwcon&ig wlan+ essid nombre=punto=de=acceso
E segundo mandato se utza para defnr a cave de acceso a utzar, sea de 64 o 128 bt.
iwcon&ig wlan+ ke$ clave=de=acceso
S se utza una cave WEP tpo ASCII, se defne de a sguente manera:
iwcon&ig wlan+ ke$ s2clave=de=acceso
2>'!'2'2' & trav)s de redes ZA&'
Se procede a determnar e nombre de a red Wf a utzar y a cave de acceso. E mandato
wpa_passphrase se utzar para generar un fchero de confguracn a utzar posterormente:
wpa%passphrase nombre=punto=de=acceso clave=de=acceso Q /root/wpa8con&
S se reaza e procedmento desde Ubuntu Lnux, e mandato anteror faar s se utza sudo
debdo a mtacones de segurdad de sudo, y deber utzarse entonces e sguente:
sudo bash =c Vwpa%passphrase nombre=punto=de=acceso clave=de=acceso Q /root/wpa8con&V
Lo anteror generar e fchero wpa.conf dentro de drectoro de nco de usuaro root.
Para ncar a autentcacn con a red Wf, se utza e mandato wpa_suppcant con as opcones
-B, para envar e procesos a segundo pano, -D, para especfcar e controador a utzar, y -c,
para especfcar e fchero de conffguracn creado en e paso anteror.
wpa%supplicant =: =<wext =iwlan+ =c/root/wpa8con&
224
2>'!'8' &si2ando par@metros de red a la inter/a='
2>'!'8'!' Utili=ando d.client'
Lo ms comn es utzar e mandato d.client para de|ar que e servdor DHCP de punto de
acceso o a LAN se encargue de asgnar os parmetros de red para a nterfaz. Es buena dea
ndcar a d.client que bere e prstamo que estuvera asgnado en e servdor DHCP:
dhclient =r
Para obtener una nueva dreccn IP, se utza e mandato d.client de a sguente manera:
dhclient wlan+
2>'!'8'2' &si2nando manualmente los par@metros de red'
S se concocen os datos para a confguracn de red, tambn es posbe asgnaros
manuamente. En e sguente e|empo, se asgna a a nterfaz wan0 a dreccn IP 192.168.1.50,
con mscara de subred 255.255.255.0 y puerta de enace 192.168.1.254:
i&con&ig wlan+ 1/(816'818*+ netmask (**8(**8(**8+
route add =net +8+8+8+ netmask +8+8+8+ gw 1/(816'818(*- wlan+
Para defnr e servdor DNS, como e usuaro root, se edta e fchero /etc/resov.conf y se defne a
dreccn IP de servdor DNS a utzar. En e sguente e|empo, se defne 192.168.1.254 como
servdor DNS:
echo Vnameserver 1/(816'818(*-V Q /etc/resolv8con&
S se reaza e procedmento desde Ubuntu Lnux, e mandato anteror faar s se utza sudo
debdo a mtacones de segurdad de sudo, y deber utzarse entonces e sguente:
sudo bash =c Vecho Wnameserver 1/(816'818(*-W Q /etc/resolv8con&V
225
2' Cmo utili=ar lso/
2'!' Introduccin'
2'!'!' &cerca de lso/'
Lso/ es un mandato que sgnfca Clistar fic!eros abiertos< (lst open /es). Es utzado
ampamente en sstemas operatvos tpo A6SIF para hacer reportes de fcheros y os procesos
que estn utzando a stos. Se puede utzar para revsar que procesos estn hacendo uso de
drectoros, fcheros ordnaros, tuberas (pipes), zcaos de red (soc0ets) y dspostvos. Uno de os
prncpaes usos de determnar que procesos estn hacendo uso de fcheros en una partcn
cuando esta no se puede desmontar. Lso/ fue desarroado por Hic &bell, quen aguna vez fue
drector de Centro de Cmputo de a Universidad de Aurdue.
2'2' Arocedimientos'
En ausenca de parmetros, lso/ mostrar todos os procesos hacendo uso de fcheros. En
e|empo de a sada tpca sera como a sguente:
6I!!>O< 54< #SBR D< ?K5B <B@46B S4;B OI!B
init 1 root cwd <4R /., -+/6 ( /
init 1 root rtd <4R /., -+/6 ( /
init 1 root txt RB3 /., ,'6(+ 1-6-,- /sbin/init
init 1 root mem RB3 /., 1(*),6 1)**+) /lib/ld=
(8*8so
init 1 root mem RB3 /., 16+(16- 1)**1-
/lib/i6'6/nosegneg/libc=(8*8so
init 1 root mem RB3 /., 16-(' 1)**1' /lib/libdl=
(8*8so
init 1 root mem RB3 /., /,*+' 1)*6))
/lib/libselinux8so81
init 1 root mem RB3 /., (-(''+ 1)**),
/lib/libsepol8so81
init 1 root 1+u D4DI +.1* 1*-,
/dev/initctl
Para vsuazar ms cmodamente esta sada, se puede utzar e mandato less o e mandato
more como subrutnas. E|empo:
lso& ] less
Puede especfcarse que se muestren todos os procesos desde un drectoro en partcuar,
soamente especfcando este uego de lso/. En e sguente e|empo se socta a lso/ mostrar
226
todos os procesos que estn hacendo uso de ago dentro de /var.
lso& /var
La sada de a anteror puede ser smar a a sguente:
auditd ((-) root *w RB3 /.1 -+'+*' *,-1(+' /var/log/audit/audit8log
s$slogd (('1 root 1w RB3 /.1 11,-)+' 1)++6*/, /var/log/messages
s$slogd (('1 root (w RB3 /.1 1(-61 1)++6*/- /var/log/secure
s$slogd (('1 root ,w RB3 /.1 //(* 1)++6*/* /var/log/maillog
s$slogd (('1 root -w RB3 /.1 ,,,/ 1)++6*/' /var/log/cron
s$slogd (('1 root *w RB3 /.1 + 1)++6*/6 /var/log/spooler
s$slogd (('1 root 6w RB3 /.1 /16 1)++6*/) /var/log/boot8log
named (,*+ named cwd <4R /.1 -+/6 16,*1(-+ /var/named/chroot/var/named
named (,*+ named rtd <4R /.1 -+/6 16,*1(,6 /var/named/chroot
named (,*+ named /r 67R 1.' 16,*1(-6 /var/named/chroot/dev/random
rpc8statd (-+) root cwd <4R /.1 -+/6 1*-,,)(/ /var/lib/n&s/statd
rpc8statd (-+) root 'w RB3 /.1 * (**/1',1 /var/run/rpc8statd8pid
S se quere mostrar soamente e fchero utzado por un procesos en partcuar, se utza a
opcn -p seguda de nmero de proceso. En e sguente e|empose socta a lso/ mostrar os
fcheros utzados por e proceso 2281 que arbtraramente se e|ecuta en un sstema:
lso& =p (('1
S hubera un proceso 2281, a sada podra verse como a sguente:
s$slogd (('1 root cwd <4R /., -+/6 ( /
s$slogd (('1 root rtd <4R /., -+/6 ( /
s$slogd (('1 root txt RB3 /., ,*'++ 1-6,/( /sbin/s$slogd
s$slogd (('1 root mem RB3 /., 16+(16- 1)**1- /lib/i6'6/nosegneg/libc=(8*8so
s$slogd (('1 root mem RB3 /., -66'+ 1)**(/ /lib/libnss%&iles=(8*8so
s$slogd (('1 root mem RB3 /., 1(*),6 1)**+) /lib/ld=(8*8so
s$slogd (('1 root +u unix +xc+ac&c'+ 6/+/ /dev/log
s$slogd (('1 root 1w RB3 /.1 11,-)+' 1)++6*/, /var/log/messages
s$slogd (('1 root (w RB3 /.1 1(-61 1)++6*/- /var/log/secure
s$slogd (('1 root ,w RB3 /.1 //(* 1)++6*/* /var/log/maillog
s$slogd (('1 root -w RB3 /.1 ,,,/ 1)++6*/' /var/log/cron
s$slogd (('1 root *w RB3 /.1 + 1)++6*/6 /var/log/spooler
s$slogd (('1 root 6w RB3 /.1 /16 1)++6*/) /var/log/boot8log
La opcn 1i har que se muestren todos os fcheros de red (Internet y x'2:) utzados por
procesos de red. S se quere mostrar os fcheros de red en uso por agn proceso de red en
partcuar, se utzan as opcones 1i segudo de una subrutna con 2rep y e nombre de agn
servco. En e sguente e|empo se pde a lso/ mostrar soamente os fcheros de red utzados
por os procesos de red dervados de named:
lso& =i ] grep named
Lo anteror puede devover una sada smar a a sguente.
named (,*+ named (+u 45v- )+/1 #<5 localhost8localdomain2domain
named (,*+ named (1u 45v- )+/( ?65 localhost8localdomain2domain (A4S?BO)
named (,*+ named ((u 45v- )+/, #<5 servidor8redlocal8net2domain
named (,*+ named (,u 45v- )+/- ?65 servidor8redlocal8net2domain (A4S?BO)
named (,*+ named (-u 45v- )+/* #<5 M2&ilenet=tms
227
named (,*+ named (*u 45v6 )+/6 #<5 M2&ilenet=rpc
named (,*+ named (6u 45v- )+/) ?65 localhost8localdomain2rndc (A4S?BO)
named (,*+ named ()u 45v6 )+/' ?65 localhost68localdomain62rndc (A4S?BO)
named (,*+ named ('u 45v- 11*,)/+ #<5 1/(816'81((812domain
228
80' Cmo utili=ar Netcat PncQ
80'!' Introduccin'
80'!'!' &cerca de Netcat'
Netcat, o nc que es a forma en que se utza en e ntrprete de mandatos, es una herramenta
utzada para supervsar y escrbr sobre conexones tanto por BCA como por UDA. Puede abrr
conexones BCA, envar paquetes UDA, escuchar sobre puertos arbtraros tanto BCA como UDA,
supervsn de puertos y ms, tanto para IAv9 como IAv;. Es una de as herramentas de
dagnstco y segurdad ms popuares y tambn una de as me|or cafcadas por a comundad.
$um =$ install nc
80'2'2' Instalacin a trav)s de Up2date
o sguente:
up(date =i nc
80'8'!' Conexiones simples'
Para ncar una conexn haca agn puerto en agn sstema, se utza e mandato nc segudo
de una dreccn IA y un puerto a cua conectarse. En e sguente e|empo se reazar una
conexn haca e puerto 25 (S?BA) de !2<'0'0'!:
nc 1()8+8+81 (*
229
S hay un servdor de correo funconado, o anteror puede devover una sada smar a a
sguente:
((+ localhost8localdomain BS!?5 X Ced. (' !a$ (++' 1+2(-2*( =+*++
0uit
((1 (8+8+ localhost8localdomain closing connection
80'8'2' 0evisin de puertos'
Para revsar os puertos abertos, se utza nc con a opcn , 1= para soctar se trate de escuchar
por puertos abertos, y un puerto o rango de puertos. En e sguente e|empo, se pde a mandato
nc revsar a presenca de puertos abertos BCA (modo predetermnado) entre e rango de puerto
21 a 25.
nc =v" 1()8+8+81 (1=(*
Lo anteror puede devover una sada como a sguente, s se encontrasen abertos os puertos
21, 22 y 25.
6onnection to 1()8+8+81 (1 port Etcp/&tpF succeededd
6onnection to 1()8+8+81 (( port Etcp/sshF succeededd
6onnection to 1()8+8+81 (* port Etcp/smtpF succeededd
Opconamente se pueden revsar s estn abertos os puertos abertos por UDP aadendo a
opcn -u. En e sguente e|empo se socta a mandato nc revsar que puertos UDA abertos que
se encuentran entre e rango de puerto 21 a 80.
nc ="u 1()8+8+81 (1='+
Lo anteror puede devover una sada como a sguente s se encuentran abertos os puertos
UDA 53, 67 y 68:
6onnection to 1()8+8+81 *, port Eudp/domainF succeededd
6onnection to 1()8+8+81 6) port Eudp/bootpsF succeededd
6onnection to 1()8+8+81 6' port Eudp/bootpcF succeededd
S se quere obtener una sada ms descrptva, soo es necesaro especfcar nc 1v= y a dreccn
IA s se quere revsar puertos BCA abertos, o ben nc 1v=u para puertos UDA abertos, donde 1v
defne se devueva una sada m@s descriptiva. En e sguente e|empo se pde a mandato nc
revsar os puertos BCA abertos entre e puerto 20 a 25.
nc -vz 127.0.0.1
La sada de o anteror devover, a dferenca de utzar soo -z, que puertos estn cerrados.
nc2 connect to 1()8+8+81 port (+ (tcp) &ailed2 6onnection re&used
6onnection to 1()8+8+81 (1 port Etcp/&tpF succeededd
6onnection to 1()8+8+81 (( port Etcp/sshF succeededd
nc2 connect to 1()8+8+81 port (, (tcp) &ailed2 6onnection re&used
nc2 connect to 1()8+8+81 port (- (tcp) &ailed2 6onnection re&used
6onnection to 1()8+8+81 (* port Etcp/smtpF succeededd
230
80'8'8' Creando un modelo cliente servidor'
Es reatvamente smpe crear un modeo cente/servdor. Desde una termna que ser utzada
para ncar un modeo de servdor, se utza e mandato nc con a opcn 1l (sten o escuchar)
seguda de un puerto que est desocupado. Esto har que nc se comporte como servdor
escuchando petcones en un puerto arbtraro. En e sguente e|empo se har que mandato nc
funcone como servdor escuchando petcones en e puerto 22222.
nc =l (((((
Para estabecer a conexn como cente, desde otra termna se nca e mandato nc
especfcando a contnuacn una IP oca para e sstema y e numero de puerto a que se quera
conectar. En e sguente e|empo se reaza a conexn a puerto 22222 de !2<'0'0'!
nc 1()8+8+81 (((((
Todo o que se escrba desde a termna como cente podr ser vsto en a termna como
servdor.
80'8'9' Brans/erencia de datos'
Tomando e e|empo anteror, es posbe reazar transferenca de datos desde una termna como
cente haca una termna como servdor. La nca dferenca es que en e servdor se camba as
sada estndar de a termna haca un fchero de sguente modo:
nc =l ((((( Q algo8out
En e cente se reaza ago smar. En ugar de ngresar datos desde a conexn. se hace a partr
de un fchero con contendo de a sguente forma:
nc 1()8+8+81 ((((( _ algo8in
En e e|empo descrto se reaza a transferenca de datos de fchero al2o'in, desde e proceso
como cente, haca e fchero al2o'out, en e proceso como servdor.
231
8!' Como utili=ar Netstat'
8!'!' Introduccin'
8!'!'!' &cerca de Netstat
Netstat es una herramenta utzada para supervsar as conexones de red, tabas de
encamnamento, estadstcas de nterfaces y asgnaturas de mutdfusn. Se utza
prncpamente para encontrar probemas en una red y para medr e trfco de red como una
forma de cacuar e desempeo de sta.
8!'2' Arocedimientos'
Para vsuazar todas as conexones actvas en e sstema, tanto TCP como UDP, se utza a
opcn -a.
netstat =a
Debdo a que a cantdad de datos puede ser mucha para ser vsuazada con comoddad en a
pantaa de montor, se puede utzar e mandato ess como subrutna.
netstat =a ] less
A contnuacn se muestra un e|empo de a sada:
>ctive 4nternet connections (servers and established)
5roto Recv=h Send=h Aocal >ddress Doreign >ddress State
tcp + + M2netbios=ssn M2M A4S?BO
tcp + + M2submission M2M A4S?BO
tcp + + M2sunrpc M2M A4S?BO
tcp + + M2x11 M2M A4S?BO
tcp + + M2*/+- M2M A4S?BO
tcp + + M2webcache M2M A4S?BO
udp + + M2&ilenet=tms M2M
udp + + M2&ilenet=nch M2M
udp + + M2&ilenet=rmi M2M
udp + + M2&ilenet=pa M2M
udp + + 1/(816'81((812netbios=ns M2M
udp + + servidor++8c2netbios=ns M2M
>ctive #O4X domain sockets (servers and established)
5roto Re&6nt Dlags ?$pe State 4=Oode 5ath
unix ( E >66 F S?RB>! A4S?BO4O3 1)*,+ R/tmp/&am=root=
unix ( E >66 F S?RB>! A4S?BO4O3 )/-- /dev/gpmctl
unix ( E >66 F S?RB>! A4S?BO4O3 6//1 /var/run/audit%events
unix ( E >66 F S?RB>! A4S?BO4O3 )-+/ /var/run/dbus/s$stem%bus%socket
unix ( E >66 F S?RB>! A4S?BO4O3 )*+6 /var/run/pcscd8comm
unix ( E >66 F S?RB>! A4S?BO4O3 )6-) /var/run/acpid8socket
unix ( E >66 F S?RB>! A4S?BO4O3 )),) /var/run/cups/cups8sock
232
unix ( E >66 F S?RB>! A4S?BO4O3 16)/* R/tmp/dbus=-#ato6ea#7
Para mostrar soo as conexones actvas por TCP, se utza:
netstat =t
Para mostrar soo as conexones actvas por UDP, se utza:
netstat =u
Para mostrar as estadstcas de uso para todos os tpos de conexones, se utza:
netstat =s
4p2x ( E F <3R>! '+1*
'++* total packets received )/(/
( with invalid addresses>! )'/6
+ &orwardedF <3R>! )'66
+ incoming packets discarded )*+*
)/(' incoming packets delivered 6IOOB6?B< )-1(
)/+* re0uests sent out?RB>! 6IOOB6?B< )-11
4cmp2 , E F S?RB>! 6IOOB6?B< ),-/
1/ 46!5 messages received>! 6IOOB6?B< ),-'
+ input 46!5 message &ailed8 )1//
46!5 input histogram2<3R>! )+)1
destination unreachable2 1' 6/-)
echo re0uests2 1 <3R>! 6/1)
1/ 46!5 messages sentS?RB>! 6IOOB6?B< 6'-*
+ 46!5 messages &ailed?RB>! 6IOOB6?B< 6'--
46!5 output histogram2a ] less
destination unreachable2 1'
echo replies2 1
?cp2
11- active connections openings
( passive connection openings
+ &ailed connection attempts
1( connection resets received
+ connections established
)6(( segments received
)*,, segments send out
6' segments retransmited
+ bad segments received8
1) resets sent
#dp2
(') packets received
+ packets to unknown port received8
+ packet receive errors
()/ packets sent
?cpBxt2
) ?65 sockets &inished time wait in &ast timer
1,* dela$ed acks sent
huick ack mode was activated (6 times
61 packets directl$ 0ueued to recvmsg pre0ueue8
1',6-+6- packets directl$ received &rom backlog
,/1(,(+ packets directl$ received &rom pre0ueue
233
(+'1 packets header predicted
1*(* packets header predicted and directl$ 0ueued to user
-)* acknowledgments not containing data received
1,11 predicted acknowledgments
1 times recovered &rom packet loss due to S>69 data
1 congestion windows &ull$ recovered
- congestion windows partiall$ recovered using 7oe heuristic
1, congestion windows recovered a&ter partial ack
+ ?65 data loss events
- timeouts a&ter S>69 recover$
1 &ast retransmits
-) other ?65 timeouts
(( <S>69s sent &or old packets
1 <S>69s received
/ connections reset due to earl$ user close
Para mostrar soamente as estadstcas orgnadas por conexones BCA, se utza:
netstat =s =t
?cp2
11- active connections openings
( passive connection openings
+ &ailed connection attempts
1( connection resets received
+ connections established
)6(( segments received
)*,, segments send out
6' segments retransmited
+ bad segments received8
1) resets sent
?cpBxt2
) ?65 sockets &inished time wait in &ast timer
1,* dela$ed acks sent
huick ack mode was activated (6 times
61 packets directl$ 0ueued to recvmsg pre0ueue8
1',6-+6- packets directl$ received &rom backlog
,/1(,(+ packets directl$ received &rom pre0ueue
(+'1 packets header predicted
1*(* packets header predicted and directl$ 0ueued to user
-)* acknowledgments not containing data received
1,11 predicted acknowledgments
1 times recovered &rom packet loss due to S>69 data
1 congestion windows &ull$ recovered
- congestion windows partiall$ recovered using 7oe heuristic
1, congestion windows recovered a&ter partial ack
+ ?65 data loss events
- timeouts a&ter S>69 recover$
1 &ast retransmits
-) other ?65 timeouts
(( <S>69s sent &or old packets
1 <S>69s received
/ connections reset due to earl$ user close
Para mostrar soamente as estadstcas orgnadas por conexones UDA, se utza:
234
netstat =s =u
#dp2
(') packets received
+ packets to unknown port received8
+ packet receive errors
()/ packets sent
Para mostrar a taba de encamnamentos, se utza:
netstat =r
<estination 3atewa$ 3enmask Dlags !SS Cindow irtt 4&ace
1/(816'8+8+ M (**8(**8(**8+ # + + + eth+
1/(816'81((8+ M (**8(**8(**8+ # + + + virbr+
16/8(*-8+8+ M (**8(**8+8+ # + + + eth+
de&ault 1/(816'8+8(*- +8+8+8+ #3 + + + eth+
Para mostrar as asgnacones grupos de mutdfusn, se utza:
netstat =g
45v6/45v- 3roup !emberships
4nter&ace Re&6nt 3roup
=============== ====== =====================
lo 1 >AA=SKS?B!S8!6>S?8OB?
virbr+ 1 ((-8+8+8(*1
virbr+ 1 >AA=SKS?B!S8!6>S?8OB?
eth+ 1 ((-8+8+8(*1
eth+ 1 >AA=SKS?B!S8!6>S?8OB?
lo 1 &&+(221
peth+ 1 &&+(221
virbr+ 1 &&+(2212&&++2+
virbr+ 1 &&+(221
vi&+8+ 1 &&+(221
eth+ 1 &&+(2212&&*621'b/
eth+ 1 &&+(221
xenbr+ 1 &&+(221
vi&18+ 1 &&+(221
Para mostrar a taba de nterfaces actvas en e sstema, se utza:
netstat =i
9ernel 4nter&ace table
235
4&ace !?# !et RX=I9 RX=BRR RX=<R5 RX=I@R ?X=I9 ?X=BRR ?X=<R5 ?X=I@R Dlg
eth+ 1*++ + (,/) + + + (+)/ + + + :!R#
lo 16-,6 + *)'+ + + + *)'+ + + + AR#
peth+ 1*++ + ,(/- + + + (*'- + + + :IR#
vi&+8+ 1*++ + (+)/ + + + (,/) + + + :IR#
vi&18+ 1*++ + -* + + + ,'- + + + :IR#
virbr+ 1*++ + + + + + )( + + + :!R#
xenbr+ 1*++ + (16 + + + + + + + :IR#
236
82' Cmo utili=ar &0A'
82'!' Introduccin
82'!'!' &cerca de &0A'
&0A sgnfca &ddress 0esouton Arotoco, o protocoo de resoucn de dreccones. &0A se
utza para supervisar * modi/icar a taba de asgnacones de dreccones IA y dreccones
?&C (?eda &ccess Contro). &0A utza un cache que consste en una taba que amacena as
asgnacones entre nve de enace de datos y as dreccones IP de nve de red. E nve de enace
de datos se encarga de gestonar as dreccones ?&C y e nve de red de as dreccones IA. &0A
asoca dreccones IA a as dreccones ?&C, |usto a a nversa de protocoo 0&0A que asgna
dreccones ?&C a as dreccones IA. Para reducr e nmero de petcones &0A, cada sstema
operatvo que mpementa e protocoo &0A mantene una cache en a memoria 0&? de todas
as recentes asgnacones.
Vsuazar e cache &0A actua.
arp =a
Debe devover ago smar a o sguente, en e caso de tratarse de un soo sstema:
m(*-8alcancelibre8org (1/(816'818(*-) at ++21-2/*2/)2()2B/ EetherF on eth+
Cuando se trata de un servdor ntermedaro (proxy), a taba puede verse de este modo:
m+*18redlocal8net (1+81818*1) at ++21,2(+2<+2+/21B EetherF on eth1
m+-68redlocal8net (1+81818-6) at ++2+D21D2:12)121- EetherF on eth1
m+),8redlocal8net (1+81818),) at ++2112(*2D62/,2D1 EetherF on eth1
m+)+8redlocal8net (1+81818)+) at ++2112(*2D62>(2*( EetherF on eth1
m+-+8redlocal8net (1+81818-+) at ++2+<26+26B2()2,- EetherF on eth1
m+,68redlocal8net (1+81818,6) at ++2+<26+26B2(*2D: EetherF on eth1
m+118redlocal8net (1+8181811) at ++2112(D26)2<+2<) EetherF on eth1
E mandato arp acepta varas opcones ms. S se desea vsuazar a nformacn en esto Lnux,
se utza e parmetro -e. e|empo:
arp =e
237
>ddress 7Ct$pe 7Caddress Dlags !ask 4&ace
m+*18redlocal8net ether ++21,2(+2<+2+/21B 6 eth1
m+-68redlocal8net ether ++2+D21D2:12)121- 6 eth1
m+),8redlocal8net ether ++2112(*2D62>(2*( 6 eth1
m+)+8redlocal8net ether ++2112(*2D62/*2'B 6 eth1
m+-+8redlocal8net ether ++2+<26+26B2(626D 6 eth1
m+,68redlocal8net ether ++2112(*2D62*D2'1 6 eth1
S se desea observar o anteror en formato numrco, se utza e parmetro -n. e|empo:
arp =n
1+81818-6 ether ++2+D21D2:12)121- 6 eth1
1+81818)+ ether ++2112(*2D62>(2*( 6 eth1
1+81818), ether ++2112(*2D62/,2D1 6 eth1
1+81818-+ ether ++2+<26+26B2()2,- 6 eth1
1+81818,- ether ++2+<26+26B2(626D 6 eth1
S se desea especfcar una nterfaz en partcuar, se utza e parmetro - segudo de nombre de
a nterfaz. E|empo:
arp =i eth+
Lo anteror debe regresar ago smar a o sguente, en e caso de tratarse de un soo sstema:
m(*-8alcancelibre8org ether ++21-2/*2/)2()2B/ 6 eth+
S se desea aadr un regstro manuamente, se puede hacer utzando e parmetro -s segudo
de nombre de un anftrn y a dreccn MAC correspondente. E|empo:
arp =s m(++8redlocal8net ++2+'2>12'-21'2><
S se quere emnar un regstro de a taba, soo se utza e parmetro 1d segudo de nombre de
anftrn a emnar. E|empo:
arp =d m(++8redlocal8net
Para mpar todo e cache, se puede utzar un buce como e sguente:
&or i in garp =n ] awk WYprint J1ZW ] grep =v >ddressg
do
arp =d Ji
done
En e gun anteror se pde crear a varabe i a partr de arp con a opcn 1n para devover as
dreccones numrcas, mostrando a travs de aNL soo a prmera coumna de a taba generada,
y emnando a cadena de caracteres &ddress. Esto genera una sta de dreccones IP que se
238
asgnan como vaores de a varabe i en e buce, donde se emna cada una de estas dreccones
IP utzando arp 1d.
E ob|eto de mpar e cache de &0A es permtr corregr os regstros de a taba en certos
escenaros donde, por e|empo, un servdor o estacn de traba|o fue encenddo con una dreccn
IA que ya est uso.
239
88' Introduccin a IAB&#LES
88'!' Introduccin'
88'!'!' &cerca de Iptables * Net/ilter'
Net/ilter es un con|unto de %anc!os (GooLs, es decr, tcncas de programacn que se empean
para crear cadenas de procedmentos como mane|ador) dentro de nceo de GNU/Lnux y que
son utzados para nterceptar y manpuar paquetes de red. E componente me|or conocdo es e
cortafuegos, e cua reaza procesos de ftracn de paquetes. Los %anc!os son tambn utzados
por un componente que se encarga de N&B (acrnmo de Network &ddress Bransaton o
Traduccn de dreccn de red). Estos componentes son cargados como mduos de nceo.
Iptables es e nombre de a herramenta de espaco de usuaro (User Space, es decr, rea de
memora donde todas as apcacones, en modo de usuaro, pueden ser ntercambadas haca
memora vrtua cuando sea necesaro) a travs de a cua os admnstradores crean regas para
cada ftrado de paquetes y mduos de N&B. Iptables es a herramenta estndar de todas as
dstrbucones modernas de GNU/Lnux.
URL: http://www.netfter.org/
S utza Cent6S 9 y :, 0ed Gat Enterprise Linux : o Z.ite #ox Enterprise Linux 9 y :, soo
se necesta reazar o sguente para nstaar o actuazar e equpamento gco necesaro:
$um =$ install iptables
88'2'2' Instalacin a trav)s de up2date'
S se utza 0ed Gate Enterprise Linux 9, soo bastar reazar o sguente para nstaar o
actuazar e equpamento gco necesaro:
up(date =i iptables
240
88'8'!' Cadenas'
Las cadenas pueden ser para trfco entrante (INPUT), trfco saente (OUTPUT) o trfco
reenvado (%60Z&0D).
88'8'2' 0e2las de destino'
Las regas de destno pueden ser aceptar conexones (&CCEAB), descartar conexones (D06A),
rechazar conexones (0E"ECB), encamnamento posteror (A6SB06UBING), encamnamento
prevo (A0E06UBING), SN&B, N&B, entre otras.
88'8'8' Aol,ticas por de/ecto'
Estabecen cua es a accn a tomar por defecto ante cuaquer tpo de conexn. La opecn -P
camba una potca para una cadena. En e sguente e|empo se descartan (D06A) todas as
conexones que ngresen (INPUT), todas as conexones que se reenven (%60Z&0D) y todas as
conexones que sagan (OUTPUT), es decr, se descarta todo e trfco que entre desde una red
pbca y e que trate de sar desde a red oca.
iptables =5 4O5#? TB!+
iptables =5 ?!BU8BT TB!+
iptables =5 I#?5#? 8CC:+@
88'8'9' Limpie=a de re2las espec,/icas'
A fn de poder crear nuevas regas, se deben borrar as exstentes, para e trfco entrante, trfco
reenvado y trfco saente as como e NAT.
iptables =D 4O5#?
iptables =D ?!BU8BT
iptables =D I#?5#?
iptables =D =t nat
88'8':' 0e2las espec,/icas'
Las opcones ms comunes son:
-A aade una cadena, a opcn - defne una nterfaz de trfco entrante
-o defne una nterfaz para trafco saente
-| estabece una rega de destno de trfco, que puede ser &CCEAB, D06A o
0E"ECB. La
-m defne que se apca a rega s hay una concdenca especfca
--state defne una sta separada por comas de dstnto tpos de estados de as
conexones (INVALID, ESTABLISHED, NEW, RELATED).
--to-source defne que IP reportar a trfco externo
-s defne trafco de orgen
-d defne trfco de destno
--source-port defne e puerto desde e que se orgna a conexn
--destnaton-port defne e puerto haca e que se drge a conexn
-t taba a utzar, pueden ser nat, fter, mange o raw.
241
E4emplos de re2las'
Reenvo de paquetes desde una nterfaz de red oca (eth1) haca una nterfaz de red pbca
(eth0):
iptables => ?!BU8BT =i eth1 =o eth+ =1 8CC:+@
Aceptar reenvar os paquetes que son parte de conexones exstentes (ESTABLISHED) o
reaconadas de trfco entrante desde a nterfaz eth1 para trfco saente por a nterfaz eth0:
iptables => ?!BU8BT =i eth+ =o eth1 =m state ==state BS?>:A4S7B<.RBA>?B< =1 8CC:+@
Permtr paquetes en e propo muro cortafuegos para trfco saente a travs de a nterfaz eth0
que son parte de conexones exstentes o reaconadas:
iptables => 4O5#? =i eth+ =m state ==state BS?>:A4S7B<.RBA>?B< =1 8CC:+@
Permtr (&CCEAB) todo e trfco entrante (INPUT) desde (1s) cuaquer dreccn (0/0) a red oca
(eth1) y desde e retorno de sstema (o) haca (1d) cuaquer destno (0/0):
iptables => 4O5#? =i eth1 =s +/+ =d +/+ =1 8CC:+@
iptables => 4O5#? =i lo =s +/+ =d +/+ =1 8CC:+@
Hacer (-|) SNAT para e trfco saente (1o) a trves de a nterfaz eth0 provenente desde (1s) a
red oca (!2'!;>'0'0/29) utzando (--to-source) a dreccn IP N'x'*'=.
iptables => +!"@B!%@JAG =t nat =s 192.16#.0.0/2G =o eth+ =1 SO>? ==to=source x8$8"8c
Descartar (D06A) todo e trfco entrante (1i) desde a nterfaz eth0 que trate de utzar a
dreccn IP pbca de servdor (N'x'*'=), aguna dreccn IP de a red oca (!2'!;>'0'0/29) o
a dreccn IP de retorno de sstema (127.0.01)
iptables => 4O5#? =i eth+ =s w8x8$8x/,( =1 TB!+
iptables => 4O5#? =i eth+ =s 192.16#.0.0/2G =1 TB!+
iptables => 4O5#? =i eth+ =s 1()8+8+8+/' =1 TB!+
Aceptar (&CCEAB) todos os paquetes SYN (--syn) de protocoo TCP (-p tcp) para os puertos (11
destination1port) de os protocoos SMTP (25), HTTP(80), HTTPS (443) y SSH (22):
iptables => 4O5#? =p tcp =s +/+ =d +/+ ==destination=port (* ==s$n =1 8CC:+@
iptables => 4O5#? =p tcp =s +/+ =d +/+ ==destination=port '+ ==s$n =1 8CC:+@
iptables => 4O5#? =p tcp =s +/+ =d +/+ ==destination=port --, ==s$n =1 8CC:+@
iptables => 4O5#? =p tcp =s +/+ =d +/+ ==destination=port (( ==s$n =1 8CC:+@
Aceptar (&CCEAB) todos os paquetes SYN (--syn) de protocoo TCP (-tcp) para os puertos (11
destination1port) de protocoos SMTP (25) en e servdor (N'x'*'=/32), desde (1s) cuaquer
ugar (0/0) haca (1d) cuaquer ugar (0/0).
iptables => 4O5#? =p tcp =s +/+ =d w...y.5/,( ==destination=port (* ==s$n =1 8CC:+@
Aceptar (&CCEAB) todos os paquetes SYN (--syn) de protocoo TCP (-p tcp) para os puertos (11
242
destination1port) de os protocoos POP3 (110), POP3S (995), IMAP (143) y IMAPS (993):
iptables => 4O5#? =p tcp =s +/+ =d +/+ ==destination=port 11+ ==s$n =1 8CC:+@
iptables => 4O5#? =p tcp =s +/+ =d +/+ ==destination=port //* ==s$n =1 8CC:+@
iptables => 4O5#? =p tcp =s +/+ =d +/+ ==destination=port 1-, ==s$n =1 8CC:+@
iptables => 4O5#? =p tcp =s +/+ =d +/+ ==destination=port //, ==s$n =1 8CC:+@
Aceptar (&CCEAB) e trfco entrante (1i) provenente desde a nterfaz eth1 cuando as
conexones se estabezcan desde e puerto (--sport) 67 por protocoos (1p) TCP y UDP.
iptables => 4O5#? =i eth1 =p tcp ==sport 6' ==dport 6) =1 8CC:+@
iptables => 4O5#? =i eth1 =p udp ==sport 6' ==dport 6) =1 8CC:+@
Aceptar (&CCEAB) conexones de trfco entrante (INPUT) por protocoo (1p) UDP cuando se
estabezcan desde (1s) e servdor DNS 200.33.145.217 desde e puerto (11source1port) 53 haca
(1d) cuaquer destno (0/0):
iptables => 4O5#? =p udp =s (+18161818((6/,( ==source=port *, =d +/+ =1 8CC:+@
88'8':'!' Cerrar accesos'
Descartar (D06A) e trfco entrante (INPUT) para e protocoo (1p) TCP haca os puerto (11
destination1port) de SSH (22) y Tenet (23):
iptables => 4O5#? =p tcp ==destination=port (( =1 TB!+
iptables => 4O5#? =p tcp ==destination=port (, =1 TB!+
Descartar (D06A) todo tpo de conexones de trfco entrante (INPUT) desde (1s) a dreccn IP
a.b.c.d:
iptables => 4O5#? =s a8b8c8d =1 TB!+
Rechazar (0E"ECB) conexones haca (OUTPUT) a dreccn IP a.b.c.d desde a red oca:
iptables => I#?5#? =d a8b8c8d =s 192.16#.0.0/2G =1 B:V:C@
88'8';' Eliminar re2las'
En genera se utza a msma rega, pero en ugar de utzar -A (append), se utza -D (deete).
Ennar a rega que descarta (D06A) todo tpo de conexones de trfco entrante (INPUT) desde (1
s) a dreccn IP a.b.c.d:
iptables =< 4O5#? =s a8b8c8d =1 TB!+
88'8'<' ?ostrar la lista de cadenas * re2las'
Una vez cargadas todas as cadenas y regas de iptables es posbe vsuazar stas utzando e
mandato iptables con as opcones 1n, para ver as stas en formato numrco, y -L, para soctar
a sta de stas cadenas.
243
iptables =nA
Cuando no hay regas n cadenas cargadas, a sada debe devover o sguente:
6hain 4O5#? (polic$ >66B5?)
target prot opt source destination
6hain DIRC>R< (polic$ >66B5?)
6hain I#?5#? (polic$ >66B5?)
Cuando hay cadenas presentes, a sada, suponendo que se utzarn os e|empos de este
documento, debe devover ago smar a o sguente:
6hain 4O5#? (polic$ <RI5)
>66B5? all == +8+8+8+/+ +8+8+8+/+ state
RBA>?B<.BS?>:A4S7B<
>66B5? all == +8+8+8+/+ +8+8+8+/+
>66B5? all == +8+8+8+/+ +8+8+8+/+
<RI5 all == 1/(816'8186- +8+8+8+/+
<RI5 all == 1)(8168+8+/(- +8+8+8+/+
<RI5 all == 1()8+8+8+/' +8+8+8+/+
>66B5? tcp == +8+8+8+/+ +8+8+8+/+ tcp dpt2(*
&lags2+x1)/+x+(
>66B5? tcp == +8+8+8+/+ +8+8+8+/+ tcp dpt2'+
&lags2+x1)/+x+(
>66B5? tcp == +8+8+8+/+ +8+8+8+/+ tcp dpt2--,
&lags2+x1)/+x+(
>66B5? tcp == +8+8+8+/+ +8+8+8+/+ tcp dpt2((
&lags2+x1)/+x+(
>66B5? tcp == +8+8+8+/+ 1/(816'8186- tcp dpt2(*
&lags2+x1)/+x+(
>66B5? tcp == +8+8+8+/+ +8+8+8+/+ tcp dpt211+
&lags2+x1)/+x+(
>66B5? tcp == +8+8+8+/+ +8+8+8+/+ tcp dpt2//*
&lags2+x1)/+x+(
>66B5? tcp == +8+8+8+/+ +8+8+8+/+ tcp dpt21-,
&lags2+x1)/+x+(
>66B5? tcp == +8+8+8+/+ +8+8+8+/+ tcp dpt2//,
&lags2+x1)/+x+(
>66B5? tcp == +8+8+8+/+ +8+8+8+/+ tcp spt26' dpt26)
>66B5? udp == +8+8+8+/+ +8+8+8+/+ udp spt26' dpt26)
>66B5? udp == (+18161818((6 +8+8+8+/+ udp spt2*,
6hain DIRC>R< (polic$ <RI5)
>66B5? all == +8+8+8+/+ +8+8+8+/+
>66B5? all == +8+8+8+/+ +8+8+8+/+ state
RBA>?B<.BS?>:A4S7B<
6hain I#?5#? (polic$ >66B5?)
ErootRm+6- SFG iptables =nA
6hain 4O5#? (polic$ <RI5)
>66B5? all == +8+8+8+/+ +8+8+8+/+ state
RBA>?B<.BS?>:A4S7B<
>66B5? all == +8+8+8+/+ +8+8+8+/+
>66B5? all == +8+8+8+/+ +8+8+8+/+
<RI5 all == 1/(816'8186- +8+8+8+/+
<RI5 all == 1)(8168+8+/(- +8+8+8+/+
<RI5 all == 1()8+8+8+/' +8+8+8+/+
244
>66B5? tcp == +8+8+8+/+ +8+8+8+/+ tcp dpt2(*
&lags2+x1)/+x+(
>66B5? tcp == +8+8+8+/+ +8+8+8+/+ tcp dpt2'+
&lags2+x1)/+x+(
>66B5? tcp == +8+8+8+/+ +8+8+8+/+ tcp dpt2--,
&lags2+x1)/+x+(
>66B5? tcp == +8+8+8+/+ +8+8+8+/+ tcp dpt2((
&lags2+x1)/+x+(
>66B5? tcp == +8+8+8+/+ 1/(816'8186- tcp dpt2(*
&lags2+x1)/+x+(
>66B5? tcp == +8+8+8+/+ +8+8+8+/+ tcp dpt211+
&lags2+x1)/+x+(
>66B5? tcp == +8+8+8+/+ +8+8+8+/+ tcp dpt2//*
&lags2+x1)/+x+(
>66B5? tcp == +8+8+8+/+ +8+8+8+/+ tcp dpt21-,
&lags2+x1)/+x+(
>66B5? tcp == +8+8+8+/+ +8+8+8+/+ tcp dpt2//,
&lags2+x1)/+x+(
>66B5? tcp == +8+8+8+/+ +8+8+8+/+ tcp spt26' dpt26)
>66B5? udp == +8+8+8+/+ +8+8+8+/+ udp spt26' dpt26)
>66B5? udp == (+18161818((6 +8+8+8+/+ udp spt2*,
6hain DIRC>R< (polic$ <RI5)
>66B5? all == +8+8+8+/+ +8+8+8+/+
>66B5? all == +8+8+8+/+ +8+8+8+/+ state
RBA>?B<.BS?>:A4S7B<
6hain I#?5#? (polic$ >66B5?)
88'8'>' IniciarM detener * reiniciar el servicio iptables'
S est de acuerdo con as regas generadas de iptables, utce e sguente mandato para
guardar stas:
service iptables save
Las regas quedarn amacenadas en e fchero /etc/s*scon/i2/iptables.
Para e|ecutar por prmera vez e servco iptables, utce:
service iptables start
service iptables restart
Para detener e servco iptables y borrar todas as regas utce:
service iptables stop
88'8'' &2re2ar el servicio iptables al arran-ue del sistema'
Para hacer que e servco de iptables est actvo con e sguente nco de sstema, en todos os
nvees de e|ecucn (2, 3, 4, y 5), se utza o sguente:
245
chkcon&ig iptables on
88'9' #iblio2ra/,a'
Wkpeda: http://en.wkpeda.org/wk/Iptabes
Denns G. Aard y Don Cohen http://oceanpark.com/notes/frewa_exampe.htm
246
89' Cmo utili=ar C#D'
89'!' Introduccin'
89'!'!' &cerca de cb-'
C#D (Cass #ased Dueueng o Encoamento Basado sobre Cases), es un gun escrto en #&SG
utzado para a gestn y contro de uso de ancho de banda en GNU/Lnux. Fue orgnamente
creado en 1999 por Aavel Golubev y posterormente mantendo de 2001 a 2004 por Lubomir
#ule4. Utza de una forma smpfcada os mandatos ip y tc para su funconamento, y forma
parte de paquete iproute, e cua se ncuye en as nstaacones bsca de a mayor parte de as
dstrbucones de GNU/Lnux.
89'2' Comprendiendo la velocidad binaria Pbit rateQ'
E trmno bit rate se traduce a espao como velocidad binaria, tasa de bits o /lu4o de bits.
Corresponde a numero de bits que se transmten por segundo a travs de un sstema de
transmsn dgta o entre dos dspostvos dgtaes. En otras paabras, es a veocdad de
transferenca de datos.
De acuerdo a Sistema Internacional de Unidades, a undad con a que se expresa a
velocidad binaria (bit rate) es e bit por se2undo, es decr bit/s, b/s o bps, donde a b sempre
debe escrbrse en mnscua para mpedr confusn con a undad b*te por se2undo (#/s). Los
mtpos para byte apcan de dferente modo que para bt. La undad byte es gua a 8 bts, y a
partr de esto se puede utzar a sguente taba:
Babla de e-uivalencias'
kbt/s o kbps (kb/s, kobt/s) 1000 bts de por segundo
Mbt/s o Mbps(Mb/s, Megabt/s) 1 mn de bts por segundo
Gbt/s o Gbps (Gb/s, Ggabt/s) M mones de bts por segundo
byte/s (B/s) 8 bts por segundo
kobyte/s (kB/s, m bytes) 8 m bts por segundo
megabyte/s (MB/s, un mn de bytes) 8 mones de bt por segundo
ggabyte/s (GB/s, m mones de bytes) 8 m mones de bts
247
C#D forma parte de a nstaacn de paquete iproute, msmo que a su vez se nstaa de modo
predetermnado en cas todas as dstrbucones de GNU/Lnux.
$um =$ install iproute
up(date =i iproute
89'9' Areparativos'
Antes de ncar cuaquer confguracn, se deben determnarse os vaores para os sguentes
parmetros. Para construr una rega, se requere a menos comprender y especfcar os vaores
para os parmetros DEHICE, ZEIGGB, 0&BE y 0ULE. Las regas pueden ser tan compe|as como
a magnacn de admnstrador o permta.
Los fcheros con as confguracones se guardan dentro de drectoro /etc/s*scon/i2/cb-/ y
deben evar s sguente nomencatura:
/etc/s$scon&ig/cb0/cb0=En`mero=4<=6laseF8EnombreF
Donde n7mero1ID1Clase corresponde a un nmero headecma de 2 bts dentro de rango 0002-
FFFF. E|empo: fchero que contene una case que controa e trfco entrante de correo
eectrnco:
/etc/s$scon&ig/cb0/cb0=+++(8smtp=in
89'9'!' Aar@metro DEHICE'
Es un parmetro obgatoro. Se determna os vaores con e nombre de a nterfaz, ancho de
banda y peso de esta nterfaz. Este tmo vaor, que es opcona en este parmetro, se cacua
dvdendo e ancho de banda de a nterfaz entre dez. Por e|empo, s se dspone de una nterfaz
denomnada eth0 de 100 Mbt/s, e peso ser 10 Mbt/s, de ta modo os vaores de parmetro
DEHICE, quedaran de a sguente forma:
<B@46BHeth+.1++!bit.1+!bit
S se dspone de una nterfaz eth0 conectada a un modem ADSL de 2048 kbps de trfco entrante
o de ba|ada, e peso ser de 204 kbps, de ta modo os vaores de parmetro DEHICE, quedaran
de a sguente forma:
248
<B@46BHeth+.(+-'9bit.(+-9bit
S se dspone de una nterfaz eth0 conectada a un modem ADSL de 256 kbps de trfco saente o
de subda, e peso ser de 25 kbps, de ta modo os vaores de parmetro DEHICE, quedaran de
a sguente forma:
<B@46BHeth+.(*69bit.(*9bit
89'9'!'!' Aar@metro de clase 0&BE'
Es un parmetro obgatoro. Se refere a ancho de banda a asgnar a a case. E trfco que pase
a travs de esta case ser modfcado para a|ustarse a a proporcn defnda. Por e|empo, s se
quere mtar e ancho de banda utzado a 10 Mbt/s, e vaor de 0&BE sera 10Mbt, como se
muestra a contnuacn.
R>?BH1+!bit
S se quere mtar e ancho de banda utzado a 1024 kbt/s, e vaor de 0&BE sera 1024Kbt,
como se muestra a contnuacn.
R>?BH1+(-9bit
S se quere mtar e ancho de banda utzado a 512 kbt/s, e vaor de RATE sera 512Kbt, como
se muestra a contnuacn.
R>?BH*1(9bit
89'9'2' Aar@metro de clase ZEIGGB'
Es un parmetro obgatoro. ste es proporcona a ancho de banda tota de a nterfaz. Como
rega se se cacua dvdendo entre dez e ancho de banda tota. Para una nterfaz de 2048 kbps,
correspondera un vaor de 204Kbt:
CB437?H(+-9bit
89'9'8' Aar@metro de clase A0I6'
Es un parmetro opcona que se utza para especfcar que prordad tendr sobre otras regas
de contro de ancho de banda. Mentras ms ato sea e vaor, menos prordad tendr sobre otras
regas. Se recomenda utzar e vaor 5 que funconar para a mayora de os casos. E|empo:
5R4IH*
89'9'9' Aar@metro de clase A&0ENB'
Cuando se utzan regas que se requere estn |erarquzadas, se utza para estabecer a
dentdad de case padre a a que pertenecen. Puede evar cuaquer vaor. Cuando se trata de
una case padre, se defne |unto con e parmetro LE&% con e vaor none. En e sguente e|empo
se estabece a dentdad 100 en una case padre.
249
5>RBO?H1++
AB>DHnone
89'9':' Aar@metro de clase LE&%'
Es un parmetro opcona y se utza para determnar que potca se utzar para utzar e
ancho de banda de una case padre.
S se utza e vaor tb/, que es e vaor predetermnado, se utzar e agortmo B#% (Boken
#ucket %ter), e cua mpde que a case tome ancho de banda de a case padre.
AB>DHtb&
Parmetros adconaes para agortmo B#%.
#U%%E0
Determna e tamao mxmo de rfaga (ma(imal burst si+e) que a case puede envar, y puede evar como
parmetro opcona a ongtud de os ntervaos en bytes. E vaor predetermnado es !0Kb/>. es decr,
rfagas de 10Kb en ntervaos de 8 bytes.
AB>DHtb& 9%??:B610Kb/#
LI?IB
Determna e tamao mxmo de as reservas (bac0lo%). S a coa de datos por procesar contene ms de os
especfcados por LI?IB, os sguentes paquetes que eguen sern descartados. La ongtud de as reservas
determna a atenca (tempo de recuperacn de datos) de a coa en caso de presentarse una congestn. E
vaor predetermnado es 15kb.
AB>DHtb& 7J=J@615-b
AE&K
Determna e pco mxmo para una rfaga de trfco de corto pazo que una case puede envar.
Consderando que un ancho de banda de 256 kbps enva 256 Kbt por segundo, en un momento dado se
puede dar e caso de e envo de 512 Kbt en 0.50 segundos, o 1 Mbt en 0.25 segundos. En e sguente
e|empo se estabece e e pco mxmo para rfagas de 1024 Kbt:
AB>DHtb& +:8K6102GKbi
?BU
Determna a mxma cantdad de datos que se pueden envar a msmo tempo en un medo fsco. Es un
parmetro obgatoro s se utza e parmetro AE&K. En e caso de una nterfaz Et!ernet, e vaor
predetermnado es gua a ?BU de a propa nterfaz (1500).
AB>DHtb& 5B>9H1+(-9bit =@%61500
E vaor s/-, que corresponde a agortmo S%D (Stochastc %arness Dueueng), hace que sea
compartdo e ancho de banda de a case padre aproxmadamente en a misma proporcn de
ancho de banda entre anftrones dentro de a msma case.
AB>DHs&0
E vaor none permte utzar bremente e ancho de banda dsponbe, sempre que e vaor de
parmetro #6UDED sea gua a no. En e sguente e|empo se especfca utzar bremente e
ancho de banda dsponbe:
AB>DHno
89'9';' Aar@metro de clase #6UNDED'
Es un parmetro opcona. S e vaor es *es, que es e vaor predetermnado, a case no tendr
250
permtdo utzar ancho de banda de a case padre. S e vaor es no, a case podr hacer uso de
ancho de banda dsponbe en a case padre. S se estabece con vaor no, es necesaro utzar
none o ben s/- en e parmetro LE&%.
5>RBO?H1++
AB>DHs&0
9!%AT:T6no
89'9'<' Aar@metro de clase IS6LEBED'
Es un parmetro opcona. S se estabece con e vaor *es, a case no prestar ancho de banda a
as cases h|as. S se utza e vaor no, que es e vaor predetermnado, se permtr prestar e
ancho de banda dsponbe a as cases h|as.
4SIA>?B<Hno
89'9'>' Aar@metros de /iltracin'
Son as regas de ftracn que se utzan para seecconar trfco en cada una de as cases. La
sntaxs competa es a sguente:
R#ABHEEs'((rE/pre&i1oFFE2puertoE/mcscaraFF.FE('((rE/pre&i1oFFE2puertoE/mcscaraFF
En o anteror, saddr se refere a a dreccn de orgen. daddr se refere a a dreccn de destno.
La sntaxs smpfcada es a sguente, donde todos os vaores son opconaes, pero se debe
especfcar a menos uno:
R#ABH45=origen2puerto=origen445=destino2puerto=destino
En genera a nterpretacn sgue cuatro smpes prncpos:
1. Cuaquer dreccn IP o red que se cooque antes de la coma se consdera dreccn IP o
red de ori2en.
2. Cuaquer dreccn IP o red que se cooque despu)s de la coma se consdera dreccn IP
o red de destino.
3. Cuaquer puerto antes de la coma se consdera e puerto de ori2en.
4. Cuaquer puerto especfcado despu)s de la coma se consdera puerto de destino.
E4emplos'
Seeccn de todo e trfco desde cuaquer puerto en cuaquer red .acia os puertos 25 (SMTP),
465 (SMTPS) y 587 (SMTP Submsson) en cuaquer red (es decr, controa ancho de banda de
correo saente):
R#ABH.2(*
R#ABH.2-6*
251
R#ABH.2*')
Seeccn de todo e trfco desde os puertos 25 (SMTP), 465 (SMTPS) y 587 (SMTP Submsson)
en cuaquer red .acia cuaquer puerto en cuaquer red (es decr, controa ancho de banda de
correo entrante):
R#ABH2(*.
R#ABH2-6*.
R#ABH2*').
Seeccn de todo e trfco desde a red 192.168.0.0/24 .acia cuaquer puerto en cuaquer red:
R#ABH1/(816'8+8+/(-.
Seeccn de todo e trfco desde cuaquer puerto en cuaquer red .acia cuaquer puerto en a
red 192.168.0.0/24:
R#ABH.1/(816'8+8+/(-
Seeccn de todo e trfco desde cuaquer puerto en a red 192.168.0.0/24 .acia e puerto 25
(SMTP) en cuaquer red:
R#ABH1/(816'8+8+/(-.2(*
Seeccn de todo e trfco desde e puerto 25 (SMTP) en a red 192.168.0.0/24 .acia cuaquer
puerto en cuaquer red:
R#ABH1/(816'8+8+/(-2(*.
Seeccn de todo e trfco desde e puerto 25 (SMTP) en a red 192.168.0.0/24 .acia e puerto
25 (SMTP) en cuaquer red:
R#ABH1/(816'8+8+/(-2(*.2(*
Seeccn de todo e trfco desde e puerto 25 (SMTP) en cuaquer red .acia cuaquer puerto en
a red 192.168.0.0/24:
R#ABH2(*.1/(816'8+8+/(-
Seeccn de todo e trfco desde e puerto 25 (SMTP) en cuaquer red .acia e puerto 25 (SMTP)
en a red 192.168.0.0/24:
R#ABH2(*.1/(816'8+8+/(-2(*
Seeccn de todo e trfco desde e puerto 80 en cuaquer red .acia cuaquer puerto de
cuaquer red:
R#ABH2'+.
252
Seeccn de todo e trfco desde cuaquer puerto en e anftrn 201.161.1.226 .acia cuaquer
puerto en cuaquer red:
R#ABH(+18161818((6.
Seeccn de todo e trfco desde puerto 80 en e anftrn 201.161.1.226 .acia cuaquer puerto
en cuaquer red:
R#ABH(+18161818((62'+.
Seeccn de todo e trfco desde e puerto 80 (HTTP) en cuaquer red .acia a red
192.168.0.0/24:
R#ABH2'+.1/(816'8+8+/(-
Seeccn de todo e trfco desde os puerto 20 (FTP-DATA), 21 (FTP) y 80 (HTTP) en cuaquer
red .acia a red 192.168.0.0/24:
R#ABH2(+.1/(816'8+8+/(-
R#ABH2(1.1/(816'8+8+/(-
R#ABH2'+.1/(816'8+8+/(-
Seeccn de todo e trfco desde de os puertos 20 (FTP-DATA), 21 (FTP) y 80 (HTTP) en e
anftrn 201.161.1.226 .acia a red 192.168.0.0/24:
R#ABH(+18161818((62(+.1/(816'8+8+/(-
R#ABH(+18161818((62(1.1/(816'8+8+/(-
R#ABH(+18161818((62'+.1/(816'8+8+/(-
89':' Arocedimientos'
Para poder confgurar e uso de ancho de banda se requere determnar prmero o sguente:
Cua es e ancho de banda de trfco entrante (de ba|ada) de a nterfaz pbca?
Cua es e ancho de banda de trfco saente (de subda) de a nterfaz pbca?
Ou servcos se van a controar?
Cuanto ancho de banda para trfco entrante y saente se va a destnar a cada servco?
Consderando e sguente escenaro:
Servdor con un cortafuegos y un N&B compartendo e acceso haca Internet.
Enace ADSL de 2048 kbps de trfco entrante y 256 kbps de trfco saente, a travs de a
nterfaz et.0.
Red oca 192.168.0.0/24 accede desde a nterfaz et.!.
253
Se quere gestonar e uso de ancho de banda para SMTP, POP3, IMAP, HTTP, HTTPS, FTP y
SSH/SFTP.
A repartr e ancho de banda, se e 50% de ancho de banda de entrada a GBBA y GBBAS,
y se dar e 50% de ancho de banda de subda a os servcos reaconados con e correo
electrnico.
Como e|empo, se asgnarn os sguentes anchos de banda para cada servco especfcado.
Servicios Auertos Br@/ico entrante Br@/ico saliente
Correo eectrnco:
SMTP, POP3 e IMAP
25, 465, 587, 110, 143, 993, 995 512Kbt 128Kbt
HTTP y HTTPS 80, 443 1024Kbt 64Kbt
FTP y SSH/SFTP 20, 21, 22 256Kbt 64Kbt
89':'!' C#D sin compartir anc.o de banda entre clases'
En e e|empo os anchos de banda se estn asgnando pensando en que se har uso de todos os
servcos de forma smutnea y que se quere que cada servco respete e ancho de banda de os
otros, es decr, sn prestar ancho de banda de una case a otra.
Con a fnadad de factar a organzacn, se recomenda crear fcheros ndependentes para
cada potca. Es decr, destnar un fchero para todo o reaconado con correo, otro para o
reaconado con HTTP/HTTPS y otro reaconado con FTP.
Contendo de fchero
/etc/sysconfg/cbq/cbq-0002.smtp-n:
<B@46BHeth+.(+-'9bit
B8@:6512Kbi
CB437?H(+-9bit
5R4IH*
R#ABH2(*.1/(816'8+8+/(-
R#ABH2-6*.1/(816'8+8+/(-
R#ABH2*').1/(816'8+8+/(-
R#ABH211+.1/(816'8+8+/(-
R#ABH21-,.1/(816'8+8+/(-
R#ABH2//,.1/(816'8+8+/(-
R#ABH2//*.1/(816'8+8+/(-
Contendo de fchero
/etc/sysconfg/cbq/cbq-0003.web-n:
B8@:6102GKbi
CB437?H(+-9bit
5R4IH*
R#ABH2'+.1/(816'8+8+/(-
R#ABH2--,.1/(816'8+8+/(-
Contendo de fchero
/etc/sysconfg/cbq/cbq-0005.ftp-n:
B8@:6265Kbi
CB437?H(+-9bit
5R4IH*
R#ABH2(+.1/(816'8+8+/(-
R#ABH2(1.1/(816'8+8+/(-
R#ABH2((.1/(816'8+8+/(-
Contendo de fchero
/etc/sysconfg/cbq/cbq-0002.smtp-out:
B8@:612#Kbi
CB437?H(+-9bit
5R4IH*
R#ABH1/(816'8+8+/(-.2(*
R#ABH1/(816'8+8+/(-.2-6*
R#ABH1/(816'8+8+/(-.2*')
R#ABH1/(816'8+8+/(-.211+
R#ABH1/(816'8+8+/(-.21-,
R#ABH1/(816'8+8+/(-.2//,
R#ABH1/(816'8+8+/(-.2//*
Contendo de fchero
/etc/sysconfg/cbq/cbq-0004.web-out:
B8@:66GKbi
CB437?H(+-9bit
5R4IH*
R#ABH1/(816'8+8+/(-.2'+
R#ABH1/(816'8+8+/(-.2--,
Contendo de fchero
/etc/sysconfg/cbq/cbq-0006.ftp-out:
B8@:66GKbi
CB437?H(+-9bit
5R4IH*
R#ABH1/(816'8+8+/(-.2(+
R#ABH1/(816'8+8+/(-.2(1
R#ABH1/(816'8+8+/(-.2((
254
89':'2' C#D compartiendo anc.o de banda entre clases'
En e e|empo os anchos de banda se estn asgnando pensando en que se har uso de todos os
servcos de forma smutnea y que se quere que cada servco preste ancho de banda sn utzar
desde una case haca otra. Se utzar a as cases con mayor ancho de banda dsponbe como
as cases padre.
Con a fnadad de factar a organzacn, se recomenda crear fcheros ndependentes para
cada potca. Es decr, destnar un fchero para todo o reaconado con correo, otro para o
reaconado con HTTP/HTTPS y otro reaconado con FTP.
Contendo de fchero
/etc/sysconfg/cbq/cbq-0002.smtp-n:
B8@:6512Kbi
CB437?H(+-9bit
5R4IH*
+8B:A@6100
7:8?6s/;
R#ABH2(*.1/(816'8+8+/(-
R#ABH2-6*.1/(816'8+8+/(-
R#ABH2*').1/(816'8+8+/(-
R#ABH211+.1/(816'8+8+/(-
R#ABH21-,.1/(816'8+8+/(-
R#ABH2//,.1/(816'8+8+/(-
R#ABH2//*.1/(816'8+8+/(-
Contendo de fchero
/etc/sysconfg/cbq/cbq-0003.web-n:
B8@:6102GKbi
CB437?H(+-9bit
5R4IH*
+8B:A@6100
7:8?6no
9!%AT:T6no
J"!78@:T6no
R#ABH2'+.1/(816'8+8+/(-
R#ABH2--,.1/(816'8+8+/(-
Contendo de fchero
/etc/sysconfg/cbq/cbq-0005.ftp-n:
B8@:6265Kbi
CB437?H(+-9bit
5R4IH*
+8B:A@6100
7:8?6s/;
R#ABH2(+.1/(816'8+8+/(-
R#ABH2(1.1/(816'8+8+/(-
R#ABH2((.1/(816'8+8+/(-
Contendo de fchero
/etc/sysconfg/cbq/cbq-0002.smtp-out:
B8@:612#Kbi
CB437?H(+-9bit
5R4IH*
+8B:A@6200
7:8?6no
9!%AT:T6no
J"!78@:T6no
R#ABH1/(816'8+8+/(-.2(*
R#ABH1/(816'8+8+/(-.2-6*
R#ABH1/(816'8+8+/(-.2*')
R#ABH1/(816'8+8+/(-.211+
R#ABH1/(816'8+8+/(-.21-,
R#ABH1/(816'8+8+/(-.2//,
R#ABH1/(816'8+8+/(-.2//*
Contendo de fchero
/etc/sysconfg/cbq/cbq-0004.web-out:
B8@:66GKbi
CB437?H(+-9bit
5R4IH*
+8B:A@6200
7:8?6s/;
R#ABH1/(816'8+8+/(-.2'+
R#ABH1/(816'8+8+/(-.2--,
Contendo de fchero
/etc/sysconfg/cbq/cbq-0006.ftp-out:
B8@:66GKbi
CB437?H(+-9bit
5R4IH*
+8B:A@6200
7:8?6s/;
R#ABH1/(816'8+8+/(-.2(+
R#ABH1/(816'8+8+/(-.2(1
R#ABH1/(816'8+8+/(-.2((
89':'8' IniciarM detener * reiniciar el servicio cb-'
E gun de nco de cbq est nstaado como /sbin/cb-. Es necesaro copar este fchero dentro
de /etc/init'd/ y trataro gua que cuaquer otro servco de sstema.
cp =a /sbin/cb0 /etc/init8d
Para probar que as cases estn correctas antes de utzar stas, puede recurrr a:
255
service cb0 compile
Para e|ecutar por prmera vez e servco cb-, utce:
service cb0 start
service cb0 restart
Para detener e servco cb- y emnar de memora todas as regas utce:
service cb0 stop
Para supervsar as estadstcas de trfco gestonado a travs de cb- utce:
service cb0 stats
89':'9' &2re2ar el servicio cb- al arran-ue del sistema'
Para hacer que e servco de cb- est actvo con e sguente nco de sstema, en todos os
chkcon&ig cb0 on
256
8:' Introduccin a SELinux en Cent6S : *
%edora'
Correo electrnico: darkshramgmail.com
sitio de Red: http://www.alcancelibre.org/
8:'!' Introduccin'
Suee ocurrr que a ntentar me|orar e rendmento de un sstema se recurra a a prctca de
desactvar SELnux. Certamente consume bastantes recursos, pero brnda un nve de segurdad
superor que en un futuro, que esperemos sea muy e|ano, podra ser de gran utdad para
mpedr ataques drgdos especfcamente haca GNU/Lnux. La gran popuardad que estn
tenendo as computadoras utra-porttes est ncrementando e nmero de usuaros de
GNU/Lnux, o cua eventuamente tambn sgnfcar que r surgendo equpamento gco
macoso (mal1are) especfcamente dseado para GNU/Lnux. A contnuacn expco, de /orma
breve, como utzar de manera bsca 2etsebool y setsebool (y un poco de c.con) en CentOS
5 (apcabe a Red Hat Enterprse Lnux 5) y Fedora, desde a termna, e|empfcando potcas
para agunos servcos.
8:'2' (Du) es SELinux+
SELinux (de ngs Securty-Enhanced Linux, que se traduce como Segurdad Me|orada de Lnux)
es una mpementacn de segurdad para GNU/Lnux que provee una varedad de potcas de
segurdad, ncuyendo e esto de acceso a os controes de Departamento de Defensa de EE.UU.,
a travs de uso de mduos de Segurdad en e nceo de Lnux.
En s es una coeccn de parches que fueron ntegrados hace agunos aos a nceo de Lnux,
fortaecendo sus mecansmos de contro de acceso y forzando a e|ecucn de os procesos dentro
de un entorno con os mnmos prvegos necesaros. Utza un modeo de segurdad de contro
de acceso obgatoro.
Es una mpementacn compe|a y robusta que suee ser muy oscura para a mayora de os
usuaros. Debdo a sto, fata de documentacn amstosa y que muchos servcos smpemente
son mposbes de operar sn una potca correspondente, muchas personas sueen desactvaro
edtando /etc/s*scon/i2/selinux. E ob|etvo de este artcuo es servr como una breve
ntroduccn a os conceptos bscos de admnstracn de SELnux.
8:'8' ?andato 2etsebool'
Este mandato permte star potcas en SELnux, y determnar s estn actvos o nactvos.
Bscamente se utza de a sguente forma:
getsebool =a ]grep cadena
257
Donde cadena es una cadena de texto que se puede utzar para ocazar as potcas
reaconados con agn servco en partcuar. Por e|empo, s se desea conocer que potcas que
ncuyan a cadena ftp estn actvos, como root se puede utzar o sguente:
getsebool =a ]grep &tp
Lo anteror debe regresar ago smar como o sguente:
allow%&tpd%anon%write ==Q o&&
allow%&tpd%&ull%access ==Q o&&
allow%&tpd%use%ci&s ==Q o&&
allow%&tpd%use%n&s ==Q o&&
&tp%home%dir ==Q o&&
httpd%enable%&tp%server ==Q o&&
t&tp%anon%write ==Q o&&
8:'9' ?andato setsebool'
Setseboo permte cambar os vaores para dferentes potcas de SELnux, msmas que pueden
verse a travs de e mandato 2etsebool. La sntaxs bsca es a sguente:
setsebool nombre%politica valor
Cuando se e|ecuta de a manera anterormente descrta, as potcas son apcadas de nmedato y
estarn vgentes hasta e sguente renco de sstema. Para hacer permanentes as potcas, se
utza e msmo mandato con a opcn 1A:
setsebool =5 nombre%politica valor
A contnuacn se muestran agunos e|empos de gestn de potcas para varos servcos.
|page_break|
8:'9'!' Servicios de %BA'
Para e servco de FTP, como sera a travs de VSFTPD, nteresan as sguentes potcas:
aow_ftpd_anon_wrte: Permte a os usuaros annmos poder escrbr en e servdor.
aow_ftpd_fu_access: Permte ectura y escrtura sobre todos os fcheros dsponbes
desde e servdor.
aow_ftpd_use_cfs: Permte transferencas de datos desde CIFS.
aow_ftpd_use_nfs: Permte transferencas de datos desde NFS
ftp_home_dr: Permte a os usuaros ocaes poder acceder a sus drectoros de nco.
Para actvar estas, se utza e mandato setsebool con e nombre de a potca y e vaor 0 o ben
1 para desactvar o actvar, respectvamente. En e sguente e|empo se actva poder acceder a
os drectoros de nco de os usuaros:
setsebool &tp%home%dir 1
Lo anteror permtra que os usuaros puedan acceder a sus propos drectoros de ncos a travs
de VSFTPD, hasta que e sstema sea rencado. Para hacer permanente e cambo, se utza
setsebool con a opcn 1A, de s sguente manera:
258
setsebool =5 &tp%home%dir 1
8:'9'2' 6penHAN'
Otro tpco e|empo es de OpenVPN, como cente y servdor. Exsten dos potcas:
openvpn_enabe_homedrs: Permte utzar certfcados amacenados en os
drectoros de os usuaros.
openvpn_dsabe_trans: Por omsn, SELnux mpde utzar OpenVPN como servdor.
Esta potca permte desactva toda gestn de SELnux sobre OpenVPN , pero
permte a ste funconar como servdor.
Para a potca de openvpnUenableU.omedirs, ba|o agunas crcunstancas se necesta permtr
a os usuaros poder conectarse a redes VPN utzando certfcados que e msmo usuaro
amacena en su drectoro de nco, y esta es precsamente a potca que o permte. Con e nve
de segurdad por omsn, soo se podran utzar certfcados defndos por e admnstrador en
agn drectoro de sstema.
8:'9'8' &pac.e'
Cuando se traba|a con drectoros que sern acceddos desde redes pbcas, como un drectoro
vrtua o un drectoro para domno vrtua en Apache, se actva a potca
.ttpdUenableU.omedirs y se utza e mandato c.con para permtr e acceso a os drectoros
-/pubc_htm, aadendo e tpo httpd_sys_content_t.
setsebool =5 httpd%enable%homedirs 1
chcon =R =t httpd%s$s%content%t Suser/public%html
Para permtr a e|ecucn de programas CGI, se utza:
setsebool =5 httpd%enable%cgi 1
Para permtr envar correo desde apache, se utza:
setsebool =5 httpd%can%sendmail 1
Para desactvar que SELnux controe a Apache, en su totadad, se puede utzar:
setsebool =5 httpd%disable%trans 1
8:'9'9' Samba'
En Samba es comn a necesdad de permtr a este servco operar como controador de domno.
La potca que o habta es sambaUdomainUcontroller:
setsebool =5 samba%domain%controller
S se desea permtr e acceso a os drectoros de nco de os usuaros, se utza a potca los
directorios W/publicU.tml:
setsebool =5 samba%enable%home%dirs on
259
Para poder utzar drectoros que se compartrn a travs de Samba, se utza chcon defnendo
e tpo sambaUs.areUt a contexto de drectoro. En e sguente e|empo, se crear un drectoro
como /var/samba/pubco:
mkdir =p /var/samba/publico
Para vsuazar sus contextos en SELnux, se utza e mandato ls con a opcn 1b:
ls =; /var/samba/
Lo anteror debe devover una sada como a sguente:
drwxr=xr=x root root uncon&ined%u2ob1ect%r2var%t2s+ publico
Para aadr e tpo sambaUs.areUt, se utza e mandato chcon de a sguente manera:
chcon =t samba%share%t /var/samba/publico
A vover a vsuazar e contexto de drectoro con ls 1b, deber devover una sada como a
sguente:
ls =;
drwxr=xr=x root root uncon&ined%u2ob1ect%r2samba%share%t2s+ publico
Para compartr un drectoros en Samba, hay dos potcas que se pueden utzar:
samba_export_a_ro: Permte e acceso a drectoros compartdos en Samba en modo
de soo ectura
samba_export_a_rw: Permte e acceso a drectoros compartdos en Samba en modo
de ectura y escrtura.
E|empo:
setsebool =5 samba%export%all%rw 1
8:'9':' 6tros servicios'
En genera, todos as potcas de todos os servcos pueden ser gestonadas buscando cuaes
estn reaconadas a travs de mandato 2etsebool. Los detaes respecto de qu es o que hace
dada potca pueden consutarse a travs de as pgnas de manua que estn nstaadas en e
sstema. Por e|empo, para consutar que potcas hay para e servco NFS, e manua que
contene as descrpcones correspondentes es n/sUselinux.
man httpd%selinux
Otros manuaes que pueden consutarse en e sstema para dferentes servcos son:
kerberos_senux
named_senux
ftpd_senux
ns_senux
rsync_senux
ypbnd_senux
260
pam_senux
httpd_senux
nfs_senux
samba_senux
261
8;' Cmo con/i2urar un servidor DGCA en una
L&N
8;'!' Introduccin'
8;'!'!' &cerca del protocolo DGCA'
DGCA (acrnmo de Dynamc Host Confguraton Arotoco que se traduce Protocoo de
confguracn dnmca de servdores) es un protocoo que permte a dspostvos ndvduaes en
una red de dreccones IP obtener su propa nformacn de confguracn de red (dreccn IP;
mscara de sub-red, puerta de enace, etc.) a partr de un servdor DHCP. Su propsto prncpa es
hacer ms fces de admnstrar as redes grandes. DGCA exste desde 1993 como protocoo
estndar y se descrbe a detae en e RFC 2131.
Sn a ayuda de un servdor DGCA, tendran que confgurarse de forma manua cada dreccn IP
de cada anftrn que pertenezca a una Red de Area Loca. S un anftrn se trasada haca otra
ubcacn donde exste otra Red de Area Loca, se tendr que confgurar otra dreccn IP dferente
para poder unrse a esta nueva Red de Area Loca. Un servdor DGCA entonces supervsa y
dstrbuye as dreccones IP de una Red de Area Loca asgnando una dreccn IP a cada anftrn
que se una a a Red de Area Loca. Cuando, por menconar un e|empo, una computadora portt
se confgura para utzar DGCA, a sta e ser asgnada una dreccn IP y otros parmetros de
red necesaros para unrse a cada Red de Area Loca donde se ocace.
Exsten tres mtodos de asgnacn en e protocoo DGCA:
&si2nacin manual: La asgnacn utza una taba con dreccones ?&C (acrnmo de ?eda
&ccess Contro &ddress, que se traduce como dreccn de Contro de Acceso a Medo). So os
anftrones con una dreccn ?&C defnda en dcha taba recbr e IP asgnada en a msma taba.
sto se hace a travs de os parmetros .ardNare et.ernet y /ixed1address.
&si2nacin autom@tica: Una dreccn de IP dsponbe dentro de un rango determnado se
asgna permanentemente a anftrn que a requera.
&si2nacin din@mica: Se determna arbtraramente un rango de dreccones IP y cada anftrn
conectado a a red est confgurada para soctar su dreccn IP a servdor cuando se nca e
dspostvo de red, utili=ando un intervalo de tiempo controlable (parmetros de/ault1lease1
time y max1lease1time) de modo que as dreccones IP no son permanentes y se reutzan de
forma dnmca.
URL: http://www.etf.org/rfc/rfc2131.txt y http://www.etf.org/rfc/rfc2132.txt
8;'!'2' &cerca de d.cp por Internet So/tNare ConsortiumM Inc'
Fundado en 1994, Internet Software Consortum, Inc., dstrbuye un con|unto de herramentas para
262
e protocoo DGCA, as cuaes conssten en:
Servidor DGCA
Cliente DGCA
&2ente de retransmisin'
Dchas herramentas utzan un &AI (&ppcaton Arogrammng Interface o Interfaz de
Programacn de Apcacones) moduar dseado para ser o sufcentemente genera para ser
utzado con facdad en os sstemas operatvos que cumpen e estndar A6SIF (Aortabe
6peratng System Interface for UNIF o nterfaz portabe de sstema operatvo para Unx) y no-
POSIX, como Wndows.
URL: http://sc.org/products/DHCP/
8;'2' E-uipamiento l2ico necesario'
8;'2'!' Instalacin a trav)s de *um'
S utza Cent6S :, 0ed Gate Enterprise Linux : o Z.ite #ox Enterprise Linux :, soo se
necesta reazar o sguente para nstaar o actuazar e equpamento gco necesaro:
$um =$ install dhcp
8;'2'2' Instalacin a trav)s de up2date'
up(date =i dhcp
8;'8' Arocedimientos'
8;'8'!' SELinux * el servicio d.cpd'
A fn de que SELnux permta a servco d.cpd funconar normamente y sn proteccn aguna,
utce e sguente mandato.
setsebool =5 dhcpd%disable%trans 1
A fn de que SELnux permta a sstema funconar normamente y sn proteccn aguna como
cliente DGCA, utce e sguente mandato.
setsebool =5 dhcpc%disable%trans 1
8;'8'2' %ic.ero de con/i2uracin /etc/d.cpd'con/'
Consderando como e4emplo que se tene una red oca con as sguentes caracterstcas:
Nmero de red 192.168.0.0
263
Mscara de sub-red: 255.255.255.0
Puerta de enace: 192.168.0.1
Servdor de nombres: 192.168.0.1, 148.240.241.42 y 148.240.241.10
Servdor Wns: 192.168.0.1
Servdores de tempo (NBA): 200.23.51.205, 132.248.81.29 y 148.234.7.30.
Rango de dreccones IP a asgnar de modo dnmco: 192.168.0.11-192.168.0.199
Dos dreccones IP se asgnarn como f|as (192.168.1.252, 192.168.0.253 y 192.168.0.254) para
as tar|etas de red con dreccones ?&C (?eda &ccess Contro o Contro de Acceso de Medos)
00:24:2B:65:54:84, 00:50:BF:27:1C:1C y 00:01:03:DC:67:23.
N6B&3 Es ndspensabe conocer * entender per/ectamente todo o anteror para poder contnuar con este documento.
Puede utzar e sguente contendo de e|empo para adaptar * crear desde cero un nuevo
fchero /etc/d.cpd'con/ que se a|uste a una red y con|unto de sstemas en partcuar.
server=identi&ier prox$8redlocal8netX
ddns=update=st$le interimX
ignore client=updatesX
authoritativeX
option ip=&orwarding o&&X
de&ault=lease=time (16++X
max=lease=time -,(++X
shared=network miredlocal Y
subnet 1/(816'8+8+ netmask (**8(**8(**8+ Y
option routers 1/(816'8+81X
option subnet=mask (**8(**8(**8+X
option broadcast=address 1/(816'8+8(**X
option domain=name Vre(lo)'l.neVX
option domain=name=servers 1/(816'8+81. 1-'8(-+8(-18-(.
1-'8(-+8(-181+X
option netbios=name=servers 1/(816'8+81X
option ntp=servers (++8(,8*18(+*. 1,(8(-'8'18(/. 1-'8(,-8)8,+X
range 1/(816'8+811 1/(816'8+81//X
Z
host impresora=laser Y
option host=name Vepl*/++8redocal8netVX
hardware ethernet ++2(-2(:26*2*-2'-X
&ixed=address 1/(816'818(*(X
Z
host servidor Y
option host=name Vservidor8redlocal8netVX
hardware ethernet ++2*+2:D2()216216X
&ixed=address 1/(816'8+8(*,X
Z
host prox$ Y
option host=name Vprox$8redlocal8netVX
hardware ethernet ++2+12+,2<626)2(,X
&ixed=address 1/(816'8+8(*-X
Z
Z
8;'8'8' %ic.ero de con/i2uracin /etc/s*scon/i2/d.cpd'
Una buena medda de segurdad es hacer que e servco d.cpd soo funcone a travs de a
nterfaz de red utzada por a LAN, esto en e caso de tener mtpes dspostvos de red. Edte e
fchero /etc/s*scon/i2/d.cpd y agregue como argumento de parmetro DGCAD&0GS e vaor
et.0, et.!, et.2, etc., o o que corresponda. E|empo, consderando que et.0 es a nterfaz
correspondente a a LAN:
264
G 6ommand line options here
<765<>R3SHeth+
8;'8'9' IniciarM detener * reiniciar el servicio d.cpd'
Para ncar por prmera vez e servco d.cpd, utce:
/sbin/service dhcpd start
Para hacer que os cambos hechos a a confguracn de servco d.cpd surtan efecto, utce:
/sbin/service dhcpd restart
Para detener e servco d.cpd, utce:
/sbin/service dhcpd stop
8;'8':' &2re2ar el servicio d.cpd al arran-ue del sistema'
Para hacer que e servco de d.cpd est actvo con e sguente nco de sstema, en todos os
nvees de corrda (2, 3, 4, y 5), se utza o sguente:
/sbin/chkcon&ig dhcpd on
8;'9' Comprobaciones desde cliente DGCA'
Hecho o anteror soo fata con confgurar como nterfaces DHCP as estacones de traba|o que
sean necesaras sn mportar que sstema operatvo utcen.
Despus de confgurado e ncado e servco, desde una termna como root en otro sistema
que ser utzado como cente, consderando que se tene una nterfaz de red denomnada et.0,
utce os sguentes mandatos para desactvar a nterfaz et.0 y asgnar una nueva dreccn IA a
travs de servdor d.cp.
/sbin/i&down eth+
/sbin/dhclient eth+
Lo anteror deber devover e mensa|e C/eterminando la informaci'n BD para et!9...< y e smboo
de sstema. Para corroborar, utce e mandato i/con/i2 para vsuazar os dspostvos de red
actvos en e sstema.
La confguracn de dspostvo de red, consderando como e4emplo a nterfaz eth0 con
dreccn ?&C 00:01:03:DC:67:23, soctando os datos para os servdores DNS, correspondente
a fchero /etc/s*scon/i2/netNorL1scripts/i/c/21et.0, sera con e sguente contendo:
<B@46BHeth+
IO:II?H$es
#SBR6?AH$es
:II?5RI?IHdhcp
5BBR<OSH$es
265
7C><<RH++2+12+,2<626)2(,
?K5BHBthernet
8;':' ?odi/icaciones necesarias en el muro corta/ue2os'
S se utza un cortafuegos con potcas estrctas, como por e|empo S.oreNall, es necesaro
abrr os puerto 67 y 68 por UDP (#66BAS y #66BAC, respectvamente).
Las regas para e fchero /etc/s.oreNall/rules de S.oreNall en un sstema con una zona (net),
correspondera a o sguente:
G>6?4IO SI#R6B <BS? 5RI?I <BS? SI#R6B
G 5IR? 5IR?(S)1
>66B5? net &w udp 6).6'
GA>S? A4OB == ><< KI#R BO?R4BS :BDIRB ?74S IOB == <I OI? RB!I@B
Las regas para e fchero /etc/s.oreNall/rules de S.oreNall en un sstema con dos zonas (net
y loc), donde soo se va a permtr e acceso a servco d.cpd desde a red oca, correspondera a
o sguente:
G 5IR? 5IR?(S)1
>66B5? loc &w udp 6).6'
266
8<' Cmo con/i2urar vs/tpd PHer* Secure %BA
DaemonQ
8<'!' Introduccin'
8<'!'!' &cerca del protocolo %BA'
%BA (%e Bransfer Arotoco) o Protocoo de Transferenca de Archvos (o fcheros nformtcos) es
uno de os protocoos estndar ms utzados en Internet sendo e ms dneo para a
transferenca de grandes boques de datos a travs de redes que soporten TCP/IP. E servco
utza os puertos 20 y 21, excusvamente sobre TCP. E puerto 20 es utzado para e fu|o de
datos entre cente y servdor. E puerto 21 es utzando para e envo de rdenes de cente haca
e servdor. Prctcamente todos os sstemas operatvos y pataformas ncuyen soporte para FTP,
o que permte que cuaquer computadora conectada a una red basada sobre TCP/IP pueda hacer
uso de este servco a travs de un cente FTP.
URL: http://toos.etf.org/htm/rfc959
8<'!'2' &cerca del protocolo %BAS'
%BAS (tambn referdo como %BA/SSL) es a forma de desgnar dferentes formas a travs de as
cuaes se pueden reazar transferencas seguras de fcheros a travs de %BA utzando SSL o
BLS. Son mecansmos muy dferentes a os de protocoo SFTP (SSH %e Bransfer Arotoco).
Exsten dos dferentes mtodos para reazar una conexn SSL/BLS a travs de %BA. La prmera y
ms antgua es a travs de %BAS Impl,cito (Bmplicit 5*D-), que consste en cfrar a sesn
competa a travs de os puertos 990 (FTPS) y 998 (FTPS Data), sn permtr negocacn con e
cente, e cua deber conectarse drectamente a servdor FTPS con e nco de sesn SSL/BLS.
E segundo mtodo, que es e recomendado por e RFC 4217 y e utzado por Hs/tpd, es %BAS
Expl,cito (E(plicit 5*D- o %BAES), donde e cente reaza a conexn norma a travs de puerto
21 y permtendo negocar opconamente una conexn BLS.
8<'!'8' &cerca de 0S&'
0S&, acrnmo de os apedos de sus autores, Ron 0vest, Ad Shamr y Len &deman, es un
agortmo para e cframento de caves pbcas que fue pubcado en 1977, patentado en EE.UU.
en 1983 por e e Insttuto Tecnogco de Mchgan (?IB). 0S& es utzado ampamente en todo
e mundo para os protocoos destnados para e comerco eectrnco.
URL: http://es.wkpeda.org/wk/RSA
267
8<'!'9' &cerca de 6penSSL'
6penSSL es una mpementacn bre, de cdgo aberto, de os protocoos SSL (Secure Sockets
Layer o Nve de Zcao Seguro) y BLS (Bransport Layer Securty, o Segurdad para Nve de
Transporte). Est basado sobre e extnto proyecto SSLea*, ncado por Erc Young y Tm Hudson,
hasta que stos comenzaron a traba|ar para a dvsn de segurdad de EMC Corporaton.
URL: http://www.openss.org/
8<'!':' &cerca de F':0'
F':0 es un estndar IBU1B (estandarzacn de Beecomuncacones de a Internatona
Beecommuncaton Unon ) para nfraestructura de caves pbcas (AKI, o Aubc Key
Infrastructure). Entre otras cosas, estabece os estndares para certfcados de caves pbcas y
un agortmo para vadacn de ruta de certfcacn. Este tmo se encarga de verfcar que a
ruta de un certfcado sea vda ba|o una nfraestructura de cave pbca determnada. Es decr,
desde e certfcado nca, pasando por certfcados ntermedos, hasta e certfcado de confanza
emtdo por una Autordad Certfcadora (C&, o Certfcaton &uthorty).
URL: http://es.wkpeda.org/wk/X.509
8<'!';' &cerca de vs/tpd'
Hs/tpd (Hery Secure %BA Daemon) es un equpamento gco utzado para mpementar
servdores de archvos a travs de protocoo %BA. Se dstngue prncpamente porque sus vaores
predetermnados son muy seguros y por su sencez en a confguracn, comparado con otras
aternatvas como ProFTPD y Wu-ftpd. Actuamente se presume que vsftpd es quz e servdor
%BA ms seguro de mundo.
URL: http://vsftpd.beasts.org/
8<'2' E-uipamiento l2ico necesario'
8<'2'!' Instalacin a trav)s de *um'
S utza Cent6S 9 o Z.ite #ox Enterprise Linux 9, soo se necesta reazar o sguente para
nstaar o actuazar e equpamento gco necesaro:
$um =$ install vs&tpd
8<'2'2' Instalacin a trav)s de up2date'
up(date =i vs&tpd
8<'8' %ic.eros de con/i2uracin'
/etc/vs&tpd8user%list Lsta que defnr usuaros a en|auar o no a en|auar, dependendo de a
268
confguracn.
/etc/vs&tpd/vs&tpd8con& Fchero de confguracn.
8<'9'!' SELinux * el servicio vs/tpd'
SELnux controa varas funcones de e servco vs/tpd ncrementando e nve de segurdad de
ste.
Para permtr que os usuaros annmos puedan reazar procesos de escrtura sobre e sstema de
fcheros, utce e sguente mandato:
setsebool =5 allow%&tpd%anon%write 1
Para hacer que SELnux permta a servco vs/tpd acceder a os usuaros ocaes a sus drectoros
de nco, utce e sguente mandato:
setsebool =5 allow%&tpd%&ull%access 1
Para permtr que e servco vs/tpd pueda hacer uso de sstemas de fcheros remotos a travs de
CIFS (Samba) o NFS, y que sern utzados para compartr a travs de servco, utce cuaquera
de os sguentes mandatos:
setsebool =5 allow%&tpd%use%ci&s 1
setsebool =5 allow%&tpd%use%n&s 1
Para que SELnux permta a servco vs/tpd funconar normamente, hacendo que todo o
anterormente descrto en esta seccn perda sentdo, utce e sguente mandato:
setsebool =5 &tpd%disable%trans 1
8<'9'2' %ic.ero /etc/vs/tpd/vs/tpd'con/'
Utce un edtor de texto y modfque e fchero /etc/vs/tpd/vs/tpd'con/. A contnuacn
anazaremos os parmetros a modfcar o aadr, segn se requera para necesdades
partcuares.
8<'9'8' Aar@metro anon*mousUenable'
Se utza para defnr s se permtrn os accesos annmos a servdor. Estabezca como vaor
aES o N6 de acuerdo a o que se requera.
anon$mous%enableHKBS
8<'9'9' Aar@metro localUenable'
Es partcuarmente nteresante s se combna con a funcn de |aua (c.root). Estabece s se van
a permtr os accesos autentcados de os usuaros ocaes de sstema. Estabezca como vaor
269
aES o N6 de acuerdo a o que se requera.
local%enableHKBS
8<'9':' Aar@metro NriteUenable'
Estabece s se permte e mandato Nrite (escrtura) en e servdor. Estabezca como vaor aES o
N6 de acuerdo a o que se requera.
write%enableHKBS
8<'9';' Aar@metro anonUuploadUenable
Especfca s os usuaros annmos tendrn permtdo subr contendo a servdor. Por o genera
no es una funcn deseada, por o que se acostubra desactvar sta.
anon%upload%enableHOI
8<'9'<' Aar@metro anonUmLdirUNriteUenable
Especfca s os usuaros annmos tendrn permtdo crear drectoros en e servdor. A gua que
a nteror, por o genera no es una funcn deseada, por o que se acostubra desactvar sta.
anon%mkdir%write%enableHOI
8<'9'>' Aar@metro /tpdUbanner'
Este parmetro srve para estabecer e bandern de benvenda que ser mostrado cada vez que
un usuaro acceda a servdor. Puede estabecerse cuaquer frase breve que consdere
convenente.
&tpd%bannerH:ienvenido al servidor D?5 de nuestra empresa8
8<'9'' Estableciendo 4aulas para los usuarios3 par@metros
c.rootUlocalUuser * c.rootUlistU/ile'
De modo predetermnado os usuaros de sstema que se autentquen tendrn acceso a otros
drectoros de sstema fuera de su drectoro persona. S se desea recur a os usuaros a soo
poder utzar su propo drectoro persona, puede hacerse fcmente con e parmetro
c.rootUlocalUuser que habtar a funcn de c.rootPQ y os parmetros chroot_st_enabe y
chroot_st_fe para estabecer e fchero con a sta de usuaros que quedarn excudos de a
funcn c.rootPQ.
chroot%local%userHKBS
chroot%list%enableHKBS
chroot%list%&ileH/etc/vs&tpd/vs&tpd8chroot%list
Con o anteror, cada vez que un usuaro oca se autentque en e servdor FTP, soo tendr acceso
a su propo drectoro persona y o que este contenga. No olvide crear el /ic.ero
/etc/vs/tpd/vs/tpd'c.rootUlistM *a -ue de otro modo no arrancar@ el servicio vs/tpd.
270
touch /etc/vs&tpd/vs&tpd8chroot%list
8<'9'!0' Control del anc.o de banda'
8<'9'!0'!' Aar@metro anonUmaxUrate'
Se utza para mtar a tasa de transferenca en bytes por segundo para os usuaros annmos,
ago sumamente t en servdores FTP de acceso pbco. En e sguente e|empo se mta a tasa
de transferenca a 5 Kb por segundo para os usuaros annmos:
anon_max_rate=5120
8<'9'!0'2' Aar@metro localUmaxUrate'
Hace o msmo que anonUmaxUrate, pero apca para usuaros ocaes de servdor. En e
sguente e|empo se mta a tasa de transferenca a 5 Kb por segundo para os usuaros ocaes:
oca_max_rate=5120
8<'9'!0'8' Aar@metro maxUclients'
Estabece e nmero mxmo de centes que podrn acceder smutneamente haca e servdor
FTP. En e sguente e|empo se mtar e acceso a 5 centes smutneos.
max_cents=5
8<'9'!0'9' Aar@metro maxUperUip'
Estabece e nmero mxmo de conexones que se pueden reazar desde una msma dreccn IP.
Tome en cuenta que agunas redes acceden a travs de un servdor ntermedaro (Proxy) o puerta
de enace y debdo a esto podran quedar boqueados nnecesaramente agunos accesos. en e
sguente e|empo se mta e nmero de conexones por IP smutneas a 5.
max_per_p=5
8<'9'!!' Soporte SSL/BLS para H%SBAD'
HS%BAD puede ser confgurado fcmente para utzar os protocoos SSL (Secure Sockets Layer
o Nve de Zcao Seguro) y BLS (Bransport Layer Securty, o Segurdad para Nve de Transporte)
a travs de un certfcado 0S&.
Acceda a sstema como e usuaro root.
Se debe crear e drectoro donde se amacenarn os certfcados para todos os stos SSL. E
drectoro, por motivos de se2uridad, debe ser soamente accesbe para e usuaro root.
mkdir =m +)++ /etc/ssl
A fn de mantener certa organzacn, y un drectoro dedcado para cada sto vrtua SSL, es
convenente crear un drectoro especfco para amacenar os certfcados de cada sto vrtua
271
SSL. Iguamente, por motivos de se2uridad, debe ser soamente accesbe para e usuaro root.
mkdir =m +)++ /etc/ssl/mi$(ominio.or*
Acceder a drectoro que se acaba de crear.
cd /etc/ssl/mi$(ominio.or*
E certfcado se puede generar fcmente utzando e sguente mandato, donde se generar un
certfcado con estructura F':0, agortmo de cframento 0S& de 1024 kb, sn Briple DES, a
cua permta ncar normamente, sn nteraccn aguna, a servco fvs/tpd, con una vadez por
730 das (dos aos) en e fchero /etc/ssl/mi1dominio'or2/vs/tpd'pem.
openssl re0 =x*+/ =nodes =da$s ),+ =newke$ rsa21+(- N
=ke$out /etc/ssl/mi=dominio8org/vs&tpd8pem N
=out /etc/ssl/mi=dominio8org/vs&tpd8pem
Lo anteror soctar se ngresen varos datos:
Cdgo de dos etras para e pas.
Estado o provnca.
Cudad.
Nombre de a empresa o razn soca.
Undad o seccn.
Nombre de anftrn.
Dreccn de correo.
La sada devueta sera smar a a sguente:
Kou are about to be asked to enter in&ormation that will be
incorporated into $our certi&icate re0uest8
Chat $ou are about to enter is what is called a <istinguished Oame or
a <O8
?here are 0uite a &ew &ields but $ou can leave some blank
Dor some &ields there will be a de&ault value.
4& $ou enter W8W. the &ield will be le&t blank8
=====
6ountr$ Oame (( letter code) E3:F2=W
State or 5rovince Oame (&ull name) E:erkshireF2Tisrio ?e(er'l
Aocalit$ Oame (eg. cit$) EOewbur$F2=e.i)o
Irgani"ation Oame (eg. compan$) E!$ 6ompan$ AtdF2
=i empres'4 ".8. (e C.E.
Irgani"ational #nit Oame (eg. section) EF2<ireccion 6omercial
6ommon Oame (eg. $our name or $our serverWs hostname) EF2
www.mi$(ominio.or*
Bmail >ddress EF2webm'serMmi$(ominio.or*
Fnamente se aaden as sguente neas a fna de fchero /etc/vs/tpd/vs/tpd'con/:
ssl%enableHKBS
allow%anon%sslHOI
&orce%local%data%sslHOI
&orce%local%logins%sslHOI
272
ssl%tlsv1HKBS
ssl%sslv(HOI
ssl%sslv,HOI
rsa%cert%&ileH/etc/ssl/mi=dominio8org/vs&tpd8pem
8<'9'!2' IniciarM detener * reiniciar el servicio vs/tpd'
A dferenca de otros servcos FTP como Zu1/tpd, e servco vs/tpd no requere confgurarse
para traba|ar sobre demanda, aunque tene dcha capacdad. Por o tanto no depende de servco
xinetd. La versn ncuda en dstrbucones como CentOS 5, Red Hat Enterprse Lnux 5 y Whte
Box Enterprse Lnux 5 puede ncar, detenerse o rencar a travs de un gun smar a os de
resto de sstema.
Para ncar por prmera vez e servco, utce:
service vs&tpd start
Para hacer que os cambos hechos a a confguracn surtan efecto, utce:
service vs&tpd restart
Para detener e servco, utce:
service vs&tpd stop
8<'9'!8' &2re2ar el servicio al arran-ue del sistema'
Para hacer que e servco de vs/tpd est actvo con e sguente nco de sstema, en todos os
chkcon&ig vs&tpd on
8<':' ?odi/icaciones necesarias en el muro corta/ue2os'
abrr os puerto 20 y 21 por TCP (%BA1D&B& y %BA, respectvamente).
Las regas para e fchero /etc/s.oreNall/rules de S.oreNall correspondera a ago smar a o
sguente:
G 5IR? 5IR?(S)1
>66B5? net &w tcp (+.(1
273
8<';' E4ercicio HS%BAD
Acceder como root a servdor correspondente a equpo de traba|o y detener e servco vs/tpd.
service vs&tpd stop
Se eliminar@ e paquete vs/tpd de sstema y se emnar todo resto de a confguracn anteror
para poder nstaaro nuevamente y poder comenzar con una nueva confguracn.
$um =$ remove vs&tpd
rm =&r /etc/vs&tpd
Se procede a nstaar de nuevo e paquete vs/tpd.
$um =$ install vs&tpd
Se edta e fchero de confguracn utzando vim. Este fchero tene contendo, por o que s
aparece en banco o como fchero nuevo, se debe sar de edtor y verfcar que est correcta a
ruta defnda en e ntrprete de mandatos.
vim /etc/vs&tpd/vs&tpd8con&
Utzando e documento ttuado Cmo confgurar vsftpd (Very Secure FTP Daemon)., confgurar
os sguentes parmetros donde adems deber expcar en un reporte por escrito en pape
qu es o que hace cada uno de estos parmetros con os vaores que sern asgnados en e
e|ercco:
anon$mous%enableHKBS
local%enableHKBS
write%enableHKBS
anon%upload%enableHOI
anon%mkdir%write%enableHOI
&tpd%bannerH:ienvenido al servidor D?5 de nuestra instituciPn8
chroot%local%userHKBS
chroot%list%enableHKBS
chroot%list%&ileH/etc/vs&tpd/vs&tpd8chroot%list
anon%max%rateH(*6++
local%max%rateH*1(++
max%clientsH-
max%per%ipH-
Es mportante crear e fchero defndo en e parmetro c.rootUlistU/ile. S este fatase, e servco
de FTP no funconar correctamente. Debe crearse con e mandato touc. de sguente modo:
touch /etc/vs&tpd/vs&tpd8chroot%list
Incar e servco recn confgurado.
service vs&tpd start
Aadr e servco vs/tpd a arranque de sstema.
274
chkcon&ig vs&tpd on
Crear a cuenta de usuaro pruebas/tp, asgnando /sbin/nolo2in como ntrprete de
mandatos,asgnando /var/NNN/pruebas/tp como drectoro de nco, asgnar apache como e
grupo predetermnado para e usuaro, y e crptograma
Y!Y%vs8oU:cY9//>rioNAb!Em"<6'DtD0 (que corresponde a 123qwe) como cave de acceso.
Nota: a asgnar a cave de acceso con este mtodo, os sgnos $ sempre se escrben como
secuenca de escape utzando \, ya que de otra forma e sstema os nterpretara como varabes
de entorno.
useradd =s /sbin/nologin =m =d /var/www/pruebas&tp =g apache ==password VN
J1NJDvs,o#*cNJ-&&'/riow5b1Bma)I8ht<+V pruebas&tp
N6B&3 El mandato anterior es una sola l,nea en el int)rprete de mandatos'
Se podr aprecar a actvdad de de servdor FTP recn confgurado consutando e contendo de
fchero /var/lo2/x/erlo2. Utce e mandato tail con a opcn 1/ para supervsar o que ocurrr a
reazar una transferenca a travs de servdor FTP.
tail =& /var/log/x&erlog
Accedendo desde otro equpo haca !2<'0'0'! con e usuaro pruebas/tp y a cave de acceso
!28-Ne, reazar una transferenca accedendo con e mandato /tp y subendo cuaquer fchero
con e mandato mput de int)rprete /tp.
/p 12F.0.0.1
6onnected to 1()8+8+81 (1()8+8+81)8
((+ (vsD?5d (8+8*)
Oame (1()8+8+812root)2 prueb's/p
,,1 5lease speci&$ the password8
5assword2123;we
(,+ Aogin success&ul8
Remote s$stem t$pe is #O4X8
#sing binar$ mode to trans&er &iles8
&tpQ pw(
(*) V/V
&tpQ pu m'nu'les$>@=7.'r.b52
local2 manuales=7?!A8tar8b"( remote2 manuales=7?!A8tar8b"(
(() Bntering 5assive !ode (1().+.+.1.')./-)
1*+ Ik to send data8
((6 Dile receive I98
,),-) b$tes sent in +8+++1/' secs (18'eL+* 9b$tes/sec)
&tpQ ls
(() Bntering 5assive !ode (1().+.+.1.)'.11-)
1*+ 7ere comes the director$ listing8
=rw=r==r== 1 **, -' ,),-) !a$ ,+ (,2(6 manuales=7?!A8tar8b"(
((6 <irector$ send I98
&tpQ bye
((1 3oodb$e8
275
8>' Cmo con/i2urar pure1/tpd'
8>'!' Introduccin'
8>'!'!' &cerca del protocolo %BA'
FTP (%e Bransfer Arotoco) o Protocoo de Transferenca de Archvos (o fcheros nformtcos) es
uno de os protocoos estndar ms utzados en Internet sendo e ms dneo para a
transferenca de grandes boques de datos a travs de redes que soporten BCA/IA. E servco
utza os puertos 20 y 21, excusvamente sobre BCA. E puerto 20 es utzado para e fu|o de
datos entre cente y servdor. E puerto 21 es utzando para e envo de rdenes de cente haca
e servdor. Prctcamente todos os sstemas operatvos y pataformas ncuyen soporte para FTP,
o que permte que cuaquer computadora conectada a una red basada sobre TCP/IP pueda hacer
uso de este servco a travs de un cente FTP.
8>'!'2' &cerca de pure1/tpd'
Aure1/tpd es un equpamento gco para servdor FTP orgnamente creado por Arnt
Gubrandsen, membro de Tro Tech, responsabes de a bboteca Ot, base de KDE. A pesar de su
escasa popuardad, se dstngue de otros proyectos porque ha tendo como ob|etvos e mantener
e servco con poco consumo de recursos, no utza amadas de mandatos externos (orgen de a
mayora de os probemas de segurdad en este tpo de equpamento gco), cumpe con os
estndares para e protocoo FTP, es fc de nstaar y confgurar, es amstoso con e usuaro y
muy seguro.
URL: http://www.pureftpd.org/
8>'2' E-uipamiento l2ico necesario'
8>'2'!' Instalacin a trav)s de *um'
Aure1/tpd no est ncudo en a nstaacn estndar de Cent6S :, 0ed Gate Enterprise
Linux : n Z.ite #ox Enterprise Linux :. Est dsponbe para dchos sstemas operatvos
utzando e sguente depsto Yum, mantendo por &lcance Libre.
Ealcance=libreF
nameH>lcance Aibre para :nerprise 7inu. 5
baseurlHhttp2//www8alcancelibre8org/al/el/*/
276
gpgke$Hhttp2//www8alcancelibre8org/al/>A=R5!=9BK
Una vez confgurado o anteror, s utza Cent6S :, 0ed Gate Enterprise Linux : o Z.ite
#ox Enterprise Linux :, soo se necesta reazar o sguente para nstaar o actuazar e
equpamento gco necesaro:
$um =$ install pure=&tpd
8>'8' Arocedimientos'
8>'8'!' %ic.ero de con/i2uracin /etc/pure1/tpd/pure1/tpd'con/
Los vaores predetermnados de fchero /etc/pure1/tpd/pure1/tpd'con/ hacen que e servco
funcone sn necesdad de cambo aguno y adems o haga de una forma segura. sn embargo
exsten varos parmetros que vae a pena conocer.
8>'8'!'!' Aar@metro ?axClientsNumber'
Estabece e nmero mxmo de usuaros conectados de forma smutnea. E vaor
predetermnado es 50. Puede modfcarse de acuerdo a un propsto en partcuar y dsponbdad
de ancho de banda. en e e|empo a contnuacn, se mta e nmero de usuaros smutneos a
25.
!ax6lientsOumber (*
8>'8'!'2' Aar@metro ?axClientsAerIA'
estabece e nmero mxmo de conexones desde una msma dreccn IP. Consderando que
muchos usuaros puderan acceder desde un servdor ntermedaro (proxy), o cua sgnfca que o
haran con una msma dreccn IP, e vaor predetermnado de 8 puede ser modfcado de acuerdo
a crtero de admnstrador. En e e|empo a contnuacn, se mta e nmero de conexones
desde una msma dreccn IP a 5.
!ax6lients5er45 *
8>'8'!'8' Aar@metro Displa*Dot%iles'
Estabece s se permtr mostrar os fcheros cuyo nombre nca con un punto (fcheros ocutos)
cuando e usuaro enve un mandato de stado con a opcn 1a. En a mayora de os casos, no es
convenente permtr mostrar os fcheros ocutos.
en e e|empo a contnuacn, se defne que no se permta mostrar fcheros ocutos.
<ispla$<otDiles no
8>'8'!'9' Aar@metro No&non*mous'
Defne s se permtrn o no os accesos annmos. En a mayora de os casos, como un servdor
%BA pbco, es una funcn deseada. S e admnstrador o consdera pertnente, puede
desactvarse cambando e vaor predetermnado no por *es.
277
Oo>non$mous $es
8>'8'!':' Aar@metro &non*mousCanCreateDirs'
Defne s se permte a os usuaros annmos crear drectoros cuando est permtdo que stos
puedan subr fcheros a servdor %BA. e vaor predetermnado es no.
8>'8'!';' Aar@metro ?axLoad'
Defne que os usuaros annmos no podrn descargar desde e servdor %BA cuando ste tenga
una carga gua o superor a vaor estabecdo. E vaor predetermnado es 9.
8>'8'!'<' Aar@metro &ntiZare='
Defne que no sea posbe descargar fcheros cuyo propetaro sea e usuaro /tp, como una
medda de segurdad que permtr a admnstrador supervsar o que se ha subdo a servdor
%BA antes de permtr su dstrbucn. E vaor predetermnado es no, y se recomenda de|aro de
ese modo a fn de contar con una buena potca de segurdad.
8>'8'!'>' Aar@metro &non*mous#andNidt.'
Defne a tasa de Kb por segundo de descarga permtda para os usuaros annmos. En e
sguente e|empo, se estabece que os usuaros annmos tendrn una tasa de hasta 12 Kb por
segundo para descargar fcheros desde e servdor %BA.
>non$mous:andwidth 1(
8>'8'!'' Aar@metro User#andNidt.'
Defne a tasa de Kb por segundo de descarga permtda para todos os usuaros, ncuyendo os
annmos. Su utzacn |unto con e parmetro &non*mous#andNidt. hace que este tmo no
tenga sentdo. Se utza o ben User#andNidt. o ben &non*mous#andNidt.. No puede
combnarse su uso. En e sguente e|empo, se estabece que todos os usuaros, ncuyendo os
annmos, tendrn una tasa de hasta 12 Kb por segundo para descargar fcheros desde e servdor
%BA.
#ser:andwidth 1(
8>'8'!'!0' Aar@metro umasL'
Defne a mscara predetermnada para os nuevos fcheros y nuevos drectoros en e servdor
%BA. E vaor predetermnado es !883022. S se desea que os fcheros subdos por por un usuaro
soo sean edos por ese msmo usuaro, se puede utzar !<<30<<. S se desea que os fcheros
soo sean ebes y e|ecutabes para su propetaro, se puede utzar 0<<30<<S se desea que os
fcheros subdos sean e|ecutabes, se puede utzar !223022. S se desea que os fchero sean
ebes para otros usuaros, pero no puedan ser reescrtos por stos, se pude utzar 0223022. E
usuaro, caro, puede cambar desde e cente %BA a mscara utzada en sus fcheros y
drectoros a travs de SIBE CG?6D. en e sguente e|empo, se estabecen os vaores
predetermnados.
umask 1,,2+((
278
8>'8'!'!!' Aar@metro Aro.ibitDot%ilesZrite'
Defne s se permtr sobreescrbr fcheros que ncen con punto. Su vaor predetermnado es no.
S se trata de un servdor %BA que permte e acceso haca e drectoro raz de un sto vrtua de
un servdor GBBA, es convenente permtr sobreescrbr os fcheros '.taccess, '.tpassNd y
otros contendos, por o que no convene actvar este parmetro. De ser otro tpo de servdor,
puede actvarse y aadr segurdad.
8>'8'!'!2' Aar@metro &non*mousCantUpload'
Defne s se permtr a os usuaros annmos subr contendo haca e servdor %BA. De modo
predefndo, este parmetro est actvo para mpedr o anteror.
>non$mous6ant#pload $es
8>'8'!'!8' Aar@metro CreateGomeDir'
Especfca s se debe crear automtca e drectoro de nco de un usuaros en caso de no exstr
ste. En e sguente e|empo, se habta esta funcn.
6reate7ome<ir $es
8>'8'!'!9' Aar@metro Duota'
Defne a cuota de nmero mxmo de fcheros y espaco utzado por e usuaro. Muy convenente
y t s se tene un servdor %BA que permte subr contendo para un servdor GBBA compartdo
por varos stos de red vrtuaes. en e sguente e|empo se estabece una cuota mxma de 1500
fcheros y 50 MB de espaco a utzar para os usuaros.
huota 1*++2*+
8>'8'!'!:' Aar@metro ?axDisLUsa2e'
Defne e espaco mxmo permtdo en a partcn que contene /var//tp para e servco %BA
donde se est permtendo que os usuaros annmos suban contendo. E vaor predetermnado
es . Convene defnr un mte ms ba|o s e servco %BA no es prortaro en e sstema. en e
sguente e|empo, se estabece un uso mxmo de 80% de a partcn donde se ocaza /var//tp.
!ax<isk#sage '+
8>'8'!'!;' Aar@metro CustomerAroo/'
este parmetro fue dseado para dar con os usuaros gnorantes a fn de mpedr que reacen
operacones que boqueen e acceso haca sus fcheros y/o drectoros de forma accdenta. es
decr, mpden que se reacen operacones como c.mod 0 publicU.tml. S se va a utzar e
servco como parte de un servco de hospeda|e de stos de red a travs de GBBA, convene que
este parmetro est actvo.
6ustomer5roo& $es
279
8>'8'2' &2re2ar el servicio al arran-ue del sistema'
Para hacer que e servco de pure1/tpd est actvo con e sguente nco de sstema, en todos
os nvees de e|ecucn (2, 3, 4, y 5) se utza o sguente
chkcon&ig pure=&tpd on
8>'8'8' IniciarM detener * reiniciar servicio'
Para ncar por prmera vez e servco pure1/tpd, utce:
service pure=&tpd start
service pure=&tpd restart
service pure=&tpd stop
8>'9' ?odi/icaciones necesarias en el muro corta/ue2os'
abrr os puerto 20 y 21 por TCP (%BA1D&B& y %BA, respectvamente).
sguente:
G 5IR? 5IR?(S)1
>66B5? net &w tcp (+.(1
280
8' Cmo con/i2urar 6penSSG
8'!' Introduccin'
8'!'!' &cerca de SSG'
SSG (Secure S.e) es un con|unto de estndares y protocoo de red que permte estabecer una
comuncacn a travs de un cana seguro entre un cente oca y un servdor remoto. Utza una
cave pbca cfrada para autentcar e servdor remoto y, opconamente, permtr a servdor
remoto autentcar a usuaro. SSH provee confdencadad e ntegrdad en a transferenca de os
datos utzando crptografa y ?&C (?essage &uthentcaton Codes, o Cdgos de Autentcacn
de Mensa|e). De modo predetermnado, escucha petcones a travs de puerto 22 por TCP.
8'!'2' &cerca de S%BA'
S%BA (SSH %e Bransfer Arotoco) es un protocoo que provee funconadad de transferenca y
manpuacn de fcheros a travs de un fu|o confabe de datos. Comnmente se utza con SSG
para proveer a ste de transferenca segura de fcheros.
8'!'8' &cerca de SCA'
SCA (Secure Copy, o Copa Segura) es una protcoo seguro para transferr fcheros entre un
anftrn oca y otro remoto, a travs de SSG. Bscamente, es dntco a 0CA (0emote Copy, o
Copa Remota), con a dferenca de que os datos son cfrados durante a transferenca para evtar
a extraccn potenca de nformacn a travs de programas de captura de as tramas de red
(pacLet sni//ers). SCA soo mpementa a transferenca de fcheros, pues a autentcacn
requerda es reazada a travs de SSG.
8'!'9' &cerca de 6penSSG'
6penSSG (6pen Secure S.e) es una aternatva de cdgo aberto, con licencia #SD, haca a
mpementacn propetara y de cdgo cerrado SSG creada por Tatu Ynen. 6penSSG es un
proyecto creado por e equpo de desarroo de OpenBSD y actuamente drgdo por Theo de
Raadt. Se consdera es ms segura que su contraparte propetara debdo a a constante audtora
que se reaza sobre e cdgo fuente por parte de una gran comundad de desarroadores, una
venta|a que brnda a tratarse de un proyecto de fuente aberta.
OpenSSH ncuye servco y centes para os protocoos SSG, S%BA y SCA.
URL: http://www.openssh.org/.
281
openssh-3.5p1-6
openssh-cents-3.5p1-6
openssh-server-3.5p1-6
Antes de contnuar verfque sempre a exstenca de posbes actuazacones de segurdad:
$um =$ install openssh openssh=server openssh=clients
8'8' %ic.eros de con/i2uracin'
/etc/ssh/sshd_confg Fchero centra de confguracn de servco SSG.
Edte /etc/ss./ss.dUcon/i2. A contnuacn se anazarn os parmetros a modfcar.
8'9'!' Aar@metro Aort'
Una forma de eevar consderabemente a segurdad a servco de SSG, es cambar e nmero de
puerto utzado por e servco, por otro que soo conozca e admnstrador de sstema. A este tpo
de tcncas se es conoce como Se2uridad por 6scuridad. La mayora de os dencuentes
nformtcos utza guones que buscan servdores que respondan a petcones a travs de puerto
22. Cambar de puerto e servco de SSH dsmnuye consderabemente a posbdad de una
ntrusn a travs de este servco.
5ort ((
SSG traba|a a travs de puerto 22 por TCP. Puede eegrse cuaquer otro puerto entre e 1025 y
65535. e|empo:
5ort *(,-1
8'9'2' Aar@metro Listen&ddress'
Por defecto, e servco de SSH responder petcones a travs de todas as nterfaces de sstema.
En agunos casos es posbe que no se desee esto y se prefera mtar e acceso so a travs de
una nterfaz a a que so se pueda acceder desde a red oca. Para ta fn puede estabecerse o
sguente, consderando que e servdor a confgurar posee a IP !2'!;>'!'2:9:
Aisten>ddress 1/(816'818(*-
8'9'8' Aar@metro Aermit0ootLo2in'
Estabece s se va a permtr e acceso drecto de usuaro root a servdor SSH. S se va a permtr
e acceso haca e servdor desde redes pbcas, resutar prudente utzar este parmetro con e
vaor no.
282
5ermitRootAogin no
8'9'9' Aar@metro F!!%orNardin2'
Estabece s se permte o no a e|ecucn remota de apcacones grfcas. S se va a acceder haca
e servdor desde red oca, este parmetro puede quedarse con e vaor *es. S se va a permtr e
acceso haca e servdor desde redes pbcas, resutar prudente utzar este parmetro con e
vaor no.
X11Dorwarding $es
8'9':' Aar@metro &lloNUsers'
Permte restrngr e acceso por usuaro y, opconamente, anftrn desde e cua pueden hacero.
E sguente e|empo restrnge e acceso haca e servdor SSG para que soo puedan hacero os
usuaros fuano y mengano, desde cuaquer anftrn.
>llow#sers &ulano mengano
Permte restrngr e acceso por usuaro y, opconamente, anftrn desde e cua pueden hacero.
E sguente e|empo restrnge e acceso haca e servdor SSG para que soo puedan hacero os
usuaros fuano y mengano, soamente desde os anftrones 10.1.1.1 y 10.2.2.1.
>llow#sers &ulanoR1+818181 menganoR1+818181 &ulanoR1+8(8(81 menganoR1+8(8(81
8':' &plicando los cambios'
E servco de SSG puede ncar, detenerse o rencar a travs de un gun smar a os de resto
de sstema. De ta modo, podr ncar, detenerse o rencar a travs de mandato service y
aadrse a arranque de sstema en un nve o nvees de e|ecucn en partcuar con e mandato
c.Lcon/i2.
Para e|ecutar por prmera vez e servco, utce:
service sshd start
service sshd restart
service sshd stop
De forma predetermnada, e servco SSG est ncudo en todos os nvees de e|ecucn con
servco de red. Para desactvar e servco Sshd de os nvees de e|ecucn 2, 3, 4 y 5, e|ecute:
chkcon&ig ==level (,-* sshd o&&
283
8';' Arobando 6penSSG'
8';'!' &cceso a trav)s de int)rprete de mandatos'
Para acceder a travs de ntrprete de mandatos haca e servdor, basta con e|ecutar desde e
sstema cente e mandato ss. defnendo e usuaro a utzar y e servdor a cua conectar:
ssh usuarioRservidor
Para acceder haca un puerto en partcuar, se utza e parmetro 1p. En e sguente e|empo,
utzando a cuanta de usuaro 4uan, se ntentar acceder haca e servdor con dreccn IP
!2'!;>'0', e cua tene un servco de SSG que responde petcones a travs de puerto
52341.
ssh =p *(,-1 1uanR1/(816'8+8//
8';'2' Brans/erencia de /ic.eros a trav)s de S%BA'
Para acceder a travs de S%BA haca e servdor, basta con e|ecutar desde e sstema cente e
mandato s/tp defnendo e usuaro a utzar y e servdor a cua conectar:
s&tp usuarioRservidor
E ntrprete de mandatos de S%BA es muy smar a utzado para e protocoo FTP y tene as
msmas funconadades.
Para acceder haca un puerto en partcuar, en e cua est traba|ando e servco de SSH, se hace
travs de e parmetro 1o, con a opcn AortOn7mero de puerto. En e sguente e|empo,
utzando a cuenta de usuaro 4uan, se acceder a travs de S%BA haca e servdor
192.168.0.99, e cua tene traba|ando e servco de SSH en e puerto 52341.
s&tp =o 5ortH*(,-1 1uanR1/(816'8+8//
S dspone de un escrtoro en GNU/Lnux, con GNOME 2.x, puede acceder haca servdores SSG a
travs de protocoo S%BA utzando e admnstrador de fcheros (Nautilus) para reazar
transferencas y manpuacn de fcheros, especfcando e U0I (Unform 0esource Locator o
Locazador Unforme de Recursos) Is/tp3J, segudo de servdor y a ruta haca a que se quere
acceder, segudo de puerto, en e caso que sea dstnto a 22.
284
Nautus, accedendo haca un drectoro remoto a travs de S%BA.
8';'8' Brans/erencia de /ic.eros a trav)s de SCA'
Para reazar transferencas de fcheros a travs de SCA, es necesaro conocer as rutas de os
drectoros ob|etvo de anftrn remoto. A contnuacn se descrben agunas de as opcones ms
mportantes de mandato scp.
1p Preserva e tempo de modfcacn, tempos de acceso y os modos de
fchero orgna.
1A Especfca e puerto para reazar a conexn.
1r Copa recursvamente os drectoros especfcados.
En e sguente e|empo, se transferr e fchero al2o'txt, preservando tempos y modos, haca e
drectoro de nco de usuaro fuano en e servdor 192.169.0.99.
scp =p algo8txt &ulanoR1/(816'8+8//2S/
En e sguente e|empo, se transferr a carpeta ?ail, |unto con todo su contendo, preservando
tempos y modos, .acia e drectoro de nco de usuaro fuano en e servdor 192.169.0.99.
scp =rp !ail &ulanoR1/(816'8+8//2S/
En e sguente e|empo, se transferr a carpeta ?ail, |unto con todo su contendo, desde e
drectoro de nco de usuaro fuano en e servdor 192.169.0.99, cuyo servco de SSG escucha
petcones a travs de puerto 52341, preservando tempos y modos, haca e drectoro de
285
usuaro con e que se est traba|ando en e anftrn oca.
scp =5 *(,-1 =rp &ulanoR1/(816'8+8//2S/!ail 8/
8'<' ?odi/icaciones necesarias en el muro corta/ue2os'
abrr e puerto 22 por UDP (SSG).
sguente:
G 5IR? 5IR?(S)1
>66B5? net &w tcp ((
S a red de rea oca (LAN) va a acceder haca e servdor recn confgurado, es necearo abrr e
puerto correspondente.
G 5IR? 5IR?(S)1
>66B5? net &w tcp ((
8CC:+@ lo) /w )p 22
286
90' Cmo utili=ar 6penSSG con autenticacin a
trav)s de clave p7blica'
90'!' Introduccin'
Utzar caves pbcas en ugar de caves de acceso a travs de servcos como SSG, SCA o
S%BA, resuta una tcnca ms segura para autentcar dchos servcos, factando tambn a
operacn de guones y herramentas de respado que utzan dchos protocoos.
90'2'!' ?odi/icaciones en el Servidor'
Conectarse con a cuenta que se utzar para acceder a servdor. Cmo ese usuaro, y reazar
as sguentes operacones para crear e fchero W/'ss./aut.ori=edULe*s y asgnar a ste
permso de acceso 600 (soo ectura y escrtura para e usuaro):
ssh usuarioRservidor
mkdir =m +)++ S/8ssh/
touch S/8ssh/authori"ed%ke$s
chmod 6++ S/8ssh/authori"ed%ke$s
90'2'2' ?odi/icaciones en el Cliente'
90'2'2'!' Generar clave p7blica'
Se debe generar una cave pbca creada con DS& (Dgta Sgnature &gorthm o Agortmo de
Frma dgta). Si se desea no utili=ar clave de acceso para autenticarM solo se pulsa la
tecla ENBE0. S asgna cave de acceso, est ser utzada para autentcar e certfcado creado
cada vez que se quera utzar ste para autentcar remotamente.
ssh=ke$gen =t dsa
E procedmento devueve una sada smar a a sguente:
3enerating public/private dsa ke$ pair8
Bnter &ile in which to save the ke$ (/home/usuario/8ssh/id%dsa)2
Bnter passphrase (empt$ &or no passphrase)2
Bnter same passphrase again2
Kour identi&ication has been saved in /home/usuario/8ssh/id%dsa8
287
Kour public ke$ has been saved in /home/usuario/8ssh/id%dsa8pub8
?he ke$ &ingerprint is2
(c2),2,+2&e2*(2(12a*2'(2)'2-/2*)2cd2,)2a&2,62d& usuarioRcliente
Lo anteror genera os fcheros os fcheros W/'ss./idUdsa y W/'ss./idUdsa'pub, os cuaes deben
tener permso de acceso 600 (soo ectura y escrtura para e usuaro).
chmod 6++ S/8ssh/
Se debe copar e contendo de a ave pbca DS& (idUdsa'pub) a fchero
W/'ss./aut.ori=edULe*s de usuaro a utzar en servdor en donde se va a autentcar.
cat S/8ssh/id%dsa8pub N
] ssh usuarioRservidor N
Vcat QQ S/8ssh/authori"ed%ke$sV
Para poder acceder a servdor desde cuaquer cente, basta copar os fcheros idUdsa y
idUdsa'pub dentro de W/'ss./, de a cuenta de usuaro de cada cente desde e que se requera
reazar conexn haca e servdor. Tendr mpcacones de segurdad muy seras s e fchero
idUdsa cae en manos equvocadas o se ve comprometdo, por tanto, dcho fchero deber ser
consderado como atamente confdenca.
90'2'8' Comprobaciones'
S no fue asgnada cave de acceso para a ave DS&, deber poderse acceder haca e servdor
remoto sn necesdad de autentcar con cave de acceso de usuaro remoto. S fue asgnada una
cave de acceso a a cave DS&, se podr acceder haca e servdor remoto autentcando con a
cave de acceso defnda a a cave DS&, y sn necesdad de autentcar con cave de acceso de
usuaro remoto.
288
9!' Cmo con/i2urar 6penSSG con C.root
9!'!' Introduccin'
SSG es un protocoo que permte reazar transferencas seguras a travs de un tne seguro
donde toda a nformacn trasmtda va cfrada. Sn embargo, SSG potencamente se puede
vover un arma de dos fo s una cuenta de usuaro se ve comprometda. Confgurar un sstema
con 6penSSG con soporte para c.root brnda una mayor segurdad a asar a os usuaros
dentro de un entorno separado de sstema prncpa con un mnmo de herramentas para traba|ar
y que dsmnuye os resgos potencaes en caso de verse comprometda aguna cuenta.
C.root es una operacn que camba e drectoro raz, afectando soamente a proceso actua y a
os procesos dervados de ste (h|os). Especfcamente se refere a a amada de sstema
chroot(2) o a programa e|ecutabe chroot(8).
Este documento consdera que e ector utza Cent6S 9, 0ed Gate Enterprise Linux 9 o
Z.ite #ox Enterprise Linux 9.
9!'2' E-uipamiento l2ico necesario'
Se requere nstaar os paquetes de 6penSSG modfcados con e parche dsponbe a travs de
http://chrootssh.sourceforge.net/ y que estn dsponbes a a travs de Acance Lbre en e
sguente URL:
http://www.acancebre.org/a/openssh-chroot/
Utce e mandato N2et, de sguente modo, para descargar os paquetes correspondentes:
wget =m =np =n7 ==cut=dirsH1 N
http2//www8alcancelibre8org/al/openssh=chroot/
E drectoro competo ser descargado |unto os paquetes 0A? necesaros, |unto con ago de
contendo GB?L que pueden emnarse.
rm =& openssh=chroot/index8htmlM
A termnar, acceda a subdrectoro openss.1c.root que se acaba de crear:
cd openssh=chroot/
289
Por motvos de segurdad, os paquetes dstrbudos por &lcance Libre estn frmados
dgtamente con GnuAG. La cave pbca est dsponbe en http://www.acancebre.org/a/AL-
RPM-KEY. Convene descargar e mportar sta a fn de verfcar a ntegrdad de os paquetes 0A?
nvoucrados en este documento.
wget http2//www8alcancelibre8org/al/>A=R5!=9BK
rpm ==import >A=R5!=9BK
Una vez mportada a ave pbca, se verfca a ntegrdad de os paquetes 0A? utzando e
mandato rpm, con as opcones -v y 1K, que corresponden, respectvamente, a mensa|es
descrptvos y verfcacn de frmas.
rpm =9v M8rpm
openssh=,8/p1=/8/8el-8al8chroot8i,'68rpm2
6abeceraDirma @, <S>2 I9. ke$ 4< )c+'+b,,
resumen S7>1 de la cabecera2I9 (1*c('&+&6dc+dce*-/&e*--1e&-e6)+*-c'dbe+))
Resumen !<*2 I9 (-1+--*6+-'(+*+a')()-+61'-'&,//1+)
Dirma @, <S>2 I9. ke$ 4< )c+'+b,,
openssh=askpass=,8/p1=/8/8el-8al8chroot8i,'68rpm2
resumen S7>1 de la cabecera2I9 (a,e'ab/6&)'d-/d+*c&b&-,ad'+ad*a*+*6&)1)e)
Resumen !<*2 I9 (b*&6/')c)'+e/&*'+(e)16de(-'**&--)
Dirma @, <S>2 I9. ke$ 4< )c+'+b,,
openssh=askpass=gnome=,8/p1=/8/8el-8al8chroot8i,'68rpm2
resumen S7>1 de la cabecera2I9 (bd*&+e*)-,a+*a,,1,)cbea/cb)abc*a,bed')*a)
Resumen !<*2 I9 ((-a'a1/&',e//,bbd1'e+-'dde+b))eb)
Dirma @, <S>2 I9. ke$ 4< )c+'+b,,
openssh=clients=,8/p1=/8/8el-8al8chroot8i,'68rpm2
resumen S7>1 de la cabecera2I9 (6)/c(1-e1&+d1-)*(,b-1b,'+6+ca)6d+&d*-)d))
Resumen !<*2 I9 (/(&')+b(&)-d--1+c//&--e/6&++6'1b)
Dirma @, <S>2 I9. ke$ 4< )c+'+b,,
openssh=server=,8/p1=/8/8el-8al8chroot8i,'68rpm2
resumen S7>1 de la cabecera2I9 (eebb+d''*/6cd'+c6ca&)ad+d)*'a*,c*e&6*,c&)
Resumen !<*2 I9 (+&'+de*'e6d6e(d61+*/,*+61-(/'1ad)
Dirma @, <S>2 I9. ke$ 4< )c+'+b,,
A fn de satsfacer cuaquer otra dependenca que pudera fatar, utce e mandato *um para
nstaar os paquetes RPM en e nteror:
$um localinstall M8rpm
S no se dspone de mandato *um en e sstema, o ben s as se prefere, se puede utzar
drectamente e mandato rpm de sguente modo:
rpm =#vh openssh=M
290
9!'8' Arocedimientos
Soo e usuaro root deber poder modfcar a estructura de a |aua y su contendo. E ob|eto es
poder permtr e acceso por SSG/S%BA a un entorno asado de sstema prncpa.
Adconamente s se confgura e servco de %BA con |auas, se podr acceder ndstntamente por
%BA, SSG o S%BA.
9!'8'!' Componentes m,nimos para la 4aula'
Los sguentes son os componentes mnmos de a |aua basada sobre un sstema con Cent6S 9,
0ed Gate Enterprise Linux 9 o Whte Box Enterprse Lnux 4:
/bin/sh
/bin/cp
/bin/&alse
/bin/ls
/bin/mv
/bin/pwd
/bin/rm
/bin/rmdir
/bin/sh
/bin/true
/etc/group
/etc/passwd
/lib/ld=linux8so8(
/lib/libacl8so81
/lib/libattr8so81
/lib/libc8so86
/lib/libcom%err8so8(
/lib/libcr$pt8so81
/lib/libcr$pto8so8-
/lib/libdl8so8(
/lib/libnsl8so81
/lib/libpthread8so8+
/lib/libresolv8so8(
/lib/librt8so81
/lib/libselinux8so81
/lib/libtermcap8so8(
/lib/libutil8so81
/usr/lib/lib"8so81
/usr/lib/libgssapi%krb*8so8(
/usr/lib/libk*cr$pto8so8,
/usr/lib/libkrb*8so8,
/usr/libexec/openssh/s&tp=server
/sbin/nologin
S se requere utzar /bin/s., y suponendo se utza /c.root/ como drectoro raz para a |aua,
se debe copar dentro de ste como /c.root/bin/s., s se requere /lib/libtermcap'so'2 se debe
copar como /c.root/lib/libtermcap'so'2, s se requere /usr/libexec/openss./s/tp1server se
debe copar como /c.root/usr/libexec/openss./s/tp1server, y as sucesvamente.
Cuaquer otra herramenta que se quera agregar, soo requerr estn presentes, dentro de as
rutas relativas de a |aua, as bbotecas correspondentes. stas se determnan a travs de
mandato ldd apcado sobre a herramenta que se quere utzar. Por e|empo, s se quere aadr
e bnaro de mandato more a a |aua, prmero se determna que bbotecas requere para
funconar:
291
ldd /bin/more
Lo anteror devueve ago como o sguente:
libtermcap8so8( HQ /lib/libtermcap8so8( (+x++bea+++)
libc8so86 HQ /lib/tls/i*'6/libc8so86 (+x++*1*+++)
/lib/ld=linux8so8( (+x++-&e+++)
Lo anteror sgnfca que para poder utzar e bnaro de mandato more dentro de a |aua
debern estar presentes dentro de sta y en e subdrectoro lib/ as bbotecas btermcap.so.2,
bc.so.6 y d-nux.so.2.
9!'8'2' %ic.eros /etc/passNd * /etc/2roup'
Los fcheros /etc/2roup y /etc/passNd soo necestan contener a nformacn de os usuaros
que nterese en|auar as como a ruta relativa a drectoro donde se encuentra a |aua de sus
drectoros de nco (es decr, se defne /.ome/usuario, suponendo que reamente se ocaza en
/var/NNN/sitiocliente/.ome/usuario). Es indispensable est) presente esta in/ormacin
dentro de la 4aula o de otro modo no ser posbe reazar e ngreso a sstema.
E|empo de contendo de /etc/passwd dentro de a |aua
usuario2x2*+,2*+,22/home/usuario2/bin/bash
E|empo de contendo de /etc/group dentro de a |aua
usuario2x2*+,2
9!'8'8' Dispositivos de blo-ue'
Aunque no de todo ndspensabe para utzar OpenSSH con Chroot, es buena dea crear os
sguente nodos dentro de a |aua:
mkdir dev
mknod =m +666 dev/tt$ c * +
mknod =m +6-- dev/urandom c 1 /
mknod =m +666 dev/null c 1 ,
mknod =m +666 dev/"ero c 1 1(
9!'9' E4emplo pr@ctico'
Suponendo que se tene un cente, y ste ha soctado servco de hospeda|e para su sto de red
a travs de HTTP. E cente quere dos usuaros dferentes para subr dstnto contendo a sto de
red. Los usuaros sern fuano y mengano. E domno a admnstrar sera sto.com, que ser
admnstrado excusvamente por fuano, y se quere un sub-domno denomnado ventas.sto.com
que ser admnstrado por mengano.
9!'9'!' Crear las cuentas de los usuarios
Se crea e drectoro /var/NNN/sitio'com y se copa a estructura de a |aua antes menconada
dentro de subdrectoros reatvos a /var/NNN/sitio'com, tenendo cudado de de|ar a root como
292
propetaro a fn de mpedr que os usuaros puedan borrar agn subdrectoro de nteror.
Se crean as cuentas de os dos usuaros, tomando en cuenta que s se asgna /sbin/nolo2in o
/bin//alse como nterprete de mandatos, se podr acceder por FTP pero no se podr acceder por
SSG o S%BA, y s se asgna /usr/libexec/openss./s/tp1server, soo se podr acceder por S%BA.
S se asgna /bin/s. como nterprete de mandatos, se podr acceder por SSG, S%BA y %BA.
useradd =s /bin/sh =d /var/www/sitio8com/8/ &ulano
mkdir /var/www/sitio8com
chown root8apache /var/www/sitio8com
passwd &ulano
useradd =s /bin/sh =m =d /var/www/sitio8com/8/ventas mengano
mkdir /var/www/sitio8com/ventas
chown root8apache /var/www/sitio8com/ventas
passwd mengano
Cabe seaar que os drectoros de nco pertenecen a root, de este modo se mpde que e
usuaro pueda borrar subdrectoro reatvos que se utzarn para guardar as btcoras de
Apache.
Suponendo que e ususaro fulano tene UID :!8 y que e usuaro men%ano tene UID :!9, e
fchero /var/NNN/sitio'com/etc/passNd debera tener e sguente contendo:
&ulano2x2*1,2*1,22/var/www/sitio8com/8/home/&ulano2/bin/sh
mengano2x2*1-2*1-22/var/www/sitio8com/8/home/mengano2/bin/sh
Basado sobre o anteror, e fchero /var/NNN/sitio'com/etc/2roup debera tener e sguente
contendo:
apache2x2-'2
&ulano2x2*1,2
mengano2x2*1-2
9!'9'2' E4emplo aplicado a sitio de red virtual con &pac.e'
E domno NNN'sitio'com se confgurar de sguente modo:
_@irtual7ost M2'+Q
ServerOame www8sitio8com
Server>lias sitio8com
<ocumentRoot /var/www/sitio8com/html
BrrorAog /var/www/sitio8com/logs/error%log
6ustomAog /var/www/sitio8com/logs/access%log combined
_<irector$ V/var/www/sitio8com/html/VQ
Iptions 4ndexes 4ndexes 4ncludes
>llowIverride all
_/<irector$Q
_/@irtual7ostQ
Los drectoros necesaros se crearn de sguente modo con sguentes permsos:
mkdir /var/www/sitio8com
chown root8apache /var/www/sitio8com
293
mkdir =p /var/www/sitio8com/html
chown &ulano8apache /var/www/sitio8com/html
mkdir =p /var/www/sitio8com/con&igs
chown &ulano8apache /var/www/sitio8com/con&igs
E subdomno ventas'sitio'com se confgurar de sguente modo:
_@irtual7ost M2'+Q
ServerOame ventas8sitio8com
<ocumentRoot /var/www/sitio8com/ventas/html
BrrorAog /var/www/sitio8com/ventas/logs/error%log
6ustomAog /var/www/sitio8com/ventas/logs/access%log combined
_<irector$ V/var/www/sitio8com/ventas/html/VQ
Iptions 4ndexes 4ndexes 4ncludes
>llowIverride all
_/<irector$Q
_/@irtual7ostQ
Los drectoros necesaros se crearn de sguente modo, asgnando estos con e mandato c.oNn
a usuaro root, /ulano y e grupo apac.e:
mkdir /var/www/sitio8com/ventas
chown root8apache /var/www/sitio8com/ventas
mkdir =p /var/www/sitio8com/ventas/html
chown &ulano8apache /var/www/sitio8com/ventas/html
mkdir =p /var/www/sitio8com/ventas/con&igs
chown &ulano8apache /var/www/sitio8com/ventas/con&igs
9!'9'2'!' Comprobaciones del e4emplo'
A acceder con e usuaro /ulano a travs de SSG o %BA haca 111.sitio.com se deber acceder
haca /var/NNN/sitio'com, e cua ser presentado como 5/5. E usuaro pubcar e contendo
GB?L dentro de subdrectoro /.tml, , podr guardar contendo fuera de drectoro raz pbco,
de sto vrtua en Apache, en e subdrectoro /con/i2s y podr acceder haca as btcoras
generadas por apache en /lo2s, para ser utzadas por cuaquer herramenta de anss, como
Zebali=er. Es mportante menconar que e usuaro /ulano no podr borrar contendo, n deber
tener capacdad ta, de drectoro /, como son e subdrectoro de btcoras /lo2s y e
subdrectoro /.tml. ste tmo se mostrar a travs de Apache como !ttp233ventas.sitio.com3. En
a ausenca de estos, tras una emnacn accdenta de os msmos, Apache no podra ncar, o
cua afectara a todos os stos hospedados en e servdor.
A acceder con e usuaro men2ano a travs de SSG o %BA haca 111.sitio.com se deber
acceder haca /var/NNN/sitio'com, e cua ser presentado como 5/5. E usuaro pubcar e
contendo GB?L dentro de subdrectoro /ventas/.tml, podr guardar contendo fuera de
drectoro raz pbco, de sto vrtua en Apache, en e subdrectoro /ventas/con/i2s y podr
acceder haca as btcoras generadas por Apache, en e subdrectoro /ventas/lo2s, para ser
utzadas por cuaquer herramenta de anss, como Zebali=er. Es mportante menconar que
e usuaro men2ano no podr borrar contendo, n deber tener capacdad ta, de drectoro
/ventas, como seran e subdrectoro de btcoras (/ventas/lo2s) y e subdrectoro de contendo
GB?L (/ventas/.tml). ste tmo se mostrar a travs de Apache como !ttp233ventas.sitio.com3.
En a ausenca de estos, tras una emnacn accdenta de os msmos, Apache no podra ncar,
o cua afectara a todos os stos hospedados en e servdor.
294
92' Cmo con/i2urar NBA'
92'!' Introduccin'
92'!'!' &cerca de NBA'
NBA (Network Bme Arotoco) es un protocoo, de entre os ms antguos protocoos de Internet
(1985), utzado para a sncronzacn de reo|es de sstemas computaconaes a travs de redes,
hacendo uso de ntercambo de paquetes (undades de nformacn transportadas entre nodos a
travs de enaces de datos compartdos) y atenca varabe (tempo de demora entre e momento
en que ago nca y e momento en que su efecto nca). NBA fue orgnamente dseado, y sgue
sendo mantendo, por Dave Ms, de a unversdad de Deaware.
NTP Utza e agortmo de Marzuo (nventado por Keth Marzuo), e cua es un utzado para
seecconar fuentes para a estmacn exacta de tempo a partr de un nmero de fuentes,
utzando a escaa UBC.
La versn 4 de protocoo puede mantener e tempo con un margen de 10 msegundos a travs
de a red munda, acanzado exacttud de 200 mcrosegundos. En redes ocaes, ba|o condcones
dneas, este margen se reduce consderabemente.
E servco traba|a a travs de puerto 123, ncamente por UDA.
URL: http://www.etf.org/rfc/rfc1305.txt
92'!'!'!' Estratos'
NBA utza e sstema |errquco de estratos de reo|.
Estrato 0: son dspostvos, como reo|es GAS o rado reo|es, que no estn conectados haca
redes sno computadoras.
Estrato !: Los sstemas se sncronzan con dspostvos de estrato 0. Los sstemas de este
estrato son referdos como servdores de tempo.
Estrato 2: Los sstemas envan sus petcones NTP haca servdores de estrato 1, utzando e
agortmo de Marzuo para recabar a me|ores muestra de datos, descartando que parezcan
proveer datos errneos, y compartendo datos con sstemas de msmo estrato 2. Los sstemas de
este estrato actan como servdores para e estrato 3.
Estrato 8: Los sstemas utzan funcones smares a as de estrato 2, srvendo como servdores
295
para e estrato 4.
Estrato 9: Los sstemas utzan funcones smares a as de estrato 3.
Lsta de servdores pbcos, de estrato 1 y 2, en http://kopernx.com/?q=ntp y
http://www.eecs.ude.edu/-ms/ntp/servers.htm
92'!'2' &cerca de UBC'
UBC (Coordnated Unversa Bme, o Tempo Unversa Coordnado) es un estndar de ata
precsn de tempo atmco. Tene segundos unformes defndos por B&I (Bempo &tmco
Internacona, o Internatona Atomc Tme), con segundos ntercaares o adconaes que se
anuncan a ntervaos rreguares para compensar a desaceeracn de a rotacn de a Terra, as
como otras dscrepancas. Estos segundos adconaes permten a UBC estar cas a a par de
Tempo Unversa (UB, o Unversa Bme), e cua es otro estndar pero basado sobre e nguo de
rotacn de a Terra, en ugar de e paso unforme de os segundos.
URL: http://es.wkpeda.org/wk/UTC
$um =$ install ntp
up(date =i ntp
92'8'!' Gerramienta ntpdate
Una forma muy senca de sncronzar e reo| de sstema con cuaquer servdor de tempo es a
travs de ntpdate. Es una herramenta smar a rdate, y se utza para estabecer a fecha y
hora de sstema utzando NBA. E sguente e|empo reaza una consuta drecta NBA, utzando
un puerto sn prvegos (opcn 1u, muy t s hay un cortafuegos que mpda a sada) haca e
servdor E.pool.ntp.or%.
ntpdate =u (8pool8ntp8org
92'8'2' %ic.ero de con/i2uracin /etc/ntp'con/'
Los sstemas operatvos como Red Hat Enterprse Lnux 4 y CentOS 4, se ncuye un fchero de
296
confguracn /etc/ntp'con/, con fnes demostratvo. La recomendacn es respadaro para futura
consuta, y comenzar con un fchero con una confguracn nuevo, msmo que a contnuacn se
descrbe.
G Se establece la polbtica predeterminada para cual0uier
G servidor de tiempo utili"ado2 se permite la sincroni"aciPn
G de tiempo con las &uentes. pero sin permitir a la &uente
G consultar (no0uer$). ni modi&icar el servicio en el
G sistema (nomodi&$) $ declinando proveer mensa1es de
G registro (notrap)8
restrict de&ault nomodi&$ notrap no0uer$
G 5ermitir todo el acceso a la inter&a" de retorno del
G sistema8
restrict 1()8+8+81
G Se le permite a la red local sincroni"ar con el servidor
G pero sin permitirles modi&icar la con&iguraciPn del
G sistema. $ sin usar a estos como iguales para sincroni"ar8
restrict 1/(816'818+ mask (**8(**8(**8+ nomodi&$ notrap
G Relo1 local indisciplinado8
G Bste es un controlador emulado 0ue se utili"a solo como
G respaldo cuando ninguna de las &uentes reales estcn
G disponibles8
&udge 1()81()818+ stratum 1+
server 1()81()818+
G Dichero de variaciones8
dri&t&ile /var/lib/ntp/dri&t
broadcastdela$ +8++'
G Dichero de claves si acaso &uesen necesarias para reali"ar
G consultas
ke$s /etc/ntp/ke$s
G Aista de servidores de tiempo de estrato 1 o (8
G Se recomienda tener al menos , servidores listados8
G !as servidores en2
G http2//kopernix8com/i0Hntp
G http2//www8eecis8udel8edu/Smills/ntp/servers8html
server +8pool8ntp8org
server 18pool8ntp8org
server (8pool8ntp8org
G 5ermisos 0ue se asignarcn para cada servidor de tiempo8
G Bn los e1emplos. no se permite a las &uente consultar. ni
G modi&icar el servicio en el sistema ni enviar mensa1e de
G registro8
restrict +8pool8ntp8org mask (**8(**8(**8(** nomodi&$ notrap no0uer$
restrict 18pool8ntp8org mask (**8(**8(**8(** nomodi&$ notrap no0uer$
restrict (8pool8ntp8org mask (**8(**8(**8(** nomodi&$ notrap no0uer$
G Se >ctiv la di&usiPn hacia los clientes
broadcastclient
92'8'8' IniciarM detener * reiniciar el servicio ntpd'
Para e|ecutar por prmera vez e servco ntpd, utce:
297
service ntpd start
Para hacer que os cambos hechos, tras modfcar a confguracn, surtan efecto, utce:
service ntpd restart
Para detener e servco ntpd, utce:
service ntpd stop
92'8'9' &2re2ar el servicio ntpd al arran-ue del sistema'
Para hacer que e servco de ntpd est actvo con e sguente nco de sstema, en todos os
chkcon&ig ntpd on
92'9' ?odi/icaciones necesarias en el muro corta/ue2os'
abrr e puerto 123 por UDP (NBA, tanto para trfco entrante como saente.
sguente:
G 5IR? 5IR?(S)1
>66B5? net &w udp 1(,
>66B5? &w net udp 1(,
S a red de rea oca (LAN) va a acceder haca e servdor recn confgurado, es necesaro abrr
e puerto correspondente.
G 5IR? 5IR?(S)1
>66B5? net &w udp 1(,
>66B5? &w net udp 1(,
8CC:+@ lo) /w u(p 123
8CC:+@ /w lo) u(p 123
298
98' Cmo con/i2urar Clamd'
98'!' Introduccin'
Clamd es un servco muy t que es utzado para aadr soporte antvrus a dversas
mpementacones de servcos en GNU/Linux, como clamdscan y samba1vscan. Permte
adems utzar con me|or desempeo a base de datos de frmas dgtaes de Clam&H. La
confguracn requere un poco de traba|o, pero e resutado ben vae a pena.
98'2' Instalacin de e-uipamiento l2ico necesario'
S se utza Cent6S :, se deben confgurar os depstos de &L Server para poder nstaar
Clama&H en e fchero /etc/*um'repos'd/&LUServer'repo con e sguente contendo.
E>A=ServerF
nameH>A Server para Bnterprise Ainux Jreleasever
mirrorlistHhttp2//www8alcancelibre8org/al/elJreleasever/al=server
gpgcheckH1
S se va a utzar Cent6S : con os depstos de &L Server, es mportante nstaar antes a frma
dgta de &lcance Libre
Fedora 10 ncuye os paquetes necesaros y frmas dgtaes en sus depstos yum, por o que es
nnecesaro modfcar fchero aguno.
Se requere nstaar os paquetes camav-server, camav-server-sysv y camav-update.
$um =$ install clamav=server clamav=server=s$sv clamav=update
98'8'!' SELinux * el servicio clamd'
Para que SELnux permta a servco clamd funconar normamente, utce e sguente mandato:
setsebool =5 clamd%disable%trans 1
299
98'8'2' Con/i2uracin de Clamd'
E fchero /etc//res.clam'con/ en %edora !0 vene con una nea que requere comentarse para
que pueda funconar e mandato /res.clam. edtar /etc//res.clam'con/ y comentar a nea 8
de fchero para que quede de a sguente forma:
GG
GG Bxample con&ig &ile &or &reshclam
GG 5lease read the &reshclam8con&(*) manual be&ore editing this &ile8
GG
G 6omment or remove the line below8
X :.'mple
Este tmo procedmento es nnecesaro para Cent6S :, s se utzan os paquetes de CamAV
de &L Server.
Una vez hecho o anteror, actuazar a base de datos de frmas dgtaes de vrus con e mandato
/res.clam:
&reshclam
Lo anteror puede devover una sada smar a a sguente, que por supuesto varar
dependendo de a cantdad de actuazacones dsponbes y a fecha en que se reace e
procedmento.
6lam>@ update process started at ?ue !ar , 1/2-,2,) (++/
main8cld is up to date (version2 *+. sigs2 *++66). &=level2 ,'. builder2 sven)
<ownloading dail$=/+*(8cdi&& E1++UF
<ownloading dail$=/+*,8cdi&& E1++UF
<ownloading dail$=/+*-8cdi&& E1++UF
<ownloading dail$=/+**8cdi&& E1++UF
<ownloading dail$=/+*68cdi&& E1++UF
<ownloading dail$=/+*)8cdi&& E1++UF
<ownloading dail$=/+*'8cdi&& E1++UF
<ownloading dail$=/+*/8cdi&& E1++UF
<ownloading dail$=/+6+8cdi&& E1++UF
<ownloading dail$=/+618cdi&& E1++UF
<ownloading dail$=/+6(8cdi&& E1++UF
<ownloading dail$=/+6,8cdi&& E1++UF
<ownloading dail$=/+6-8cdi&& E1++UF
<ownloading dail$=/+6*8cdi&& E1++UF
dail$8cld updated (version2 /+6*. sigs2 1,/)(. &=level2 ,'. builder2 arnaud)
<atabase updated (*1-6,/ signatures) &rom database8clamav8net (452 1//81'-8(1*8()
Copar e fchero de e|empo de clamd'con/ como /etc/clamd'd/scan'con/, e cua debe
denomnarse obgatoramente como scan'con/ en a ruta especfcada.
cp /usr/share/doc/clamav=server=M/clamd8con& /etc/clamd8d/scan8con&
Edtar /etc/clamd'd/scan'con/ para confgurar opcones.
vi /etc/clamd8d/scan8con&
De prmera nstanca, comentar a nea Example, que de otro modo mpedr ncar e servco.
G 6omment or remove the line below8
G Bxample
300
Confgurar e fchero de btcoras, e cua debe denomnarse obgatoramente como
/var/lo2/clamd'scan.
G #ncomment this option to enable logging8
G AogDile must be writable &or the user running daemon8
G > &ull path is re0uired8
G <e&ault2 disabled
AogDile /var/log/clamd8scan
Defnr que se examnen os fcheros PDF.
G ?his option enables scanning within 5<D &iles8
G <e&ault2 no
Scan5<D $es
Por motvos de segurdad, especfcar que se utce e usuaro clamav.
G Run as another user (clamd must be started b$ root &or this option to work)
G <e&ault2 donWt drop privileges
#ser clamav
Defnr e zcao para e servco:
G 5ath to a local socket &ile the daemon will listen on8
G <e&ault2 disabled (must be speci&ied b$ a user)
AocalSocket /v'r/run/)l'm(.s)'n/)l'm(.so)-
Crear fchero de btcora, e cua debe pertenecer a usuaro y grupo clamav y tenga permsos de
ectura y escrtura para propetaro y so escrtura para grupo.
touch /var/log/clamd8scan
chown clamav2clamav /var/log/clamd8scan
chmod +6(+ /var/log/clamd8scan
Copar e fchero de e|empo para rotacn de btcoras dentro de /etc/lo2rotate'd/.
cp /usr/share/doc/clamav=server=M/clamd8logrotate /etc/logrotate8d/clamd
E contendo de fchero /etc/lo2rotate'd/clamd debe ser smar a sguente:
/var/log/clamd8scan Y
monthl$
noti&empt$
missingok
postrotate
killall =7#5 clamd8scan (Q/dev/null ]] 2
endscript
Z
Copar e fchero de e|empo para sysconfg como /etc/s*scon/i2/clamd'scan. Debe
denomnarse obgatoramente como clamd'scan
301
cp /usr/share/doc/clamav=server=M/clamd8s$scon&ig /etc/s$scon&ig/clamd8scan
Edtar e fchero /etc/s*scon/i2/clamd'scan para defnr varabes de entorno a utzar.
vi /etc/s$scon&ig/clamd8scan
E contendo de fchero debe ser e sguente:
6A>!<%6IOD43D4ABH/etc/clamd8d/scan8con&
6A>!<%SI69B?H/var/run/clamd8scan/clamd8sock
6A>!<%I5?4IOSH
Copar e gun de nco de e|empo como /etc/init'd/clamd'scan. Debe evar e nombre
clamd'scan obgatoramente.
cp /usr/share/doc/clamav=server=M/clamd=init /etc/init8d/clamd8scan
Edtar e fchero /etc/init'd/clamd'scan
vi /etc/init8d/clamd8scan
Debe confgurarse e nombre de servco, obgatoramente, como scan y defnrse a ruta de
fchero de envotoro:
Gd/bin/bash
G
G chkcon&ig2 = )* (*
G description2 ?he clamd server running &or locahost
6A>!<%SBR@46BHscan
8 /usr/share/clamav/clamd=wrapper
Aadr e servco clamad'scan a os servcos de arranque de sstema.
chkcon&ig clamd8scan on
Crear un enace smbco de /usr/sbin/clamd haca /usr/sbin/clamd'scan.
ln =s /usr/sbin/clamd /usr/sbin/clamd8scan
Crear e drectoro que ser utzado para e fchero de nmero de proceso.
mkdir =p /var/run/clamd8scan
Confgurar e drectoro anteror como propedad de usuaro y grupo clamav:
chown clamav2clamav /var/run/clamd8scan
Incar e servco clamad'scan.
302
service clamd8scan start
Para aadr e servco clamd'scan a os servcos de arrranque de sstema, soo basta e|ecutar:
chkcon&ig clamd8scan on
A partr de este punto, se dspondr de un servco que traba|ar en e trasfondo de sstema y que
permtr utzar programas como clamdscan y samba1vscan. Este tmo es una
mpementacn de antvrus para Samba.
303
99' Cmo con/i2urar el sistema para sesiones
2r@/icas remotas
99'!' Introduccin'
Cuando se tenen dstntas mqunas en una LAN y se desea aprovechar e poder y recursos de
una de stas y ahorrar traba|o, una sesn grfca remota ser de gran utdad. Lograr esto es
muy fc. Se puede hacer de dos formas, una accedendo va SSH, RHS o Tenet, y a otra
utzando aguna de as pantaas de acceso grfco, como GDM.
99'2' Sesin 2r@/ica remota con GD?
GDM tene una caracterstca poco usada, pero muy t. E mtodo ser de mucha utdad
suponendo que se tene un servdor centra con buena cantdad de memora y un buen
mcroprocesador y o ms nuevo en sustento gco; y en a red de rea oca (LAN) se tenen una
o varas mqunas con muy poco espaco en dsco y/o poco poder en e mcroprocesador, o resuta
mucho traba|o nstaares todo un sstema optmzado y personazado.
E ob|etvo ser entonces que os usuaros puedan utzar e servdor con mayor poder y recursos
para que se e|ecuten ah as sesones grfcas y as tener un mayor contro en toda a red.
99'2'!' Arocedimiento
1. Actuace gdm a menos a a versn 2.2.x o, de ser posbe, ms recente:
$um =$ install gdm
2. En e servdor, abra una termna como sperusuaro y e|ecute e mandato %dmsetup; vaya
a a soapa de F/M"D y de a a a pestaa XDMCP. Deben habtarse as casas de
"Activar F/M"D" y "6onrar peticiones indirectas" como se muestra a contnuacn:
304
3. Como medda de segurdad, deshabte e acceso de root tanto oca como remotamente.
305
4. Debe determnarse a ocazacn de X con e mandato whch:
which X
5. En os centes, debe respadarse y edtarse e archvo /etc/X11/prefdm y debe hacerse que
contenga ncamente o sguente, consderando que se debe poner a ruta competa de X:
Gd/bin/sh
/usr/X11R6/bin/X =0uer$ direcciPn%45%del%Servidor
E|empo:
Gd/bin/sh
/usr/X11R6/bin/X =0uer$ 1/(816'818(*-
6. En todas as mqunas, ya sea s se utza webmn o nuxconf o aguna otra herramenta,
debe hacer que e modo de e|ecucn sea grfco y con red, es decr que arranque en modo
de e|ecucn 5 (o nve de e|ecucn 5).
Puede modfcar /etc/nttab y cambar:
id:3:initdefault:
Por:
id:5:initdefault:
7. Deben rencarse os servdores X de as mqunas centes.
8. Las mqunas centes vern a GDM e|ecutndose como s se estuvese en e msmo
servdor, y permtr ncar GNOME o KDE o cuaquer otro entorno grfco utzado. S
cuenta con buenos adaptadores de red, n squera se notar s se est en un cente o en e
servdor.
S o prefere tambn puede ncar e servdor de vdeo remoto smpemente e|ecutando o
sguente desde cuaquer termna:
X =0uer$ direcciPn%45%del%Servidor
306
9:' Cmo con/i2urar un servidor N%S
9:'!' Introduccin
NFS, acrnmo de !et1or0 "ile System, es un popuar protocoo utzado para compartr
vomenes entre mqunas dentro de una red de manera transparente, ms comnmente
utzado entre sstemas basados sobre UNIX. Es t y fc de utzar, sn embargo no en vano
es apodado cari,osamente como G#o 5ile -ecurityG. NFS no utza un sstema de contraseas
como e que tene SAMBA, so una sta de contro de acceso determnada por dreccones IP o
nombres. Es por esto que es mportante que e admnstrador de a red oca o usuaro entenda
que un servdor NFS puede ser un verdadero e nmenso agu|ero de segurdad s ste no es
confgurado apropadamente e mpementado detrs de un corta-fuegos o frewa.
Personamente, recomendo utzar NFS dentro de una red oca detrs de un corta-fuegos o
frewa que permta e acceso so a as mqunas que ntegren a red oca, nunca para compartr
sstemas de archvos a travs de Internet. A no contar con un sstema de autentcacn por
contraseas, es un servco susceptbe de ataque de agn dencuente nfomtco. SAMBA es un
protocoo mucho me|or y ms seguro para compartr sstemas de archvos.
9:'2' Arocedimientos
Tenendo en cuenta os aspectos de segurdad menconados, es mportante que sga os
procedmentos descrtos a contnuacn a pe de a etra, y que posterormente se comprometa
tambn consutar a detae a documentacn ncuda en e paquete nfs-uts, ya que sta e
proporconar nformacn adcona y competa sobre aspectos avanzados de confguracn y
utzacn.
9:'2'!' Instalacin del sustento l2ico necesario
$um =$ install n&s=utils portmap
9:'8' Con/i2urando la se2uridad
Lo sguente ser confgurar un nve de segurdad para portmap. Esto se consgue modfcando os
fcheros 3etc3!osts.allo1 y 3etc3!osts.deny. Debemos especfcar qu dreccones IP o rango de
dreccones IP pueden acceder a os servcos de portmap y qunes no pueden hacero. Podemos
entonces determnar en /etc/hosts.aow como rango de dreccones IP permtdas os sguente:
portmap21/(816'818+/(**8(**8(**8+
307
Esto corresponde a a dreccn IP de a red competa y a mscara de a subred. Adconamente
podemos especfcar dreccones IP ndvduaes sn necesdad de estabecer una mscara. Esto es
de utdad cuando se desea compartr vomenes con otras mqunas en otras redes a travs de
Internet. E|empo:
portmap21/(816'818+/(**8(**8(**8+
portmap21/(816'8(+8(*
portmap21/(816'8,+8(
portmap2(168(++81*(8/6
portmap21-'8(-+8('81)1
Una vez que se han determnado as dreccones IP que pueden acceder a portmap, so resta
determnar qunes no pueden hacero. Evdentemente nos refermos a resto de mundo, y esto
se hace agregando a sguente nea:
portmap2>AA
Es mportante destacar que a nea anteror es INDISAENS&#LE y NECES&0I& s quere tener un
nve de segurdad decente. De manera predetermnada as versones ms recentes de nfs-uts
no permtrn ncar e servco s esta nea no se encuentra presente en /etc/hosts.deny.
Una vez confgurado portmap, debe rencarse e servco de portmap:
service portmap restart
S tene un DNS, aada os regstros de as dreccones IP asocadas a un nombre o ben
modfque /etc/hosts y agregue as dreccones IP asocadas con un nombre. Esto nos servr como
stas de contro de accesos. E|empo de fchero /etc/.osts:
1/(816'818(*- servidor8mi=red=local8org servidor
1/(816'818( algun%nombre8mi=red=local8org algun%nombre
1/(816'818, otro%nombre8mi=red=local8org otro%nombre
1/(816'818- otro%nombre%mas8mi=red=local8org otro%nombre%mas
1/(816'818* como%se%llame8mi=red=local8org como%se%llame
1/(816'8186 como%sea8mi=red=local8org como%sea
1/(816'818) lo%0ue%sea8mi=red=local8org lo%0ue%sea
9:'8'!' Compartir un volumen N%S
Procederemos a determnar qu drectoro se va a compartr. Puede crear tambn uno nuevo:
mkdir =p /var/n&s/publico
Una vez hecho esto, necestaremos estabecer qu drectoros en e sstema sern compartdos
con el resto de las m@-uinas de la redM o bien a -u) m@-uinasM de acuerdo al DNS o
/etc/.osts se permtr e acceso. stos deberemos agregaros en /etc/exports determnado con
qu mqunas y e modo en que se compartr e recurso. Se puede especfcar una dreccn IP o
ben nombrar aguna mquna, o ben un patrn comn con comodn para defnr qu mqunas
pueden acceder. Podemos utzar e sguente e|empo (a separacn de espacos se hace con un
tabuador):
308
/var/n&s/publico M8mi=red=local8org(ro.s$nc)
En e e|empo anteror se est defnendo que se compartr /var/nfs/pubco/ a todas as mqunas
cuyo nombre, de acuerdo a DNS o /etc/hosts, tene como patrn comn mi1red1local'or2, en
modo de ectura escrtura. Se utz un astersco (*) como comodn, segudo de un punto y e
nombre de domno. Esto permtr que comoHseHllame.mi7red7local.or%, comoHsea.mi7red7
local.or%, loHqueHsea.mi7red7local.or%, etc., podrn acceder a voumen /var/nfs/pubco/ en modo
de so ectura. S queremos que e accesos a este drectoro sea en modo de ectura y escrtura,
cambamos (ro) por (rw):
/var/n&s/publico M8mi=red=local8org(rw.s$nc)
Ya que se defneron os vomenes a compartr, so resta ncar o rencar e servco nfs. Utce
cuaquera de as dos neas dependendo de caso:
service n&s start
service n&s restart
A fn de asegurar de que e servco de nfs est habtado, a prxma vez que se encenda e
equpo, de deber e|ecutar o sguente:
chkcon&ig ==level ,-* n&s on
E mandato anteror hace que se habte nfs en os nvees de e|ecucn 3, 4 y 5.
Como medda de segurdad adcona, s tene un corta-fuegos o fire1all mpementado. Cerre,
para todo aqueo que no sea parte de su red oca, os puertos tcp y udp 2049, ya que stos son
utzados por NFS para escuchar petcones.
9:'8'2' Con/i2urando las m@-uinas clientes
Para probar a confguracn, es necesaro que as mqunas centes se encuentren defndas en e
DNS o en e fchero 3etc3!osts de servdor. S no hay un DNS confgurado en a red, debern
defnrse os nombres y dreccones IP correspondentes en e fchero /etc/hosts de todas as
mqunas que ntegran a red oca.
Como root, en e equpo cente, e|ecute e sguente mandato para consutar os vomenes
exportados (-e) a travs de NFS por un servdor en partcuar:
showmount =e 1/(816'818(*-
Lo anteror mostrar una sta con os nombres y rutas exactas a utzar. E|empo:
Bxport list &or 1/(816'818(*-2
/var/n&s/publico 1/(816'818+/(-
A contnuacn creamos, como root, desde cuaquer otra mquna de a red oca un punto de
monta|e:
mkdir /mnt/servidorn&s
309
Por tmo, para proceder a montar e voumen remoto, utzaremos a sguente nea de mandato
:
mount servidor8mi=red=local8org2/var/n&s/publico /mnt/servidorn&s
S por aguna razn en e DNS de a red oca, o e fchero /etc/.osts de a mquna cente,
decd no asocar e nombre de a mquna que fungr como servdor NFS a su correspondente
dreccn IP, puede especfcar sta en ugar de nombre. E|empo:
mount =t n&s 1/(816'818(*-2/var/n&s/publico /mnt/servidorn&s
Podremos acceder entonces a dcho voumen remoto cambando a drectoro oca defndo como
punto de monta|e, de msmo modo que se hara con un dsquete o una undad de CDROM:
cd /mnt/servidorn&s
S queremos montar este voumen NFS con una smpe nea de mandato o ben hacendo dobe
cc en un cono sobre e escrtoro, ser necesaro agregar a correspondente nea en /etc/fstab.
E|empo:
servidor8mi=red=local8org2/var/n&s/publico /mnt/servidorn&s n&s
user.exec.dev.nosuid.rw.noauto + +
La nea anteror especfca que e drectoro /var/nfs/pubco/ de a mquna servdor.m-red-
oca.org ser montado en e drectoro oca /mnt/servdor/nfs, permtndoe a os usuaros poder
montaro, en modo de ectura y escrtura y que este voumen no ser montado durante e
arranque de sstema. Esto tmo es de mportanca, sendo que s e servdor no est encenddo
a momento de arrancar a mquna cente, ste se cogar durante agunos mnutos.
Una vez agregada a nea en /etc/fstab de a mquna cente, s utza GNOME-1.4 o superor,
ste ncorpora Nautus como admnstrador de archvos, msmo que auto-detecta cuaquer
cambo en /etc/fstab. Debe hacerse cc derecho sobre e escrtoro y posterormente seecconar
e dsco que se desee montar.
9:'9' Instalacin de GNU/Linux a trav)s de un servidor N%S
Este es quzs e uso ms comn para un voumen NFS. Permte compartr un voumen que
310
contenga una copa de CD de nstaacn de aguna dstrbucn y reazar ncusve nstaacones
smutneas en varos equpos. Tene como venta|a que a nstaacn puede resutar ms rpda
que s se hcese con un CDROM, sendo que a tasa de trasferenca de archvos ser determnada
por e ancho de banda de a red oca, y nos permtr nstaar GNU/Lnux en mqunas que no
tengan undad de CDROM.
Una vez creado y confgurado un voumen a compartr coparemos todo e contendo de CD de
nstaacn en ste:
cp =r /mnt/cdrom/M /var/n&s/publico/
En e drectoro ima%es de CD encontraremos varas mgenes para crear dsquetes de arranque.
Utzaremos bootnet.mg para crear e nmero de dsquetes necesaros para cada mquna en a
que reazaremos una nstaacn y que nos permtrn acceder a a red. Inserte un dsquete y
e|ecute o sguente:
cd /var/n&s/publico/images/
dd i&Hbootnet8img o&H/dev/&d+ bsH1--+k
Aada en /etc/hosts, o ben de de ata en e DNS, as dreccones IP, que sern utzadas por as
nuevas mqunas, asocadas a un nombre con e domno que especfco como rega de contro de
acceso en /etc/exports 7es decir I.mi7red7local.or%7. Para /etc/hosts, puede quedar como sgue:
1/(816'818(*- servidor8mi=red=local8org servidor
1/(816'818( algun%nombre8mi=red=local8org algun%nombre
1/(816'818, otro%nombre8mi=red=local8org otro%nombre
1/(816'818- otro%nombre%mas8mi=red=local8org otro%nombre%mas
1/(816'818* como%se%llame8mi=red=local8org como%se%llame
1/(816'8186 como%sea8mi=red=local8org como%sea
1/(816'818) lo%0ue%sea8mi=red=local8org lo%0ue%sea
1/(816'818' nueva%ma0uina8mi=red=local8org nueva%ma0uina
1/(816'818/ otra%nueva%ma0uina8mi=red=local8org otra%nueva%ma0uina
Utce estos dsquetes para arrancar en os equpos, ngrese una dreccn IP y dems parmetros
para esta mquna y cuando se e pregunte ngrese a dreccn IP de servdor NFS y e drectoro
en ste en e que se encuentra a copa de CD de nstaacn. E resto contnuar como cuaquer
otra nstaacn.
311
9;' Cmo con/i2urar Samba b@sico'
9;'!' Introduccin'
9;'!'!' &cerca del protocolo S?#'
S?# (acrnmo de Server ?essage #ock) es un protocoo, de Nivel de Aresentacin de
modeo OSI de TCP/IP, creado en 1985 por IBM. Agunas veces es referdo tambn como CI%S
(Acrnmo de Common Internet %e System, http://samba.org/cfs/) tras ser renombrado por
Mcrosoft en 1998. Entre otras cosas, Mcrosoft aad a protocoo soporte para enaces
smbcos y duros as como tambn soporte para fcheros de gran tamao. Dor mera
coincidencia esto ocurr por a msma poca en que Sun Mcrosystems hzo e anzamento de
WebNFS (una versn extendda de N%S, http://www.sun.com/software/webnfs/overvew.xm).
S?# fue orgnamente dseado para traba|ar a travs de protoco NetBIOS, e cua a su vez
trava|a sobre Net#EUI (acrnmo de NetBIOS Extended User Interface, que se traduce como
Interfaz de Usuaro Extendda de NetBIOS), IAF/SAF (acrnmo de Internet Aacket
Exchange/Sequenced Aacket Exchange, que se traduce como Intercambio de pa-uetes
interred/Intercambio de pa-uetes secuenciales) o N#B, aunque tambn puede traba|ar
drectamente sobre BCA/IA.
9;'!'2' &cerca de Samba'
SAMBA es un con|unto de programas, orgnamente creados por Andrew Trdge y actuamente
mantendos por The SAMBA Team, ba|o a Lcenca Pubca Genera GNU, y que mpementan en
sstemas basados sobre UNIX e protocoo S?#. Srve como reempazo tota para Wndows NT,
Warp, NFS o servdores Netware.
9;'2' E-uipamiento l2ico necesario'
Los procedmentos descrtos en este manua han sdo probados para poder apcarse en sstemas
con Red Hat Enterprse Lnux 4, o equvaentes o versones posterores, y a menos Samba
3.0.10 o versones posterores.
Necestar tener nstaados os sguentes paquetes, que se2uramente vienen incluidos en os
dscos de nstaacn o depstos de equpamento gco de a dstrbucn de GNU/Lnux utzada:
samba: Servdor SMB.
samba-cent: Dversos centes para e protoco SMB.
samba-common: Fcheros necesaros para cente y servdor.
312
9;'2'!' Instalacin a trav)s de *um'
S utza Cent6S 9 * :, 0ed Gate Enterprise Linux : o Z.ite #ox Enterprise Linux 9 * :, y
versones posterores, soo se necesta reazar o sguente para nstaar o actuazar e
$um =$ install samba samba=client samba=common
9;'2'2' Instalacin a trav)s de up2date'
up(date =i samba samba=client samba=common
9;'8' Arocedimientos'
9;'8'!' SELinux * el servicio smb'
A fn de que SELnux permta a servco smb funconar como Controador Prmaro de Domno
(ADC, Armary Doman Controer), utce e sguente mandato:
setsebool =5 samba%domain%controller 1
A fn de que SELnux permta a servco smb compartr os drectoros de nco de os usuaros
ocaes de sstema, utce e sguente mandato:
setsebool =5 samba%enable%home%dirs 1
Para defnr que un drectoro ser compartdo a travs de servco smb, como por e|empo
/var/samba/publico, y que se debe consderar como contendo tpo Samba, se utza e sguente
mandato:
chcon =t samba%share%t /var/samba/publico
Cada nuevo drectoro que vaya a ser compartdo a travs de Samba, debe ser confgurado como
acaba de descrbrse antes de ser confgurado en e fchero /etc/samba/smb'con/.
A fn de que SELnux permta a servco smb compartr todos os recursos en modo de soo
ectura, utce e sguente mandato:
setsebool =5 samba%export%all%ro 1
A fn de que SELnux permta a servco smb compartr todos os recursos en modo de ectura y
escrtura, utce e sguente mandato:
setsebool =5 samba%export%all%rw 1
313
9;'8'2' &lta de cuentas de usuario'
Es mportante sncronzar as cuentas entre e servdor Samba y as estacones Wndows. Es
decr, s en una mquna con Wndows ngresamos como e usuaro paco con cave de acceso
elpatito;J, en e servdor Samba deber exstr tambn dcha cuenta con ese msmo nombre y a
msma cave de acceso. Como a mayora de as cuentas de usuaro que se utzarn para acceder
haca Samba no requeren acceso a nterprete de mandatos de sstema, no es necesaro asgnar
cave de acceso con e mandato passNd y se deber defnr /sbin/nolo2in o ben /bin//alse
como nterpete de mandatos para a cuenta de usuaro nvoucrada.
useradd =s /sbin/nologin usu'rio$win(ows
smbpasswd =a usu'rio$win(ows
No hace fata se asgne una cave de acceso en e sstema con e mandato passNd puesto que a
cuenta no tendr acceso a nterprete de mandatos.
S se necesta que as cuentas se puedan utzar para acceder haca otros servcos como seran
Tenet, SSH, etc, es decr, que se permta acceso a nterprete de mandatos, ser necesaro
especfcar /bin/bas. como nterprete de mandatos y adems se deber asgnar una cave de
acceso en e sstema con e mandato passNd:
useradd =s /bin/bash usu'rio$win(ows
passwd usu'rio$win(ows
smbpasswd =a usu'rio$win(ows
9;'8'8' El /ic.ero lm.osts
Es necesaro empezar resovendo ocamente os nombres Net#I6S asocndoos con dreccones
IP correspondentes en e fchero lm.osts (LAN ?anager .osts). Para fnes prctcos e nombre
#etBBK- debe tener un mxmo de 11 caracteres. Normamente se utza como referenca e
nombre corto de servdor o e nombre corto que se asgno como aas a a nterfaz de red. S se
edta e fchero /etc/samba/lm.osts, se encontrar un contendo smar a sguente:
1()8+8+81 localhost
Se pueden aadr os nombres y dreccones IP de cada uno de os anftrones de a red oca.
Como mnmo debe encontrarse e nombre de anftrn Samba y su dreccn IP correspondente,
y opconamente e resto de os anftrones de a red oca. La separacn de espacos se hace con
un tabuador. E|empo:
1()8+8+81 localhost
1/(816'8181 servidor
1/(816'818( 1oel
1/(816'818, blanca
1/(816'818- 1imena
1/(816'818* regina
1/(816'8186 isaac
1/(816'818) &inan"as
1/(816'818' direccion
9;'8'9' Aar@metros principales del /ic.ero smb'con/'
Se modfca e fchero /etc/samba/smb'con/ con cuaquer edtor de texto. Este nformacn que
314
ser de utdad y que est comentada con un smboo g y varos e|empos comentados con ^
(punto y coma), sendo estos tmos os que se pueden tomar como referenca.
9;'8'9'!' Aar@metro NorL2roup'
Se estabece e grupo de traba|o defnendo e vaor de parmetro NorL2roup asgnando un
grupo de traba|o deseado:
workgroup H !43R#5I
9;'8'9'2' Aar@metro netbios name'
6pcionalmente se puede estabecer con e parmetro netbios name otro nombre dstnto para
e servdor s acaso fuese necesaro, pero sempre tomando en cuenta que dcho nombre deber
corresponder con e estabecdo en e fchero /etc/samba/lm.osts:
netbios name H ma0uinalinux
9;'8'9'8' Aar@metro server strin2'
E parmetro server strin2 es de carcter descrptvo. Puede utzarse un comentaro breve que
de una descrpcn de servdor.
server string H Servidor Samba Uv en UA
9;'8'9'9' Aar@metro .osts alloN'
La segurdad es mportante y esta se puede estabecer prmeramente estabecendo a sta de
contro de acceso que defnr que mqunas o redes podrn acceder haca e servdor. E
parmetro .osts alloN srve para determnar esto. S a red consste en a mqunas con
dreccn IP desde 192.168.1.1 hasta 192.168.1.254, e rango de dreccones IP que se defnr en
.osts alloN ser !2'!;>'!' de modo ta que soo se permtr e acceso dchas mqunas. En e
sguente e|empo se defne a red 192.168.1.0/24 defnendo os tres prmeros octetos de a
dreccn IP de red, as como cuaquer dreccn IP de a red 127.0.0.0/8 defnendo e prmer
octeto:
hosts allow H 1/(816'818 1()8
9;'8'9':' Aar@metro inter/aces'
E parmetro inter/aces permte estabecer desde que nterfaces de red de sstema se
escucharn petcones. Samba no responder a petcones provenentes desde cuaquer nterfaz
no especfcada. Esto es t cuando Samba se e|ecuta en un servdor que srve tambn de puerta
de enace para a red oca, mpdendo se estabezcan conexones desde fuera de a red oca.
inter&aces H lo eth+ 1/(816'818(*-/(-
9;'8':' Aar@metro remote announce'
La opcn remote announce se encarga de que e servco nmbd se anunce a s msmo de
forma perdca haca una red en partcuar y un grupo de traba|o especfco. Esto es
315
partcuarmente t s se necesta que e servdor Samba aparezca no soo en e grupo de traba|o
a que pertenece sno tambn otros grupos de traba|o. E grupo de traba|o de destno puede estar
en donde sea mentras exsta una ruta y sea posbe a dfusn extosa de paquetes.
Los vaores que pueden ser utzados son dreccones IP de dfusn (broadcast) de a red
utzada (es decr a tma dreccn IP de segmento de red) y/o nombres de grupos de traba|o.
En e sguente e|empo se defne que e servdor Samba se anunce a travs de as dreccones IP
de dfusn !2'!;>'!'2:: (red !2'!;>'!'0/29) y !2'!;>'2'2:: (red !2'!;>'2'0/29) y
haca os grupos de traba|o D6?INI6! y D6?INI62.
remote announce H 1/(816'818(**/<I!4O4I1 1/(816'8(8(**/<I!4O4I(
9;'8';' Impresoras en Samba'
Las mpresoras se comparten de modo predetermnado, as que soo hay que reazar agunos
a|ustes. S se desea que se pueda acceder haca a mpresora como usuaro nvtado sn cave de
acceso, basta con aadr public O aes en a seccn de mpresoras de sguente modo:
EprintersF
comment H Bl comentario 0ue guste8
path H /var/spool/samba
printable H Kes
browseable H Oo
writable H no
printable H $es
publi) 6 Yes
Se pude defnr tambn a un usuaro o ben un grupo (h2rupoU-ueUsea) para a admnstracn
de as coas de as mpresoras:
comment H >ll 5rinters
path H /var/spool/samba
browseable H no
guest ok H $es
writable H no
printable H $es
public H $es
priner '(min 6 /ul'no4 Mopers_impresion
Con o anteror se defne que e usuaro /ulano y quen pertenezca a grupo opersUimpresion
podrn reazar tareas de admnstracn en as mpresoras.
9;'8'<' Compartiendo directorios a trav)s de Samba'
Para os drectoros o vomenes que se rn a compartr, en e msmo fchero de confguracn
encontrar dstntos e|empos para dstntas stuacones partcuares. En genera, puede utzar e
sguente e|empo que funconar para a mayora:
EAo%0ue%seaF
comment H 6omentario 0ue se le ocurra
path H /cual0uier/ruta/0ue/desee/compartir
E voumen puede utzar cuaquera de as sguentes opcones:
316
6pcin Descripcin
guest ok Defne s ser permtr e acceso como usuaro nvtado. E vaor puede
ser
Kes
o
Oo
.
public Es un e-uivalente de parmetro 2uest oL, es decr defne s ser
permtr e acceso como usuaro nvtado. E vaor puede ser
Kes
o
Oo
.
browseable Defne s se permtr mostrar este recurso en as stas de recursos
compartdos. E vaor puede ser
Kes
o
Oo
.
writable Defne s ser permtr a escrtura. Es e parmetro contraro de
read onl$
. E vaor puede ser
Kes
o
Oo
. E|empos:
[writable H Kes\
es lo mismo -ue
[read onl$ H Oo\
. Obvamente
317
[writable H Oo\
es lo mismo -ue
[read onl$ H Kes\
valid users Defne que usuaros o grupos pueden acceder a recurso compartdo.
Los vaores pueden ser nombres de usuaros separados por comas o
ben nombres de grupo anteceddos por una @. E|empo:
&ulano. mengano. Radministradores
write list Defne que usuaros o grupos pueden acceder con permso de
escrtura. Los vaores pueden ser nombres de usuaros separados por
comas o ben nombres de grupo anteceddos por una @. E|empo:
admin users Defne que usuaros o grupos pueden acceder con permsos
admnstratvos para e recurso. Es decr, podrn acceder haca e
recurso reazando todas as operacones como super-usuaros. Los
vaores pueden ser nombres de usuaros separados por comas o ben
nombres de grupo anteceddos por una @. E|empo:
director$ mask Es o msmo que
director$ mode
. Defne que permso en e sstema tendrn os subdrectoros creados
dentro de recurso. E|empos:
1)))
create mask Defne que permso en e sstema tendrn os nuevos fcheros creados
dentro de recurso. E|empo:
+6--
En e sguente e|empo se compartr a travs de Samba e recurso denomnado datos, e cua
est ocazado en e drectoro /var/samba/datos de dsco duro. Se permtr e acceso a
cuaquera pero ser un recurso de soo ectura savo para os usuaros admnstrador y fuano.
Todo drectoro nuevo que sea creado en su nteror tendr permso <:: (drNxr1xr1x) y todo
fchero que sea puesto en su nteror tendr permsos ;99 (1rN1r11r11.
Prmero se crea e nuevo drectoro /var/samba/datos, utzando e sguente mandato:
mkdir =p /var/samba/datos
Luego se defne en SELnux que dcho drectoro debe ser consderado como contendo Samba.
chcon =t samba%share%t /var/samba/datos
Se edta e fchero /etc/samba/smb'con/ y se aade hasta e fna de ste e sguente contendo:
EdatosF
318
comment H <irectorio de de <atos
path H /var/samba/datos
guest ok H Kes
read onl$ H Kes
write list H &ulano. administrador
director$ mask H +)**
create mask H +6--
9;'8'<'!' 6cultando /ic.eros -ue inician con punto'
Es poco convenente que os usuaros puedan acceder o ben puedan ver a presenca de fcheros
ocutos en e sstema, es decr fcheros cuyo nombre comenza con un punto, partcuarmente s
acceden a su drectoro persona en e servdor Samba (.bashrc, .bash_profe, .bash_hstory, etc.).
Puede utzarse e parmetro .ide dot /iles para manteneros ocutos.
hide dot &iles H Kes
Este parmetro es partcuarmente t para compementar a confguracn de os drectoros
personaes de os usuaros.
EhomesF
comment H 7ome <irectories
browseable H no
writable H $es
&i(e (o /iles 6 Yes
9;'9' Iniciar el servicio * a$adirlo al arran-ue del sistema'
Para ncar e servco smb por prmera vez reace o sguente:
/sbin/service smb start
S va a rencar e servco, reace o sguente:
/sbin/service smb restart
Para que Samba nce automtcamente cada vez que nce e servdor soo utce e sguente
mandato:
/sbin/chkcon&ig smb on
9;':' Comprobaciones'
9;':'!' ?odo texto'
9;':'!'!' Gerramienta smbclient'
Indudabemente e mtodo ms prctco y seguro es e mandato smbclient. Este permte acceder
haca cuaquer servdor Samba o Wndows, smar a mandato /tp en modo texto.
Para acceder a cuaquer recurso de aguna mquna Wndows o servdor SAMBA determne
319
prmero que vomenes o recursos compartdos posee est. utce e mandato smbclient de
sguente modo:
smbclient =# usuario =A alguna%ma0uina
Lo cua e devovera ms menos o sguente:
<omainHE!4=<I!4O4IF ISHE#nixF ServerHESamba ,8+8)=18,BF
Sharename ?$pe 6omment
========= ==== =======
homes <isk 7ome <irectories
netlogon <isk Oetwork Aogon Service
datos <isk datos
456J 456 456 Service (Servidor Samba ,8+8)=18,B en mi=servidor)
><!4OJ 456 456 Service (Servidor Samba ,8+8)=18,B en mi=servidor)
epl*/++ 5rinter 6reated b$ redhat=con&ig=printer +868x
hp(**+bw 5rinter 6reated b$ redhat=con&ig=printer +868x
>non$mous login success&ul
<omainHE!4=<I!4O4IF ISHE#nixF ServerHESamba ,8+8)=18,BF
Server 6omment
========= =======
mi=servidor Servidor Samba ,8+8)=18,B en mi=servidor
Corkgroup !aster
========= =======
!4=<I!4O4I !4=SBR@4<IR
La sguente corresponde a a sntaxs bsca para poder navegar os recursos compartdos por a
mquna Wndows o e servdor SAMBA:
smbclient //alguna%ma0uina/recurso =# usuario
E|empo:
smbclient //A4O#X/<>?IS =# &ulano
Despus de e|ecutar o anteror, e sstema soctar se proporcone a cave de acceso de usuaro
fulano en e equpo denomnado .B#?F.
smbclient //A4O#X/<>?IS =# 1barrios
added inter&ace ipH1/(816'818(*- bcastH1/(816'818(** nmaskH(**8(**8(**8+
5assword2
<omainHEmiusuarioF ISHE#nixF ServerHESamba (8(81aF
smb2 Q
Pueden utzarse cas os msmos mandatos que en e ntrprete de ftp, como seran get, mget,
put, de, etc.
320
9;':'2' ?odo 2r@/ico
9;':'2'!' Desde el escritorio de GN6?E'
S utza GNOME 2.x o superor, ste ncuye un mduo para Nautus que permte acceder haca
os recursos compartdos a travs de Samba sn necesdad de modfcar cosa aguna en e
sstema. Soo hay que hacer cc en Servidores de red en e men de GNOME.
9;':'2'2' Desde ZindoNs'
Por su parte, desde Wndows deber ser posbe acceder sn probemas haca Samba como s
fuese haca cuaquer otra mquna con Wndows. Vaya, n Wndows n e usuaro notarn squera
a dferenca.
321
9<' Cmo con/i2urar Samba dene2ando acceso
a ciertos /ic.eros'
9<'!' Introduccin'
En agunos casos puede ser necesaro denegar e acceso a certas extensones de fcheros, como
fcheros de sstema y fcheros de mutmedos como MP3, MP4, MPEG y DvX.
Este documento consdera que usted ya ha edo prevamente, a detae y en su totadad e
manua Cmo confgurar Samba bsco. y que ha confgurado extosamente Samba como
servdor de archvos.
E parmetro veto /iles se utza para especfcar a sta, separada por dagonaes, de aqueas
cadenas de texto que denegarn e acceso a os fcheros cuyos nombres contengan estas
cadenas. En e sguente e|empo, se denegar e acceso haca os fcheros cuyos nombres
ncuyan a paabra C-ecurity< y os que tengan extensn o termnen en C.tmp<:
EhomesF
browseable H no
writable H $es
veo /iles 6 /3"e)uriy3/3.mp/
En e sguente e|empo, se denegar e acceso haca os fcheros que tengan as extensones o
termnen en C.mpL<, C.mpM<, C.mpe%< y C.avi< en todos os drectoros personaes de todos os
usuaros de sstema:
EhomesF
browseable H no
writable H $es
veo /iles 6 /3.mp3/3.mpG/3.mp*/3.'vi/3.mp/
9<'8' &plicando los cambios'
Para hacer que os cambos hechos surtan efecto tras modfcar a confguracn, utce:
322
service smb restart
9<'9' Comprobaciones'
Con a fnazad de reazar pruebas, genere con e mandato ec.o de sstema un fchero
denomnado prueba'mp8:
echo V&ichero !5, de pruebasV Q prueba8mp,
S an no exstera, genere a usuaro /ulano:
useradd &ulano
Utce e mandato smbpassNd y asgne !28-Ne como cave de acceso a usuaro /ulano:
smbpasswd =a &ulano
Acceda con smbclient haca e servdor Samba con e usuaro /ulano:
smbclient //1()8+8+81/&ulano =#&ulanoU1(,0we
<omainHE!+6-F ISHE#nixF ServerHESamba ,8(8+rc1=1-8/8el*8alF
smb2 Q
Utzando e mandato put de int)rprete S?#, suba e fchero prueba'txt a drectoro persona
de fuano:
smb2 Q pu prueb'.mp3
Lo anteror debe devover una sada smar a a sguente ndcando e mensa|e
NBUSB&BUSU6#"ECBUN&?EUN6BU%6UND como respuesta, o cua ndca que no fue permtdo
subr e fchero prueba'mp8:
smb2 Q put prueba8mp,
A@_"@8@%"_!9V:C@_A8=:_A!@_?!%AT openin* remoe /ile prueb'.mp3
smb2 Q
Para sar de int)rprete S?# utce e mandato exit:
smb2 Q exit
323
9>' Cmo con/i2urar Samba con Aapelera de
0ecicla4e'
9>'!' Introduccin'
En agunas crcunstancas, es necesaro aadr una Aapelera de 0ecicla4e (0ec*cle #in) para
evtar a emnacn permanente de contendo de un drectoro compartdo a travs de Samba.
Es partcuarmente t para os drectoros personaes de os usuaro.
servdor de archvos.
9>'2' Arocedimientos
La Aapelera de 0ecicla4e se actva aadendo a recurso a compartr os parmetros v/s
ob4ects y rec*cle3repositor* de modo e|empfcado a contnuacn:
EhomesF
browseable H no
writable H $es
v/s obHe)s 6 re)y)le
re)y)le2reposiory 6 Be)y)le 9in
Lo anteror creara e ob|eto rec*cle, que amacenar os contendos emnados desde e cente
en un subdrectoro denomnado 0ec*cle #in, e cua es creado s ste no exstera. S e
contendo de 0ec*cle #in es emnado, ste se har de forma permanente.
En e caso de drectoros compartdos que sean acceddos por dstntos usuaros, e subdrectoro
0ec*cle #in se crea con permsos de acceso soo para e prmer usuaro que emne contendo.
Lo correcto es soo utzaro en drectoros compartdos que soo sean utzados por un soo
usuaro. De ser necesaro, se puede cambar e permso de acceso de subdrectoro 0ec*cle #in
con e mandato c.mod de 0<00 a !<<< para permtr a otros usuaros utzar ste, tomando en
cuenta que de esta forma e contendo conservar os prvegos de cada usuaro y os contendos
soo podrn ser emnados permanentemente por sus propetaros correspondentes.
Se pueden aadr ms opcones para ograr un comportamento ms smar a de una Aapelera
de 0ecicla4e norma en ZindoNs. E parmetro rec*cle3versions defne que s hay dos o ms
fcheros con e msmo nombre, y estos son envados a a Aapelera de 0ecicla4e, se mantendrn
todos donde os fchero ms recentes tendrn un nombre con e esquema ICop* gx o/ nombre1
324
/ic.eroJ (es decr, Copia gx del nombre1/ic.ero). E parmetro rec*cle3Leeptree defne que
s se emna un drectoro con subdrectoros y contendo, se mantendr a estructura de stos.
EhomesF
browseable H no
writable H $es
v&s ob1ects H rec$cle
rec$cle2repositor$ H Rec$cle :in
re)y)le2versions 6 Yes
re)y)le2-eepree 6 Yes
Se puede defnr adems que se excuyan fcheros (rec*cle3exclude) y drectoros
(rec*cle3excludeUdir) de ser envado a a Aapelera de 0ecicla4e certo tpo de contendo y sea
emnado de forma permanente de nmedato. Las stas para fcheros y drectoros son separadas
por tuberas (i), y aceptan comodnes (` y +). En e sguente e|empo se excuyen os fcheros con
extensones `'tmp, `'temp, `'o, `'ob4, WY`, `'W++, `'lo2, `'trace y `'B?A, y os drectoros
/tmp, /temp y /cac.e.
EhomesF
browseable H no
writable H $es
rec$cle2versions H Kes
rec$cle2keeptree H Kes
re)y)le2e.)lu(e 6 3.mp|3.emp|3.o|3.obH|Z[3|3.Z\\|3.lo*|3.r')e|3.@=+
re)y)le2e.)lu(e(ir 6 /mp|/emp|/)')&e
S no se quere que se guarden versones dstntas de fcheros con e msmo nombre, para agunas
extensones, es posbe hacero defnendo e parmetro rec*cle3noversions y una sta de
extensones de fcheros separados por tuberas (i). En e sguente e|empo, se ndca que no se
guarden dferentes versones de fcheros con e msmo nombre que tengan as extensones `'doc,
`'ppt, `'dat y `'ini.
EhomesF
browseable H no
writable H $es
rec$cle2exclude H M8tmp]M8temp]M8o]M8ob1]SJM]M8Sii]M8log]M8trace]M8?!5
rec$cle2excludedir H /tmp]/temp]/cache
re)y)le2noversions 6 3.(o)|3.pp|3.('|3.ini
Tambn es posbe defnr un mnmo y un mxmo de tamao en b*tes a travs de os
parmetros rec*cle3minsi=e, que defne un tamao mnmo, y rec*cle3maxsi=e, que defne un
tamao mxmo. Cuaquer fchero que est fuera de estos mtes estabecdos, ser emnado
permanentemente de forma nmedata. En e sguente e|empo se defne que soo podrn ser
envados a a Aapelera de 0ecicla4e os fcheros que tengan un tamao mnmo de 10 bytes y un
tamao mxmo de 5120 bytes (5 MB)
EhomesF
325
browseable H no
writable H $es
rec$cle2exclude H M8tmp]M8temp]M8o]M8ob1]SJM]M8Sii]M8log]M8trace]M8?!5
rec$cle2excludedir H /tmp]/temp]/cache
rec$cle2noversions H M8doc]M8ppt]M8dat]M8ini
re)y)le2minsi5e 6 10
re)y)le2m'.si5e 6 5120
9>'8' &plicando los cambios'
service smb restart
9>'9' Comprobaciones'
Con a fnazad de reazar pruebas, genere con e mandato ec.o de sstema un fchero
denomnado prueba'txt:
echo V&ichero de pruebasV Q prueba8txt
S an no exstera, genere a usuaro /ulano:
useradd &ulano
Utce e mandato smbpassNd y asgne !28-Ne como cave de acceso a usuaro /ulano:
smbpasswd =a &ulano
Acceda con smbclient haca e servdor Samba con e usuaro /ulano:
smbclient //1()8+8+81/&ulano =#&ulanoU1(,0we
<omainHE!+6-F ISHE#nixF ServerHESamba ,8(8+rc1=1-8/8el*8alF
smb2 Q
Utzando e mandato put de int)rprete S?#, suba e fchero prueba'txt a drectoro persona
de fuano:
smb2 Q pu prueb'..
326
smb2 Q put prueba8txt
putting &ile prueba8txt as prueba8txt (+.- kb/s) (average +.- kb/s)
smb2 Q
Vsuace e contendo de drectoro actua desde e int)rprete S?# utzando e mandato
dirpara verfcar que se ha subdo e fchero prueba'txt:
smb2 Q (ir
smb2 Q dir
8 < + Ced aun 1' (+2--2,/ (++'
88 < + Ced aun 1' (+2+-21- (++'
8bashrc 7 1(- Ced aun 1' (+2+-21- (++'
8bash%pro&ile 7 1)6 Ced aun 1' (+2+-21- (++'
8bash%logout 7 (- Ced aun 1' (+2+-21- (++'
prueba8txt > 1/ Ced aun 1' (+2--2,/ (++'
,-1), blocks o& si"e *(-(''8 1(1-, blocks available
smb2 Q
Emne e fchero prueba'txt utzando e mandato de desde e int)rprete S?#:
smb2 Q (el prueb'..
smb2 Q
Vsuace de nuevo e contendo de drectoro con e mandato dir, o cua debe devover una
sada smar a a sguente donde ha desaparecdo e fchero prueba'txt y ahora aparece e
drectoro 0ec*cle #in:
smb2 Q (ir
8 < + Ced aun 1' (+2*(2-/ (++'
88 < + Ced aun 1' (+2+-21- (++'
8bashrc 7 1(- Ced aun 1' (+2+-21- (++'
8bash%pro&ile 7 1)6 Ced aun 1' (+2+-21- (++'
8bash%logout 7 (- Ced aun 1' (+2+-21- (++'
8"shrc 7 6*' Ced aun 1' (+2+-21- (++'
8kde <7 + Ced aun 1' (+2+-21- (++'
8emacs 7 *1* Ced aun 1' (+2+-21- (++'
Be)y)le 9in < + Ced aun 1' (+2*(2-/ (++'
,-1), blocks o& si"e *(-(''8 1(1-, blocks available
smb2 Q
Acceda a drectoro 0ec*cle #in utzando e mandato cd:
smb2 Q smb2 Q )( IBe)y)le 9inI
Vsuace e contendo con e mandato dir, o cua debe devover una sada smar a a sguente
donde se muestra que e fchero prueba'txt, que fue emnado con e mandato del, ahora est
dentro de drectoro 0ec*cle #in.
327
smb2 Be)y)le 9inQ (ir
8 < + Ced aun 1' (+2*(2-/ (++'
88 < + Ced aun 1' (+2*(2-/ (++'
prueb'.. > 1/ Ced aun 1' (+2--2,/ (++'
,-1), blocks o& si"e *(-(''8 1(1-1 blocks available
Para sar de int)rprete S?# utce e mandato exit:
smb2 Rec$cle :inQ e.i
328
9' Cmo instalar * con/i2urar Samba1Hscan en
Cent6S :'
9'!' Introduccin'
9'2' &cerca de Samba1Hscan'
Samba1Hscan es un nteresante mduo desarroado por 6pen&ntivirus, como una prueba de
concepto de mduo para e sstema de fcheros vrtua de Samba. Su desarroo an est en
fase expermenta, pero es o sufcentemente estabe para e uso daro, con un mnmo de faas.
Adems de Clam&H, ncuye soprote para otros antvrus como GR#EDH &ntiHir (versn
servdor), %1Arot Daemon, S*mantec &ntiHirus, KaspersL* &ntiHirus, Brend ?icro
%ileScanner/InterScan HirusZall, N&I/?c&/ee uvscan y %1Secure &ntiHirus.
Este documento descrbe e procedmento de nstaacn y confguracn de Samba1Hscan
utzando Clam&H y requere haber reazado prmero os procedmentos descrtos en e
documento de &lcance Libre ttuado ICmo con/i2urar ClamdJ.
Es mportante seaar que samba1vscan 0'8';c#eta: es ncompatbe con Samba 8'2'x y
versones posterores (Nota usuarios e-uipamiento l2ico de &lcance Libre3 samba-vscan
0.3.6cBeta5 es compatbe con &L Server, pero es ncompatbe con &L DesLtop).
9'8' Instalacin de e-uipamiento l2ico necesario'
Instaar prmero os paquetes gcc, gbc-deve, camav-deve, pcre-deve y rpm1build. Este tmo
ser utzado para crear a estructura de drectoros de rpmbuild y que soo sern necesaros
para nstaar y preparar os fuentes RPM.
$um =$ install gcc glibc=devel rpm=build clamav=devel pcre=devel
Se debe descargar e paquete de fuentes de Samba de a sguente forma:
wget http2//mirrors8kernel8org/centos/*/updates/SR5!S/samba=,8+8('=18el*%(818src8rpm
Instaar e cdgo fuente:
329
rpm =ivh samba=,8+8('=18el*%(818src8rpm
Cambarse a drectoro de fcheros de especfcacn:
cd /usr/src/redhat/S5B6S/
Utzar rpmbud con as opcones 1bp para descomprmr os fuentes de Samba.
rpmbuild =bp samba8spec
Cambarse a subdrectoro samba18'0'2>/source/ que se encuentra dentro de drectoro de
compacn:
cd /usr/src/redhat/:#4A</samba=,8+8('/source/
E|ecutar '/con/i2ure dentro de drectoro /usr/src/red.at/#UILD/samba18'0'2>/source/.
8/con&igure
Lo anteror demorar agunos mnutos en competarse.
E|ecutar e mandato maLe proto para compar o mnmo necesaro para posterormente
compar Samba1Hscan:
make proto
Cambarse a drectoro ''/examples/H%S/:
cd 88/examples/@DS
Descargar a versn 0'8';c#eta: de Samba1Hscan.
wget http2//www8openantivirus8org/download/samba=vscan=+8,86c=beta*8tar8g"
Descomprmr samba1vscan10'8';c1beta:'tar'2=:
tar "xv& samba=vscan=+8,86c=beta*8tar8g"
Cambarse a drectoro samba1vscan10'8';c1beta:/:
cd samba=vscan=+8,86c=beta*/
E|ecutar dentro de este drectoro '/con/i2ure:
8/con&igure
E|ecutar maLe clamav:
330
make clamav
Instaar vscan1clamav'so en /usr/lib/samba/v/s/:
install vscan=clamav8so /usr/lib/samba/v&s/
Instaar clamav/vscan1clamav'con/ en /etc/samba/:
install =m +6-- clamav/vscan=clamav8con& /etc/samba/
Es mportante menconar que e procedmento de compacn de samba1vscan debe repetirse
cada vez que se actuace Samba, de otra manera este servco de|ar de funconar.
S se sgu a pe de a etra a confguracn de Camd en e documento de &lcance Libre
ttuado ICmo con/i2urar ClamdJ, edtar /etc/samba/vscan1clamav'con/ y defnr
/var/run/clamd'local.ost/clamd'socL como zcao en e parmetro clamd socLet name.
X socket name o& clamd (de&ault2 /var/run/clamd)8 Setting will be ignored i&
X libclamav is used
clamd socket name H /var/run/clamd
Tambn es mportante defnr un drectoro para cuarentena de fcheros nfectados a travs de
parmetro -uarantine director*. La recomendacn es utzar cuaquer otro drectoro dstnto
de /tmp y que haya sdo creado especfcamente para este fn.
X where to put in&ected &iles = $ou reall$ want to change thisd
0uarantine director$ H /tmp
X pre&ix &or &iles in 0uarantine
0uarantine pre&ix H vir=
Para utzar samba1vscan en a confguracn de Samba, se aaden as sguentes dos neas a
cada recurso compartdo, defndo en e fchero /etc/samba/smb'con/, donde se desee utzar
proteccn con antvrus:
v&s ob1ect H vscan=clamav
vscan=clamav2 con&ig=&ile H /etc/samba/vscan=clamav8con&
E|empos:
EhomesF
browseable H $es
writable H $es
EpublicoF
comment H <irectorio p`blico
path H /var/samba/publico
writable H no
printable H no
browseable H $es
public H $es
331
Para probar, puede utzarse e fchero de prueba Ecarcom2 a travs de smbclient o ben
nterfaz grfca desde Lnux con Nautus o ben desde Wndows con Exporador de Wndows, sobre
cuaquer recurso compartdo que haya sdo confgurado con Samba1Hscan.
332
:0' Cmo con/i2urar Samba como cliente o
servidor ZINS'
Sitio de Red:!ttp233111.alcancelibre.or%3
:0'!' Introduccin'
ZINS (Zndows Internet Name Servce) es un servdor de nombres de para NetBIOS, que se
encarga de mantener una taba con a correspondenca entre dreccones IP y nombres Net#I6S
de os equpos que conforman a red oca. Esta sta permte ocazar rpdamente a otro equpo
dentro de a red. A utzar un servdor ZINS se evta e reazar bsquedas nnecesaras a travs
de dfusn (broadcast) reducendo sustancamente e trfco de red. La resoucn de nombres
em Sambase eva a cabo reazando consutas en e sguente orden:
!' Servdor ZINS
2' Informacn de fchero /etc/samba/lm.osts
8' Informacn de fchero /etc/.osts
9' Dfusn (broadcast)
servdor de archvos.
:0'2' Arocedimientos'
Todos os parmetros descrtos a contnuacn, se defnen en a seccn S2lobalT de fchero
/etc/samba/smb'con/.
:0'2'!' Aar@metros Nins server * Nins support'
Se puede defnr que e servdor Samba recn confgurado se converta en un servdor ZINS o
ben utzar un servdor ZINS ya exstente. No es posible ser cliente * servidor al mismo
tiempo. Los parmetros Nins server y Nins support, que se defnen en a seccn S2lobalT de
fchero /etc/samba/smb'con/, son mutuamente excuyentes.
S e sstema va ser utzado como servdor ZINS, debe habtarse e parmetro Nins support
con e vaor *es:
wins support H Kes
S e sstema va a utzar un servdor ZINS existente, debe habtarse e parmetro Nins
333
server y como vaor se especfca a dreccn IP que utce e servdor ZINS. En e sguente
e|empo se defne a sstema con dreccn IP !2'!;>'!'! como servdor ZINS:
wins server H 1/(816'8181
:0'2'2' Aar@metro name resolve order
Defne en Samba e orden de os mtodos a travs de os cuaes se ntentar resover os
nombres NetBIOS. Pueden defnrse hasta hasta cuatro vaores: wns, mhosts, hosts y bcast, como
se muestra en e sguente e|empo.
name resolve order H wins lmhosts hosts bcast
:0'2'8' Aar@metro Nins prox*'
Cuando su vaor es *es, permte a Samba como servdor ntermedaro (prox*) para otro servdor
ZINS.
wins prox$ H $es
E vaor predetermnado de este parmetro es no.
:0'2'9' Aar@metro dns prox*'
Cuando su vaor es *es, permte a Samba reazar bsquedas en un servdor DNS s e es
mposbe determnar un nombre a travs de un servdor ZINS.
dns prox$ H $es
E vaor predetermnado de este parmetro es no.
:0'2':' Aar@metro max ttl'
E parmetro max ttl defne e mxmo tempo de vda en segundos para os nombres Net#I6S
que han sdo consutados como cente ZINS en un servdor ZINS. su vaor predetermnado es
2:200, que corresponde a tres das. Aor lo 2eneral no es necesario modi/icar este
par@metro. S as dreccones IP de os equpos que ntegran a red oca camban demasado
frecuentemente, puede reducrse este tempo. En e sguente e|empo, se defnen 48 horas como
tempo mxmo de vda para os nombres NetBIOS:
max ttl H '6-++
:0'2';' Aar@metros max Nins ttl * min Nins ttl'
Los parmetros max Nins ttl y min Nins ttl os tempos mxmo y mnmo en segundos que
tendrn de vda os nombres Net#I6S que han sdo asgnados por e servdor Samba. E vaor
predetermnado de max Nins ttl es :!>900, es decr, 6 das, y e vaor predetermnado de min
Nins ttl es 2!;00, es decr, 6 horas. Aor lo 2eneral no es necesario modi/icar estos
par@metros. S as dreccones IP de os equpos que ntegran a red oca camban muy
frecuentemente, pueden modfcarse estos tempos. En e sguente e|empo se redundan os
334
vaores predetermnados:
max wins ttl H *1'-++
min wins ttl H (16++
:0'8' &plicando los cambios'
service smb restart
335
:!' La in2enier,a social * los SincorrectosT
.@bitos del usuario
E Tan de Aques de cuaquer red o componen os usuaros que a ntegran. La me|or
tecnooga y segurdad de mundo es nservbe cuando un usuaro es ncapaz de mantener en
secreto una cave de acceso o nformacn confdenca. Es por ta motvo que tene partcuar
reevanca e mpusar una cutura de concencar a os usuaros acerca de os pegros de a
Ingenera Soca en a segurdad nformtca. E ms cebre persona|e que utz sta tan
extosamente, que durante agn tempo se convrt en e hombre ms buscado por e FBI fue
Kevn Mtnck.
Bn%eniera -ocial es la prctica de obtener informaci'n confidencial a trav)s de la
manipulaci'n de usuarios le%timos. ?n in%eniero social usar com&nmente el tel)fono o
Bnternet para en%a,ar a la %ente y llevarla a revelar informaci'n sensible, o bien a violar
las polticas de se%uridad tpicas. "on este m)todo, los in%enieros sociales aprovec!an la
tendencia natural de la %ente a confiar en su palabra, antes que aprovec!ar a%ujeros de
se%uridad en los sistemas informticos. Generalmente se est de acuerdo en que Nlos
usuarios son el eslab'n d)bilG en se%uridadO )ste es el principio por el que se ri%e la
in%eniera social.
4i0ipedia, la enciclopedia libre.
Cscos e|empos de ataques extosos aprovechando a ngenera soca es e envo de os
ad|untos en e correo eectrnco (vrus, troyanos y gusanos) que pueden e|ecutar cdgo
macoso en una estacn de traba|o o computadora persona.
Lo anteror fue o que obg a os proveedores de sustento gco a desactvar e e|ecucn
automtca de os ad|untos a abrr e mensa|e de correo eectrnco, por o que es necesaro que
e usuaro actve esta funconadad de modo expcto a fn de vover a ser vunerabe. Sn
embargo, a mayora de os usuaros smpemente hacen cc con e ratn a cuaquer cosa que
egue en e correo eectrnco, hacendo que ste mtodo de ngenera soca sea extoso.
Otro tpo de ataque de ngenera soca e ncrebemente e ms fc de reazar, consste en
engaar a un usuaro hacndoe pensar que se trata de un admnstrador de a red donde se
abora soctando caves de acceso u otro tpo de nformacn confdenca. Buena parte de correo
eectrnco que ega a buzn de usuaro consste de engaos soctando caves de acceso,
nmero de tar|eta de crdto y otra nformacn, hacendo pensar que es con una fnadad
egtma, como sera e caso de reactvar o crear una cuenta o confguracn. Este tpo de ataque
se conoce actuamente como p!isin% (pesca).
Lamentabemente muchos estudos muestran que os usuaros tenen una pobre concenca
acerca de a mportanca de a segurdad. Una encuesta de InfoSecurty arro| como resutados
336
que 90% de os ofcnstas reveara una cave de acceso a cambo de un bografo.
Un tpo de ngenera soca muy efectvo es ncur grandes cantdades de texto a un acuerdo de
cencamento. La gran mayora de os usuaros, ncuyendo admnstradores, rara vez een
squera una paabra contenda en dcho texto y sencamente dan cc en a aceptacn de
cencamentos y acuerdos. Esto reguarmente es aprovechado por Adware (sustento gco que
despega anuncos comercaes) y Spyware (sustento gco que espa a actvdad de usuaro). En
Latnoamrca este probema es an mayor debdo a vergonzoso y pobre ndce de ectura
(menos de un bro por ao).
La prncpa defensa contra a ngenera soca es a educacn de usuaro, empezando por os
propos admnstradores de redes. La me|or forma de combatr a ngenera soca es a
prevencn.
:!'!' 0ecomendaciones para evitar ser v,ctimas de la
in2enier,a social a trav)s del correo electrnico
No utzar cuentas de correo eectrnco para uso persona para asuntos aboraes.
No utzar cuentas de correo eectrnco destnadas para uso abora para asuntos
personaes.
Adestrar a os usuaros para |ams pubcar cuentas de correo en reas pbcas que
permtan sean cosechadas a travs de sustento gco hecho para este fn.
Adestrar a usuaro para no pubcar cuentas de correo eectrnco en ugares
pbcos.
Adestrar a usuaro para evtar proporconar cuentas de correo eectrnco y otros
datos personaes a personas o entdades que puedan utzar stos con otros fnes.
Evtar pubcar dreccones de correo eectrnco en formuaros destnados a recabar
datos de os centes utzando formuaros que ocuten a dreccn de correo
eectrnco.
S es nevtabe, utzar una cuenta destnada y dedcada para ser mostrada a travs
de HTTP.
Adestrar a usuaro a utzar caves de acceso ms compe|as.
Adestrar a usuaro a no abrr y dar cc a todo o que egue por correo.
Adestrar a usuaro para |ams responder a un mensa|e de spam.
Adestrar a usuaro a no hacer cc en os enaces en os mensa|es de spam y que
pueden ser utzados para confrmar a spammer que se trata de una cuenta de
correo actva.
337
:2' Con/i2uracin b@sica de Sendmail
:2'!' Introduccin
:2'!'!' &cerca de Sendmail
Es e ms popuar agente de transporte de correo (MTA o ?a Bransport &gent), responsabe
quz de poco ms de 70% de correo eectrnco de mundo. Aunque por argo tempo se e ha
crtcado por muchos ncdentes de de segurdad, o certo es que stos sempre han sdo resuetos
en pocas horas.
URL: http://www.sendma.org/.
:2'!'2' &cerca de Dovecot
Dovecot es un servdor de POP3 e IMAP de fuente aberta que funcona en Lnux y sstemas
basados sobre Unx y est dseado con a segurdad como prncpa ob|etvo. Dovecot puede
utzar tanto e formato mbox como maildir y es compatbe con as mpementacones de os
servdores UW-IMAP y Courer IMAP.
URL: http://dovecot.procontro.f/.
:2'!'8' &cerca de S&SL * C*rus S&SL
S&SL (Smpe &uthentcaton and Securty Layer) es un estructura para a segurdad de datos en
protocoos de Internet. Desempare|a mecansmos de a autentcacn desde protocoos de
apcacones, permtendo, en teora, cuaquer mecansmo de autentcacn soportado por SASL
para ser utzado en cuaquer protocoo de apcacn que capaz de utzar SASL. Actuamente
SASL es un protocoo de a IETF (Internet Engneerng Bask %orce) que ha sdo propuesto como
estndar. Est especfcado en e 0%C 2222 creado por |ohn Meyers en a Unversdad Carnege
Meon.
C*rus S&SL es una mpementacn de S&SL que puede ser utzada de ado de servdor o de
ado de cente y que ncuye como prncpaes mecansmos de autentcacn soportados a
ANONYMOUS, CRAM-MD5, DIGEST-MD5, GSSAPI y PLAIN. E cdgo fuente ncuye tambn soporte
para os mecansmos LOGIN, SRP, NTLM, OPT y KERBEROS_V4.
URL: http://asg.web.cmu.edu/sas/sas-brary.htm.
338
:2'!'9' Arotocolos utili=ados
:2'!'9'!' S?BA PSimple ?ail Brans/er ArotocolQ
Es un protocolo est@ndar de Internet de Nivel de &plicacin utzado para a transmsn de
correo eectrnco a travs de una conexn TCP/IP. Este es de hecho e nco protocoo utzado
para a transmsn de correo eectrnco a travs de Internet. Es un protocoo basado sobre texto
y reatvamente smpe donde se especfcan uno ms destnataros en un mensa|e que es
transferdo. A o argo de os aos han sdo muchas as personas que han edtado o contrbudo a
as especfcacones de S?BA, entre as cuaes estn |on Poste, Erc Aman, Dave Crocker, Ned
Freed, Randa Geens, |ohn Kensn y Keth Moore.
Para determnar e servdor S?BA para un domno dado, se utzan os regstros ?F (?a
Exchanger) en a Zona de Autordad correspondente a ese msmo domno contestado por un
Servidor DNS. Despus de estabecerse una conexn entre e remtente (e cente) y e
destnataro (e servdor), se nca una sesn S?BA, e|empfcada a contnuacn.
6liente2
J elne 12F.0.0.1 25
Servidor2 ?r$ing 1()8+8+81888
6onnected to localhost8localdomain (1()8+8+81)8
Bscape character is W^FW8
((+ nombre8dominio BS!?5 Sendmail '81,81/'81,81X Sat. 1' !ar (++6
162+(2() =+6++
6liente2 >:7! lo)'l&os.lo)'l(om'in
Servidor2 (*+ nombre8dominio 7ello localhost8localdomain E1()8+8+81F. pleased to
meet $ou
6liente2 =8J7 ?B!=2L/ul'noMlo)'l&os.lo)'l(om'inD
Servidor2 (*+ (818+ _&ulanoRlocalhost8localdomainQ888 Sender ok
6liente2 BC+@ @!2LrooMlo)'l&os.lo)'l(om'inD
Servidor2 (*+ (818* _rootRlocalhost8localdomainQ888 Recipient ok
6liente2 T8@8
Servidor2 ,*- Bnter mail. end with V8V on a line b$ itsel&
6liente2 "ubHe)2 =ens'He (e prueb'
?rom2 /ul'noMlo)'l&os.lo)'l(om'in
@o2 rooMlo)'l&os.lo)'l(om'in
>ol'. :se es un mens'He (e prueb'.
8(ios.
.
Servidor2 (*+ (8+8+ k(4!(R1>++,/') !essage accepted &or deliver$
6liente2 ]%J@
Servidor2 ((1 (8+8+ nombre8dominio closing connection
Servidor2 6onnection closed b$ &oreign host8
La descrpcn competa de protocoo orgna SB?A est defndo en e 0%C >2!, aunque e
protocoo utzado hoy en da, tambn conocdo como ES?BA (Extended Smpe ?a Bransfer
Arotoco), est defndo en e 0%C 2>2!. S?BA traba|a sobre BCA en e puerto 25.
:2'!'9'2' A6A8 PAost 6//ice ArotocolM version 8Q
Es un protocolo est@ndar de Internet de Nivel de &plicacin que recupera e correo
eectrnco desde un servdor remoto a travs de una conexn TCP/IP desde un cente oca. E
dseo de A6A8 y sus predecesores es permtr a os usuaros recuperar e correo eectrnco a
estar conectados haca una red y manpuar os mensa|es recuperados sn necesdad de
permanecer conectados. A pesar de que muchos centes de correo eectrnco ncuyen soporte
para de|ar e correo en e servdor, todos os centes de POP3 recuperan todos os mensa|es y os
amacenan como mensa4es nuevos en a computadora o anftrn utzado por e usuaro,
emnan os mensa|es en e servdor y termnan a conexn.
339
Despus de estabecerse una conexn entre e cente y e servdor, se nca una sesn A6A8,
e|empfcada a contnuacn.
6liente2
J elne 12F.0.0.1 110
LI9 dovecot read$8
6liente2 %":B /ul'no
Servidor2 LI9
6liente2 +8"" clave de accceso
Servidor2 LI9 Aogged in8
6liente2 "@8@
Servidor2 LI9 1 )('
6liente2 7J"@
Servidor2 LI9 1 messages2
1 )('
8
6liente2 B:@B 1
Servidor2 LI9 )(' octets
Return=5ath2 _&ulanoRlocalhost8localdomainQ
Received2 &rom localhost8localdomain (localhost8localdomain
E1/(816'818(*-F)
b$ localhost8localdomain ('81,81/'81,81) with S!?5 id
k(4!(R1>++,/')
&or _rootRlocalhost8localdomainQX Sat. 1' !ar (++6 162+,2(1
=+6++
<ate2 Sat. 1' !ar (++6 162+(2() =+6++
!essage=4d2 _(++6+,1'((+,8k(4!(R1>++,/')Rlocalhost8localdomainQ
Sub1ect2 !ensa1e de prueba
Drom2 &ulanoRlocalhost8localdomain
?o2 rootRlocalhost8localdomain
Status2 I
6ontent=Aength2 -,
Aines2 (
X=#4<2 (+(
X=9e$words2
7ola8 Bste es un mensa1e de prueba8
>dios8
8
6liente2 ]%J@
Servidor2 LI9 Aogging out8
6onnection closed b$ &oreign host8
A6A8 est defndo en e 0%C !8. A6A8 traba|a sobre BCA en e puerto 110.
:2'!'9'8' I?&A PInternet ?essa2e &ccess ArotocolQ
Es un protocolo est@ndar de Internet de Nivel de &plicacin utzado para acceder haca e
correo eectrnco en un servdor remoto a travs de una conexn TCP/IP desde un cente oca.
La versn ms recente de I?&A es a 4, revsn 1, y est defnda en e 0%C 8:0!. I?&A
traba|a sobre BCA en e puerto 143.
Fue dseado por Mark Crspn en 1986 como una aternatva ms moderna que cubrera as
defcencas de A6A8. Las caracterstcas ms mportantes de I?&A ncuyen:
Soporte para os modos de operacn conectado (connected) y desconectado (dsconnected),
permtendo a os centes de correo eectrnco permanezcan conectados e tempo que su
nterfaz permanezca actva, descargando os mensa|es conforme se neceste.
A dferenca de A6A8, permte accesos smutneos desde mtpes centes y proporcona os
340
mecansmos necesaros para stos para que se detecten os cambos hechos por otro cente de
correo eectrnco concurrentemente conectado en e msmo buzn de correo.
Permte a os centes obtener ndvduamente cuaquer parte ?I?E (acrnmo de ?ut-Purpose
Internet ?a Extensons o Extensones de correo de Internet de propstos mtpes), as como
tambn obtener porcones de as partes ndvduaes o ben os mensa|es competos.
A travs de banderas defndas en e protocoo, vgar a nformacn de estado de os mensa|es
de correo eectrnco que se mantengan en e servdor. Por e|empo s e estado de mensa|e es
le,do, no le,do, respondido o eliminado.
Incuye soporte para mtpes buzones de correo eectrnco que permte crear, renombrar o
emnar mensa|es de correo eectrnco presentados en e servdor dentro de carpetas, y mover
stos mensa|es entre dstntas cuentas de correo eectrnco. Esta caracterstca tambn permte
a servdor proporconar acceso haca os carpetas pbcas y compartdas.
Incuye soporte para reazar bsquedas de ado de servdor a travs de mecansmos que
permten obtener resutados de acuerdo a varos crteros, permtendo evtar que os centes de
correo eectrnco tengan que descargar todos os mensa|es desde e servdor.
Las especfcacones de protocoo I?&A defnen un mecansmo expcto medante e cua puede
ser me|orada su funconadad a travs de extensones. Un e|empo es a extensn I?&A IDLE, a
cua permte sncronzar ente e servdor y e cente a travs de avsos.
Despus de estabecerse una conexn entre e cente y e servdor, se nca una sesn I?&A,
e|empfcada a contnuacn.
6liente2
J elne 12F.0.0.1 1G3
M I9 dovecot read$8
LI9 dovecot read$8
6liente2 . 7!GJA /ul'no clave de acceso
Servidor2 x I9 Aogged in8
6liente2 . ":7:C@ inbo.
Servidor2 M DA>3S (N>nswered NDlagged N<eleted NSeen N<ra&t)
M I9 E5BR!>OBO?DA>3S (N>nswered NDlagged N<eleted NSeen N<ra&t NM)F Dlags
permitted8
M 1 BX4S?S
M + RB6BO?
M I9 E#OSBBO 1F Dirst unseen8
M I9 E#4<@>A4<4?K 11++*6/,'(F #4<s valid
M I9 E#4<OBX? (+,F 5redicted next #4<
x I9 ERB><=CR4?BF Select completed8
6liente2 . ?:@C> 1 (/l'*s bo(y<&e'(er./iel(s (subHe))C)
Servidor2 M 1 DB?67 (DA>3S (NSeen) :I<KE7B><BR8D4BA<S (S#:aB6?)F Y,+Z
)
x I9 Detch completed8
8
6liente2 . ?:@C> 1 (bo(y<e.C)
Servidor2 M 1 DB?67 (:I<KE?BX?F Y-*Z
>dios8
)
6liente2 . 7!G!%@
Servidor2 M :KB Aogging out
x I9 Aogout completed8
:2'2' E-uipamiento l2ico necesario
sendma make
sendma-cf cyrus-sas
341
dovecot (o ben map) cyrus-sas-md5
m4 cyrus-sas-pan
:2'2'!' Instalacin a trav)s de *um
S se utza de CentOS 4 o Whte Box Enterprse Lnux 4, e paquete map es reempazado por e
paquete dovecot. De ta modo que se e|ecuta o sguente:
$um =$ install sendmail sendmail=c& (ove)o m- make c$rus=sasl c$rus=sasl=md* c$rus=
sasl=plain
S se utza de CentOS 3 o Whte Box Enterprse Lnux 3, e paquete map es reempazado por e
paquete dovecot. De ta modo que se e|ecuta o sguente:
$um =$ install sendmail sendmail=c& im'p m- make c$rus=sasl c$rus=sasl=md* c$rus=
sasl=plain
S acaso estuvese nstaado, emne e paquete cyrus-sas-gssap, ya que ste utza e mtodo
de autentcacn GSSAPI, msmo que requerra de a base de datos de cuentas de usuaro de un
servdor Kerberos:
$um =$ remove c$rus=sasl=gssapi
:2'2'2' Instalacin a trav)s de Up2date
S se utza de Red Hat Enterprse Lnux 4, e paquete map es reempazado por e paquete
dovecot. De ta modo que se e|ecuta o sguente:
up(date =i sendmail sendmail=c& (ove)o m- make c$rus=sasl c$rus=sasl=md* c$rus=sasl=
plain
S se utza de Red Hat Enterprse Lnux 3, e paquete map es reempazado por e paquete
dovecot. De ta modo que se e|ecuta o sguente:
up(date =i sendmail sendmail=c& im'p m- make c$rus=sasl c$rus=sasl=md* c$rus=sasl=
plain
S acaso estuvese nstaado, emne e paquete c*rus1sasl12ssapi, ya que ste utza e mtodo
de autentcacn GSS&AI, msmo que requerra de a base de datos de cuentas de usuaro de un
servdor Kerberos:
rpm =e c$rus=sasl=gssapi
:2'8' Arocedimientos
:2'8'!' &lta de cuentas de usuario * asi2nacin de claves de acceso
E ata de usuaros a travs de este mtodo ser dferente de a manera tradcona, debdo a que
para utzar e mtodo de autentcacn para S?BA, Sendma utzar S&SL. Por ta motvo, e
ata de cuentas de usuaro de correo deber de segur e sguente procedmento:
342
!' Ata de a cuenta de usuaro en e sstema, a cua se sugere no deber tener acceso a ntrprete
de mandato aguno:
useradd =s /sbin/nologin &ulano
2' Asgnacn de caves de acceso en e sstema para permtr autentcar a travs de os mtodos
AL&IN y L6GIN para autentcar S?BA y a travs de os protocoos A6A8 e I?&A:
passwd usuario
8' Asgnacn de caves de acceso para autentcar S?BA a travs de mtodos cfrados (C0&?1?D: y
DIGESB1?D:) en sstemas con versn de Sendma compada contra S&SL12 (Red Hat
Enterprse Lnux 4, CentOS 4 o Whte Box Enterprse Lnux 4), requeren utzar e mandato
saslpassNd2 de sguente modo:
s'slp'ssw(2 usuario
9' Asgnacn de caves de acceso para autentcar S?BA a travs de mtodos cfrados (C0&?1?D: y
DIGESB1?D:) en sstemas con versn de Sendma compada contra S&SL1! (Red Hat
Enterprse Lnux 3, CentOS 3 o Whte Box Enterprse Lnux 3), requeren utzar e mandato
saslpassNd de sguente modo:
saslpasswd usuario
:' La autentcacn para S?BA a travs de cuaquer mecansmo requere se actve e nce e servco
de saslaut.d de sguente modo:
chkcon&ig saslauthd on
service saslauthd start
Puede mostrarse a sta de os usuaros con cave de acceso a travs de SASL-2 utzando e
mandato sasldblistusers2. Puede mostrarse a sta de os usuaros con cave de acceso a travs
de SASL-1 utzando e mandato sasldblistusers. S ya se cuenta con un grupo de caves de
acceso de usuaros dados de ata en SASL-1, se pueden convertr haca SASL-2 con e mandato
dbconverter12.
:2'8'2' Dominios a administrar
Estabecer domnos a admnstrar en e fchero /etc/mail/local1.ost1names de sguente modo:
dominio8com
mail8dominio8com
mi=otro=dominio8com
mail8mi=otro=dominio8com
Estabecer domnos permtdos para poder envar correo en:
vi /etc/mail/rela$=domains
Por defecto, no exste dcho fchero, hay que generaro. Para fnes generaes tene e msmo
contendo de /etc/mail/local1.ost1names a menos que se desee excur agn domno en
partcuar.
dominio8com
mail8dominio8com
dominio(8com
mail8dominio(8com
343
:2'8'8' Control de acceso
Defnr sta de contro de acceso en:
vi /etc/mail/access
Incur soo as IPs ocaes de servdor y a sta negra de dreccones de correo, domnos e IPs
denegadas. Consdere que cuaquer IP que vaya acompaada de RBA>K se e permtr envar
correo sn necesdad de autentcar, o cua puede ser t s se utza un cente de correo con
nterfaz HTTP (Webma) en otro servdor. E|empo:
G 6heck the /usr/share/doc/sendmail/RB><!B8c& &ile &or a description
G o& the &ormat o& this &ile8 (search &or access%db in that &ile)
G ?he /usr/share/doc/sendmail/RB><!B8c& is part o& the sendmail=doc
G package8
G
G b$ de&ault we allow rela$ing &rom localhost888
localhost8localdomain RBA>K
localhost RBA>K
1()8+8+81 RBA>K
G
G <irecciPn 45 del propio servidor8
1/(816'818(*- RBA>K
G
G Itros servidores de correo en la A>O a los 0ue se les permitirc enviar
G correo libremente a traves del propio servidor de correo8
1/(816'818(*, RBA>K
1/(816'818(*( RBA>K
G
G <irecciones 45 0ue solo podrcn entregar correo de &orma local. es decir.
G no pueden enviar correo &uera del propio servidor8
1/(816'8(8(- I9
1/(816'8(8(, I9
1/(816'8(8(* I9
G
G Aista negra
usuarioRmolesto8com RBaB6?
productoinutil8com8mx RBaB6?
1+8-8*86 RBaB6?
G
G :lo0ues de >sia 5aci&ic Oetworks. 4S5 desde el cual se emite la ma$or
G parte del Spam del mundo8
G Aas redes involucradas abarcan >ustralia. aapPn. 6hina. 9orea. ?aiwan.
G 7ong 9ong e 4ndia por lo 0ue blo0uear el correo de dichas redes signi&ica
G cortar comunicaciPn con estos pabses. pero acaba con entre el 6+U $ '+U
G del Spam8
((( RBaB6?
((1 RBaB6?
((+ RBaB6?
(1/ RBaB6?
(1' RBaB6?
(1( RBaB6?
(11 RBaB6?
(1+ RBaB6?
(+, RBaB6?
(+( RBaB6?
1-+81+/ RBaB6?
1,, RBaB6?
61 RBaB6?
6+ RBaB6?
344
*/ RBaB6?
*' RBaB6?
:2'8'9' &lias de la cuenta de root
No es convenente estar autentcando a cuenta de root a travs de a red para revsar os
mensa|es orgnados por e sstema. Se debe defnr aas para a cuenta de root a donde
redrecconar e correo en e fchero /etc/aliases de sguente modo:
root2 &ulano
:2'8':' Con/i2uracin de /unciones de Sendmail
Modfcar e fchero /etc/mail/sendmail'mc y desactvar o habtar funcones:
vi /etc/mail/sendmail8mc
:2'8':'!' con/S?BAUL6GINU?SG
Este parmetro permte estabecer e mensa|e de benvenda a estabecer a conexn a servdor.
Es posbe ocutar e nombre y a versn de Sendma, esto con e ob|eto de agregar segurdad por
secreto. Funcona smpemente hacendo que quen se conecte haca e servdor no pueda saber
qu sustento gco y versn de msmo se est utzando y con eos dfcutar a un dencuente o
abusador de servco e determnar qu vunerabdad especfca expotar. Recomendamos utzar
o sguente:
de&ine(gcon&S!?5%AI34O%!S3W.gJ1 X JbW)dnl
Lo anteror regresar ago como o sguente a reazar una conexn haca e puerto 25 de
servdor:
J telnet 1()8+8+81 (*
?r$ing 1()8+8+81888
6onnected to nombre8dominio8
((+ nombre8dominio BS!?5 X !on. 1) !a$ (++- +(2((2(/ =+*++
0uit
((1 (8+8+ nombre8dominio closing connection
J
Est confguracn se puede poner |usto antes de a ena correspondente a parmetro
con/&UBGU6ABI6NS.
:2'8':'2' con/&UBGU6ABI6NS
S se utza a sguente nea, habtada por defecto, se permtr reazar autentcacn a travs
de puerto 25 por cuaquer mtodo, ncuyendo PLAIN, e cua se reaza en texto smpe. Esto
mpca certo resgo de segurdad.
de&ine(gcon&>#?7%I5?4IOSW.g>W)dnl
345
S comenta a anteror nea con (nl, y se utza en cambo a sguente nea, se desactva a
autentcacn por una de texto smpe en conexones no seguras (TLS), de modo ta que so se
podr autentcar a travs de mtodos que utcen cfrado, como sera CRAM-MD5 y DIGEST-MD5.
Esto obli2a a utili=ar clientes de correo electrnico con soporte para autenticacin a
trav)s de C0&?1?D: * DIGESB1?D:.
de&ine(gcon&>#?7%I5?4IOSW.g8 pW)dnl
:2'8':'8' B0USBU&UBGU?ECG * con/&UBGU?ECG&NIS?S
S se desea utzar SMTP autentcado para equpos no ncudos dentro de fchero
/etc/mail/access, se requeren descomentar as sguentes dos neas, emnando e dnl que es
precede:
?R#S?%>#?7%!B67(gBX?BRO>A <43BS?=!<* 6R>!=!<* AI34O 5A>4OW)dnl
de&ine(gcon&>#?7%!B67>O4S!SW. gBX?BRO>A 3SS>54 <43BS?=!<* 6R>!=!<*AI34O 5A>4OW)dnl
:2'8':'9' D&E?6NU6ABI6NS
De modo predefndo Sendmail escucha petcones a travs de a nterfaz de retorno de sstema
por medo de IAv9 (127.0.0.1) y no a travs de otros dspostvos de red. So se necesta emnar
as restrccn de a nterfaz de retorno para poder recbr correo desde Internet o a LAN. Locace
a sguente nea:
<>B!IO%I5?4IOS(g5ortHsmtp.8((r612F.0.0.14 OameH!?>W)dnl
Emne de dcho parmetro e vaor &ddrO!2<'0'0'! y a coma (,) que e antecede, de sguente
modo:
<>B!IO%I5?4IOS(g5ortHsmtp. OameH!?>W)dnl
:2'8':':' %E&BU0EPjacceptUunresolvableUdomains[Q
De modo predefndo, como una forma de permtr e correo de propo sstema en una
computadora de escrtoro o una computadora portt, est se utza e parmetro
%E&BU0EPjacceptUunresolvableUdomains[Q. Sn embargo se recomenda desactvar esta
funcn a fn de mpedr aceptar correo de domnos nexstentes (generamente utzado para e
envo de correo masvo no soctado o Spam), basta con comentar esta confguracn
precedendo un dnl, de sguente modo:
(nl DB>?#RB(gaccept%unresolvable%domainsW)dnl
:2'8':';' Enmascaramiento
Habtar as sguentes neas y adaptar vaores para defnr a mscara que utzar e servdor:
!>Sh#BR><B%>S(g(ominio.)omW)dnl
DB>?#RB(mas0uerade%envelope)dnl
DB>?#RB(mas0uerade%entire%domain)dnl
S va a admnstrar mtpes domnos, decare os domnos que no se quera enmascarar con e
parmetro ?&SDUE0&DEUEFCEABI6N de sguente modo:
346
!>Sh#BR><B%>S(gdominio8comW)dnl
=8"]%:B8T:_:WC:+@J!A(^(ominio2.ne,)(nl
=8"]%:B8T:_:WC:+@J!A(^(ominio3.or*,)(nl
=8"]%:B8T:_:WC:+@J!A(^(ominioG.)om.m.,)(nl
DB>?#RB(mas0uerade%envelope)dnl
DB>?#RB(mas0uerade%entire%domain)dnl
:2'8':'<' Aar@metro CN
Aadr a fna de fchero /etc/mail/sendmail'mc un parmetro que defna qu dominio.com se
trata de un domno oca. Note que no debe haber espacos entre CN y dominio'com, y que CN
se escrbe con una C mayscua y una N mnscua.
6w(ominio.)om
:2'8';' Usuarios Hirtuales
S se desea brndar un servco de hospeda|e de domnos vrtuaes permtendo que os usuaros
enven y recban correo utzando sus propos domnos, se deben aadr os sguentes
parmetros deba|o de a funcn de virtusertable de fchero /etc/mail/sendmail'mc:
DB>?#RB(gvirtusertableW.ghash =o /etc/mail/virtusertable8dbW)dnl
?:8@%B:(^*eneri)s'ble,4^&'s& $o /e)/m'il/*eneri)s'ble.(b,)(nl
G:A:BJC"_T!=8JA_?J7:(^/e)/m'il/*eneri)s$(om'ins,)(nl
Se generan tres fcheros nuevos dentro de drectoro /etc/mail:
touch /etc/mail/Yviruser'ble.*eneri)s'ble.*eneri)s$(om'insZ
E fchero /etc/mail/virtusertable srve para defnr qu cuentas de correo vrtuaes se entregan
en os buzones correspondentes. La separacin de columnas se .ace con tabuladores. En e
e|empo se entrega e correo de webmaster@domno1.net en a cuenta mengano y e correo de
webmaster@domno2.com en e buzn de usuaro perengano:
webmasterRdominio18net mengano
webmasterRdominio(8com perengano
Para hacer que e correo de usuaro mengano saga de servdor como webmaster@domno1.net
y e de perengano saga como webmaster@domno2.com, es necesaro hacer e contendo
contraro de /etc/mail/virtusertable de sguente modo:
mengano webmasterRdominio18net
perengano webmasterRdominio(8com
Para efector prctcos, se pueden mantener sncronzados ambos fcheros traba|ando
drectamente con /etc/mail/virtusertable y e|ecutando e sguente gun que se encargar de
pasar e texto desde /etc/mail/virtusertable con orden nvertdo de coumnas haca
/etc/mail/2enericstable.
while read cuenta usuario garbage
do
echo =e VJYusuarioZNtJYcuentaZV QQ /tmp/genericstable
done _ /etc/mail/virtusertable
347
mv /tmp/genericstable /etc/mail/genericstable
E fchero /etc/mail/2enerics1domains debe contener prctcamente o msmo que
/etc/mail/local1.ost1names ms os domnos que vayan a estar sendo utzados por domnos
vrtuaes.
dominio8com
dominio18net
dominio(8com
Invarabemente os fcheros /etc/mail/virtusertable'db y /etc/mail/2enericstable'db deben
actuazarse con e contendo de /etc/mail/virtusertable y /etc/mail/2enericstable,
respectvamente, cada vez que se se reace cuaquer tpo de cambo, como actuazar, aadr o
emnar cuentas de correo vrtuaes.
&or & in virtusertable genericstable
do
makemap hash /etc/mail/JY&Z8db _ JY&Z
done
:2'8'<' Control del correo c.atarra PSpamQ a trav)s de DNS#Ls
S se desea cargar listas ne%ras para mtgar e Spam, pueden aadrse as sguentes neas |usto
arrba de MAB.EP(smtpdnl:
DB>?#RB(dnsbl. gblackholes8mail=abuse8orgW. gRecha"ado = vea http2//www8mail=abuse8org/rbl/W)dnl
DB>?#RB(dnsbl. gdialups8mail=abuse8orgW. gRecha"ado = vea http2//www8mail=abuse8org/dul/W)dnl
DB>?#RB(dnsbl. grela$s8mail=abuse8orgW. gRecha"ado = vea http2//work=rss8mail=abuse8org/rss/W)dnl
DB>?#RB(dnsbl. gsbl=xbl8spamhaus8orgW. gV**+ Su 45 esta en lista negra en Spamhaus = 5or &avor vea
http2//www8spamhaus8org/0uer$/bliipHLVJjYclient%addrZW)dnl
DB>?#RB(dnsbl. gbl8spamcop8netW. gV**+ Su 45 esta en lista negra en Spam6I5 = 5or &avor vea
http2//spamcop8net/bl8shtmliVJjYclient%addrZW)dnl
DB>?#RB(dnsbl. glist8dsbl8orgW. gV**+ Su 45 esta en lista negra en <S:A = 5or &avor vea
http2//dsbl8org/listingiVJjYclient%addrZW)dnl
DB>?#RB(dnsbl. gmultihop8dsbl8orgW. gV**+ Su 45 esta en lista negra en <S:A = 5or &avor vea
http2//dsbl8org/listingiVJjYclient%addrZW)dnl
DB>?#RB(dnsbl. gdnsbl8ahbl8orgW.gV**+ Su 45 esta en lista negra en >7:A = 5or &avor vea
http2//www8ahbl8org/tools/lookup8phpiipHVJjYclient%addrZW)dnl
DB>?#RB(dnsbl. grhsbl8ahbl8orgW.gV**+ Su 45 esta en lista negra en >7:A = 5or &avor vea
http2//www8ahbl8org/tools/lookup8phpiipHVJjYclient%addrZW)dnl
DB>?#RB(dnsbl. gbl8csma8bi"W. gV**+ Su 45 esta en lista negra en 6S!> = 5or &avor vea
http2//bl8csma8bi"/cgi=bin/listing8cgiiipHVJjYclient%addrZW)dnl
DB>?#RB(dnsbl. gdnsbl8antispam8or8idW. gV**+ Su 45 esta en lista negra en ><OS:A = 5or &avor vea
http2//antispam8or8id/iipHVJjYclient%addrZW)dnl
DB>?#RB(dnsbl. gblacklist8spambag8orgW. gV**+ Su 45 esta en lista negra en S5>!:>3 = 5or &avor vea
http2//www8spambag8org/cgi=bin/spambagi0uer$HVJjYclient%addrZW)dnl
:2'8'>' Arotocolos para acceder .acia el correo
S utza Red Hat Enterprse Lnux 4, CentOS 4 o Whte Box Enterprse Lnux 4, e paquete map
es reempazado por dovecot, e cua funcona como otros servcos. Se debe modfcar e fchero
/etc/dovecot'con/ y habtar os servcos de map y/o pop3 de sguente modo (de modo
predefndo estn habtados map e maps):
G 5rotocols we want to be serving2
G imap imaps pop, pop,s
proo)ols 6 im'p pop3
E servco se agrega a arranque de sstema y se nca de sguente modo:
348
chkcon&ig dovecot on
service dovecot start
S utza Red Hat Enterprse Lnux 3, CentOS 3 o Whte Box Enterprse Lnux 3, e procedmento
utzar e paquete map, e cua requere un smpe mandato para actvar e servco.
chkcon&ig imap on
chkcon&ig ipop, on
:2'8'' 0einiciando servicio
Para rencar servco de Sendma bastar con e|ecutar:
service sendmail restart
Probar servdor envando/recbendo mensa|es con CUALOUIER cente estndar de correo
eectrnco con soporte para POP3/IMAP/SMTP con soporte para autentcar a travs de SMTP
utzando os mtodos DIGEST-MD5 o CRAM-MD5.
Para depurar posbes errores, se puede examnar e contendo de a btcora de correo de
sstema en /var/lo2/maillo2 de sguente modo:
tail =& /var/log/maillog
:2'9' Encaminamiento de dominios
Sendma ncuye soporte para reazar en re-encamnamento de domnos de correo a travs de
parmetro %E&BU0EPjmailertable[Mj.as. 1o /etc/mail/mailertable'db[Q que debe estar
.abilitado de modo prede/inido en e fchero /etc/mail/sendmail'mc. Esta funcn permte a
Sendma reazar traduccn de domnos, especfcar un agente de entrega y cambar e
encamnamento estabecdo en un DNS.
:2'9'!' 0edundancia del servidor de correo'
Cuando se tene un domno de correo eectrnco que recbe mucho trfco, es convenente
estabecer redundanca en e servco para garantzar que e correo sempre ser recbdo y egar
a os buzones de correo haca os que est destnado.
Se requeren dos servdores de correo. Uno deber estar regstrado en a zona de domno en e
DNS como servidor de correo primario (mail.dominio.com) y otro deber estar regstrado en a
zona de domno en e DNS como servidor de correo secundario (mailE.dominio.com) a fn de
contar con redundanca.
!' Defna en a zona de DNS de domno.com un servdor de correo prmaro (mail.dominio.com) y un
servdor de correo secundaro (mailE.dominio.com)
2' Confgure normamente e servdor de correo prmaro (mail.dominio.com) para admnstrar e
correo de domno.com.
8' Confgure e servdor de correo secundaro (mailE.dominio.com) de msmo modo, pero no aada
domno.com en e fchero /etc/mail/local1.ost1names ya que de otro modo e correo ser
tratado como oca y |ams podr ser entregado en e servdor de correo prmaro.
9' Debe estar stado domno.com en e fchero /etc/mail/rela*1domains en e servdor de correo
secundaro (mailE.dominio.com) a fn de permtr a retransmsn de ste haca e servdor de
349
correo prmaro (mail.dominio.com).
:' En e servdor de correo secundaro (mailE.dominio.com) modfque e fchero
/etc/mail/mailertable y defna qu domno.com ser entregado en e servdor de correo prmaro
utzando e nombre penamente resueto en a zona de DNS.
dominio8com smtp2mail8dominio8com
S o desea, puede especfcar a dreccn IP en ugar de nombre:
dominio8com smtp2E1/(816'818(*-F
;' Rence Sendma
<' En adeante e correo de domno.com ser entregado normamente y de prmera nstanca en e
servdor de correo prmaro (mail.dominio.com), pero cuando ste, por aguna razn, se vea
mposbtado para recbr conexones, e servdor de correo secundaro (mailE.dominio.com)
defndo en a zona de DNS recbr todo e correo de domno.com y o entregar en e servdor de
correo prmaro (mail.dominio.com) cuando ste reestabezca operacones normamente.
:2'9'2' Servidor de correo intermediario
Sendma puede servr de ntermedaro de correo eectrnco ya sea para ftrado de correo con
un antvrus, sustento gco para ftrado de correo chatarra o ben como ntermedaro entre una
red pbca y un servdor en red oca. Se requeren dos servdores de correo. Uno que ser e
servdor de correo ntermedaro (pro(y.dominio.com), que de forma obgatora deber estar
defndo en a zona de DNS de domno como servdor de correo prmaro (un regstro MX), y otro
que servr como servdor de correo de destno (mail.dominio.com).
!' E servdor de correo que funconar como ntermedaro (pro(y.dominio.com) se confgura
normamente, pero no aada domno.com en e fchero /etc/mail/local1.ost1names ya que de
otro modo e correo ser tratado como oca y |ams podr ser entregado en e servdor de correo
de destno (mail.dominio.com).
2' Debe estar stado domno.com en e fchero /etc/mail/rela*1domains en e servdor de correo
ntermedaro (pro(y.dominio.com) a fn de permtr a retransmsn de ste haca e servdor de
correo prmaro (mail.dominio.com).
8' La dreccn P de servdor de destno (mail.dominio.com) debe estar stada en e fchero
/etc/mail/access con 0EL&a (retransmsn autorzada) de servdor de correo ntermedaro
(pro(y.dominio.com).
9' La dreccn P de servdor de ntermedaro (pro(y.dominio.com) debe estar stada en e fchero
/etc/mail/access con 0EL&a (retransmsn autorzada) de servdor de correo de destno
(mail.dominio.com).
:' En e servdor de correo ntermedaro (pro(y.dominio.com) modfque e fchero
/etc/mail/mailertable y defna qu domno.com ser entregado en e servdor de correo de
destno (mail.dominio.com) utzando e nombre %DDN (%uy Duafed Doman Name) y
penamente resueto.
dominio8com smtp2mail8dominio8com
;' S o desea, puede especfcar a dreccn IP en ugar de nombre:
dominio8com smtp2E1/(816'818(*-F
<' En e servdor de correo de destno (mail.dominio.com), descomente y defna prox*'dominio'com
como vaor para e parmetro de/inePjS?&0BUG6SB[Mjsmtp'*our'provider[Q, de modo que
prox*'dominio'com sea e servdor de retransmsn (smart host:
de&ine(gS!>R?%7IS?W.gprox$8dominio8comW)
>' Rence Sendma en ambos servdores de correo.
350
:2':' Heri/icando el servicio
Desde una termna, e|ecute e programa telnet drgdo haca e puerto 25 de a dreccn IP
prncpa de sstema:
J telnet 1/(816'8+8(*- (*
S Sendma est funconando correctamente, se estabecer una conexn extosa y deber
devover una sada smar a a sguente:
?r$ing 1/(816'818(*-888
6onnected to nombre8dominio (1/(816'818(*-)8
((+ nombre8dominio BS!?5 Sendmail '81,81/'81,81X Sun. * !ar (++6 (12-*2*1 =+6++
E|ecute e mandato GEL6 segudo de nombre de anftrn:
7BAI nombre8dominio
Obtendr una sada smar a esta:
(*+ nombre8dominio 7ello nombre8dominio E1/(816'818(*-F. pleased to meet $ou
E|ecute e mandato EGL6 segudo de nombre de anftrn:
B7AI nombre8dominio
Obtendr una sada smar a sta y que mostrar as funcones de servdor:
(*+=nombre8dominio 7ello nombre8dominio E1/(816'818(*-F. pleased to meet $ou
(*+=BO7>O6B<S?>?#S6I<BS
(*+=545BA4O4O3
(*+=':4?!4!B
(*+=S4;B
(*+=<SO
(*+=B?RO
(*+=>#?7 <43BS?=!<* 6R>!=!<*
(*+=<BA4@BR:K
(*+ 7BA5
E|ecute e mandato DUIB para cerrar a conexn.
h#4?
E servdor deber contestar o sguente a termnar a conexn:
La sada competa de todo e procedmento anteror debe ucr smar a esto (mandatos
utzados resatados en ne2rita):
351
E&ulanoRnombre SFJ elne 192.16#.1.25G 25
?r$ing 1/(816'818(*-888
((+ nombre8dominio BS!?5 Sendmail '81,81/'81,81X Sun. * !ar (++6 (12-*2*1 =+6++
>:7! nombre.(ominio
:>7! nombre.(ominio
(*+=nombre8dominio 7ello nombre8dominio E1/(816'818(*-F. pleased to meet $ou
(*+=BO7>O6B<S?>?#S6I<BS
(*+=545BA4O4O3
(*+=':4?!4!B
(*+=S4;B
(*+=<SO
(*+=B?RO
(*+=>#?7 <43BS?=!<* 6R>!=!<*
(*+=<BA4@BR:K
(*+ 7BA5
]%J@
:2';' Aruebas para el env,o de correo
:2';'!' Utili=ando telnet
Utzar e mandato telnet permte conocer y examnar cmo funcona reamente a nteraccn
entre un servdor de correo y un cente de correo.
Abra una sesn con telnet drgdo haca e puerto 25 de a dreccn IP prncpa de sstema.
telnet 1/(816'818(*- (*
Saude a sstema con e mandato GEL6 segudo de nombre de anftrn.
7BAI nombre8dominio
E servdor de correo deber contestare:
E|ecute e mandato ?&IL %06? especfcando a cuenta de correo de un usuaro oca de sus
sstema de sguente modo:
!>4A DRI!2 _&ulanoRnombre8dominioQ
E servdor de correo deber contestare o sguente, a menos que especfque una cuenta de
correo con un domno dstnto a os especfcados en e fchero /etc/mail/rela*1domains:
(*+ (818+ _&ulanoRnombre8dominioQ888 Sender ok
E|ecute e mandato 0CAB B6 especfcando una cuenta de correo exstente en e servdor de
sguente modo:
R65? ?I2 _rootRnombre8dominioQ
352
E servdor de correo deber contestare o sguente:
(*+ (818* _rootRnombre8dominioQ888 Recipient ok
E|ecute e mandato D&B&:
<>?>
E servdor de correo deber contestare o sguente:
,*- Bnter mail. end with V8V on a line b$ itsel&
Enseguda ngrese e texto que desee ncur en e mensa|e de correo eectrnco. A termnar
fnace con un punto en una nueva nea.
7ola. este es un mensa1e de prueba8
8
E sstema deber contestare ago smar a o sguente:
(*+ (8+8+ k(6,wB99++6(+/ !essage accepted &or deliver$
E|ecute e mandato DUIB:
h#4?
E servdor deber contestar o sguente a termnar a conexn:
La sada competa de todo e procedmento anteror debe ucr smar a esto (mandatos
utzados resatados en ne2rita):
E&ulanoRnombre SFJ elne 192.16#.1.25G 25
?r$ing 1/(816'818(*-888
((+ nombre8dominio BS!?5 Sendmail '81,81/'81,81X Sun. * !ar (++6 (12*'21- =+6++
>:7! nombre.(ominio
=8J7 ?B!=2 L/ul'noMnombre.(ominioD
(*+ (818+ _&ulanoRnombre8dominioQ888 Sender ok
BC+@ @!2 LrooMnombre.(ominioD
(*+ (818* _rootRnombre8dominioQ888 Recipient ok
T8@8
,*- Bnter mail. end with V8V on a line b$ itsel&
>ol'4 ese es un mens'He (e prueb'.
.
(*+ (8+8+ k(6,wB99++6(+/ !essage accepted &or deliver$
]%J@
353
:2';'2' Utili=ando mutt
Mutt, trmno utzado en engua ngesa para referrse a perros mestzos, es un cente de correo
eectrnco (MUA o ?a User &gent) para modo texto. Incuye soporte para coor, hos, MIME,
PGP/GPG, protocoos POP3, IMAP y NNTP, y para os formatos de correo ?aildir y mbox.
Basta e|ecutar mutt y pusar as tecas ndcadas a nterfaz de texto para reazar dversas tareas.
Para envar un mensa|e de correo eectrnco sga este procedmento:
!' Como usuaro sn prvegos, e|ecute mutt.
2' Responda con a teca IsJ para confrmar que se crear W/?ail.
8' Una vez ncada a nterfaz de texto de mutt, puse a teca ImJ para crear un nuevo mensa|e.
9' En a parte nferor de a pantaa aparece un dogo para e destnataro (Bo3 ). Ingrese una cuenta
de correo eectrnco vda o aguna que exsta a menos en e domno de a Red Loca (L&N).
:' En a parte nferor de a pantaa aparece un dogo para ngresar e asunto de mensa|e
(Sub4ect3 ). Ingrese un ttuo para e mensa|e.
;' Enseguda mutt ncar vi para crear e texto que se envar en e mensa|e. Ince e modo de
insertar texto (i) de vi e ngrese agunas paabras. A termnar, guarde y saga de vi (3N-).
<' Tras termnar con e edtor de texto smpe vi, mutt presentar una vsta preva de mensa|e.
Confrme que os datos son os correctos y puse a teca I*J para envar e mensa|e. S necesta
cambar aguno de stos, puse ItJ para cambar e destnataro o IsJ para cambar e campo de
asunto de mensa|e.
>' Mutt e devover a a pantaa prncpa. S recbe un mensa|e de respuesta, seeccone ste y
puse a teca ENBE0 para vsuazar e contendo.
' S desea responder e mensa|e, puse a teca IrJ y repta os procedmentos de paso 4 a 7.
S o desea, tambn puede utzar mutt desde a nea de mandatos.
echo =e N
V7ola. so$ JY#SBRZ en JY7IS?O>!BZ8NnN
5or &avor responde este mensa1e8NnNnSaludos8V N
] mutt N
=s V!ensa1e enviado desde JY7IS?O>!BZV N
&ulanoRma0uina8dominio
Lo anteror enva un mensa|e de correo eectrnco haca a cuenta fuano@maquna.domno, con
e asunto ?ensa4e enviado desde nombre'dominio con e sguente contendo como texto
de mensa|e:
7ola. so$ usu'rio en nombre.(ominio
5or &avor responde este mensa1e8
Saludos8
:2'<' 0e/erencias
.ttp3//NNN'iet/'or2/r/c/r/c2222'txt
.ttp3//NNN'iet/'or2/r/c/r/c>2!'txt
.ttp3//NNN'iet/'or2/r/c/r/c2>2!'txt
.ttp3//NNN'iet/'or2/r/c/r/c!8'txt
.ttp3//NNN'iet/'or2/r/c/r/c8:0!'txt
354
355
:8' 6pciones avan=adas de se2uridad para
Sendmail'
:8'!' Introduccin'
Debdo a a naturaeza de correo eectrnco, es posbe para un atacante nundar fcmente e
servdor y desencadenar en una denegacn de servco. Fenmenos como e denomnado correo
masvo no soctado o Spam no hacen as cosas ms fces y as admnstracn de un servdor de
correo puede tornarse una pesada. Aadr opcones avanzadas de segurdad se converte en
ago ndspensabe.
:8'2' %unciones'
Todas as funcones expcadas a contnuacn pueden ncurse en e fchero /etc/mail/sendmail8mc
|usto deba|o de a tma nea que ncuya de&ine y arrba de a prmera nea que ncuya DB>?#RB.
:8'2'!' con/?&FU0CABSUAE0U?ESS&GE
Este parmetro srve para estabecer un nmero mxmo de destnataros para un mensa|e de
correo eectrnco. De modo predefndo Sendma estabece un mxmo de 256 destnataros. En
e sguente e|empo se mtar e nmero de destnataros a 20:
de&ine(gcon&!>X%R65?S%5BR%!BSS>3BW. g(+W)dnl
:8'2'2' con/#&DU0CABUBG06BBLE
Este parmetro srve para estabecer e tempo de etargo que se utzar por cada destnataro
que sobrepase e mte estabecdo por con&!>X%R65?S%5BR%!BSS>3B. De modo predefndo Sendma
no estabece tempo de etargo. En e sguente e|empo se estabecern 2 segundos de etargo
por cada destnataro rechazado por sobrepasar e mte de destnataros permtdos:
de&ine(gcon&:><%R65?%?7RI??ABW. g(W)dnl
:8'2'8' con/A0IH&CaU%L&GS
Cuando se estabece como vaor `goaway', se deshabtan varos mandatos SMTP como EXPN y
VRFY, os cuaes puderan ser utzados para revear os nombres de usuaros ocaes a un
spammer. Tambn deshabta as notfcacones de entrega, e cua es un mecansmo
comunmente utzado por quenes envan correo masvo no soctado para verfcar/confrmar a
exstenca de una cuenta actva, y hace que e sstema socte obgatoramente HELO o EHLO
356
antes de utzar e mandato MAIL. Muchos programas de utzados para envar correo masvo no
soctado n squera se moestan en utzar HELO o EHLO. De modo predefndo os vaores de
confPRIVACY_FLAGS son `authwarnngs,novrfy,noexpn,restrctqrun', cambe por o sguente:
de&ine(gcon&5R4@>6K%DA>3SW.ggoawa$W)dnl
:8'2'9' con/?&FUGE&DE0SULENGBG
Est parmetro se utza para defnr e tamao mxmo permtdo para a cabecera de un
mensa|e en bytes. Agunos programas utzados para envar spam tratan de mpedr que os MTA
puedan regstrar transaccones generando cabeceras muy grandes.
Lmtar e tamao de as cabeceras hace ms dfc a e|ecucn de gun que expote
vunerabdades recentes (desbordamentos de bfer) en UW IMAP, Outook y Outook Express.
La mayor parte de os mensa|es de correo eectrnco tendrn cabeceras de menos de 2 Kb (2048
bytes). Un mensa|e de correo eectrnco ordnaro, por muy exagerado que resute e tamao de
a cabecera, rara vez utzar una cabecera que sobrepase os 5 Kb o 6 Kb, es decr, de 5120 o
6144 bytes. En e sguente e|empo se mtar e tamao mxmo de a cabecera de un mensa|e a
16 Kb (requrerdo para MaScanner):
de&ine(gcon&!>X%7B><BRS%ABO3?7W. g16,'-W)dnl
E vaor sugerdo es 16 Kb (16384 bytes). Aumente o dsmnuya e vaor a su dscresn.
:8'2':' con/?&FU?ESS&GEUSIbE
Este parmetro srve para especfcar e tamao mxmo permtdo para un mensa|e de correo
eectrnco en bytes. Puede especfcarse o que e admnstrador consdera apropado. En e
sguente e|empo se mtar e tamao mxmo de un mensa|e a 3 MB:
de&ine(gcon&!>X%!BSS>3B%S4;BW. g,1-*)('W)dnl
:8'2';' con/?&FUD&E?6NUCGILD0EN
Este parmetro srve para especfcar cuantos procesos h|os se permtrn smutneamente en e
servdor de correo. De modo predefndo sendma no estabece mtes para este parmetro. S se
sobre pasa e mte de conexones smutneas, e resto sern demoradas hasta que se termnen
as conexones exstentes y de|en ugar para nuevas conexones. En e sguente e|empo se
mtar e nmero de conexones smutneas haca e servdor a 5:
de&ine(gcon&!>X%<>B!IO%674A<RBOW. g*W)dnl
:8'2'<' con/C6NNECBI6NU0&BEUBG06BBLE
Este parmetro srve para estabecer e numero de conexones mxmas por segundo. De modo
predefndo sendma no estabece mtes para este parmetro. En e sguente e|empo se mtar
a 4 conexones por segundo:
de&ine(gcon&6IOOB6?4IO%R>?B%?7RI??ABW. g-W)dnl
357
:9' Cmo con/i2urar Sendmail * Dovecot con
soporte SSL/BLS'
:9'!' Introduccin'
Este documento requere a ectura y comprensn preva de os sguentes temas:
Confguracn bsca de Sendma.
:9'!'!' &cerca de DS&'
DS& (Dgta Sgnature &gorthm o Agortmo de Frma dgta) es un agortmo creado por e NIST
(Natona Insttute of Standards and Bechnoogy o Insttuto Nacona de Normas y Tecnooga de
EE.UU.), pubcado e 30 de agosto de 1991, como propuesta para e proceso de frmas dgtaes.
Se utza para frmar nformacn, ms no para cfrar sta.
URL: http://es.wkpeda.org/wk/DSA
:9'!'2' &cerca de 0S&'
agortmo para e cfrado de caves pbcas que fue pubcado en 1977, patentado en EE.UU. en
1983 por e e Insttuto Tecnogco de Mchgan (?IB). 0S& es utzado ampamente en todo e
mundo para os protocoos destnados para e comerco eectrnco.
:9'!'8' &cerca de F':0'
358
:9'!'9' &cerca de 6penSSL'
:9'2' Arocedimientos'
A fn de mantener certa organzacn, es convenente crear un drectoro especfco para
amacenar e certfcado de servdor. Iguamente, por motivos de se2uridad, debe ser
soamente accesbe para e usuaro root.
mkdir =m +)++ /etc/ssl/mi(ominio.or*
cd /etc/ssl/mi(ominio.or*
:9'2'!' Sendmail'
:9'2'!'!' Generando clave * certi/icado'
Sendmail requere una ave creada con agortmo DS& de 1024 octetos. Para ta fn, se crea
prmero un fchero de parmetros DS&:
openssl dsaparam 1+(- =out dsa1+(-8pem
A contnuacn, se utza este fchero de parmetros DS& para crear una ave con agortmo DS&
y estructura x:0, as como tambn e correspondente certfcado. En e e|empo a contnuacn,
se estabece una vadez por 730 das (dos aos) para e certfcado creado.
openssl re0 =x*+/ =nodes =newke$ dsa2dsa1+(-8pem N
=da$s ),+ =out sen(m'il.)r =ke$out sen(m'il.-ey
Estado o provnca.
Cudad.
359
Undad o seccn.
Nombre de anftrn.
Dreccn de correo.
3enerating a 1+(- bit <S> private ke$
writing new private ke$ to Wsendmail8ke$W
=====
Chat $ou are about to enter is what is called a <istinguished Oame
or a <O8
=====
Irgani"ational #nit Oame (eg. section) EF2Tire))ion Comer)i'l
mi(ominio.or*
Bmail >ddress EF2webm'serMmi(ominio.or*
E certfcado soo ser vdo cuando e servdor de correo eectrnco sea nvocado con e nombre
defndo en e campo Common Name. Es decr, soo podr utzaro cuando se defna
midominio'or2 como servdor S?BA con soporte BLS. No funconar s se nvoca a servdor
como, por menconar un e|empo, mail'midominio'or2.
A termnar, ya no ser necesaro conservar e fchero dsa!029'pem, msmo que puede
emnarse con pena segurdad.
rm =& dsa1+(-8pem
Es ndspensabe que todos os fcheros de caves y certfcados tengan permsos de acceso de
soo ectura para e usuaro root:
chmod -++ /etc/ssl/mi(ominio.or*/sendmail8M
:9'2'!'2' Aar@metros de /etc/mail/sendmail'mc'
Es necesaro confgurar os sguente parmetros en e fchero
/etc/ma/sendma.mc a fn de que Sendma utce a cave y certfcado recn creados:
de&ine(gcon&6>6BR?%5>?7W.g/etc/ssl/midominio8orgW)
de&ine(gcon&6>6BR?W.g/etc/ssl/midominio8org/sendmail8crtW)
de&ine(gcon&SBR@BR%6BR?W.g/etc/ssl/midominio8org/sendmail8crtW)
de&ine(gcon&SBR@BR%9BKW.g/etc/ssl/midominio8org/sendmail8ke$W)
360
Soo resta actvar e puerto que ser utzado para SMTPS (465 por TCP).
<>B!IO%I5?4IOS(g5ortHsmtps. OameH?AS!?>. !HsW)dnl
E acceso cfrado con TLS es opcona s se reazan conexones a travs de puerto 25, y
obgatoro s se hacen a travs de puerto 465. E puerto 587 (submsson), puede ser tambn
utzado para envo de correo eectrnco. Por estndar se utza como puerto aternatvo en os
casos donde un cortafuegos mpde a os usuaros acceder haca servdores de correo traba|ando
por puerto 25. MS Outook Express no tene soporte para usar TLS a travs de puerto 587, pero e
resto de os centes de correo eectrnco con soporte TLS s.
<>B!IO%I5?4IOS(g5ortHsubmission. OameH!S>. !HBaW)dnl
A fn de que surtan efecto os cambos, es necesaro rencar e servco sendma.
:9'2'!'8' Comprobacin'
Reace una conexn con telnet a puerto 25 de sstema. Ingrese e mandato EGL6. La sada
deber devover, entre todas as funcones de servdor, una nea que ndca SB&0BBLS. La sada
puede ser smar a a sguente:
telnet 1()8+8+81 (*
B7AI midominio8org
?r$ing 1()8+8+81888
6onnected to 1()8+8+818
((+ midominio8org BS!?5 Sendmail '81,81/'81,81X !on. ( Ict (++6 1,21'2+( =+*++
ehlo midominio8org
(*+=midominio8org 7ello localhost8localdomain E1()8+8+81F. pleased to meet $ou
(*+=BO7>O6B<S?>?#S6I<BS
(*+=545BA4O4O3
(*+=':4?!4!B
(*+=S4;B
(*+=<SO
(*+=B?RO
(*+=>#?7 AI34O 5A>4O
250$"@8B@@7"
(*+=<BA4@BR:K
(*+ 7BA5
A reazar a confguracn de cente de correo eectrnco, deber especfcarse conexn por
TLS. Tras aceptar e certfcado, deber ser posbe autentcar, con nombre de usuaro y cave de
acceso, y envar correo eectrnco.
:9'2'2' Dovecot'
:9'2'2'!' Generando clave * certi/icado'
La creacn de a ave y certfcado para Dovecot es ms smpe, pero requere utzar una cave
con agortmo 0S& de 1024 octetos, con estructura F':0. En e e|empo a contnuacn, se
estabece una vadez por 730 das (dos aos) para e certfcado creado.
361
openssl re0 =x*+/ =nodes =newke$ rsa21+(- N
=da$s ),+ =out dovecot8crt =ke$out dovecot8ke$
De forma smar a como ocurr con Sendmail, o anteror soctar se ngresen varos datos:
Estado o provnca.
Cudad.
Undad o seccn.
Nombre de anftrn.
Dreccn de correo.
3enerating a 1+(- bit RS> private ke$
8888888888888888LLLLLL
8LLLLLL
writing new private ke$ to Wdovecot8ke$W
=====
or a <O8
=====
mi(ominio.or*
E certfcado soo ser vdo cuando e servdor de correo eectrnco sea nvocado con e nombre
defndo en e campo Common Name. Es decr, soo podr utzaro cuando se defna
midominio'or2 como servdor A6A8 o I?&A con soporte BLS. No funconar s se nvoca a
servdor como, por menconar un e|empo, mail'midominio'or2.
soo ectura para e usuaro root:
chmod -++ /etc/ssl/mi(ominio.or*/dovecot8M
:9'2'2'2' Aar@metros de /etc/dovecot'con/'
En e parmetro protocols, se actvan todos os servcos (map, maps, pop3 y pop3s).
protocols H imap imaps pop, pop,s
362
De modo predetermnado, e soporte SSL de Dovecot est actvo. Verfque que e parmetro
sslUdisable tenga e vaor no, o ben soo est comentado.
Gssl%disable H no
Y se especfcan as rutas de certfcado y cave a travs de os parmetros sslUcertU/ile y
sslULe*U/ile, de sguente modo:
ssl%cert%&ile H /etc/ssl/midominio8org/dovecot8crt
ssl%ke$%&ile H /etc/ssl/midominio8org/dovecot8ke$
A fn de que surtan efecto os cambos, es necesaro rencar e servco dovecot.
service dovecot restart
:9'2'2'8' Comprobacin'
Utce cuaquer cente de correo eectrnco con soporte para TLS y confgure ste para
conectarse haca e sstema a travs de I?&AS (puerto 993) o ben A6A8S (puerto 995). Tras
aceptar e certfcado de servdor, e sstema deber permtr autentcar, con nombre de usuaro y
cave de acceso, y reazar a ectura de correo eectrnco.
:9'2'8' Con/i2uracin de GN6?E Evolution'
:9'2'8'!' Con/i2uracin GN6?E Evolution'
Para GNOME Evouton, a confguracn de IMAP o POP3 se reaza seeconando e tpo de
servdor, defnendo e nombre de servdor utzado para crear e certfcado, nombre de usuaro,
y usar encrptacn segura TLS.
363
Confguracn IMAP, en GNOME Evouton.
Se hace o msmo para SMTP.
364
Confguracn SMTP, GNOME Evouton.
:9'2'8'2' Con/i2uracin ?o=illa B.underbird'
Para Moza Thunderbrd, se defne e nombre de servdor utzado para crear e certfcado,
usuaro y usar conexn segura TLS.
365
Confguracn IMAP, Moza Thunderbrd.
Se hace o msmo para SMTP.
Confguracn SMTP, Moza Thunderbrd.
:9'2'9' ?odi/icaciones necesarias en el muro corta/ue2os'
366
abrr, adems de os puertos 25, 110, 143 y 587 por TCP (S?BA, A6A8, I?&A y Submission,
respectvamente), os puertos 465, 993 y 995 por TCP (S?BAS, I?&A y A6A8S,
respectvamente).
sguente:
G 5IR? 5IR?(S)1
>66B5? net &w tcp (*.11+.1-,.-6*.*').//,.//*
367
::' Cmo con/i2urar C*rus I?&A'
::'!' Introduccin'
Proyecto que do nco en 1994, en a Universidad Carne2ie ?ellon, e servdor C*rus I?&A se
dstngue de resto de os equpamentos gcos con a msma fnadad en que utza un formato
para os buzones de correo que me|ora e rendmento y escaabdad de formato ?aildir,
utzado por otros equpamentos gcos como Dovecot. Este formato amacena os datos por
partes de sstema de archvos y que soo pueden ser acceddos por e servco de C*rus I?&A.
Esto permte gestonar grandes cantdades de datos de forma efcente y con un ntrprete de
mandatos para su admnstracn. Incuye soporte para os protocoos I?&A, I?&A, A6A8 y
A6A8S, as como soporte para stas de contro de acceso y cuotas en a |erarqua de buzones.
URL: http://asg.web.cmu.edu/cyrus/mapd/
::'2' E-uipamiento l2ico necesario'
cirus1imapd: servdor I?&A, I?&A, A6A8 y A6A8S.
c*rus1imapd1utils: herramentas de admnstracn.
c*rus1sasl: servco de autentcacn.
c*rus1sasl1plain: soporte para autentcacn a travs de texto smpe.
c*rus1sasl1md:: soporte para autentcacn a travs de mtoos cfrados.
::'2'!' Instalacin a trav)s de *um'
S utza Cent6S 9 o Z.ite #ox Enterprise Linux 9, y versones posterores, soo se necesta
reazar o sguente para nstaar o actuazar e equpamento gco necesaro:
$um =$ install c$rus=imapd c$rus=imapd=utils c$rus=sasl c$rus=sasl=plain c$rus=sasl=
md*
::'2'2' Instalacin a trav)s de up2date'
up(date =i c$rus=imapd c$rus=imapd=utils c$rus=sasl c$rus=sasl=plain c$rus=sasl=md*
368
::'8' Arocedimientos'
C*rus I?&A no requere modfcar fchero aguno de confguracn. Los vaores predetermnados
permten su funconamento norma. Sn embargo, requere de agunos procedmentos adconaes
en reacn a otros equpamentos gcos.
Se debe asi2nar una clave de acceso para e usuaro admnstrador de C*rus I?&A, a fn de
mpedr accesos no autorzados a ntrprete de mandatos para admnstracn. Esto se reaza a
travs de mandato passNd, de sguente modo:
passwd c$rus
::'8'!' &lta de cuentas de usuario * asi2nacin de claves de acceso'
E ata de usuaros a travs de este mtodo ser dferente a a manera tradcona, debdo a que
para utzar e mtodo de autentcacn para acceder haca os servcos I?&A, I?&AS, A6A8 y
A6A8S, C*rus I?&A utzar S&SL. Por ta motvo, e ata de cuentas de usuaro de correo
deber de segur e sguente procedmento:
!' Ata de a cuenta de usuaro en e sstema, a cua se sugere no deber tener acceso a ntrprete
de mandato aguno:
useradd =s /sbin/nologin &ulano
2' Asgnacn de caves de acceso en e sstema para permtr autentcar a travs de os mtodos
AL&IN y L6GIN para autentcar a travs de os protocoos A6A8 e I?&A:
passwd usuario
8' Asgnacn de caves de acceso para autentcar I?&A, I?&AS, A6A8 y A6A8S a travs de
mtodos cfrados (C0&?1?D: y DIGESB1?D:) en sstemas con versn de C*rus I?&A
compada contra S&SL12 (Red Hat Enterprse Lnux 4, CentOS 4 o Whte Box Enterprse Lnux 4),
requeren utzar e mandato saslpassNd2 de sguente modo:
s'slp'ssw(2 usuario
9' Acceder haca e ntrprete de mandatos para admnstracn de C*rus I?&AD, c*radm, de
sguente modo:
c$radm =user c$rus =auth login localhost
:' Crear os buzones de correo para e usuaro a travs de ntrprete de mandatos para
admnstracn de C*rus I?&AD, c*radm, de sguente modo:
createmailbox user8usuario
Para mostrar a sta de buzones exstentes, se utza e mandato listmailbox. Para sar de
ntrprete, soo se ngresa e mandato exit
;' La autentcacn para I?&A, I?&AS, A6A8 y A6A8S a travs de cuaquer mecansmo requere se
actve e nce e servco de saslaut.d de sguente modo:
chkcon&ig saslauthd on
service saslauthd start
En e caso en que se haya decddo utzar mtodos cfrados (C0&?1?D: y DIGESB1?D:), puede
mostrarse a sta de os usuaros con cave de acceso a travs de SASL-2 utzando e mandato
sasldblistusers2. Puede mostrarse a sta de os usuaros con cave de acceso a travs de SASL-
1 utzando e mandato sasldblistusers. S ya se cuenta con un grupo de caves de acceso de
usuaros dados de ata en SASL-1, se pueden convertr haca SASL-2 con e mandato
dbconverter12.
369
::'8'2' IniciarM detener * reiniciar el servicio c*rus1imapd'
Para ncar por prmera vez e servco c*rus1imapd, utce:
/sbin/service c$rus=imapd start
Para hacer que os cambos hechos a a confguracn de servco c*rus1imapd surtan efecto,
utce:
/sbin/service c$rus=imapd restart
Para detener e servco c*rus1imapd, utce:
/sbin/service c$rus=imapd stop
::'8'8' &2re2ar el servicio c*rus1imapd al arran-ue del sistema'
Para hacer que e servco de c*rus1imapd est actvo con e sguente nco de sstema, en
todos os nvees de e|ecucn (2, 3, 4, y 5), se utza o sguente:
/sbin/chkcon&ig c$rus=imapd on
::'8'9' Inte2racin con Sendmail'
Para hacer que e correo que ega a travs de Sendmail sea amacenado en su totadad en os
buzones de C*rus I?&A a travs de L?BA (Loca ?a Bransfer Arotoco o Protocoo de
trasferenca de correo oca, descrto en e RFC 2033), es necesaro descomentar/agregar as
sguentes neas de confguracn en e fchero /etc/mail/sendmail'mc, |usto antes de
D&E?6NU6ABI6NSPjAortOsmtpM NameO?B&[Qdnl.
de&ine(gcon&AI6>A%!>4ABRW. gc$rusv(W)dnl
de&ine(g6KR#S@(%!>4ABR%>R3SW. gD4AB /var/lib/imap/socket/lmtpW)dnl
Y descomentar/agregar a sguente nea a fna de fchero /etc/mail/sendmail'mc, |usto deba|o
de ?&ILE0PprocmailQdnl.
!>4ABR(c$rusv()dnl
Tras reazado o anteror, soo se necesta rencar e servco sendmail.
::'9' Comprobaciones'
Enve un mensa|e de correo eectrnco utzando e mandato mail y estabezca una conexn
entre e cente y e servdor a travs de A6A8, como se e|empfcada a contnuacn.
6liente2
J elne 12F.0.0.1 110
370
LI9 localhost8localdomain 6$rus 5I5, v(8(81(=4nvoca=R5!=(8(81(=,8R7BA-81 server
read$8
6liente2 %":B /ul'no
Servidor2 LI9
6liente2 +8"" clave de accceso
Servidor2 LI9 Aogged in8
6liente2 "@8@
Servidor2 LI9 1 )('
6liente2 7J"@
Servidor2 LI9 1 messages2
1 )('
8
6liente2 B:@B 1
Servidor2 LI9 )(' octets
Return=5ath2 _&ulanoRlocalhost8localdomainQ
Received2 &rom localhost8localdomain (localhost8localdomain E1/(816'818(*-F)
b$ localhost8localdomain ('81,81/'81,81) with S!?5 id k(4!(R1>++,/')
&or _rootRlocalhost8localdomainQX Sat. 1' !ar (++6 162+,2(1 =+6++
<ate2 Sat. 1' !ar (++6 162+(2() =+6++
!essage=4d2 _(++6+,1'((+,8k(4!(R1>++,/')Rlocalhost8localdomainQ
Drom2 &ulanoRlocalhost8localdomain
?o2 rootRlocalhost8localdomain
Status2 I
6ontent=Aength2 -,
Aines2 (
X=#4<2 (+(
X=9e$words2
>dios8
8
6liente2 ]%J@
Servidor2 LI9 Aogging out8
Repta e procedmento, esta vez estabecendo conexn entre e cente y e servdor a travs de
I?&A, como se e|empfcada a contnuacn.
6liente2
J elne 12F.0.0.1 1G3
M I9 localhost8localdomain 6$rus 4!>5- v(8(81(=4nvoca=R5!=(8(81(=,8R7BA-81 server
read$8
LI9 dovecot read$8
6liente2 . 7!GJA /ul'no clave de acceso
Servidor2 x I9 Aogged in8
6liente2 . ":7:C@ inbo.
Servidor2 M DA>3S (N>nswered NDlagged N<eleted NSeen N<ra&t)
M I9 E5BR!>OBO?DA>3S (N>nswered NDlagged N<eleted NSeen N<ra&t NM)F Dlags permitted8
M 1 BX4S?S
M + RB6BO?
M I9 E#OSBBO 1F Dirst unseen8
M I9 E#4<@>A4<4?K 11++*6/,'(F #4<s valid
M I9 E#4<OBX? (+,F 5redicted next #4<
x I9 ERB><=CR4?BF Select completed8
6liente2 . ?:@C> 1 (/l'*s bo(y<&e'(er./iel(s (subHe))C)
Servidor2 M 1 DB?67 (DA>3S (NSeen) :I<KE7B><BR8D4BA<S (S#:aB6?)F Y,+Z
)
8
6liente2 . ?:@C> 1 (bo(y<e.C)
Servidor2 M 1 DB?67 (:I<KE?BX?F Y-*Z
371
>dios8
)
6liente2 . 7!G!%@
Servidor2 M :KB Aogging out
x I9 Aogout completed8
372
:;' Instalacin * con/i2uracin de S-uirrel?ail
Pcorreo a trav)s de inter/a= GBBA Q
:;'!' Introduccin
SqurreMa es un nteresante, extensbe, funcona y robusto sustento gco para correo y que
permte acceder a usuaro a su correo eectrnco desde e navegador de su predeccn.
SqurreMa est escrto en PHP4 y cumpe con os estndares como correo a travs de nterfaz
HTTP. Incuye su propo soporte para os protocoos IMAP y SMTP. Adems todas as pgnas se
muestran con HTML 4.0 sn a necesdad de |avaScrpt para una mxma compatbdad con
cuaquer navegador.
SqurreMa ncuye toda a funconadad deseada para un cente de correo como un robusto
soporte MIME, breta de dreccones y admnstracn de carpetas.
:;'2' Arocedimientos
:;'2'!' Instalacin del sustento l2ico necesario
$um =$ install s0uirrelmail httpd
:;'2'2' Con/i2uracin de S-uirrel?ail'
Cambe a drectoro /usr/s.are/s-uirrelmail/con/i2/ y e|ecute e gun de confguracn que se
encuentra en e nteror:
cd /usr/share/s0uirrelmail/con&ig/
8/con&8pl
Lo anteror e devover una nterfaz de texto muy smpe de utzar, como a mostrada a
contnuacn:
373
S0uirrel!ail 6on&iguration 2 Read2 con&ig8php (18-8,)
=========================================================
!ain !enu ==
18 Irgani"ation 5re&erences
(8 Server Settings
,8 Dolder <e&aults
-8 3eneral Iptions
*8 ?hemes
68 >ddress :ooks (A<>5)
)8 !essage o& the <a$ (!I?<)
'8 5lugins
/8 <atabase
<8 Set pre=de&ined settings &or speci&ic 4!>5 servers
68 ?urn color on
S Save data
h huit
6ommand QQ
Ingrese haca as preferencas de a organzacn y defna e nombre de a empresa, e ogotpo y
sus dmensones, E mensa|e en a barra de ttuo de a ventana de navegador, e doma a utzar,
URL y e ttuo de a pgna prncpa de servdor de red.
=========================================================
Irgani"ation 5re&erences
18 Irgani"ation Oame 2 B'5Pn_"o)i'l_(e_su_empres'
(8 Irgani"ation Aogo 2 88/images/sm%logo8png
,8 Irg8 Aogo Cidth/7eight 2 (,+'/111)
-8 Irgani"ation ?itle 2 9ienveni(o 'l Uebm'il (e "u_empres'.
*8 Signout 5age 2
68 <e&ault Aanguage 2 es_:"
)8 ?op Drame 2 %top
'8 5rovider link 2 &p2//url_(e_su_empres'/
/8 5rovider name 2 Aombre_(e_su_emrpes'
R Return to !ain !enu
68 ?urn color on
S Save data
h huit
6ommand QQ
En as opcones de servdores defna soamente e domno a utzar. S e servdor de correo va a
coexstr en e msmo sstema con e servdor HTTP, no har fata modfcar ms en esta seccn.
S o desea, puede especfcar otro servdor SMTP e IMAP ocazados en otro equpo.
374
=========================================================
Server Settings
3eneral
=======
1. Tom'in 2 su$(ominio.or*
(8 4nvert ?ime 2 &alse
,8 Sendmail or S!?5 2 Sendmail

>8 #pdate 4!>5 Settings 2 localhost21-, (uw)
:8 6hange Sendmail 6on&ig 2 /usr/sbin/sendmail

68 ?urn color on
S Save data
h huit
6ommand QQ
En as opcones de as carpetas cambe Trash por Papeera, Sent por Envados y Drafts por
Borradores.
=========================================================
Dolder <e&aults
18 <e&ault Dolder 5re&ix 2 mail/
(8 Show Dolder 5re&ix Iption 2 true
3. @r's& ?ol(er 2 +'peler'
G. "en ?ol(er 2 :nvi'(os
5. Tr'/s ?ol(er 2 9orr'(ores
68 :$ de&ault. move to trash 2 true
)8 :$ de&ault. move to sent 2 true
'8 :$ de&ault. save as dra&t 2 true
/8 Aist Special Dolders Dirst 2 true
1+8 Show Special Dolders 6olor 2 true
118 >uto Bxpunge 2 true
1(8 <e&ault Sub8 o& 4O:IX 2 true
1,8 Show W6ontain Sub8W Iption 2 &alse
1-8 <e&ault #nseen Ooti&$ 2 (
1*8 <e&ault #nseen ?$pe 2 1
168 >uto 6reate Special Dolders 2 true
1)8 Dolder <elete :$passes ?rash 2 &alse
1'8 Bnable /OoSelect &older &ix 2 &alse

68 ?urn color on
S Save data
h huit
6ommand QQ
Fnamente esco|a y habte as extensones (pug-ns) que consdere apropados para sus
necesdades:
375
=========================================================
5lugins
4nstalled 5lugins
1. (elee_move_ne.
2. s;uirrelspell
3. newm'il
G. )'len('r
5. /ilers
6. m'il_/e)&
F. r'nsl'e
#. 'boo-_'-e
9. mess'*e_(e'ils
10. sen_sub/ol(ers
>vailable 5lugins2
118 administrator
1(8 bug%report
1,8 in&o
1-8 listcommands
1*8 spamcop
168 &ortune

68 ?urn color on
S Save data
h huit
6ommand QQ
Guarde os cambos pusando a teca S y uego a teca Enter.
:;'8' %inali=ando con/i2uracin
Actve, s no o ha hecho an, e servco de IMAP. S utza Red Hat Enterprse Lnux 4, CentOS
4.0 o Whte Box Enterprse Lnux 4. E paquete map es reempazado por dovecot, e cua funcona
como otros servcos. Se debe modfcar e fchero /etc/dovecot'con/ y asegurarse que estn
habtados os servcos de map (de modo predefndo so debe estar habtado map):
protocols H imap pop,
E servco se agrega a arranque de sstema y se ncaza de sguente modo:
chkcon&ig dovecot on
service dovecot start
S utza Red Hat Enterprse Lnux 3, CentOS 3.0 o Whte Box Enterprse Lnux 3, e
procedmento utzar e paquete map, e cua so requere un smpe mandato para actvar e
servco.
chkcon&ig imap on
Rence o nce e servco de apache:
service httpd start
376
Acceda con e navegador de su predeccn haca .ttp3//!2<'0'0'!/Nebmail/.
elinks &p2//12F.0.0.1/webm'il/
:;'9' &4ustes en p.p'ini para optimi=ar el uso de S-uirrelmail
A contnuacn agunos a|ustes tes para e fchero /etc/p.p'ini que pueden resover agunos
probemas comunes a utzar Squrrema.
Un servdor de red combnado con servco de correo y otras apcacones utza muchos recursos
de sstema, y s se estn e|ecutando adems varas apcacones PHP smutneamente, es norma
que se tengan probemas a exceder e mte de memora para a e|ecucn de un gun.
Habr que aumentar e RAM en agunos servdores en partcuar s modfca os mtes actuaes.
Por defecto PHP so utce 8 MB para a e|ecucn de guones PHP:
memor$%limit H '!
post%max%si"e H '!
Se pueden cambar esos vaores en e fchero /etc/p.p'ini por unos geramente mayores PcAor
/avorM N6 &#US&0dQ' Utce 9 o 10 MB.
memor$%limit H 1+!
post%max%si"e H 1+!
Consutar http://www.squrrema.org/wk/en_US/LowMemoryProbem para mayores detaes a
respecto. Hay otro parmetro que seguramente agunos van a cuestonar a cuestonar: por
defecto PHP que so permte subr un mxmo de 2 MB. Por ende, Squrrema so permtr subr
no ms de 2 MB en os ad|untos. Basta con modfcar e fchero /etc/p.p'ini y cambar:
upload%max%&ilesi"e H (!
Por ago como:
upload%max%&ilesi"e H -!
Adconamente postUmaxUsi=e defne e tamao mxmo para una pubcacn. S se quere subr
ob|etos grandes, debe defnrse con un vaor geramente mayor que uploadUmaxU/ile. E vaor
por defecto es 8M y puede ser ms que sufcente, aunque 10 MB puede ser ago apropado.
post%max%si"e H 1+!
Ms detaes en http://www.squrrema.org/wk/en_US/AttachmentSze.
Respecto a as mgenes ncudas en os mensa|es, desde as preferencas para cada cuenta en
Squrrema se confguran as opcones para actvaras y poderas ver. S as mgenes no est@n
incluidas en e msmo mensa|e y se vncuan desde stos externos, por defecto no se cargan
A60 ?6BIH6S SEGU0ID&D. Cargar una magen externa puede servr a un spammer para
confrmar que aguen a ha edo su mensa|e desde una cuenta actva o ben puede hacer que e
usuaro acceda haca y e|ecute cdgo macoso. Consutar
377
http://www.squrrema.org/wk/en_US/UnsafeImages antes de ngresar e compemento que
permte ver mgenes nseguras: http://www.squrrema.org/pugn_vew.php?d=98.
378
:<' Cmo instalar Group6//ice en Cent6S'
:<'!' (Du) es Group 6//ice+
Es un con|unto Group1are que puede a|ustarse a un ampo rango de audenca. Ofrece muchas
funcones que son mportantes para cuaquer empresa. Es amstoso con e usuaro y se combna
con funcones poderosas. Se desarro con os sguentes conceptos en mente:
Helocidad: A dferenca de otras aternatvas que son pesadas para e sstema y requeren
servdores de gran capacdad, Group 6//ice est dseado para ser gero y traba|ar tan rpdo
como sea posbe sn sacrfcar funconadad (utza A|AX).
Simplicidad: La nterfaz de usuaro est dseada para ser ntutva de modo que os usuaros
pueden encontrar fcmente as funcones que necesten, sn sacrfcar funconadad.
?odularidad: Es fc de actuazar gracas a su buen dseo de cdgo. Actuazar no es un
cavaro.
Escalabilidad: Est dseado para ser utzado por uno o por mes de usuaros.
Nota3 CentOS 5 y Red Hat Enterprse Lnux 5 soo pueden utzar hasta a versn 2.18.STABLE21,
debdo a que estos sstemas operatvos ncuyen a versn 5.1.6 de PHP. Las versones posterores
de GroupOffce (3.00, 3.01 y 3.02) requeren PHP 5.2, que ofcamente carece de soporte para
CentOS 5 y Red Hat Enterprse Lnux. La versn 2.18.STABLE21 es sumamente funcona y es
dea para pequeas y medanas empresas. Se recomenda mpementar en servdores con uno o
dos mcroprocesadores con a menos 1 GB RAM para atender cmodamente hasta 25 usuaros, 2
GB RAM para hasta 50 usuaros y 4 GB RAM para hasta 100 usuaros.
Group 6//ice es un muy competo sstema nformtco coaboratvo (Group1are), en modadad
HTTP, que ncuye un sstema base y dferentes mduos. stos tmos estn dseados de a
forma en que os grupos de personas pueden coaborar en nea. Incuye como funcones a
379
calendarios, libretas de direcciones, 2estor de pro*ectos, 2estor de /ic.eros y correo
electrnico. Los usuaros soo necestan utzar cuaquer navegador grfco para acceder a su
Group1are desde cuaquer parte de mundo. Combnado con un servdor GNU/Lnux ben
confgurado, es una solucin completa para as pequeas y medanas empresas.
Sguendo os procedmentos de este documento, es posbe mpementar fcmente una
apcacn coaboratva (GroupNare) en menos de 5 mnutos.
:<'2' E-uipamiento l2ico necesario'
:<'2'!' Con/i2uracin de depsitos aU? para Cent6S : * 0ed Gat
Enterprise Linux :'
Se pueden utzar e sguente depsto YUM para a pataforma Enterprse Lnux 5.
E>A=ServerF
nameHBnterprise Ainux Jreleasever = Jbasearch = >A Server
Instaar e paquete prncpa y e paquete de nstaacn utzando e sguente mandato:
$um =$ install groupo&&ice groupo&&ice=install
:<'8' Arocedimientos'
1) Crear una base de datos en MySOL
380
m$s0ladmin =p create groupo&&ice
2) Otorgar prvegos a a nueva base de datos con un usuaro y cave de acceso de a sguente
manera:
m$s0l =p
Q 3R>O? all
Q IO groupo&&ice8M
Q ?I groupo&&iceRlocalhost
Q 4<BO?4D4B< :K Wclave=de=accesoWX
Q exitX
Lo anteror tambn permtr reazar conexones remotas a MySOL desde cuaquer ubcacn.
3) Confgurar sudo para que e usuaro apac.e pueda e|ecutar os mandatos
/usr/sbin/c.passNd, /usr/bin/-uota y /usr/sbin/ed-uota, as como tambn os fcheros
/usr/s.are/2roupo//ice/action'p.p y /usr/s.are/2roupo//ice/modules/email/account'p.p.
E|ecute e sguente mandato:
visudo
Y a fna de a confguracn se aade:
apache >AAHOI5>SSC<2 /usr/sbin/chpasswd
apache >AAHOI5>SSC<2 /usr/bin/0uota
apache >AAHOI5>SSC<2 /usr/sbin/ed0uota
apache >AAHOI5>SSC<2 /usr/share/groupo&&ice/action8php
apache >AAHOI5>SSC<2 /usr/share/groupo&&ice/modules/email/account8php
apache >AAHOI5>SSC<2 /usr/sbin/useradd
apache >AAHOI5>SSC<2 /usr/sbin/userdel
Se debe conceder acceso a ntrprete de mandatos a usuaro apache, utzado por Apache:
usermod =s /bin/bash apache
4) Confgurar potcas y contextos de SELnux, cuando est habtado. E drectoro
/etc/2roupo//ice/ varos fcheros de confguracn, os cuaes se requere se es asgne contexto
para que se e consdere como contendo HTTP a fn de que SELnux permta escrbr sobre
/etc/2roupo//ice/con/i2'p.p a momento de crear a confguracn y acceder haca otras
confguracones. E|ecute e sguente mandato:
chcon =R =t httpd%s$s%content%t /etc/groupo&&ice/
Tambn es necesaro cambar recursvamente e contexto os drectoros
/usr/s.are/2roupo//ice y /var/lib/2roupo//ice/ a fn de que SELnux consdere a este, y sus
sub-drectoros, como contendo HTTP a fn de permtr de e|ecucn de PHP en e prmero y crear
carpetas y amacenar contendos en e caso segundo. E|ecute os sguentes mandatos:
chcon =R =t httpd%s$s%content%t /var/lib/groupo&&ice
chcon =R =t httpd%s$s%content%t /usr/share/groupo&&ice
Utzando o anteror se puede nstaar y traba|ar con Group6//ice sn necesdad aguna de
381
desactvar o cambar a modo permsvo a SELnux, y sn actvar as potcas .ttpdUdisableUtrans
n m*s-ldUdisableUtrans, as cuaes desactvan a proteccn de SELnux para os servcos
.ttpd y m*s-ld correspondentemente.
S e servdor MySOL se encuentras en un servdor dstnto, es necesaro estabecer as potcas
.ttpdUcanUnetNorLUconnect y .ttpdUcanUnetNorLUconnectUdb para que SELnux permta a
servdor .ttpd estabecer conexones haca servdores remotos. E|ecute os sguentes mandatos:
setsebool =5 httpd%can%network%connect 1
setsebool =5 httpd%can%network%connect%db 1
5) Recargar e servco httpd:
service httpd reload
6) Acceder haca !ttp233111.dominio.al%o3%roupoffice3install3install.p!p y confgurar ncamente
os datos de a base de datos y e usuaro y a cave de acceso requerdos, as como os datos
regonaes como pas, moneda y uso horaro. En e resto de as pantaas se puede dar cc en os
botones de "ontinue (contnuar) sn necesdad de reazar cambo aguno, puesto que todo lo
necesario *a viene previamente con/i2urado en el pa-uete 0A?, excepto os prvegos de
acceso a as herramentas.
382
:<'8'!' &4ustes posteriores a la instalacin'
:<'8'!'!' Correccin del mdulo %ic.eros'
De ser necesaro, hay que corregr nstaacn de mduo de %ic.eros. Este se nstaa
ncorrectamente en agunos casos, por o que es necesaro crear manuamente as tabas en a
base de datos.
cd /usr/share/groupo&&ice/modules/&iles$stem/s0l/
m$s0l =p groupo&&ice _ &iles$stem8install8s0l
:<'8'!'2' ?odi/icaciones a la con/i2uracin en el /ic.ero
/etc/2roupo//ice/con/i2'p.p'
S se edta e parmetro re2isterUmodulesUNrite de fchero /etc/2roupo//ice/con/i2'p.p, y se
coocan os vaores ema, caendar, addressbook, todos, pro|ects, cms, fesystem, summary y
notes de sguente modo, os usuaros que se regstren a partr de ese momento, tendrn
actvadas as funcones de correo eectrnco, caendaro, breta de dreccones, tareas, CMS,
fcheros, proyectos, resumen y notas.
Jcon&igEWregister%modules%writeWFHWemail.calendar.addressbook.summar$.notesWX
S se actva a funcn alloNUre2istration de sguente modo, os usuaros podrn regstrarse
desde a pantaa de autentcacn (requere que e admnstrador actve as cuentas):
Jcon&igEWallow%registrationWFHtrueX
Lo anteror tambn se puede confgurar vovendo a acceder a a nterfaz de nstaacn en
383
!ttp233111.dominio.al%o3%roupoffice3install3install.p!p, msma que permtr en todo momento
reazar cambos.
S se ha concudo con os a|ustes de a confguracn, por segurdad, es mportante desnstaar e
paquete groupoffce-nsta, msmo que ser nnecesaro en o sucesvo, savo que, como se
mencona arrba, se requera modfcar desde nterfaz HTTP a confguracn de acceso haca a
base de datos o cambar cuaquera de os datos sumnstrados durante e procedmento de
nstaacn.
rpm =e groupo&&ice=install
:<'8'!'8' In2resando como administrador'
Se puede ngresar a GroupOffce como admnstrador desde a pantaa de ngreso en
!ttp233111.dominio.al%o3%roupoffice3 como e usuaro admin y a cave de acceso admin, todo en
mnscuas.
Pantaa de ngreso de GroupOffce.
Hecho o anteror, se podr personazar y dar de ata en e Group1are a os usuaros, os cuaes
deben exstr prevamente en e servdor como cuentas reguares de usuaro de correo eectrnco.
Para dar de ata os usuaros se hace cc en e cono de men de admnstracn y uego en e
cono Usuarios.
384
Lsta de usuaros. Desde esta nterfaz se dan de ata os usuaros.
Las herramentas admnstratvas permten hacer respados dea base de datos y verfcar
ntegrdad de os datos.
385
Tambn permte nstaar otros compementos y desactvar os compementos que se consdere
nnecesaros.
:<'8'!'9' In2resando como usuario re2ular'
Cuando se ngrese como usuaro reguar y se de de ata a cuenta de correo eectrnco de ste,
es mportante reenar a casa No validar el certi/icado, savo que se cuente con un certfcado
vadado por Herisi2n y s ste est confgurado en e servdor IMAP. Puede darse de ata ms de
una cuenta IMAP.
Ventana de confguracn de cuenta de correo eectrnco de usuaro.
La ventana para crear un nuevo mensa|e tene sufcentes funcones para cubrr as necesdades
de a mayora de os usuaros. Permte envar corre eectrnco en formato de texto smpe y en
formato HTML, guardar mensa|es como borrador, estabecer prordad y soctar confrmacn de
ectura a destnataro.
386
Ventana de confguracn de cuenta de correo eectrnco de usuaro.
Para compartr a breta de dreccones o e caendaro con otros usuaros, hacer cc en os conos
de cuaquera de stos, uego hacer cc en e cono &dministrar, seecconar y hacer dobe cc
sobre a entrada de a breta de dreccones o caendaro de usuaro, segn sea e caso.
Defnendo permsos de ectura en a breta de dreccones.
Luego se hace cc en a pestaa de Leer permisos o Escribir permisos. Desde esta nterfaz se
pueden aadr usuaros a quenes se es comparte a breta de dreccones o caendaro con
permsos de soo ectura o permsos de ectura y escrtura.
387
Aadendo usuaros con permso de ectura en e mduo Libreta de Direcciones.
Para compartr a carpeta de mduo %ic.eros con otros usuaros, se debe hacer cc en e cono
%ic.eros, uego hacer cc en e cono &dministrar, y en esta nterfaz habtar a casa de
&ctivar comparticinen e mduo %ic.eros.
Actvando compartcn en carpeta de mduo %ic.eros.
Para defnr os usuaros a quenes se comparte a carpeta, se hace cc en as pestaas de
Aermisos leer o Aermisos escribir de a msma forma en que se hace para os mduos de
Calendario o Libreta de direcciones.
Aadendo usuaros con permso de ectura y escrtura en e mduo %ic.eros.
388
389
:>' &p)ndice3 Enviar correo a todos los
usuarios del sistema
:>'!' Arocedimientos
1. Lo prmero ser generar un fchero en e sstema, e cua tendr como contendo una sta
de os usuaros de sstema a os que se quere envar un mensa|e. ste puede ocazarse
en cuaquer ugar de sstema, como por e|empo /etc/mail/allusers. Puede edtarse e
fchero /etc/mail/allusers y aadr ndvduamente cada usuaro que se desee conforme
esa sta o ben, s se quere aadr a todos os usuaros de sstema, e|ecutar o sguente:
awk =D2 WJ, Q *++ Y print J1 ZW /etc/passwd Q /etc/mail/allusers
2. A contnuacn, debe modfcarse e fchero /etc/aliases y aadr a fna de msmo:
allusers2 2include2/etc/mail/allusers
1. A termnar so debe e|ecutarse e mandato newaliases o ben rencar e servco de
Sendma (e gun de nco se encarga de hacer todo o necesaro).
3. Para probar, bastar con envar un mensa|e de correo eectrnco a a cuenta allusers de
servdor.
:>'2' &cerca de la se2uridad
Evte a toda costa utzar allusers o paabras muy obvas como aas de correo para envar a
todas as cuentas. Seguramente quenes se dedcan a envar correo masvo no soctado o correo
chatarra (-pam), tratarn de envar correo a este aas en e servdor. No es facte e traba|o a
esas personas y trate de utzar un aas ofuscado o en cave. E|empo: QjjLRsjeiQRJ.
390
:' Cmo instalar * con/i2urar el pro2rama
vacation para responder avisos autom@ticos en
vacaciones'
:'!' Intruccin'
Hacation es un pequeo pero t programa que permte confgurar cuentas de correo eectrnco
para que respondan automtcamente con un mensa|e que ndca que e usuaro se encuentra de
vacacones.
:'2' E-uipamiento l2ico necesario'
:'2'!' Instalacin a trav)s de *um'
Proceda a confgurar e depsto YUM de Acance Lbre que ncuye e paquete modfcado de squd
con soporte para dreccones MAC:
cd /etc/$um8repos8d/
wget =O http2//www8alcancelibre8org/al/server/>A=Server8repo
cd =
$um =$ install vacation
:'2'2' Instalacin a trav)s de up2date'
Edte e fchero /etc/s*scon/i2/r.n/sources.
vim /etc/s$scon&ig/rhn/sources
Aada e sguente contendo.
$um >A=Server http2//www8alcancelibre8org/al/server/-/
391
up(date =i vacation
:'8' Arocedimientos'
Es ndspensabe que e usuaro tenga acceso a ntrprete de mandatos a fn de poder utzar e
programa vacation. Asgne como ntrprete de mandatos /bin/bas. o ben /bin/s. a usuaro:
usermod =s /bin/bash usuario
Cambe a a sesn de usuaro:
su =l usuario
Utce vm para crear e fchero W/'vacation'ms2:
vim S/8vacation8msg
Puse a teca Insert.
Cooque dentro de fchero un contendo smar a sguente, evtando utzar acentos y a etra :
Sub1ect2 Bsto$ de vacaciones8
Drom2 como se llame _usuaarioRmi=dominio8com8mxQ
Repl$=?o2 como se llame _usuaarioRmi=dominio8com8mxQ
:uen dia. por el momento no me encuentro en la o&icina. esto$ de regreso el
proximo << de !!!! de >>>>8
Reciba un cordial saludo8
>tentamente
Aic8 como se llame
OI?>2 !ensa1e MintencionalmenteM enviado sin acentos8
Puse a teca Esc, guarde cambos y saga de vm pusando a combnacn de tecas 3x y uego a
teca = (ENBE0).
Utce vm para crear e fchero W/'/orNard:
vim S/8&orward
Puse a teca Insert.
Aada e sguente contendo, tomando en cuenta que a omsn de a barra nvertda (\) a nco
har que e programa vacation fae rremedabemente:
Nusuario. V]/usr/bin/vacation usuarioV
teca = (ENBE0).
392
Cambe os permsos de fchero para que soo permtan a ectura y escrtura a usuaro
propetaro de ste.
chmod 6++ S/8&orward
Como usuaro e|ecute e sguente mandato, a fn de ncar e programa.
vacation =4
Saga de a sesn de usuaro.
exit
A partr de este momento, todo e correo eectrnco que se env a a cuenta de usuaro, ser
responddo automtcamente con un avso que ncur e texto defndo en e fchero
/.ome/usuario/'vacation'ms2.
Para desactvar e programa, soo es necesaro ngresar nuevamente a sstema como root y
emnar o renombrar e fchero /.ome/usuario/'/orNard.
mv /home/usuario/8&orward /home/usuario/8&orward8old
Y defnr de nuevo /dev/null, /bin//alse o /sbin/nolo2in como ntrprete de mandatos para e
usuaro.
usermod =s /sbin/nologin usuario
393
;0' Cmo con/i2urar clamav1milter'
;0'!' Introduccin'
;0'!'!' &cerca de clamav1milter'
Clamav1milter es un componente para aadr (Alu21in) para a bboteca de ftros de correo
(libmilter) de Sendmail, que se encarga de hacer pasar todo e correo entrante, ncuyendo todo
o que se recba a travs de rmail/UUCA, a travs de Clam&H, que a su vez es un poderoso y
robusto motor, con cencamento bre, para a deteccn de gusanos, troyanos y vrus. Verfca e
correo eectrnco durante a conexn con e servdor de correo que remte ste utmo, y o
rechaza automtcamente s ste ncuye agn gusanos, troyanos o vrus.
A gua que camav-mter, e cua es utzado para a ftracn de Spam, representa una
exceente aternatva pues tene un ba|o consumo de recursos de sstema, hacndoo dneo para
servdores con sustento fsco obsoeto, o donde otras apcacones tene mayor prordad en a
utzacn de recursos de sstema.
URL: http://www.camav.net/
;0'!'2' &cerca de Clam&H'
Clam&H tene as sguente caracterstcas:
Dstrbudo ba|o os trmnos de a Lcenca Pubca Genera GNU versn 2.
Cumpe con as especfcacones de fama de estndares A6SIF (Aortabe 6peratng System
Interface for UNIF o nterfaz portabe de sstema operatvo para Unx).
Exporacn rpda.
Detecta ms de 44 m vrus, gusanos y troyanos, ncuyendo vrus para MS Offce.
Capacdad para examnar contendo de fcheros ZIP, RAR, Tar, Gzp, Bzp2, MS OLE2, MS Cabnet,
MS CHM y MS SZDD.
Soporte para exporar fcheros comprmdos con UPX, FSG y Pette.
Avanzada herramenta de actuazacn con soporte para frmas dgtaes y consutas basadas
sobre DNS.
URL: http://www.camav.net/
;0'2' E-uipamiento l2ico necesario'
sendma (prevamente confgurado) sendma-cf
394
make m4
camav camav-mter
;0'2'!' Instalacin a trav)s de *um'
S dspone de un servdor con Cent6S 9 y :, 0ed Gate Enterprise Linux : o Z.ite #ox
Enterprise Linux 9 y :, puede utzar e e depsto yum de &lcance Libre para servdores en
produccn:
E>A=ServerF
gpgcheckH1
La nstaacn soo requere utzar o sguente:
$um =$ install clamav=milter clamav=milter=s$sv clamav=data=empt$ clamav=update
;0'8' Arocedimientos'
;0'8'!' SELinux * el servicio clamav1milter'
Para que SELnux permta a servco clamav1milter funconar normamente y que permta
reazar a revsn de correo eectrnco, utce e sguente mandato:
setsebool =5 clamscan%disable%trans 1
Para que SELnux permta a mandato /res.clam funconar normamente y que permta actuazar
a base de datos de frmas dgtaes, utce e sguente mandato:
setsebool =5 &reshclam%disable%trans 1
;0'8'2' 0e-uisitos previos'
Se requere un servdor de correo con Sendmail, prevamente confgurado y funconando para
envar y recbr correo eectrnco. Para ms detaes a respecto, consutar e documento ttuado
C"onfi%uraci'n bsica de -endmail (Darte B.<.
;0'8'8' %ic.ero /etc/mail/sendmail'mc'
Es necesaro agregar e sguente contendo en e fchero /etc/mail/sendmail'mc, |usto arrba de
?&ILE0PsmtpQdnl.
4O5#?%!>4A%D4A?BR(gclamavW. gSHlocal2/var/run/clamav=milter/clamav8sock. DH.
?HS2-mXR2-mW)dnl
de&ine(gcon&4O5#?%!>4A%D4A?BRSW. g)l'm'vW)dnl
S se combna con Spamassassin ?ilter, quedara de sguente modo:
395
?HS2-mXR2-mW)dnl
4O5#?%!>4A%D4A?BR(gspamassassinW. gSHunix2/var/run/spamass=milter/spamass=
milter8sock. DH. ?H621*mXS2-mXR2-mXB21+mW)dnl
de&ine(gcon&!4A?BR%!>6RIS%6IOOB6?W.gt. b. 1. %. Ydaemon%nameZ. Yi&%nameZ.
Yi&%addrZW)dnl
de&ine(gcon&!4A?BR%!>6RIS%7BAIW.gs. Ytls%versionZ. YcipherZ. Ycipher%bitsZ.
Ycert%sub1ectZ. Ycert%issuerZW)dnl
de&ine(gcon&4O5#?%!>4A%D4A?BRSW. gsp'm'ss'ssin.)l'm'vW)dnl
;0'8'9' Con/i2uracin'
Clamav1milter depende totamente de a base de datos de Clam&H. No requere parmetros
para modfcar para e funconamento estndar, que consste en rechazar correo eectrnco. Las
banderas de nco para camav-mter estn defndas en e fchero /etc/s*scon/i2/clamav1
milter, msmo que no requere modfcarse, a menos que se neceste especfcar aguna opcn
avanzada defnda en a pgna de manua de camav-mter.
man clamav=milter
;0'8':' IniciarM detener * reiniciar el servicio clamav1milter'
Se agrega a arranque de sstema y se nca e servco clamav1milter de sguente modo:
chkcon&ig clamav=milter on
service clamav=milter start
A fn de mantener actuazada a base de datos de frmas dgtaes, es necesaro edtar e fchero
/etc/s*scon/i2//res.clam y comentar a nea que desactva a actuazacn automtca a travs
de servco crond:
GGG ddddd RB!I@B !B dddddd
GGG RB!I@B !B2 :$ de&ault. the &reshclam update is disabled to avoid
GGG RB!I@B !B2 network access without prior activation
G DRBS76A>!%<BA>KHdisabled=warn G RB!I@B !B
De ser necesaro, puede actuazar manuamente, y de manera nmedata, a base de datos de
frmas utzando e mandato /res.clam, desde cuaquer termna como root.
A termnar, consderando que est nstaado e paquete sendmail1mc, e cua permte
reconfgurar Sendmail a partr de fchero /etc/mail/sendmail'mc, se debe rencar e servco
sendmail para que surtan efectos os cambos.
396
;!' Cmo con/i2urar spamass1milter'
;!'!' Introduccin'
;!'!'!' &cerca de spamass1milter'
Spamass1milter es un componente adcona (Alu21in) para a bboteca de ftros de correo
(libmilter) de Sendmail, que se encarga de hacer pasar todo e correo entrante, ncuyendo todo
o que se recba a travs de rmail/UUCA, a travs de Spam&ssassin, que a su vez es un
poderoso y robusto componente de ftrado de correo.
Representa una exceente aternatva pues tene un ba|o consumo de recursos de sstema,
hacndoo dneo para servdores con sustento fsco obsoeto, o donde otras apcacones tene
mayor prordad en a utzacn de recursos de sstema.
URL: http://savannah.nongnu.org/pro|ects/spamass-mt/
;!'!'2' &cerca de Spam&ssassin'
Spam&ssassin es un equpamento gco que utza un sstema de puntuacn, basado sobre
agortmos de tpo gentco, para dentfcar mensa|es que puderan ser sospechosos de ser correo
masvo no soctado, aadendo cabeceras a os mensa|es de modo que pueda ser ftrados por e
cente de correo eectrnco o ?U& (?a User &gent).
URL: http://spamassassn.apache.org/
;!'2' E-uipamiento l2ico necesario'
sendma (prevamente confgurado) sendma-cf
make m4
spamassassn spamass-mter
;!'2'!' Instalacin a trav)s de *um'
S dspone de un servdor con Cent6S 9, 0ed Gate Enterprise Linux 9 o Z.ite #ox
Enterprise Linux 9, puede utzar e e depsto yum de &lcance Libre para servdores en
produccn:
Ealcance=libreF
nameH>lcance Aibre para Bnterprise Ainux -
397
baseurlHhttp2//www8alcancelibre8org/al/el/-/
La nstaacn soo requere utzar o sguente:
$um =$ install spamass=milter
;!'8' Arocedimientos'
;!'8'!' SELinux * el servicio spamass1milter'
Para que SELnux permta a servco spamass1milter funconar normamente y que permta
reazar a revsn de correo eectrnco, utce e sguente mandato:
setsebool =5 spamd%disable%trans 1
;!'8'2' 0e-uisitos previos'
Se requere un servdor de correo con Sendmail, prevamente confgurado y funconando para
envar y recbr correo eectrnco. Para ms detaes a respecto, consutar e documento ttuado
C"onfi%uraci'n bsica de -endmail (Darte B.<.
;!'8'8' %ic.ero /etc/mail/sendmail'mc'
Es necesaro agregar e sguente contendo en e fchero /etc/mail/sendmail'mc, |usto arrba de
?&ILE0PsmtpQdnl.
Yi&%addrZW)dnl
S se combna con Clam&H ?ilter, quedara de sguente modo:
?HS2-mXR2-mW)dnl
Yi&%addrZW)dnl
de&ine(gcon&4O5#?%!>4A%D4A?BRSW. gspamassassin.)l'm'vW)dnl
;!'8'9' Con/i2uracin'
Spamass1milter depende totamente de Spam&ssassin. por o que toda a confguracn de se
hace a travs de ste tmo, confgurando y aadendo parmetros y vaores en e fchero
/etc/mail/spamassassin/local'c/, donde, entre muchos otros, se pueden estabecer os
sguentes parmetros:
398
requred_hts Se utza para estabecer a cantdad de puntos acumuados, y asgnados por
Spam&ssassin, en un mensa|e para consderar e ste como Spam. E vaor
predetermnado es :, acepta decmaes y se puede a|ustar con un vaor nferor o
mayor de acuerdo a crtero de admnstrador. E|empo: 4.5
report_safe Determna s e mensa|e, s es cafcado como spam, se ncuye en un ad|unto, con e
vaor 1, o se de|a e mensa|e ta y como est, con e vaor 0. E vaor predetermnado es
0.
rewrte_head
er
Defne con que cadena de caracteres se aadr a mensa|e para dentfcaro como
Spam. E vaor predetermnado es SSA&?T, y puede cambarse por o que consdere
apropado e admnstrador. E|empo: {Spam?}
whtest_fro
m
Se utza para defnr que |ams se consdere como Spam os mensa|es de correo
eectrnco cuyo remtente sea un domno o cuenta de correo eectrnco en partcuar.
Se pueden defnr varas neas. E|empo:
whtest_from *@mdomno.ago
whtest_from *@acancebre.org
whtest_from 201.161.1.226
whtest_to S utza una sta de correo eectrnco (ma4ordomo o mailman), y se desea evtar
que accdentamente se consdere Spam un mensa|e de correo eectrnco emtdo por
una de estas stas, se puede defnr que nunca se consdere Spam e correo emtdo por
dcha sta. E|empo: whtest_to maman-users@ago.ago
backst_fro
m
Se puede defnr que todo e correo eectrnco provenente de un domno o cuenta de
correo eectrnco en partcuar sempre sea consderado como Spam. E|empo:
backst_from aguen@spammer.com
ok_anguage
s
Permte defnr os cdgos de os pases cuyos engua|es no sern consderados Spam.
En e e|empo a contnuacn, se estabece que os domas espao y portugus no se
consderar como Spam:
ok_anguages pt es
Hay una herramenta de confguracn de SpamAssassn, que permte generar e fchero
/etc/mail/spanassassin/local'c/, en http://www.yrex.com/spam/spamconfg.php.
;!'8':' %ic.ero /etc/s*scon/i2/spamass1milter'
E fchero /etc/s*scon/i2/spamass1milter ncuye e sguente contendo:
GGG Iverride &or $our di&&erent local con&ig
GSI69B?H/var/run/spamass=milter/spamass=milter8sock
GGG Standard parameters &or spamass=milter are2
GGG =5 /var/run/spamass=milter8pid (54< &ile)
GGG
GGG Oote that the =& parameter &or running the milter in the background
GGG is not re0uired because the milter runs in a wrapper script that
GGG backgrounds itsel&
GGG
GGG Kou ma$ add another parameters here. see spamass=milter(1)
GBX?R>%DA>3SHV=m =r 1*V
De forma predetermnada, a travs de parmetro 1m, spmass1milter desactva a modfcacn
de e asunto de mensa|e (Sub4ect3) y a cabecera Content1B*pe3, o cua es convenente para
aadr cabeceras y se procesado posterormente, y, a travs de parmetro 1r !:, rechaza os
mensa|es de correo eectrnco cuando stos tenen asgnados 15 puntos o ms. Se pueden
modfcar e nmero de puntos mnmos para rechazar drectamente e correo eectrnco
sospechoso de ser spam ncrementando e vaor para e parmetro 1r. La recomendacn es
asgnar un vaor mayor a defndo en e fchero /etc/mail/spamassassin/local'c/. S, por
e|empo, se estabece en ste tmo re-uiredU.its 9': y reNriteU.eader Sub4ect \Spam+_ y
399
en e fchero /etc/s*scon/i2/spamass1milter se estabece EFB0&U%L&GSO51m 1r ;5, ocurrr o
sguente:
1. Todos os mensa|es marcados con 4.4 puntos o menos, se entregarn nmedatamente a
usuaro sn modfcacones vsbes.
2. Todos os mensa|es marcados desde 4.5 hasta 5.9 puntos se entregarn a usuaro con e
asunto modfcado aadendo a ste {Spam?} a nco.
3. Todos os mensa|es que estn marcados con 6.0 puntos o ms sern rechazados
automtcamente.
Basado sobre e e|empo menconado, e contendo de fchero /etc/s*scon/i2/spamass1milter
quedara de sguente modo:
GGG Iverride &or $our di&&erent local con&ig
GSI69B?H/var/run/spamass=milter/spamass=milter8sock
GGG Standard parameters &or spamass=milter are2
GGG =5 /var/run/spamass=milter8pid (54< &ile)
GGG
GGG Oote that the =& parameter &or running the milter in the background
GGG is not re0uired because the milter runs in a wrapper script that
GGG backgrounds itsel&
GGG
GGG Kou ma$ add another parameters here. see spamass=milter(1)
BX?R>%DA>3SHV=m =r 6V
;!'8';' %ic.ero /etc/procmailrc'
S se desea que e correo marcado con una mnma puntuacn para ser consderado Spam (gua
o superor a vaor defndo para e parmetro re-uiredU.its de fchero
/etc/ma/spamassassn/oca.cf) se entregue en una carpeta dferente a buzn de entrada, para
ser consutado a travs de un webma (Squrrema o GroupOffce) o ben un cente con soporte
IMAP (Mcrosoft Outook, GNOME Evouton o Moza Thunderbrd), se puede crear e fchero
/etc/procmailrc con e sguente contendo:
G 7acer pasar el correo por spamassassin
2+&w
] /usr/bin/spamc
G !over mensa1es positivos sa Spam hacia la capeta mail/Spam del usuario
2+2
M ^X=Spam=Status2 Kes
J7I!B/mail/Spam
Lo anteror defne una rega condconada a que a cabecera de mensa|e ncuya F1Spam1Status3
aes, e cua es agregado por Spam&ssassin cuando hay casos que superan e mnmo de puntos
para ser consderado Spam, de modo que todo correo que ncuya esta cabecera ser
amacenado en a carpeta mail/Spam propedad de usuaro a quen sea destnado e mensa|e. A
estar en /etc/procmailrc, esta rega se apca a todas a cuentas de usuaro en e servdor.
Combnado con todo o anteror, ocurrr o sguente:
1. Todos os mensa|es maracdos con 4.4 puntos o menos, se entregarn nmedatamente a
usuaro sn modfcacones vsbes.
400
2. Todos os mensa|es marcados desde 4.5 hasta 5.9 puntos se entregarn a usuaro con e
asunto modfcado aadendo a ste {Spam?} a nco y se amacenarn en a capeta
mail/Spam de usuaro.
3. Todos os mensa|es que estn marcados con 6.0 puntos o ms sern rechazados
automtcamente.
%ic.ero /etc/s*scon/i2/spamassassin'
A fn de que spamass1milter y spamasssin traba|en |untos, es necesaro crear un drectoro
vrtua de confguracn para e usuaro sa1milt que se utzar para ncar spamd, e cua
corresponde a servco spamassassin.
mkdir /var/lib/spamassassin
Este drectoro debe pertenecer a usuaro sa1milt y grupo sa1milt.
chown sa=milt8sa=milt /var/lib/spamassassin
Se edta e fchero /etc/s*scon/i2/spamassassin, y se aaden as opcones 1u sa1milt 1x
11virtual1con/i21dirO/var/lib/spamassassin, as cuaes especfcan que se ncar como e
usuaro sa1milt, que se deactvar a confguracn por usuaro y que se utzar
/var/lib/spamassassin como drectoro vrtua de confguracn. De ta modo, e fchero debe
quedar de a sguente forma:
G Iptions to spamd
S5>!<I5?4IOSHV=d =c =m* =7 =u sa=milt =x ==virtual=con&ig=dirH/var/lib/spamassassinV
;!'8'<' IniciarM detener * reiniciar el servicio spamass1milter'
Se agrega a arranque de sstema y se nca e servco spamassasin de sguente modo:
chkcon&ig spamassassin on
service spamassassin start
E servco spamass1milter se agrega a arranque de sstema y se nca de sguente modo:
chkcon&ig spamass=milter on
service spamass=milter start
A termnar, consderando que est nstaado e paquete sendmail1mc, e cua permte
reconfgurar Sendmail a partr de fchero /etc/mail/sendmail'mc, se debe rencar e servco
sendmail para que surtan efectos os cambos reazado en e fchero menconado.
401
;2' Cmo con/i2urar un servidor NIS
;2'!' Introduccin'
Anterormente conocdo como Sun aelloN Aa2es (aA o Pgnas Amaras), NIS (Network
Informaton Servce o Sstema de Informacn de Red) es un protocoo para servco de drectoros
cente/servdor para a dstrbucn de datos, como pueden ser nombres de usuaros, caves de
acceso, drectoros de usuaro y nombres de anftrones, utzados por sstemas comuncados en
una red. Orgnamente fue desarroado por Sun ?icros*stems y est est basado sobre 6NC
0AC. Consta de un servdor, una bboteca para os centes y herramentas de
admnstracn. Actuamente NIS est ncudo como mpementacn bre en todas as
dstrbucones de Lnux y varantes de Unx, e ncuso exsten mpementacones bres.
Este documento consdera as sguentes varabes que debern ser reempazadas por vaores
reaes:
domno.net: susttuya por e domno que se desee confgurar.
servdor.domno.net: susttuya por e nombre de anftrn de servdor NIS.
192.168.0.254: Dreccn IP de servdor NIS
192.168.0.0: Dreccn de red
255.255.255.0: Mscara de subred.
Instalacin del e-uipamiento l2ico necesario en el servidor NIS'
;2'2'!'!' Instalacin a trav)s de *um'
S utza Cent6S 9 * :, Z.ite #ox Enterprise Linux 9 * : o 0ed Gat Enterprise Linux :, y
$um =$ install $pbind $p=tools $pserv
;2'2'!'2' Instalacin a trav)s de up2date'
up(date =i install $pbind $p=tools $pserv
402
;2'2'2' Con/i2uracin del servidor NIS'
;2'2'2'!' Con/i2uracin del /ic.ero /etc/*p'con/
Edte e fchero /etc/yp.conf:
vi /etc/$p8con&
Aada a sguente nea:
domain dominio8net server 1/(816'8+8(*-
;2'2'2'2' Con/i2uracin del /ic.ero /etc/*pserv'con/
Edte e fchero /etc/ypserv.conf
vi /etc/$pserv8con&
Aada o verfque que est presente e sguente contendo:
dns2 no
&iles2 ,+
x&r%check%port2 $es
M 2 M 2 shadow8b$name 2 port
M 2 M 2 passwd8ad1unct8b$name 2 port
;2'2'2'8' Con/i2uracin del /ic.ero /etc/s*scon/i2/netNorL
Edte e fchero /etc/sysconfg/network
vi /etc/s$scon&ig/network
Aada e sguente contendo:
O4S<I!>4OHVdominio8netV
Para ntegrarse a domno recn confgurado, es necesaro utzar os sguente mandatos.
domainname dominio8net
$pdomainname dominio8net
;2'2'2'9' Creacin * contenido del /ic.ero /var/*p/securenets'
Edte e fchero /var/yp/securenets:
vi /var/$p/securenets
Defnr a dreccn IP de retorno de sstema y a mscara de subred y dreccn IP de red
correspondente a a red con a que se est traba|ando. E e e|empo a contnuacn, se est
utzando una red !2'!;>'0'0 con mscara de subred 2::'2::'2::'0 (24 bts):
403
host 1()8+8+81
(**8(**8(**8+ 1/(816'8+8+
;2'2'2':' Inicio * reinicio de servicios portmap * *pserv'
E servco de portmap se debe rencar para reconozca a servco *pserv recn nstaado.
service portmap restart
E servco *pserv es ncado (o rencado s ya estuvera e|ecutndose) y agregado a arranque
de sstema.
service $pserv start
chkcon&ig $pserv on
Para hacer comprobar que e servco est funconado *pserv correctamente, utce:
rpcin&o =u localhost $pserv
el programa 1++++- versiPn 1 estc listo $ a la espera
el programa 1++++- versiPn ( estc listo $ a la espera
;2'2'2';' Creacin de mapas NIS'
Deben crearse os mapas NIS donde se amacenar a nformacn de servco.
/usr/lib/$p/$pinit =m
Lo anteror deber devover una sada smar a o sguente, donde soo deber agregarse e
nombre de anftrn de sstema:
>t this point. we have to construct a list o& the hosts which will run O4S
servers8 servidor++8cch=naucalpan8mx is in the list o& O4S server hosts8 5lease
continue to add
the names &or the other hosts. one per line8 Chen $ou are done with the
list. t$pe a _control <Q8
next host to add2 locahost8localdomain
next host to add2
E e tmo campo ngrese e nombre de anftrn de sstema y puse CTRL-D a termnar:
>t this point. we have to construct a list o& the hosts which will run O4S
servers8 servidor++8cch=naucalpan8mx is in the list o& O4S server hosts8 5lease
continue to add
the names &or the other hosts. one per line8 Chen $ou are done with the
list. t$pe a _control <Q8
next host to add2 localhost8localdomain
next host to add2 servidor8dominio8net
404
;2'2'2'<' &rran-ue de servicios *pbindM *ppassNdd * *px//rd
Ince os servcos ypbnd, yppasswdd y ypxffrd.
service $pbind start
service $ppasswdd start
service $px&rd start
Aada stos servcos a arranque de sstema
chkcon&ig $pbind on
chkcon&ig $ppasswdd on
chkcon&ig $px&rd on
;2'2'8' Instalacin del e-uipamiento l2ico necesario en el cliente NIS'
;2'2'8'!' Instalacin a trav)s de *um'
S utza Cent6S 9 * :, Z.ite #ox Enterprise Linux 9 * : o 0ed Gat Enterprise Linux :, y
$um =$ install $pbind $p=tools
;2'2'8'2' Instalacin a trav)s de up2date'
up(date =i install $pbind $p=tools
;2'2'9' Con/i2uracin del cliente NIS'
;2'2'9'!' Con/i2uracin de /ic.eros /etc/s*scon/i2/netNorLM /etc/*p'con/
* /etc/.osts'
Edte e fchero /etc/sysconfg/network:
vi /etc/s$scon&ig/network
Aada a sguente nea:
O4S<I!>4OHinternal
Edte e fchero /etc/yp.conf:
vi /etc/$p8con&
Consderando que e domno a utzar es dominio'net y que a dreccn IP de servdor es
!2'!;>'0'2:9, aada a sguente nea:
405
domain dominio8net server 1/(816'8+8*-
Edte e fchero /etc/hosts:
vi /etc/hosts
Asegrese que est defndo un regstro que asoce a dreccn IP prncpa de sstema con e
nombre de anftrn de sstema. Consderando que a IP de servdor es !2'!;>'0'2:9, y que e
nombre de anftrn es servidor'dominio'net, deber encontrar o aadr un regstro smar a
sguente:
1/(816'8+8(*- servidor8dominio8net servidor
;2'2'9'2' Establecer el domino NIS'
Es necesaro ntegrar e sstema a domno NIS. Utce os sguentes dos mandatos para ograr
sto:
domainname dominio8net
$pdomainname dominio8net
;2'2'9'8' &4ustes en los /ic.eros /etc/nssNitc.'con/M /etc/.osts'alloN
* /etc/.osts'den*'
Edte e fchero /etc/nsswtch.conf:
vi /etc/nsswitch8con&
Aada as sguentes neas a fna de este fchero:
passwd2 &iles nis
shadow2 &iles nis
group2 &iles nis
A fn de estabecer una segurdad apropada, es necesaro denegar e acceso a todo en e
fchero /etc/hosts.deny. Edte ste fchero:
vi /etc/hosts8den$
Aada a sguente nea:
portmap2>AA
Edte e fchero /etc/hosts.aow:
v /etc/hosts.aow
Defna os anftrones y redes que tendrn permtdo acceder a os servcos confgurados:
406
portmap21()8+8+81
portmap21/(816'8+8+/(**8(**8(**8+
;2'2'9'9' Iniciar servicio *pbind'
Ince y aada a arranque de sstema e servco ypbnd:
service $pbind start
chkcon&ig $pbind on
;2'2'9':' Comprobaciones'
Para asegurarse de que todo funcona correctamente, utce e sguente mandato que reazar
una soctud RPC para soctar nformacn de servco ypbnd:
rpcin&o =u localhost $pbind
E mandato anteror deber regresar una sada smar a a sguente. S acaso regresa ago
dstnto o conexn rehusada, deben revsarse todos os procedme|ntos reazados hasta este
punto.
el programa 1++++) versiPn 1 estc listo $ a la espera
el programa 1++++) versiPn ( estc listo $ a la espera
Utce e sguente mandato para consutar todos os datos que estn sendo dstrbudos por e
servco ypserv de servdor NIS.
$pcat passwd
Lo anteror debe devover una sada smar a a sguente, que consste en todo e contendo de
/etc/passwd.
usuario12J1Jnie!7n>/JScI<?<w'lpog6(0l+,ah++2*-12-'22/home/usuario12/bin/bash
usuario(2J1Jnie!7n>/JScI<?<w'lpog6(0l+,ah++2*1+2-'22/home/usuario(2/bin/bash
vusuario,2J1Jnie!7n>/JScI<?<w'lpog6(0l+,ah++2*-62-'22/home/usuario,2/bin/bash
407
;8' Cmo con/i2urar 6penLD&A como servidor
de autenticacin
;8'!' Introduccin'
LD&A (Lghtweght Drectory &ccess Arotoco) es un protocoo para consuta y modfcacn de
servcos de drectoro que se desempean sobre TCP/IP. LD&A utza e modeo X.500 para su
estructura, es decr, se estructura rbo de entradas, cada una de as cuaes consste de un
con|unto de atrbutos con nombre y que a su vez amacenan vaores.
URL: http://en.wkpeda.org/wk/LDAP
opendap-2.2.13
opendap-cents-2.2.13
opendap-servers-2.2.
authconfg-4.6.10
authconfg-gtk-4.6.10 (opcona)
$um =$ install openldap openldap=clients openldap=servers authcon&ig authcon&ig=gtk
;8'2'2' Instalacin a trav)s de up2date'
up(date =i openldap openldap=clients openldap=servers authcon&ig authcon&ig=gtk
408
;8'8'!' SELinux * el servicio ldap'
Para que SELnux permta a servco ldap funconar normamente, hacendo que se perda toda a
proteccn que brnda esta mpementacn, utce e sguente mandato:
setsebool =5 slapd%disable%trans 1
;8'8'2' Creacin de directorios'
Con fnes de organzacn se crear un drectoro especfco para este drectoro y se confgurar
con permsos de acceso excusvamente a usuaro y grupo dap.
mkdir /var/lib/ldap/autenticar
chmod )++ /var/lib/ldap/autenticar
chown ldap2ldap /var/lib/ldap/autenticar
Se requere adems copar e fchero /etc/openldap/D#UC6N%IG'example dentro de
/var/lib/ldap/addressbooL/ como e fchero D#UC6N%IG:
cp /etc/openldap/<:%6IOD438example /var/lib/ldap/autenticar/<:%6IOD43
;8'8'8' Generacin de claves de acceso para LD&A'
Crear a cave de acceso que se asgnar en LDAP para e usuaro admnstrador de drectoro.
Basta e|ecutar desde una termna:
slappasswd
Lo anteror debe dar como sada un crptograma como o mostrado a contnuacn:
YSS7>ZXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Cope y respade este crptograma. E texto de a sada ser utzado ms adeante en e fchero
/etc/openldap/slapd'con/ y se defnr como cave de acceso para e usuaro Administrador,
quen tendr todos os prvegos sobre e drectoro.
;8'8'9' %ic.ero de con/i2uracin /etc/openldap/slapd'con/'
Se edta e fchero /etc/openldap/slapd'con/ y se verfca que os fcheros de esquema mnmos
requerdos estn presentes. De ta modo, a nco de fchero debe haber ago smar a o
sguente:
G
G See slapd8con&(*) &or details on con&iguration options8
G ?his &ile should OI? be world readable8
G
in)lu(e /e)/openl('p/s)&em'/)ore.s)&em'
in)lu(e /e)/openl('p/s)&em'/)osine.s)&em'
409
in)lu(e /e)/openl('p/s)&em'/ineor*person.s)&em'
in)lu(e /e)/openl('p/s)&em'/nis.s)&em'
G >llow A<>5v( client connections8 ?his is OI? the de&ault8
allow bind%v(
Se aade a fchero /etc/openldap/slapd'con/ o sguente con e fn de defnr e nuevo
drectoro que en adeante se utzar para autentcar a toda a red oca:
database bdb
su&&ix VdcHsu$(ominio.dcHcomV
rootdn VcnH>dministrador.dcHsu$(ominio.dcHcomV
rootpw YSS7>ZXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
director$ /var/lib/ldap/autenticar
G 4ndices to maintain &or this database
index ob1ect6lass e0.pres
index ou.cn.mail.surname.givenname e0.pres.sub
index uidOumber.gidOumber.loginShell e0.pres
index uid.member#id e0.pres.sub
index nis!apOame.nis!apBntr$ e0.pres.sub
;8'8':' Inicio del servicio ldap'
Ince e servco de LD&A y aada ste a resto de os servcos que arrancan |unto con e sstema:
service ldap start
chkcon&ig ldap on
;8'8';' ?i2racin de cuentas existentes en el sistema'
Edte e fchero /usr/s.are/openldap/mi2ration/mi2rateUcommon'p. y modfque os os
vaores de as varabes YDE%&ULBU?&ILUD6?&IN y J<BD>#A?%:>SB a &in de 0ue 0ueden del
siguiente modo2
G <e&ault <OS domain
J<BD>#A?%!>4A%<I!>4O H Vsu$(ominio.)omVX
G <e&ault base
J<BD>#A?%:>SB H V()6su$(ominio4()6)omVX
A contnuacn hay que crear e ob|eto que a su vez contendr e resto de os datos en e
drectoro. Genere un fchero base.df de sguente modo:
/usr/share/openldap/migration/migrate%base8pl Q base8ldi&
Se utzar ldapadd para nsertar os datos necesaros. Las opcones utzadas con este mandato
son as sguentes:
=x autenticaciPn simple
=C solicitar clave de acceso
=< binddn Oombre <istinguido (dn) a utili"ar
=h an&itriPn Servidor A<>5 a acceder
=& &ichero &ichero a utili"ar
410
Una vez entenddo o anteror, se procede a nsertar a nformacn generada en e drectoro
utzando o sguente:
ldapadd =x =C =< WcnH>dministrador. dcHsu$(ominio. dcHcomW =h 1()8+8+81 =& base8ldi&
Una vez hecho o anteror, se podr comenzar a pobar e drectoro con datos. Lo prmero ser
mportar os grupos y usuaros exstentes en e sstema. Reace a mportacn de usuaros
utzando os guones correspondentes de sguente modo:
/usr/share/openldap/migration/migrate%group8pl /etc/group group8ldi&
/usr/share/openldap/migration/migrate%passwd8pl /etc/passwd passwd8ldi&
Lo anteror crear os fcheros 2roup'ldi/ y passNd'ldi/, os cuaes ncurn a nformacn de os
grupos y cuentas en e sstema, ncuyendo as caves de acceso. Los datos se podrn nsertar en
e drectoro LDAP utzando o sguente:
ldapadd =x =C =< WcnH>dministrador. dcHsu$(ominio. dcHcomW =h 1()8+8+81 =& group8ldi&
ldapadd =x =C =< WcnH>dministrador. dcHsu$(ominio. dcHcomW =h 1()8+8+81 =&
passwd8ldi&
;8'9' Comprobaciones'
Antes de confgurar e sstema para utzar LDAP para autentcar, es convenente verfcar que
todo funcona correctamente.
E sguente mandato verfca que drectoros dsponbes exsten en e servdor 127.0.0.1.
ldapsearch =h 1()8+8+81 =x =b WW =s base W(ob1ectclassHM)W naming6ontexts
Lo anteror debe devover una sada smar a o sguente:
G extended A<4D
G
G A<>5v,
G base _Q with scope base
G &ilter2 (ob1ectclassHM)
G re0uesting2 naming6ontexts
G
G
dn2
naming6ontexts2 dcHsu$(ominio.dcHcom
G search result
search2 (
result2 + Success
G numResponses2 (
G numBntries2 1
E sguente mandato debe devover toda a nformacn de todo e drectoro soctado (dc=su1
dominio,dc=com).
411
ldapsearch =x =b WdcHsu$(ominio.dcHcomW W(ob1ectclassHM)W
Otro e|empo es reazar una bsqueda especfca para un usuaro en partcuar. Suponendo que
en e sstema se tene un usuaro denomnado fulano, puede e|ecutarse o sguente:
ldapsearch =x =b WuidH&ulano.ouH5eople.dcHsu$(ominio.dcHcomW
Lo anteror debe regresar ago como o sguente:
G extended A<4D
G
G A<>5v,
G base su$(ominio.dcHcom with scope sub
G &ilter2 (ob1ectclassHM)
G re0uesting2 >AA
G
G &ulano. 5eople. su=dominio8com
dn2 uidH&ulano.ouH5eople.dcHsu$(ominio.dcHcom
uid2 &ulano
cn2 &ulano
ob1ect6lass2 account
ob1ect6lass2 posix>ccount
ob1ect6lass2 top
ob1ect6lass2 shadow>ccount
user5assword22 xxxxxxxxxxxx
shadowAast6hange2 1(*/-
shadow!ax2 /////
shadowCarning2 )
loginShell2 /bin/bash
uidOumber2 *+*
gidOumber2 *+*
home<irector$2 /home/&ulano
G search result
search2 (
result2 + Success
G numResponses2 (
G numBntries2 1
;8':' Con/i2uracin de clientes'
Defna os vaores para os parmetros .ost y base a fn de estabecer haca que servdor y a que
drectoro conectarse en e fchero /etc/ldap'con/. Para fnes prctcos, e vaor de parmetro
.ost corresponde a a dreccn IP de servdor LDAP y e vaor de parmetro base debe ser e
msmo que se especfc en e fchero /etc/openldap/slapd'con/ para e parmetro su//ix.
Consderando que e servdor LDAP tene a dreccn IP 192.168.0.1, se puede defnr o sguente
en e fchero /etc/openldap/slapd'con/:
G Kour A<>5 server8 !ust be resolvable without using A<>58
G !ultiple hosts ma$ be speci&ied. each separated b$ a
G space8 7ow long nss%ldap takes to &ailover depends on
G whether $our A<>5 client librar$ supports con&igurable
G network or connect timeouts (see bind%timelimit)8
&os 192.16#.0.1
412
G ?he distinguished name o& the search base8
base ()6su$(ominio4()6)om
Lo que sgue es utzar ya sea aut.con/i2, aut.con/i21tui o aut.con/i212tL para confgurar e
sstema a fn de que se utce e servdor LDAP para autentcar.
;8':'!' aut.con/i2 Pmodo1textoQ
Suponendo que e servdor LDAP tene a dreccn IP 192.168.0.1, utce e sguente mandato
para confgurar a cente remoto a fn de que autentque en e drectoro LDAP.
authcon&ig ==useshadow ==enablemd* ==nostart N
$$en'blel('p $$en'blel('p'u& $$l('pserver6l('p2//192.16#.0.1/ N
$$l('pb'se(n6()6su$(ominio4()6)om ==update
;8':'2' aut.con/i21tui Pmodo textoQ
Habte as casas Utili=ar LD&A y Utili=ar &utenticacin LD&A y puse a teca Bab hasta
Si2uiente y puse a teca Enter y verfque que os datos de servdor y e drectoro a utzar
sean os correctos.
authconfg-tu, pantaa prncpa.
413
authconfg-tu, pantaa confguracn dap.
;8':'8' aut.con/i212tL Pmodo 2r@/icoQ
S se utza authconfg-gtk se deben habtar as casas de Soporte LDAP. Antes de cerrar a
ventana en a pestaas de Informacn de usuaro y Autentcacn. Antes de dar cc en &ceptar,
haga cc en Con/i2urar LD&A y verfque que os datos de servdor y e drectoro a utzar sean
os correctos.
authconfg-gtk, pestaa de Informacn de usuaro.
414
authconfg-gtk, pestaa de Autentcacn.
authconfg-gtk, ventana Confgurar LDAP.
;8';' &dministracin'
Hay una gran cantdad de programas para acceder y admnstrar servdores LDAP, pero a mayora
soo srven para admnstrar usuaros y grupos de sstema como dradmn y e mduo de LDAP de
Webmn. La me|or herramenta de admnstracn de drectoros LDAP que podemos recomendar
es PHP LDAP Admn.
;8'<' 0espaldo de datos'
Debe detenerse e servco de LDAP antes de proceder con e respado de datos.
service ldap stop
A contnuacn, se utza a herramenta slapcat, utzando e fchero de confguracn
/etc/openldap/slapd'con/.
slapcat =v =& /etc/openldap/slapd8con& =l respaldo=J(date LUKUmUd)8ldi&
415
Concudo e proceso de respado de datos, puede ncarse de nuevo e servco de ldap.
service ldap start
;8'>' 0estauracin de datos'
E procedmento requere detener e servco.
service ldap stop
Debe emnarse os datos de drectoro a restaurar.
rm =& /var/lib/ldap/autenticar/M
A contnuacn, se utza a herramenta slapadd para cargar os datos desde un fchero *.df de
respado.
slapadd =v =c =l respaldo=(++61++,8ldi& =& /etc/openldap/slapd8con&
Se debe e|ecutar a herramenta slapindex, que se utza para regenerar os ndces LDAP.
slapindex
Concudo e proceso de restauracn de datos, puede ncarse de nuevo e servco de ldap.
service ldap start
;8'' ?odi/icaciones necesarias en el muro corta/ue2os'
abrr e puerto 389 por TCP (LD&A).
sguente:
G 5IR? 5IR?(S)1
>66B5? net &w tcp ,'/
416
;9' Cmo con/i2urar 6penLD&A como libreta de
direcciones'
;9'!' Introduccin'
LD&A (Lghtweght Drectory &ccess Arotoco) es un protocoo para consuta y modfcacn de
servcos de drectoro que se desempean sobre TCP/IP. LD&A utza e modeo X.500 para su
estructura, es decr, se estructura rbo de entradas, cada una de as cuaes consste de un
con|unto de atrbutos con nombre y que a su vez amacenan vaores.
opendap-2.2.13
opendap-cents-2.2.13
opendap-servers-2.2.13
evouton-data-server-1.x (o ben smpemente de fchero evoutonperson.schema que ncuye
dcho paquete)
$um =$ install openldap openldap=clients openldap=servers evolution=data=server
;9'2'2' Instalacin a trav)s de up2date'
up(date =i openldap openldap=clients openldap=servers evolution=data=server
;9'8'!' SELinux * el servicio ldap'
Para que SELnux permta a servco ldap funconar normamente, hacendo que se perda toda a
417
proteccn que brnda esta mpementacn, utce e sguente mandato:
setsebool =5 slapd%disable%trans 1
;9'8'2' Creacin de directorios'
Con fnes de organzacn se crear un drectoro especfco para este drectoro y se confgurar
con permsos de acceso excusvamente a usuaro y grupo ldap.
mkdir /var/lib/ldap/addressbook
chmod )++ /var/lib/ldap/addressbook
chown ldap2ldap /var/lib/ldap/addressbook
Se requere adems copar e fchero /etc/openldap/D#UC6N%IG'example dentro de
/var/lib/ldap/addressbooL/ como e fchero D#UC6N%IG:
cp /etc/openldap/<:%6IOD438example /var/lib/ldap/addressbook/<:%6IOD43
;9'8'8' Generacin de claves de acceso para LD&A'
Crear a cave de acceso que se asgnar en LDAP para e usuaro admnstrador de drectoro.
Basta e|ecutar desde una termna:
slappasswd
Lo anteror debe dar como sada un crptograma como o mostrado a contnuacn:
YSS7>ZXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Cope y respade este crptograma. E texto de a sada ser utzado ms adeante en e fchero
/etc/openldap/slapd'con/ y se defnr como cave de acceso para e usuaro Administrador,
quen tendr todos os prvegos sobre e drectoro.
;9'8'9' %ic.ero de es-uemas'
E texto de a sada ser utzado ms adeante en e fchero /etc/openldap/slapd'con/ y se
defnr a usuaro &dministrador para como e utzado para acceder con todos os prvegos a
drectoro.
Se copa e fchero de esquema de evolution1data1server dentro de drectoro
/etc/openldap/sc.ema/:
cp /usr/share/evolution=data=server=M/evolutionperson8schema
/etc/openldap/schema/
;9'8':' %ic.ero de con/i2uracin /etc/openldap/slapd'con/'
Edte e fchero /etc/openldap/slapd'con/ y agregue entre as prmeras neas de fchero e
esquema de datos nstaado con e paquete evolution1data1server:
418
G
G See slapd8con&(*) &or details on con&iguration options8
G ?his &ile should OI? be world readable8
G
include /etc/openldap/schema/core8schema
include /etc/openldap/schema/cosine8schema
include /etc/openldap/schema/inetorgperson8schema
include /etc/openldap/schema/nis8schema
in)lu(e /e)/openl('p/s)&em'/evoluionperson.s)&em'
G >llow A<>5v( client connections8 ?his is OI? the de&ault8
allow bind%v(
Independentemente de o que ya se tenga confgurado, y que no ser tocado, se aade a fna
de fchero /etc/openldap/slapd'con/ o sguente con e fn de defnr e nuevo drectoro que en
adeante se utzar como breta de dreccones, donde dc=su1dominio,dc=net corresponde a
nombre nco y excusvo para e nuevo drectoro. |ams utce e msmo nombre de otro
drectoro exstente.
database bdb
su&&ix VdcHsu$(ominio.dcHnetV
rootdn VcnH>dministrador.dcHsu$(ominio.dcHnetV
rootpw YSS7>ZXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
director$ /var/lib/ldap/addressbook
G 4ndices to maintain &or this database
index ob1ect6lass e0.pres
index ou.cn.mail.surname.givenname e0.pres.sub
index uidOumber.gidOumber.loginShell e0.pres
index uid.member#id e0.pres.sub
index nis!apOame.nis!apBntr$ e0.pres.sub
;9'8';' Inicio del servicio ldap'
Ince e servco de LDAP y aada ste a resto de os servcos que arrancan |unto con e sstema:
service ldap start
chkcon&ig ldap on
;9'8'<' &$adir datos al directorio'
A contnuacn hay que crear e ob|eto que a su vez contendr e resto de os datos en e
drectoro. Genere un fchero addressbooL'ldi/ a cua agregar e sguente contendo, de cua
soo reempace a cadena de texto su1dominio por e domno deseado:
dn2 dcHsu$(ominio. dcHnet
ob1ectclass2 top
ob1ectclass2 dcIb1ect
ob1ectclass2 organi"ation
o2 Oombre completo de su compaTia
dc2 su$(ominio
dn2 ouH>ddressbook. dcHsu$(ominio. dcHnet
ou2 >ddressbook
ob1ect6lass2 top
ob1ect6lass2 organi"ational#nit
419
Es mportante seaar que s se omte e ren2ln vac,o entre dc3 su1dominio y dn3
ouO&ddressbooLM dcOsu1dominioM dcOnet, ocurrr un rremedabe error de sntaxs cuando
se ntente cargar os datos en e drectoro. Respete os espacos, sgnos de puntuacn, as
mayscua y as mnscuas.
Se utzar ldapadd para nsertar os datos necesaros. Las opcones utzadas con este mandato
son as sguentes:
=x autenticaciPn simple
=C solicitar clave de acceso
=< binddn Oombre <istinguido (dn) a utili"ar
=h an&itriPn Servidor A<>5 a acceder
=& &ichero &ichero a utili"ar
Una vez entenddo o anteror, se procede a nsertar a nformacn generada en e drectoro
utzando o sguente:
ldapadd =x =C =< WcnH>dministrador. dcHsu$(ominio. dcHnetW =h 1()8+8+81 =&
addressbook8ldi&
Una vez hecho o anteror, se podr comenzar a pobar e drectoro con datos. Genere e fchero
su-usuaro.df con os sguentes datos, donde reempazar os vaores por reaes. Elimine los
campos -ue -ueden vac,os o sean de poca utilidadM por-ue de otra manera LD&A
impedir@ insertar )stos. Es mportante destacar que deben estar ncudas as cases top,
person, or2ani=ationalAerson, inet6r2Aerson y evolutionAerson, ya que de otro modo no
ser posbe utzar os campos de nformacn necesaros para que e drectoro funcone como
breta de dreccones.
dn2 cnHOombre 6ompleto. ouH>ddressbook. dcHsu$(ominio. dcHnet
obHe)Cl'ss2 op
obHe)Cl'ss2 person
obHe)Cl'ss2 or*'ni5'ion'l+erson
obHe)Cl'ss2 ine!r*+erson
obHe)Cl'ss2 evoluion+erson
cn2 Oombre 6ompleto
givenOame2 Oombre
sn2 >pellidos
displa$Oame2 >podo
title2 Sr8
mail2 su=cuenta=de=correoRsu$(ominio8com
initials2 48O8486848>8A8B8S8
o2 Oombre 6ompleto de su compaTba8
ou2 <epartamento o SecciPn a la 0ue pertenece
businessRole2 5uesto 0ue desempeTa en su empresa
home5ostal>ddress2 <omicilio de su hogar8
postal>ddress2 <omicilio de su empresa8
l2 6iudad
st2 Bstado
G 6Pdigo postal
postal6ode2 1(,-*
G ?ele&ono empresa
telephoneOumber2 **=****=****
G ?ele&ono principal
primar$5hone2 **=****=****
G ?ele&ono mPvil
mobile2 **=****=****
G ?ele&ono hogar
home5hone2 **=****=****
420
G Itro tele&ono
other5hone2 **=****=****
labeled#R42 http2//www8alcancelibre8org/
G Su &echa de nacimiento
birth<ate2 1/)+=+(=(+
&ile>s2 >pellidos. Oombre
categor$2 6ual0uier=categorba=0ue=0ueira=crear
managerOame2 Oombre de su 1e&e. si lo tiene
assistantOame2 Oombre de su asistente. si lo tiene8
G ?ele&ono de su asistente. si lo tiene
assistant5hone2 **=****=****
spouseOame2 Oombre de su esposa(o). si lo tiene8
G &echa en 0ue celebra su aniversario de bodas. si aplica
anniversar$2 (+++=+1=+1
Los datos se podrn nsertar utzando o sguente:
ldapadd =x =C =< WcnH>dministrador. dcHsu$(ominio. dcHnetW =h 1()8+8+81 =& su=
usuario8ldi&
;9'9' Con/i2uracin de clientes'
Acceda haca e drectoro con cuaquer cente que tenga soporte para acceder haca drectoros
LDAP.
;9'9'!' Novell Evolution'
Hacer cc en Archvo Nuevo Lbreta de dreccones.
421
Propedades de a breta de dreccones, pestaa Genera.
S en ugar de autentcar de manera annma (modo de soo ectura) o hace con
cnO&dministradorM dcOsu1dominioM dcOnet (modo de ectura y escrtura), podr reazar
modfcacones y aadr fcmente nuevos regstros en a breta de dreccones.
422
Propedades de a breta de dreccones, pestaa Detaes.
;9'9'2' ?o=illa B.underbird'
Hacer cc en Archvo Nuevo Drectoro LDAP
423
Propedades de servdor de drectoro, pestaa Genera.
A gua que con Nove Evouton, s en ugar de autentcar de manera annma (modo de soo
ectura) o hace con cnO&dministradorM dcOsu1dominioM dcOnet (modo de ectura y escrtura),
podr reazar modfcacones y aadr fcmente nuevos regstros en a breta de dreccones.
Propedades de servdor de drectoro, pestaa Avanzado.
;9'9'8' S-uirrelmail'
Hay que edtar e fchero /etc/s-uirrelmail/con/i2'p.p y aadr/edtar:
Jldap%serverE+F H arra$(
WhostW HQ W1()8+8+81W.
WbaseW HQ WouH>ddressbook.dcHsu$(ominio.dcHnetW.
WnameW QH W>ddressbookW
)X
;9':' &dministracin'
Hay una gran cantdad de programas para acceder y admnstrar servdores LDAP, pero a mayora
soo srven para admnstrar usuaros y grupos de sstema como dradmn y e mduo de LDAP de
Webmn. La me|or herramenta de admnstracn de drectoros LDAP que podemos recomendar
es PHP LDAP Admn.
;9';' 0espaldo de datos'
Debe detenerse e servco de LDAP antes de proceder con e respado de datos.
service ldap stop
A contnuacn, se utza a herramenta slapcat, utzando e fchero de confguracn
/etc/openldap/slapd'con/.
424
slapcat =v =& /etc/openldap/slapd8con& =l respaldo=J(date LUKUmUd)8ldi&
Concudo e proceso de respado de datos, puede ncarse de nuevo e servco de ldap.
service ldap start
;9'<' 0estauracin de datos'
E procedmento requere detener e servco.
service ldap stop
Debe emnarse os datos de drectoro a restaurar.
rm =& /var/lib/ldap/addressbook/M
A contnuacn, se utza a herramenta slapadd para cargar os datos desde un fchero *.df de
respado.
slapadd =v =c =l respaldo=(++61++,8ldi& =& /etc/openldap/slapd8con&
Se debe e|ecutar a herramenta slapindex, que se utza para regenerar os ndces LDAP.
slapindex
Concudo e proceso de restauracn de datos, puede ncarse de nuevo e servco de ldap.
service ldap start
;9'>' ?odi/icaciones necesarias en el muro corta/ue2os'
abrr e puerto 389 por TCP (LD&A).
sguente:
G 5IR? 5IR?(S)1
>66B5? net &w tcp ,'/
GA>S? A4OB == ><< KI#R BO?R4BS :BDIRB ?74S IOB == <I OI? RB!I@
425
;:' Cmo con/i2urar 6penLD&A con soporte
SSL/BLS'
;:'!' Introduccin'
Este documento requere a ectura y comprensn preva de cuaquera de os sguentes temas:
Cmo confgurar OpenLDAP como breta de dreccones.
Cmo confgurar OpenLDAP como servdor de autentcacn.
;:'!'!' &cerca de LD&A en modo SSL/BLS'
E nco de a operacn StartTLS en un servdor LDAP, estabece a comuncacn BLS (Bransport
Layer Securty, o Segurdad para Nve de Transporte) a travs de msmo puerto 389 por TCP.
Provee confdencadad en e transporte de datos e proteccn de a ntegrdad de datos. Durante
a negocacn, e servdor enva su certfcado con estructura X.509 para verfcar su dentdad.
Opconamente puede estabecerse a comuncacn. La conexn a travs de puerto 389 y 636
dfere en o sguente:
1. A reazar a conexn por puerto 636, tanto e cente como e servdor estabecen TLS
antes de que se transfera cuaquer otro dato, sn utzar a operacn StatBLS.
2. La conexn a travs de puerto 636 debe cerrarse a termnar TLS.
;:'!'2' &cerca de 0S&'
agortmo para e cfrado de caves pbcas que fue pubcado en 1977, patentado en EE.UU. en
1983 por e e Insttuto Tecnogco de Mchgan (?IB). 0S& es utzado ampamente en todo e
mundo para os protocoos destnados para e comerco eectrnco.
;:'!'8' &cerca de F':0'
426
;:'!'9' &cerca de 6penSSL'
;:'2' Arocedimientos'
;:'2'!' Generando clave * certi/icado'
cd /etc/openldap/cacerts
La creacn de a ave y certfcado para 6penLD&A requere utzar una cave con agortmo
0S& de 1024 octetos y estructura x:0. En e e|empo a contnuacn, se estabece una vadez
por 730 das (dos aos) para e certfcado creado.
openssl re0 =x*+/ =nodes =newke$ rsa21+(- N
=da$s ),+ =out sl'p(.)r =ke$out sl'p(.-ey
Estado o provnca.
Cudad.
Undad o seccn.
Nombre de anftrn.
Dreccn de correo.
3enerating a 1+(- bit RS> private ke$
8888888888888888LLLLLL
8LLLLLL
writing new private ke$ to Wdovecot8ke$W
=====
or a <O8
427
=====
mi(ominio.or*
E certfcado soo ser vdo cuando e servdor LD&A sea nvocado con e nombre defndo en e
campo Common Name. Es decr, soo podr utzaro cuando se defna midominio'or2 como
servdor LD&A con soporte SSL/BLS. No funconar s se nvoca a servdor como, por menconar
un e|empo, directorio'midominio'or2.
soo ectura para e usuaro ldap:
chown ldap8ldap /etc/openldap/cacerts/slapd8M
chmod -++ /etc/openldap/cacerts/slapd8M
;:'2'2' Aar@metros de /etc/openldap/slapd'con/'
Se deben descomentar os parmetros BLSC&Certi/icate%ile, BLSCerti/icate%ile y
BLSCerti/icateKe*%ile estabecendo as rutas haca e certfcado y cave. Opconamente se
puede descomentar a drectva re/erral para ndcar e U0I (Unform 0esource Identfer o
Identfcador Unforme de Recursos) de servco de drectoro superor como ldaps en ugar de
ldap.
?AS6>6erti&icateDile /etc/openldap/cacerts/sl'p(.)r
?AS6erti&icateDile /etc/openldap/cacerts/sl'p(.)r
?AS6erti&icate9e$Dile /etc/openldap/cacerts/sl'p(.-ey
re&erral l('ps2//midominio8org
A fn de que surtan efecto os cambos, es necesaro rencar e servco ldap.
service ldap restart
;:'2'8' Comprobacin'
Confgure cuaquer cente LDAP para utzar SSL en e puerto 636. Tras aceptar e certfcado, en
e caso de que ste no haya sdo frmado por un 0& (0egstraton &uthorty o Autordad de
Regstro), servdor LDAP deber permtr competar a conexn y reazar cuaquer tpo de
consuta y/o manpuacn de regstros.
;:'2'9' Con/i2uracin de GN6?E Evolution'
Se debe estabecer e msmo nombre de servdor utzado para crear e certfcado, y conexn
por SSL.
428
Confguracn LDAP, GNOME Evouton.
;:'2':' Con/i2uracin de ?o=illa B.underbird'
por SSL.
Confguracn LDAP, Moza Thunderbrd.
429
;:'2';' Con/i2uracin LD&A #roNser'
por SSL.
Confguracn LDAP Browser.
;:'2'<' Con/i2uracin LD&A &dministration Bool'
por SSL.
430
Confguracn LDAP Admnstraton Too.
;:'8' ?odi/icaciones necesarias en el muro corta/ue2os'
S se utza un cortafuegos con potcas estrctas, como por e|empo S.oreNall, adems de
puerto 389 por TCP, es necesaro abrr e puerto 636 por TCP (LD&AS).
sguente:
G 5IR? 5IR?(S)1
>66B5? net &w tcp ,'/.6,6
431
;;' Cmo instalar * con/i2urar ?*SDLe'
;;'!' Introduccin'
;;'!'!' &cerca de ?*SDLe'
?*SDLe es un D#?S (Data#ase ?anagement System) o sstema de gestn de base de datos
SDL (Structured Duery Language o Lengua|e Estructurado de Consuta) mutusuaro y mutho
con cenca GNU/GAL.
?*SDLe es propedad y patrocno de ?*SDL &#, compaa fundada por Davd Axmark, Aan
Larsson y Mchae Wdenus, con base de operacones en Sueca, a cua posee os derechos de
autor de cas todo e cdgo que o ntegra. ?*SDL &# desarroa y mantene e sstema
vendendo servcos de soporte y otros vaores agregados, as como cencamento propetaro
para os desarroos de equpamento gco que requeren mantener cerrado su cdgo.
?*SDLe es actuamente e servdor de base de datos ms popuar para os desarroos a travs
de a red munda, con una estmacn de ms de dez mones de nstaacones. Es muy rpdo y
sdo.
URL: http://www.mysq.com/
;;'2' E-uipamiento l2ico necesario'
;;'2'!' Instalacin a trav)s de *um'
$um =$ install m$s0l m$s0l=server
;;'2'2' Instalacin a trav)s de up2date'
up(date =i m$s0l m$s0l=server
432
;;'8' Arocedimientos'
;;'8'!' SELinux * el servicio m*s-ld'
S utza Cent6S 9, 0ed Gate Enterprise Linux 9 o Z.ite #ox Enterprise Linux 9 o
versones posterores de estos sstemas operatvos, actve a potca m*s-ldUdisableUtrans con
e mandato setsebool para permtr funconar a servco m*s-ld. De otro modo, e servco
m*s-ld |ams podr ncar.
setsebool =5 m$s0ld%disable%trans 1
Para que SELnux permta utzar e cente m*s-l para estabecer conexones haca servdores
MySOL, utce e sguente mandato:
setsebool =5 allow%user%m$s0l%connect 1
;;'8'2' IniciarM detener * reiniciar el servicio m*s-ld'
Para ncar por prmera vez e servco m*s-ld y generar a base de datos nca (m*s-l), utce:
/sbin/service m$s0ld start
Para rencar e servco m*s-ld, utce:
/sbin/service m$s0ld restart
Para detener e servco m*s-ld, utce:
/sbin/service m$s0ld stop
;;'8'8' &2re2ar el servicio m*s-ld al arran-ue del sistema'
Para hacer que e servco de m*s-ld est actvo con e sguente nco de sstema, en todos os
/sbin/chkcon&ig m$s0ld on
;;'8'9' &si2nacin de clave de acceso al usuario root'
E usuaro root en MySOL%trade;, no tene asgnada cave de acceso aguna despus de ncado
e servco por prmera vez. Por razones de segurdad, es muy mportante asgnar una cave de
acceso.
;;'8'9'!' ?)todo corto'
La forma ms smpe de asgnar una cave de acceso a usuaro root de ?*SDLe soo requere
de un nco mandato, descrto a contnuacn.
433
m$s0ladmin =u root password nueva=clave=de=acceso
En adeante, ser necesaro aadr a opcn 1p a cuaquer sentenca de nea de mandatos para ,
m*s-ladmin y m*s-ldump para ngresar a cave de acceso de usuaro root y poder, de esta
forma, reazar dversas tareas admnstratvas.
;;'8'9'2' ?)todo lar2o'
La forma compcada de reazar o anteror se descrbe soo con fnes ddctcos y como prueba
de concepto. No es de todo prctco reazar asgnacn de a cave de acceso de usuaro root
con este mtodo, pero srve para entender e funconamento en cuanto a asgnacn de caves de
acceso.
Como root, utce e mandato m*s-l:
G m$s0l
Dentro de ntrprete de mandatos de MySOL, ndque con e mandato use m*s-l que utzar
nca base de datos exstente, m*s-l:
Q use m$s0l
Socte con e mandato s.oN tables que se muestren as tabas de a base de datos m*s-l:
Q show tablesX
Con e mandato select ` /rom user se mostrar e contendo de a taba user de a base de
datos actua:
Q select M &rom userX
Esto har que se vea, entre otras muc.as cosas, o sguente:
L=========================L==========L==================L==============L
] 7ost ] #ser ] 5assword ] Select%priv ]
L=========================L==========L==================L==============L
] localhost ] root ] ] K ]
L=========================L==========L==================L==============L
Como se podr observar, e usuaro root no tene asgnada una cave de acceso, por o que
cuaquera que se dentfque como root en e sstema tendr acceso a todo en MySOL. Se
asgnar una cave de acceso de sguente modo:
Q update user set 5asswordH5>SSCIR<(Wnuevo%passwordW) where userHWrootWX
Utce de nuevo e mandato select ` /rom user y vueva observar e campo que correspondera
a de a cave de acceso de usuaro root:
Q select M &rom userX
434
Deber aparecer ahora un crptograma en e campo que corresponde a a cave de acceso de
usuaro root.
L=========================L==========L==================L==============L
] 7ost ] #ser ] 5assword ] Select%priv ]
L=========================L==========L==================L==============L
] localhost ] root ]-*/,()-b'e+d6'1'*(] K ]
L=========================L==========L==================L==============L
Se recomenda reazar refresco de os prvegos a fn de que tomen efecto os cambos.
Q &lush privileges
Para probar, soo hay que sar de ntrprete de MySOL.
Q 0uit
Intente ngresar de nuevamente a ntrprete de mandatos de MySOL:
m$s0l
Notar que ya no se puede acceder como antes, y regresa un mensa|e de error.
BRRIR 1+-*2 >ccess denied &or user2 WrootRlocalhostW (#sing password2 OI)
E|ecute ahora e msmo mandato, pero especfcando un usuaro (1u root) y soctando se
pregunte por una cave de acceso (1p):
m$s0l =u root =p
A contnuacn se e pedr ngrese una cave de e acceso, tras o cua obtendr de nuevo acceso
a ntrprete de mandatos de MySOL
;;'9' Creando * destru*endo bases de datos'
Para crear una nueva base de datos, puede utzarse e mandato m*s-ladmin con e parmetro
create:
m$s0ladmin =u root =p create dbe1emplo
S queremos emnar dcha base de datos, utzamos e parmetro drop en ugar de create.
m$s0ladmin =u root =p drop dbe1emplo
;;':' 6tor2ando permisos a los usuarios'
En adeante e usuaro root soo se utzar para tareas admnstratvas y creacn de nuevas
bases de datos. Resutar convenente deegar a os usuaros ordnaros e mane|o de sus propas
bases de datos.
435
Una vez generada una base de datos, debemos determnar con que usuaro y desde que equpo
en a red oca, se podr tener acceso, as como os prvegos para modfcar esta. Lo ms comn,
y seguro, es asgnar e acceso soo desde e msmo servdor (local!ost), a menos que e desarroo
web o apcacn se ocace en otro equpo.
Genere un base de datos denomnada directorio:
m$s0ladmin =u root =p create directorio
Se accede haca e ntrprete de mandatos de ?*SDLe y se utza o sguente, suponendo que
se desea asgnar permsos select (seecconar), insert (nsertar), update (actuazar), create
(crear), alter (adetar), delete (emnar) y drop (descartar) sobre as tabas de a base de datos
directorio a usuaro prueba desde e anftrn local.ost (equpo oca):
3R>O? select. insert. update. create. alter. delete. drop IO directorio8M ?I
pruebaRlocalhost 4<BO?4D4B< :K Wpassword%del%usuario%pruebaWX
A concur, se tendr una base de datos denomnada directorio que podr ser utzada y
modfcada por e usuaro prueba desde e anftrn local.ost. Esto estabecer un nve de
segurdad apropado, y garantzar que de verse comprometda a segurdad, a cave de acceso
de un usuaro no podr ser utzada desde un sstema remoto.
S, por mencionar un e4emplo, se requere permtr e acceso haca a base de datos directorio
desde otro equpo en a red oca, con fnes admnstratvos, se puede otorgar e acceso y
permsos a usuaro 4pere= desde e anftrn 192.168.1.253, es decr 4pere=h!2'!;>'!'2:8.
3R>O?
select. insert. update. create. alter. delete. drop
IO
directorio8M
?I
1pere"R1/(816'818(*,
4<BO?4D4B< :K
Wclave%de%acceso%para%1pere"WX
;;';' ?odi/icaciones necesarias en el muro corta/ue2os'
abrr e puerto 3306 por TCP (m*s-l).
G 5IR? 5IR?(S)1
>66B5? net &w tcp ,,+6
y loc), donde soo se va a permtr e acceso a servco m*s-ld desde a red oca, correspondera
a o sguente:
G 5IR? 5IR?(S)1
436
>66B5? loc &w tcp ,,+6
437
;<' Con/i2uracin b@sica de &pac.e'
;<'!' Introduccin'
;<'!'!' &cerca del protocolo GBBA'
HTTP (Gypertext Bransfer Arotoco, o Protocoo de Trasferenca de Hpertext), es e mtodo
utzado para transferr o transportar nformacn en a Red Munda (WWW, Zord Zde Zeb). Su
propsto orgna fue e proveer una forma depubcar y recupertar documentos HTML.
E desarroo de protocoo fue coordnado por Word Wde Web Consortum y a IEB% (Internet
Engneerng Bask %orce, o Fuerza de Traba|o en Ingenera de Internet), cumnando con a
pubcacn de varso RFC (0equest %or Comments), de entre os que destaca e RFC 2616, msmo
que defne a versn 1.1 de protocoo, que es e utzado hoy en da.
GBBA es un protocoo de soctud y respuesta a travs de BCA, entre agentes de usuaro
(Navegadores, motores de ndce y otras herramentas) y servdores, reguarmente utzando e
puerto 80. Entre a comuncacn entre stos puede ntervenr como servdores Intermedaros
(Proxes), puertas de enace y tnees.
;<'!'2' &cerca de &pac.e'
Apache es un servdor HTTP, de cdgo aberto y cencamento bre, que funcona en Lnux,
sstemas operatvos dervados de Unx, Wndows, Nove Netware y otras pataformas. Ha
desempeado un pape muy mportante en e crecmento de a red munda, y contnua sendo e
servdor HTTP ms utzado, sendo adems e servdor de facto contra e cua se reazan as
pruebas comparatvas y de desempeo para otros productos competdores. Apache es
desarroado y mantendo por una comundad de desarroadores auspcada por Apache Software
Foundaton.
URL: http://www.apache.org/
;<'2' E-uipamiento l2ico necesario'
;<'2'!' Instalacin a trav)s de *um'
S se utza de Cent6S 9, 0ed Gat Enterpirse Linux : o Z.ite #ox Enterprise Linux 9 o
versones posterores de stos, soo se necesta utzar o sguente:
438
$um =$ install httpd
S se desea que Apache ncuya soporte para AGA/?*SDL, Aerl, A*t.on y SSL/BLS, soo bastar
e|ecutar:
$um =$ install php php=m$s0l mod%perl mod%p$thon mod%ssl
;<'2'2' Instalacin a trav)s de Up2date
S se utza de Red Hat Enterprse Lnux 4, soo se necesta utzar o sguente:
up(date =i httpd
S se desea que Apache ncuya soporte para PHP/MySOL, Per, Python y SSL, soo bastar utzar:
up(date =i php php=m$s0l mod%perl mod%p$thon mod%ssl
;<'8' Iniciar servicio * a$adir el servicio al arran-ue del
sistema'
Apache es un servco que por fortuna soo es necesaro nstaar e ncar. No requere
modfcacones adconaes para su funconamento bsco. Para aadr e servco a os servcos
que ncan |unto con e sstema, soo se necesta e|ecuta:
chkcon&ig httpd on
Para ncar e servco por prmera vez, soo se necesta utzar:
service httpd start
Para rencar e servco, consderando que se nterrumprn todas as conexones estabecdas en
ese momento, soo se necesta utzar:
service httpd restart
S e servco ya est traba|ando, tambn puede utzar reload a fn de que Apache vueva a eer
y cargar a confguracn sn nterrumpr e servco, y, por ende, as conexones estabecdas.
service httpd reload
Para detener e servco, soo se necesta utzar:
service httpd stop
439
;<'9' Arocedimientos'
;<'9'!' SELinux * &pac.e'
S utza aguna dstrbucn con nceo 2.6 basada sobre Red Hat Enterprse Lnux 4.0, como
seran CentOS 4.0 o Whte Box Enterprse Lnux 4.0 en adeante, stas ncuyen SELnux que
aade segurdad adcona a Apache, sn embargo agunas opcones mpedrn utzar certas
funcones en Apache, como drectoros vrtuaes.
Para permtr a Apache poder envar correo eectrnco desde aguna apcacn, utce e
sguente mandato:
setsebool =5 httpd%can%sendmail 1
Para permtr a Apache poder e|ecutar guones CGI, utce e sguente mandato:
setsebool =5 httpd%enable%cgi 1
Para permtr as ncusones de ado de servdor (SSI, Server Sde Incudes), utce e sguente
mandato:
setsebool =5 httpd%ssi%exec 1
Para permtr que Apache se pueda conectar a travs de red haca un servdor de bases de datos,
utce e sguente mandato:
setsebool =5 httpd%can%network%connect%db 1
Para permtr a Apache reazar conexones de red haca otro servdor, utce e sguente
mandato:
setsebool =5 httpd%can%network%connect 1
Para permtr que os usuaros ocaes tengan puedan utzar un drectoro pbco (publicU.tml),
utce e sguente mandato:
setsebool =5 httpd%enable%homedirs 1
Para desactivar a e|ecucn de PHP y otros engua|es de programacn para HTTP a travs de
Apache, utce e sguente mandato:
setsebool =5 httpd%builtin%scripting +
Para consutar que otras potcas dsponbes exsten para Apache, utce e sguente mandato:
getsebool =a ]grep httpd
Para defnr que un drectoro o fchero fuera de /var/NNN/.tml, como por e|empo
440
/var/NNN/dominio/.tml se debe consderar como contendo HTTP, se utza e sguente
mandato:
chcon =t httpd%s$s%content%t /var/www/dominio/html
Para defnr que se permte e|ecutar un gun CGI en partcuar, como por e|empo
/var/NNN/dominio/c2i1bin//ormulario'pl, se utza e sguente mandato:
chcon =t httpd%s$s%script%exec%t /var/www/dominio/cgi=bin/&ormulario8pl
Para defnr que un programa, que por e|empo puede estar ecrto en PHP como
/var/NNN/dominio/.tml/leer'p.p, soo pueda reazar procedmentos de ectura de datos y
nunca de escrtura, utce e sguente mandato:
chcon =t httpd%s$s%script%ro%t /var/www/dominio/html/leer8php
Para defnr que un programa, que por e|empo puede estar ecrto en PHP como
/var/NNN/dominio/.tml/escribir'p.p, pueda reazar procedmentos de ectura y escrtura de
datos, utce e sguente mandato:
chcon =t httpd%s$s%script%rw%t /var/www/dominio/html/leer8php
Para defnr que se desactve a proteccn de SELnux para Apache, hacendo que todo o
setsebool =5 httpd%disable%trans 1
;<'9'2' UB%1> * codi/icacin de documentos'
UTF-8
UTF-8 es un mtodo de codfcacn de ASCII para Uncode (ISO-10646), e
Con|unto de Caracteres Unversa o UCS. ste codfca a mayora de os
sstemas de escrtura de mundo en un soo con|unto de caracteres,
permtendo a mezca de engua|es y guones en un msmo documento sn a
necesdad de a|ustes para reazar os cambos de con|untos de caracteres.
Cuaquer sto de red que haga uso de bases de datos y documentos HTML suee toparse con
probemas cuando se trata de dar con e tpo de codfcacn (UTF-8, ISO-8859-1, etc.), puesto
que en agunos casos, por ctar un e|empo, os caracteres atnos se muestran ncorrectamente
por e cambo de codfcacn.
Debdo a su convenenca actuamente se est adoptando UTF-8 como codfcacn para todo, sn
embargo an hay mucho matera codfcado en, por e|empo, ISO-8859-1.
Lo correcto es codfcar os documentos codfcados en ISO8859-1 y otras tabas de caracteres
haca en UTF-8, utzando mtodos como e sguente:
cd /var/www/html/
&or & in M8html
do
441
vi =c V2w0d LLencHut&'V J&
done
S desea contnuar viviendo en el pasado y no aceptar e nuevo estndar, tambn puede
desactvar a funcn en Apache que estabece UTF-8 como codfcacn predefnda. Edte e
fchero /etc/.ttpd/con//.ttpd'con/ y ocace o sguente:
>dd<e&ault6harset #?D='
Cambe o anteror por esto otro:
>dd<e&ault6harset I&&
;<'9'8' %ic.eros de con/i2uracin'
Cuaquer a|uste que se requera reazar, ya sea para confgurar Stos de Red vrtuaes u otra
funconadad adcona, se puede reazar sn tocar e fchero prncpa de confguracn, utzando
cuaquer fchero con extensn `'con/ dentro de drectoro /etc/.ttpd/con/'d/'
;<'9'9' Directorios virtuales'
S, por e|empo, se qusera aadr e aas para un drectoro ocazado en
/var/contenidos/varios/ y e cua queremos vsuazar como e drectoro /varios/ en Apache, o
prmero ser crear e drectoro:
mkdir =p /var/contenidos/varios
A contnuacn se confgura e contexto en SELnux de dcho drectoro a fn de que sea tratado
como un ob|eto (ob4ectUr) creado por usuaro de sstema (s*stemUu) y que es contendo de
Apache (.ttpsUs*sUcontentUt):
chcon =u s$stem%u /var/contenidos/varios
chcon =r ob1ect%r /var/contenidos/varios
chcon =t https%s$s%content%t /var/contenidos/varios
Y se crea un fchero que se denomnar arbtraramente como /etc/.ttpd/con/'d/aliases'con/
con e sguente contendo:
>lias /varios /var/contenidos/varios
S trata de acceder haca este nuevo drectoro vrtua con e navegador, notar que no est
permtdo e acceso. Para poder acceder deber haber un documento ndce en e nteror
(ndex.htm, ndex.php, etc) o ben que dcho drectoro sea confgurado para mostrar e contendo
de sguente modo:
_<irector$ V/var/contenidos/variosVQ
!pions Jn(e.es
_/<irector$Q
E parmetro Indexes ndca que se deber mostrar e ndce de contendo de drectoro. S se
442
requere que este drectoro tenga mayor funconadad, se pueden aadr ms opcones, como por
e|empo:
_<irector$ V/var/contenidos/variosVQ
Iptions 4ndexes Jn)lu(es ?ollow"ym7in-s
8llow!verri(e 'll
_/<irector$Q
E parmetro %olloNS*mLinLs posbta poder coocar enaces smbcos dentro de drectoro
os cuaes se segurn. E parmetro Includes especfca que se permte a utzacn de os SSI
(Server Sde Incudes) que posbtan utzar funcones como autentcacn. E parmetro
&lloN6verride all posbta utzar fcheros '.taccess.
Rence o recargue Apache y acceda haca !ttp233;ER.9.9.;3varios3 con cuaquer navegador de red
y vsuace e resutado.
;<'9':' 0edireccin de directorios'
Cuando sea necesaro, es posbe confgurar un drectoro en partcuar para Apache redr|a de
modo transparente ste y su contendo haca cuaquer otra dreccn.
Redirect ,+1 /webmail http2//mail8su=dominio8net/
En e e|empo anteror, se ndca que s se trata de acceder haca e subdrectoro /Nebmail en e
servdor, Apache deber redrgr haca !ttp233mail.su7dominio.net3. E nmero 301 corresponde a
mensa|e de protocoo HTTP para ndcar que a redreccn es permanente. S por e|empo hubese
un ob|eto en /webma, como por e|empo /Nebmail/estadisticas/estadisticas'p.p, Apache
reazar e re-drecconamento transparente haca !ttp233mail.su7
dominio.net3estadisticas3estadisticas.p!p.
;<'9';' Bipos de ?I?E'
S por e|empo se qusera aadr agn tpo de extensn y tpo MIME, como por e|empo Ogg, se
podra generar un fchero que denomnaremos arbtraramente como e fchero
/etc/.ttpd/con/'d/extensiones'con/ con e sguente contendo:
>dd?$pe application/ogg 8ogg
>dd<escription VIgg @orbis >udioV 8ogg
>dd4con /icons/sound(8png 8ogg
;<'9'<' Soporte para CGI con extensin `'c2i
S se qusera aadr que se reconocera a extensn `'c2i como un gun CGI (Common Gateway
Interface), soo bastar aadr un fchero que denomnaremos, arbtraramente,
/etc/.ttpd/con/'d/c2i'con/ con e sguente contendo:
>dd7andler cgi=script 8cgi
;<'9'<'!' Arobando la con/i2uracin'
Utce e edtor de texto de su preferenca para crear e fchero /var/NNN/c2i1bin/tiempo'c2i.
443
Este deber evar o sguente como contendo:
Gd/usr/bin/perl
print Vcontent=t$pe2 text/htmlnnVX
print scalar localtimeX
print VnVX
Deberemos de cambar e permso de archvo anteror con a sguente nea de mandato:
chmod )** /var/www/cgi=bin/tiempo8cgi
Utce e navegador de red que prefera y apunte ste haca !ttp233;ER.9.9.;3c%i7bin3tiempo.c%i. S
e navegador nos da una sada smar a a sguente, se habr confgurado extosamente
Apache para e|ecutar guones CGI:
?ue aul +* ((21+2-1 (++*
;<'9'<'2' Aroblemas posteriores
Antes escrbre a autor de este documento, de recurrr a as stas de soporte o grupos y foros de
dscusn soctando ayuda para hacer traba|ar un gun CGI en partcuar, ea cudadosamente a
documentacn que acompaa a este y verfque que se han estabecdo apropadamente os
permsos de ectura, escrtura y e|ecucn, que se han reazado as modfcacones necesaras en
os parmetros para e uso de gun en su servdor y que e gun CGI no contenga errores.
Recurra a autor de gun CGI o bnaro s necesta ayuda.
;<'9'<'8' Error m@s com7n n7mero !'
Dorbidden
Kou donWt have permission to access /algun/directorio/guion8cgi on this server
Sgnfca que e archvo no cuenta con os permsos apropados de ectura, escrtura y e|ecucn.
La mayora guones CGI que encontrar en Internet necestarn a menos permso <:: para poder
ser utzados.
;<'9'<'9' Error m@s com7n n7mero 2'
4nternal Server Brror
?he server encountered an internal error or miscon&iguration and was unable to
complete $our re0uest8
Sgnfca que hay probemas con e gun CGI en s y no con Apache. En a mayora de os casos
se trata de fcheros que fueron eaborados desde un edtor de texto en Wndows, cuyo retorno
de carro es dstnto a de os sstemas operatvos basados sobre UNIX, por o cua se deber
utzar e mandato dos2unix sobre dchos fcheros. En otros casos, ago menos frecuente, se
requerr que e admnstrador revse nea por nea para ocazar un posbe error o parmetro
ncorrecto. Cuando apque, verfque que a prmera nea de gun que apunta haca donde se
encuentra e mandato perl sea correcta. Verfque tambn s e drectoro que abergue e gun
CGI requere agn permso en partcuar, como sera 777 en e caso de agunos guones CGI.
444
;<'9'>' 0obo de im@2enes'
Suee ocurrr que os admnstradores de agunos stos encuentran fc utzar mgenes, y otros
tpos de contendo, vncuando desde sus documentos haca os ob|etos en e servdor. Esto
consume ancho de banda adcona y es una prctca poco tca. En e sguente e|empo,
consderando que se tene un drectoro /var/NNN/.tml/ima2enes, y se desea proteger ste
para que soo se permta utzar su contendo s es referdo desde e msmo servdor, se utzara
o sguente:
G Se permite al propio servidor
SetBnv4& Re&erer V^http2//www8midominio8org/V local%re&eral
G se permite aceder directamente a la imagen o bien si
G no se especi&ica en el navegador la in&ormaciPn de re&erente8
SetBnv4& Re&erer V^JV local%re&eral
_<irector$ V/var/www/html/imagenes/VQ
Irder <en$.>llow
<en$ &rom all
>llow &rom envHlocal%re&eral
_/<irector$Q
La confguracn anteror puede aadrse en cuaquer fchero *.conf dentro de drectoro
/etc/.ttpd/con/'d/.
;<':' ?odi/icaciones necesarias en el muro corta/ue2os'
abrr e puerto 80 por TCP (GBBA).
sguente:
G 5IR? 5IR?(S)1
>66B5? net &w tcp '+
;<';' &p)ndice3 Con/i2uracin de Sitios de 0ed virtuales en
&pac.e'
Puede generarse cuaquer fchero con extensn I.conf dentro de drectoro 3etc3!ttpd3conf.d3 de
Apache 2.0.x. Puede ncurse contendo como e sguente:
G <e&iniciPn del Sitio de Red principal
Oame@irtual7ost 1/(816'818(*-
_@irtual7ost 1/(816'818(*-Q
Server>dmin webmasterRdominio8com
<ocumentRoot /var/www/html/
"erverA'me www.(ominio.)om
_/@irtual7ostQ
G Ceb virtual con de&iniciPn de directorio para 634
_@irtual7ost 1/(816'818(*-Q
445
<ocumentRoot /var/www/lpt/html
"erverA'me www.'l*un$(ominio.)om
"erver8li's 'l*un$(ominio.)om
"erver8(min webm'serM'l*un$(ominio.)om
BrrorAog /var/www/algun=dominio/logs/error%log
6ustomAog /var/www/algun=dominio/logs/access%log combined
Script>lias /cgi=bin/ V/var/www/algun=dominio/cgi=bin/V
_<irector$ V/var/www/algun=dominio/cgi=binVQ
>llowIverride Oone
Iptions Oone
Irder allow.den$
>llow &rom all
_/<irector$Q
>dd7andler cgi=script 8cgi
_/@irtual7ostQ
G !cs Sitios de Red virtuales
_@irtual7ost 1/(816'818(*-Q
Server>dmin webm'serM(ominio.)om
<ocumentRoot /usr/share/s0uirrelmail/
ServerOame webmail8dominio8com
BrrorAog logs/webmail8dominio8com=error%log
6ustomAog logs/webmail8dominio8com=access%log combined
_/@irtual7ostQ
_@irtual7ost 1/(816'818(*-Q
Server>dmin webm'serMbe'.(ominio.)om
<ocumentRoot /var/www/beta/
"erverA'me be'.(ominio.)om
BrrorAog /var/www/beta/logs/beta8dominio8com=error%log
6ustomAog /var/www/beta/logs/beta8dominio8com=access%log combined
_/@irtual7ostQ
_@irtual7ost 1/(816'818(*-Q
Server>dmin webm'serM(ominio.)om
<ocumentRoot /usr/share/s0uirrelmail/
"erverA'me m'il.(ominio.)om
BrrorAog logs/mail8dominio8com=error%log
6ustomAog logs/mail8dominio8com=access%log combined
_/@irtual7ostQ
_@irtual7ost 1/(816'818(*-Q
Server>dmin webm'serM(ominio.ne
<ocumentRoot /var/www/mi=dominio/
"erverA'me www.(ominio.ne
BrrorAog /var/www/mi=dominio/logs/www8dominio8net=error%log
6ustomAog /var/www/mi=dominio/logs/www8dominio8net=access%log combined
_/@irtual7ostQ
446
;>' Cmo .abilitar los /ic.eros '.taccess * SSI Q
Server Side IncludesQ en &pac.e 2'x'
;>'!' Introduccin'
Apache 2.x tene me|ores meddas de segurdad que as versones anterores, debdo a que su
confguracn predetermnada vene de ta modo que deshabta muchas cosas que podrn
consderarse de certo resgo. Parte de esa segurdad ncuye deshabtar os SSI (Server Sde
Incudes o Incusones de Lado de Servdor) y e uso de os fcheros '.taccess. Estos tmos
srven para modfcar o agregar funcones a drectoros.
Bscamente soo se necesta agregar as sguentes neas a cuaquer defncn de drectoro
que se desee utzar:
Iptions Jn)lu(es
>llowIverride >ll
;>'2' Arocedimientos'
;>'2'!' &utenticacin de directorios'
La autentcacn para un drectoro, contra un fchero que ncuye caves de acceso, se reaza a
travs de a sguente sntaxs en cuaquer fchero '.taccess.
>uthOame V>cceso solo usuarios autori"adosV
>uth?$pe :asic
re0uire valid=user
>uth#serDile /cual0uier/ruta/hacia/&ichero/de/claves
;>'2'!'!' E4emplo'
Se procede a crear un drectoro que ser vsto desde cuaquer navegador como
!ttp233;ER.9.9.;3privado3.
Genere e fchero /etc/.ttpd/con/'d/e4emplo1autenticar'con/ con e sguente contendo:
>lias /privado /v'r/www/priv'(o
_<irector$ V/v'r/www/priv'(oVQ
Iptions Jn)lu(es
>llowIverride >ll
447
Irder allow.den$
>llow &rom all
_/<irector$Q
Genere e drectoro /var/NNN/privado/ reazando o sguente:
mkdir =p /var/www/privado
Genere e fchero /var/NNN/privado/'.taccess reazando o sguente:
touch /var/www/privado/8hta))ess
Edite e fchero /var/NNN/privado/'.taccess y agregue e sguente contendo:
>uthOame VSolo usuarios autori"adosV
>uth?$pe :asic
re0uire valid=user
>uth#serDile /var/www/claves
Genere e fchero de caves de acceso como /var/NNN/claves, utzando e sguente
procedmento:
touch /var/www/claves
Con e fn de estabecer a segurdad necesara, cambe os atrbutos de ectura y escrtura soo
para e usuaro apac.e:
chmod 6++ /var/www/claves
chown apache2apache /var/www/claves
Agregue agunos usuarios virtuales a fchero de caves, /var/NNN/claves, utzando e
sguente procedmento con e mandato .tpassNd:
htpasswd /var/www/claves &ulano
htpasswd /var/www/claves mengano
Rence e servco .ttpd:
Acceda con cuaquer navegador de red haca !ttp233;ER.9.9.;3privado3 y compruebe que funcona
e acceso con autentcacn en dcho subdrectoro utzando cuaquera de os dos usuaros
vrtuaes que gener con e mandato .tpassNd, es decr fuano o mengano.
l$nx &p2//12F.0.0.1/priv'(o/
;>'2'2' &si2nacin de directivas para AGA'
Sueen darse os casos donde una apcacn, escrta en AGA, requere agunas drectvas de AGA
en partcuar. En muchos casos se egan a necestar varabes que pueden comprometer a
448
segurdad de otras apcacones hospedadas en e servdor. Para ta fn es que se puede evtar
modfcar e fchero /etc/p.p'ini utzando e parmetro p.pU/la2 en un fchero '.taccess. La
sguente sntaxs es a sguente:
php%&lag directiva%php valor
;>'2'2'!' E4emplo
Se proceder a asgnar as drectvas re2isterU2lobals, ma2icU-uotesUruntime,
ma2icU-uotesU2pc, y uploadUmaxU/ilesi=e a drectoro en a ruta /var/NNN/aplicacion,
msmo que ser vsuazado desde Apache como !ttp233;ER.9.9.;3aplicacion3. E vaor para
re2isterU2lobals ser 6n, e vaor para ma2icU-uotesUruntime ser 6n, e vaor para
ma2icU-uotesU2pc ser 6n y e vaor para uploadUmaxU/ilesi=e ser 9?.
Genere e fchero /etc/.ttpd/con/'d/e4emplo1directivas1p.p'con/ con e sguente contendo:
>lias /aplicacion /v'r/www/'pli)')ion
_<irector$ V/v'r/www/'pli)')ionVQ
Iptions Jn)lu(es
>llowIverride >ll
Irder allow.den$
>llow &rom all
_/<irector$Q
Genere e fchero /var/NNN/aplicacion/'.taccess reazando o sguente:
touch /var/www/aplicacion/8hta))ess
Edite e fchero /var/NNN/aplicacion/'.taccess y agregue e sguente contendo:
php%&lag register%globals In
php%&lag magic%0uotes%gpc In
php%&lag magic%0uotes%runtime In
php%value upload%max%&ilesi"e -!
Genere e fchero /var/NNN/aplicacion/in/o'p.p, una funcn que muestra toda a nformacn
acerca de AGA en e servdor, a fn de corroborar os vaores de as drectvas de AGA en reacn
a drectoro, con e sguente contendo:
_iphpin&o()iQ
Rence e servco .ttpd:
Acceda con cuaquer navegador de red haca !ttp233;ER.9.9.;3aplicacion3info.p!p y corrobore que
os vaores para as varabes de AGA para e drectoro nvoucrado reamente han sdo asgnadas.
En a sub-seccn AGA Core de a seccn Con/i2uration, hay tres coumnas: Directive, e cua
corresponde a a drectvas AGA, Local Halue, e cua corresponde a os vaores de as drectvas
de AGA para e drectoro actua, y ?aster Halue, que corresponde a os vaores de as drectvas
generaes como estn defndas en e fchero /etc/p.p'ini.
449
Directive Local Halue ?aster Halue
ma2icU-uotesU2pc On Off
ma2icU-uotesUruntime On Off
re2isterU2lobals On Off
uploadUmaxU/ilesi=e 4M 4M
450
;' Cmo con/i2urar &pac.e con soporte
SSL/BLS'
Autor: $oel Barrios /ue,a
;'!' Introduccin'
;'!'!' &cerca de GBBAS'
GBBAS es a versn segura de protocoo GBBA, nventada en 1996 por Netscape
Communcatons Corporaton. No es un protocoo separado de GBBA. Se trata de una combnacn
de este tmo con un mecansmo de transporte SSL o BLS, garantzando una proteccn
razonabe durante a comuncacn cente-servdor. Es ampamente utzado en a red munda
(ZZZ o Zord Zde Zeb) para comuncacones como transaccones bancaras y pago de benes
y servcos.
E servco utza e puerto 443 por TCP para reazar as comuncacones (a comuncacn norma
para HTTP utza e 80 por TCP). E esquema U0I (Unform 0esource Identfer o Identfcador
Unforme de Recursos) es, comparando sntaxs, dntco a de GBBA (http:), utzndose como
I.ttps3J segudo de subcon|unto denomnado U0L (Unform 0esource Locator o Locazador
Unforme de Recursos). E|empo: !ttps233111.dominio.or%3
URL: http://es.wkpeda.org/wk/HTTPS y http://wp.netscape.com/eng/ss3/draft302.txt
;'!'2' &cerca de 0S&'
agortmo para e cframento de caves pbcas que fue pubcado en 1977, patentado en EE.UU.
en 1983 por e e Insttuto Tecnogco de Mchgan (?IB). 0S& es utzado ampamente en todo
e mundo para os protocoos destnados para e comerco eectrnco.
;'!'8' &cerca de Briple DES'
Briple DES, o BDES, es un agortmo que reaza un trpe cfrado DES, desarroado por IBM en
1978. Su orgen tuvo como fnadad e agrandar a ongtud de una cave sn necesdad de
cambar e agortmo de cframento, o cua o hace ms seguro que e agortmo DES, obgando a
un atacante e tener que trpcar e nmero de operacones para poder hacer dao. A pesar de
que actuamente est sendo reempazado por e agortmo &ES (&dvanced Encrypton Standard,
tambn conocdo como 0i4ndael), sgue sendo estndar para as tar|etas de crdto y
operacones de comerco eectrnco.
451
URL: http://es.wkpeda.org/wk/Trpe_DES
;'!'9' &cerca de F':0'
;'!':' &cerca de 6penSSL'
;'!';' &cerca de modUssl'
?odUssl es un mduo para e servdor HTTP Apache, e cua provee soporte para SSL versones 2
y 3 y TLS versn 1. Es una contrbucn de Raf S. Engescha, dervado de traba|o de Ben Laure.
URL: http://www.apache-ss.org/ y http://httpd.apache.org/docs/2.2/mod/mod_ss.htm
;'2' 0e-uisitos'
Es necesaro dsponer de una dreccn IP pbca para cada sto de red vrtua que se quera
confgurar con soporte SSL/BLS. Debdo a a naturaeza de os protocoos SSL y BLS, no es
posbe utzar mtpes stos de red vrtuaes con soporte SSL/BLS utzando una msma
dreccn IP. Cada certfcado utzado requerr una dreccn IP ndependente en e sto de red
vrtua.
E paquete mod_ss nstaa e fchero /etc/.ttpd/con/'d/ssl'con/, msmo que no es necesaro
modfcar, puesto que se utzarn fcheros de ncusn, con extensn *.conf, dentro de
drectoro /etc/.ttpd/con/'d/, a fn de respetar a confguracn predetermnada y podre contar
con a msma, que es funcona, brndando un punto de retorno en e caso de que ago saera ma.
;'8' E-uipamiento l2ico necesario'
;'8'!' Instalacin a trav)s de *um'
S se utza de CentOS 4 y 5 o Whte Box Enterprse Lnux 4 y 5, e|ecute o sguente:
$um =$ install mod%ssl
452
;'8'2' Instalacin a trav)s de Up2date
S se utza de Red Hat Enterprse Lnux 4 y 5, e|ecute o sguente:
up(date =i mod%ssl
;'9' Arocedimientos'
A fn de mantener certa organzacn, y un drectoro dedcado para cada sto vrtua SSL, es
convenente crear un drectoro especfco para amacenar os certfcados de cada sto vrtua
SSL. Iguamente, por motivos de se2uridad, debe ser soamente accesbe para e usuaro root.
mkdir =m +)++ /etc/ssl/mi(ominio.or*
cd /etc/ssl/mi(ominio.or*
;'9'!' Generando clave * certi/icado'
Se debe crear una cave con agortmo 0S& de 1024 octetos y estructura x:0, a cua se cfra
utzado Briple DES (Data Encrypton Standard), amacenado en formato AE? de modo que sea
nterpretabe como texto ASCII. En e proceso descrto a contnuacn, se utzan 5 fcheros
comprmdos con 2=ip, que se utzan como semas aeatoras que me|oran a segurdad de a
cave creada (server.key).
openssl genrsa =des, =rand
&ichero18g"2&ichero(8g"2&ichero,8g"2&ichero-8g"2&ichero*8g" $ou server.-ey 1+(-
S se utza este fchero (server.key) para a confguracn de sto vrtua, se requerr de
nteraccn de admnstrador cada vez que se tenga que ncar, o rencar, e servco httpd,
ngresando a cave de acceso de a cave 0S&. Este es e procedmento ms seguro, sn
embargo, debdo a que resutara poco prctco tener que ngresar una cave de acceso cada vez
que se nce e servco httpd, resuta convenente generar una cave sn Briple DES, a cua
permta ncar normamente, sn nteraccn aguna, a servco httpd. A fn de que no se sacrfque
demasada segurdad, es un requsto ndspensabe que esta cave (fchero server.pem) soo sea
accesbe para root. sta es a razn por a cua se crea e drectoro /etc/ssl/midominio'or2 con
permso de acceso soo para root.
openssl rsa =in server8ke$ $ou server.pem
Opconamente se genera un fchero de petcn CS0 (Certfcate Sgnng 0equest) que se hace
egar a una 0& (0egstraton &uthorty o Autordad de Regstro), como Herisi2n, quenes, tras e
453
correspondente pago, envan de vueta un certfcado (server.crt) frmado por dcha autordad.
openssl re0 =new =ke$ server8ke$ $ou server.)sr
Estado o provnca.
Cudad.
Undad o seccn.
Nombre de anftrn.
Dreccn de correo.
Opconamente se puede aadr otra cave de acceso y nuevamente e nombre de a empresa.
Chat $ou are about to enter is what is called a <istinguished Oame or
a <O8
=====
Irgani"ational #nit Oame (eg. section) EF2<ireccion 6omercial
www.mi(ominio.or*
5lease enter the &ollowing WextraW attributes
to be sent with $our certi&icate re0uest
> challenge password EF2
>n optional compan$ name EF2
S no se desea un certfcado frmado por un 0&, puede generarse uno certfcado propo utzando
e fchero de petcn CS0 (server.csr). En e e|empo a contnuacn, se crea un certfcado con
estructura X.509 en e que se estabece una vadez por 730 das (dos aos).
openssl x*+/ =re0 =da$s ),+ =in server8csr =signke$ server8ke$ $ou server.)r
Con a fnadad de que soo e usuaro root pueda acceder a os fcheros creados, se deben
cambar os permsos de stos a soo ectura para root.
chmod -++ /etc/ssl/mi(ominio.or*/server8M
454
;'9'2' Con/i2uracin de &pac.e'
Crear a estructura de drectoros para e sto de red vrtua.
mkdir =p /var/www/mi(ominio.or*/Ycgi=bin.html.logs.etc.varZ
De todos drectoros creados, soo /var/NNN/midominio'or2/.tml,
/var/NNN/midominio'or2/etc, /var/NNN/midominio'or2/c2i1bin y
/var/NNN/midominio'or2/var pueden pertenecer a usuaro, sn prvegos, que admnstrar
ste sto de red vrtua. Por motvos de segurdad, y a fn de evtar que e servco HTTPD no sea
trastornado en caso de un borrado accdenta de agn drectoro, tanto
/var/NNN/midominio'or2/ como /var/NNN/midominio'or2/lo2s, deben pertenecer a usuaro
root.
Crear e fchero /etc/.ttpd/con/'d/midominio'con/ con e sguente contendo, donde a'b'c'd
corresponde a una dreccn IP, y midominio'or2 corresponde a nombre de domno a confgurar
para e sto de red vrtua:
GGG mi(ominio.or* GGG
Oame@irtual7ost '.b.).(2'+
_@irtual7ost '.b.).(2'+Q
Server>dmin webmasterRmi(ominio.or*
<ocumentRoot /var/www/mi(ominio.or*/html
ServerOame www8mi(ominio.or*
Server>lias mi(ominio.or*
Redirect ,+1 / https2//www8mi(ominio.or*/
6ustomAog /var/www/mi(ominio.or*/logs/access%log combined
Brrorlog /var/www/mi(ominio.or*/logs/error%log
_/@irtual7ostQ
Oame@irtual7ost '.b.).(2--,
_@irtual7ost '.b.).(2--,Q
Server>dmin webmasterRmi(ominio.or*
<ocumentRoot /var/www/mi(ominio.or*/html
ServerOame www8mi(ominio.or*
Script>lias /cgi=bin/ /var/www/mi(ominio.or*/cgi=bin/
_<irector$ V/var/www/mi(ominio.or*/cgi=binVQ
SSAIptions LStdBnv@ars
_/<irector$Q
SSABngine on
SSA5rotocol all =SSAv(
SSA6ipherSuite >AA2d><72dBX5IR?2dSSAv(2R6-LRS>2L74372L!B<4#!2LAIC
SSA6erti&icateDile /etc/ssl/mi(ominio.or*/server.)r
SSA6erti&icate9e$Dile /etc/ssl/mi(ominio.or*/server.pem
SetBnv4& #ser=>gent V8M!S4B8MV N
nokeepalive ssl=unclean=shutdown N
downgrade=18+ &orce=response=18+
6ustomAog /var/www/mi(ominio.or*/logs/ssl%re0uest%log N
VUt Uh UYSSA%5RI?I6IAZx UYSSA%6457BRZx NVUrNV UbV
Brrorlog /var/www/mi(ominio.or*/logs/ssl%error%log
?rans&erAog /var/www/mi(ominio.or*/logs/ssl%access%log
AogAevel warn
_/@irtual7ostQ
A fn de que surtan efecto os cambos, es necesaro rencar e servco .ttpd.
455
;'9'8' Comprobacin'
Soo basta drgr cuaquer navegador HTTP haca .ttps3//NNN'midominio'or2/ a fn de verfcar
que todo est traba|ando correctamente. Tras aceptar e certfcado, en e caso de que ste no
haya sdo frmado por un 0&, deber poderse observar un sgno en a barra de estado de
navegador, e cua ndca que se trata de una conexn segura.
;'9'9' ?odi/icaciones necesarias en el muro corta/ue2os'
abrr, adems de puerto 80 por TCP (GBBA), e puerto 443 por TCP (GBBAS).
sguente:
G 5IR? 5IR?(S)1
>66B5? net &w tcp '+.--,
456
<0' Cmo con/i2urar un servidor de nombres de
dominio PDNSQ
Autor: $oel Barrios /ue,a
<0'!' Introduccin'
<0'!'!' #ind P#erLele* Internet Name DomainQ'
#IND (acrnmo de #erkeey Internet Name Doman) es una mpementacn de protocoo DNS y
provee una mpementacn bre de os prncpaes componentes de Sstema de Nombres de
Domno, os cuaes ncuyen:
Un servdor de sstema de nombres de domno (named).
Una bboteca resoutora de sstema de nombres de domno.
Herramentas para verfcar a operacn adecuada de servdor DNS (bnd-uts).
E Servdor DNS BIND es ampamente utzado en a Internet (99% de os servdores DNS)
proporconando una robusta y estabe soucn.
<0'!'2' DNS PDomain Name S*stemQ'
DNS (acrnmo de Doman Name System) es una base de datos dstrbuda y |errquca que
amacena a nformacn necesara para os nombre de domno. Sus usos prncpaes son a
asgnacn de nombres de domno a dreccones IP y a ocazacn de os servdores de correo
eectrnco correspondentes para cada domno. E DNS nac de a necesdad de factar a os
seres humanos e acceso haca os servdores dsponbes a travs de Internet permtendo hacero
por un nombre, ago ms fc de recordar que una dreccn IA.
Los Servidores DNS utzan BCA y UDA en e puerto 53 para responder as consutas. Cas todas
as consutas conssten de una soa soctud UDA desde un Cliente DNS seguda por una soa
respuesta UDA de servdor. BCA ntervene cuando e tamao de os datos de a respuesta
exceden os 512 bytes, ta como ocurre con tareas como trans/erencia de =onas.
<0'!'8' NIC PNetNorL In/ormation CenterQ'
NIC (acrnmo de Network Informaton Center o Centro de Informacn sobre a Red) es una
nsttucn encargada de asgnar os nombres de domno en Internet, ya sean nombres de
domno genrcos o por pases, permtendo personas o empresas montar stos de Internet
medante a travs de un ISA medante un DNS. Tcncamente exste un NIC por cada pas en e
mundo y cada uno de stos es responsabe por todos os domnos con a termnacn
correspondente a su pas. Por e|empo: NIC Mxco es a entdad encargada de gestonar todos os
457
domnos con termnacn 'mx, a cua es a termnacn correspondente asgnada a os domnos
de Mxco.
<0'!'9' %DDN P%ull* Duali/ied Domain NameQ'
%DDN (acrnmo de %uy Duafed Doman Name o Nombre de Domno Penamente Cafcado)
es un Nombre de Domno ambguo que especfca a poscn absouta de nodo en e rbo
|errquco de DNS. Se dstngue de un nombre reguar porque eva un punto a fna.
Como e|empo: suponendo que se tene un dspostvo cuyo nombre de anftrn es maquna1 y
un domno amado domno.com, e %DDN sera ma-uina!'dominio'com', as es que se
defne de forma nca a dspostvo mentras que puderan exstr muchos anftrones amados
maquna1, soo puede haber uno amado ma-uina!'dominio'com'. La ausenca de punto
a fna defnra que se pudera tratar tan soo de un pref|o, es decr ma-uina!'dominio'com
pudera ser un domno de otro ms argo como ma-uina!'dominio'com'mx.
La ongtud mxma de un %DDN es de 255 bytes, con una restrccn adcona de 63 bytes para
cada etqueta dentro de nombre de domno. Soo se permten os caracteres A-Z de ASCII, dgtos
y e carcter -. No se dstnguen mayscuas y mnscuas.
Desde 2004, a soctud de varos pases de Europa, exste e estndar IDN (acrnmo de
Internatonazed Doman Name) que permte caracteres no-ASCII, codfcando caracteres
Unicode dentro de cadenas de bytes dentro de con|unto norma de caracteres de %DDN. Como
resutado, os mtes de ongtud de os nombres de domno IDN dependen drectamente de
contendo msmo de nombre.
<0'!':' Componentes de un DNS'
Los DNS operan a travs de tres componentes: Centes DNS, Servdores DNS y Zonas de
Autordad.
<0'!':'!' Clientes DNS'
Son programas que e|ecuta un usuaro y que generan petcones de consuta para resover
nombres. Bscamente preguntan por a dreccn IP que corresponde a un nombre determnado.
<0'!':'2' Servidores DNS'
Son servcos que contestan as consutas reazadas por os Clientes DNS. Hay dos tpos de
servdores de nombres:
Servidor ?aestro: Tambn denomnado Arimario. Obtene os datos de domno a partr de un
fchero ao|ado en e msmo servdor.
Servidor Esclavo: Tambn denomnado Secundario. A ncar obtene os datos de domno a
travs de un Servdor Maestro (o prmaro), reazando un proceso denomnado trans/erencia de
=ona.
Un gran nmero de probemas de operacn de servdores DNS se atrbuyen a as pobres opcones
de servdores secundaros para as zona de DNS. De acuerdo a 0%C 2!>2, e DNS requere que al
menos tres servidores existan para todos os domnos deegados (o zonas).
Una de as prncpaes razones para tener al menos tres servidores para cada zona es permtr
458
que a nformacn de a zona msma est dsponbe sempre y forma confabe haca os Clientes
DNS a travs de Internet cuando un servdor DNS de dcha zona fae, no est dsponbe y/o est
nacanzabe.
Contar con mtpes servdores tambn facta a propa2acin de a zona y me|oran a efcenca
de sstema en genera a brndar opcones a os Clientes DNS s acaso encontraran dfcutades
para reazar una consuta en un Servidor DNS. En otras paabras: tener mtpes servdores
para una zona permte contar con redundancia * respaldo del servicio.
Con mtpes servdores, por o genera uno acta como Servidor ?aestro o Arimario y os
dems como Servidores Esclavos o Secundarios. Correctamente confgurados y una vez
creados os datos para una zona, no ser necesaro coparos a cada Servidor Esclavo o
Secundario, pues ste se encargar de transferr os datos de manera automtca cuando sea
necesaro.
Los Servidores DNS responden dos tpos de consutas:
Consultas Iterativas Pno recursivasQ: E cente hace una consuta a Servidor DNS y este e
responde con a me|or respuesta que pueda darse basada sobre su cach o en as zonas ocaes. S
no es posbe dar una respuesta, a consuta se reenva haca otro Servdor DNS reptndose este
proceso hasta encontrar a Servidor DNS que tene a bona de &utoridad capaz de resover a
consuta.
Consultas 0ecursivas: E Servidor DNS asume toda a carga de proporconar una respuesta
competa para a consuta reazada por e Cliente DNS. E Servidor DNS desarroa entonces
Consultas Iterativas separadas haca otros Servidores DNS (en ugar de hacero e Cliente
DNS) para obtener a respuesta soctada.
<0'!':'8' bonas de &utoridad'
Permten a Servidor ?aestro o Arimario cargar a nformacn de una zona. Cada bona de
&utoridad abarca a menos un domno y posbemente sus sub-domnos, s estos tmos no son
deegados a otras zonas de autordad.
La nformacn de cada bona de &utoridad es amacenada de forma oca en un fchero en e
Servidor DNS. Este fchero puede ncur varos tpos de regstros:
Bipo de 0e2istro' Descripcin'
& (&ddress)
Regstro de dreccn que resueve un nombre de un anftrn haca una
dreccn IAv9 de 32 bts.
&&&&
Regstro de dreccn que resueve un nombre de un anftrn haca una
dreccn IAv; de 128 bts.
CN&?E (Canonca Name)
Regstro de nombre cannco que hace que un nombre sea aas de otro. Los
domnos con aas obtene os sub-domnos y regstros DNS de domno
orgna.
?F (?a Exchanger)
Regstro de servdor de correo que srve para defnr una sta de servdores de
correo para un domno, as como a prordad entre stos.
AB0 (Aonter)
Regstro de apuntador que resueve dreccones IAv9 haca e nombre
anftrones. Es decr, hace o contraro a regstro &. Se utza en zonas de
0esolucin Inversa.
NS (Name Server)
Regstro de servdor de nombres que srve para defnr una sta de servdores
de nombres con autordad para un domno.
S6& (Start o/ &uthorty) Regstro de nco de autordad que especfca e Servidor DNS Maestro (o
Prmaro) que proporconar a nformacn con autordad acerca de un domno
de Internet, dreccn de correo eectrnco de admnstrador, nmero de sere
459
Bipo de 0e2istro' Descripcin'
de domno y parmetros de tempo para a zona.
S0H (Servce)
Regstro de servcos que especfca nformacn acerca de servcos dsponbes
a travs de domno. Protocoos como SIA (Sesson Intaton Arotoco) y F?AA
(Extensbe ?essagng and Aresence Arotoco) sueen requerr regstros S0H
en a zona para proporconar nformacn a os centes.
BFB (Bext)
Regstro de texto que permte a admnstrador nsertar texto arbtraramente
en un regstro DNS. Este tpo de regstro es muy utzado por os servdores de
stas negras DNS#L (DNS-based #ackhoe Lst) para a ftracn de Spam.
Otro e|empo de uso son as VPN, donde suee requerrse un regstro BFB para
defnr una ave que ser utzada por os centes.
Las zonas que se pueden resover son:
bonas de 0eenv,o'
Devueven direcciones IA para as bsquedas hechas para nombres %DDN (%uy Duafed
Doman Name).
En e caso de domnos pbcos, a responsabdad de que exsta una bona de &utoridad
para cada bona de 0eenv,o corresponde a a autordad msma de domno, es decr, y por
o genera, quen est regstrado como autordad de domno tras consutar una base de
datos ZG6IS. Ouenes compran domnos a travs de un NIC (por e|empo e|empo:
www.nc.mx) son quenes se hacen cargo de as bonas de 0eenv,o, ya sea a travs de su
propo Servidor DNS o ben a travs de os Servidores DNS de su ISA.
Savo que se trate de un domno para uso en una red oca, todo domno debe ser prmero
tramtado con un NIC como requsto para tener derecho ega a utzaro y poder propagaro
a travs de Internet.
bonas de 0esolucin Inversa'
Devueven nombres %DDN (%uy Duafed Doman Name) para as bsquedas hechas para
direcciones IA.
En e caso de segmentos de red pbcos, a responsabdad de que exsta de que exsta una
bona de &utoridad para cada bona de 0esolucin Inversa corresponde a a autordad
msma de segmento, es decr, y por o genera, quen est regstrado como autordad de
segmento tras consutar una base de datos ZG6IS.
Los grandes ISA, y en agunos casos agunas empresas, son quenes se hacen cargo de as
bonas de 0esolucin Inversa.
<0'!';' Gerramientas de b7s-ueda * consulta'
<0'!';'!' ?andato .ost'
E mandato .ost una herramenta smpe para hacer bsquedas en Servidores DNS. Es utzada
para convertr nombres en dreccones IP y vceversa.
De modo predefndo reaza as bsquedas en as Servidores DNS defndos en e fchero
/etc/resolv'con/, pudendo defnrse de manera opcona e Servidor DNS a consutar.
460
host www8alcancelibre8org
Lo anteror reaza una bsqueda en os Servidores DNS defndos en e fchero /etc/resolv'con/
de sstema, devovendo como resutado una dreccn IP.
host www8alcancelibre8org (++8,,81-68(1)
Lo anteror reaza una bsqueda en os Servidor DNS en a dreccn IP 200.33.146.217,
devovendo una dreccn IP como resutado.
<0'!';'2' ?andato di2'
E mandato di2 (doman informaton 2roper) es una herramenta fexbe para reazar consutas
en Servidores DNS. Reaza bsquedas y muestra as respuestas que son regresadas por os
servdores que fueron consutados. Debdo a su fexbdad y cardad en a sada es que a
mayora de os admnstradores utzan di2 para dagnostcar probemas de DNS.
De modo predefndo reaza as bsquedas en as Servidores DNS defndos en e fchero
/etc/resolv'con/, pudendo defnrse de manera opcona e Servidor DNS a consutar. La
sntaxs bsca sera:
dig Rservidor nombre ?45I
Donde servidor corresponde a nombre o dreccn IP de Servidor DNS a consutar, nombre
corresponde a nombre de regstro de recurso que se est buscando y BIA6 corresponde a tpo
de consuta requerdo (ANY, A, MX, SOA, NS, etc.)
E|empo:
dig R(++8,,81-68(+/ alcancelibre8org =W
Lo anteror reaza una bsqueda en e Servidor DNS en a dreccn IP 200.33.146.209 para os
regstros ?F para e domno alcancelibre.or%.
dig alcancelibre8org A"
Lo anteror reaza una bsqueda en os Servidores DNS defndos en e fchero /etc/resolv'con/
de sstema para os regstros NS para e domno alcancelibre.or%.
dig R(++8,,81-68(1) alcancelibre8org OS
Lo anteror reaza una bsqueda en os Servidor DNS en a dreccn IP 200.33.146.217 para os
regstros NS para e domno alcancelibre.or%.
<0'!';'8' ?andato 4N.ois PN.oisQ'
E mandato 4N.ois es una herramenta de consuta a travs de servdores ZG6IS. La sntaxs
bsca es:
461
1whois dominio
E|empo:
1whois alcancelibre8org
Loa anteror regresa a nformacn correspondente a domno alcancelibre.or%.
<0'2' E-uipamiento l2ico necesario'
Aa-uete' Descripcin'
bind Incuye e Servidor DNS (named) y herramentas para verfcar su funconamento.
bind1libs
Bboteca compartda que consste en rutnas para apcacones para utzarse cuando se
nteracte con Servidores DNS.
bind1c.root
Contene un rbo de fcheros que puede ser utzado como una |aua c!root para named
aadendo segurdad adcona a servco.
bind1utils Coeccn de herramentas para consutar Servidores DNS.
cac.in21nameserver
Fcheros de confguracn que harn que e Servidor DNS acte como un cach para e
servdor de nombres.
<0'2'!' Instalacin a trav)s de *um'
posterores, se puede nstaar utzando o sguente:
$um =$ install bind bind=chroot bind=utils caching=nameserver
<0'2'2' Instalacin a trav)s de Up2date
o sguente:
up(date =i bind bind=chroot bind=utils caching=nameserver
<0'8' Arocedimientos'
<0'8'!' SELinux * el servicio named'
A medados de 2008, Common Vunerabtes and Exposures Lst y US-CERT reportaron que e
nvestgador Dan KaminsL* descubr que varas mpementacones de DNS (BIND 8 y 9 antes
de 9.5.0-P1, 9.4.2-P1, y 9.3.5-P1; Mcrosoft DNS en todas as versones de Wndows 2000 SP4, XP
SP2 y SP3, y Server 2003 SP1 y SP2). La vunerabdad permte a atacantes remotos fasfcar
trfco DNS a travs de certas tcncas de envenamento de cache contra servdores de
resoucn recursva (es decr cuando se usa a opcn allo17recursion aberta a todo e mundo,
como ocurre en os servdores DNS pbcos), y se reacona a nsufcente aeatoredad de as ID
de transaccn y puertos de orgen. Es decr, vunerabdad de entropa de nsufcenca de zcaos
(soc0ets) de DNS (DNS Insu//icient SocLet Entrop* Hulnerabilit*). En otras paabras, un
atacante puede contamnar e cache de un servdor DNS y hacer que os centes se conecten
haca dreccones fasas. Es mportante acarar que esta es reamente una vunerabdad de
462
protocoo DNS.
SELnux protege cas por competo a servco named contra a vunerabdad anterormente
descrta. Es por ta motvo que es mportante utzar SELnux.
A fn de que SELnux permta a servco named traba|ar con permsos de escrtura para zonas
maestras, es decr un esquema de servdor maestro con servdores escavos o ben un servdor
DNS dnmco, utce e sguente mandato:
setsebool =5 named%write%master%"ones 1
Para defnr que se desactve a proteccn de SELnux para e servco named, hacendo que todo
o anterormente descrto en esta seccn perda sentdo y e servdor sea parcamente
susceptible a la vulnerabilidad de KaminsLi, utce e sguente mandato:
setsebool =5 named%disable%trans 1
S reaza e procedmento anteror, es mportante confgurar a funcn de consutas recursvas
excusvamente para redes en a que se confe penamente.
S se va a confgurar un DNS dnmco, SELnux mpedr crear os fcheros `'4nl (journal, fcheros
de daro) correspondentes. Las zonas de DNS dnmcas deben ser amacenadas en drectoros
especfcos que soo contengan zonas dnmcas. Sugero crear e drectoro
/var/named/c.root/var/named/d*namics para ta fn y confgurar ste para qu pertenezca a
usuaro y grupo named, tenga permsos de ectura, escrtura y e|ecucn para e usuaro y grupo
named (770) y tenga os contextos de SELnux de usuaro de sstema (s*stemUu), ro de ob|eto
(ob4ectUr) y tpo cache de servco named (namedUcac.eUt) a fn de permtr escrtura en este
drectoro.
cd /var/named/chroot/var/named/
mkdir d$namics/
chmod ))+ d$namics/
chown named2named d$namics/
chcon =u s$stem%u =r ob1ect%r =t named%cache%t d$namics/
Cuaquer fchero de zona que se vaya a utzar a travs de servco named, debe contar con os
contextos de SELnux de usuaro de sstema (s*stemUu), ro de ob|eto (ob4ectUr) y tpo zona de
servco named (namedU=oneUt). En e sguente e|empo se utza e mandato c.con para
cambar os contextos de fchero mi1dominio'=one y defnr os contextos de SELnux
menconados:
chcon =u s$stem%u =r ob1ect%r =t named%"one%t mi=dominio8"one
<0'8'2' Areparativos'
Ideamente se deben defnr prmero os sguente datos:
!' Domno a resover.
2'
Servdor de nombres prncpa (SOA). kste debe ser un nombre -ue *a est) plenamente
resueltoM y debe ser un %DDN (%uy Duafed Doman Name).
463
8'
Lsta de todos os servdores de nombres (NS) que se utzarn para efectos de redundanca.
kstos deben ser nombres -ue *a est)n plenamente resueltos, y deben ser adems %DDN
(%uy Duafed Doman Name).
9'
Cuenta de correo de admnstrador responsabe de esta zona. Dic.a cuenta debe existir * no
debe pertenecer a la misma =ona -ue se est@ tratando de resolver'
:' A menos un servdor de correo (MX), con un regstro &, nunca CN&?E.
;' IP predetermnada de domno.
<'
Sub-domnos dentro de domno (www, ma, ftp, ns, etc.) y as dreccones IP que estarn
asocadas a estos.
Es mportante tener ben en caro que os puntos 2, 3 y 4 nvoucran datos que deben existir
previamente y estar penamente resuetos por otro servdor DNS; Lo anteror quere decr no
pueden utzar datos que sean parte o dependan de msmo domno que se pretende resover. De
gua modo, e servdor donde se mpementar e DNS deber contar con un nombre %DDN y que
est preva y penamente resueto en otro DNS.
Como rega genera se generar una zona de reenvo por cada domno sobre e cua se tenga
autordad pena y absouta y se generar una zona de resoucn nversa por cada red sobre a
cua se tenga pena y absouta autordad. Es decr, s se es propetaro de domno
Ccualquiercosa.com<, se deber generar e fchero de zona correspondente a fn de resover
dcho domno. Por cada red con dreccones IP prvadas sobre a cua se tenga contro y pena y
absouta autordad, se deber generar un fchero de zona de resoucn nversa a fn de resover
nversamente as dreccones IP de dcha zona. Reguarmente a resoucn nversa de as
dreccones IP pbcas es responsabdad de os proveedores de servco ya que son estos
quenes tenen a autordad pena y absouta sobre dchas dreccones IP.
Todos os fcheros de zona deben pertenecer a usuaro named a fn de que e servco named
pueda acceder a estos o ben modfcar stos en e caso de tratarse de zonas escavas.
<0'8'8' Creacin de los /ic.eros de =ona'
Los sguentes corresponderan a os contendos para os fcheros de zona requerdos para a red
oca y por e NIC con e que se haya regstrado e domno. Cabe seaar que en as zonas de
reenvo sempre se especfca a menos un regstro ?F (Ma Exchanger o ntercambador de
correo), para defnr donde est e servdor de correo para e domno, y que se utili=an
tabuladores Ptecla B&#Q en lu2ar de espacio. Soo necestar susttur nombres y dreccones
IP, y quz aadr nuevos regstros para compementar su red oca.
<0'8'8'!' Con/i2uracin m,nima para /var/named/c.root/etc/named'con/'
La confguracn mnma de fchero /var/named/c.root/etc/named'con/, y que permtr
utzar e servco para todo tpo de uso, es a sguente:
options Y
director$ V/var/namedVX
dump=&ile V/var/named/data/cache%dump8dbVX
statistics=&ile V/var/named/data/named%stats8txtVX
memstatistics=&ile V/var/named/data/named%mem%stats8txtVX
allow=recursion Y
1()8+8+81X
1/(816'818+/(-X
ZX
/orw'r(ers _
200.33.1G6.209`
464
200.33.1G6.21F`
a`
/orw'r( /irs`
ZX
include V/etc/named8r&c1/1(8"onesVX
include V/etc/rndc8ke$VX
controls Y
inet 1()8+8+81 allow Y 1()8+8+81X Z ke$s Y Vrndcke$VX ZX
ZX
Lo anteror defne como opcones que e drectoro predetermnado ser /var/named (ruta reatva
a /var/named/c.root), de defne un fchero conde se amacena a nformacn de cach en
/var/named/data/cac.eUdump'db; un fchero de estadstcas en
/var/named/data/namedUstats'txt, un fchero de estadstcas especfcas en o concernente a
uso de a memora en /var/named/data/namedUmemUstats'txt; consutas recursvas
permtdas soo a 127.0.0.1 y 192.168.1.0/24, se defnen como e4emplos de servdores DNS para
reenvar consutas a 200.33.146.209 y 200.33.146.217 (soo stos utzar desde redes de Prodgy
Internet de Temex, de/inir en lu2ar de )stos los servidores DNS del proveedor de acceso
a Internet); se defne que a prmera opcn a reazar una consuta ser reenvar a os DNS que
se acaban de defnr; se ncuyen os fcheros de confguracn /etc/named'r/c!!2'=ones, que
corresponde a as zonas de 0%C !!2, y a frma dgta nca que se gener automtcamente
tras nstaar e paquete bnd; Se defne tambn que os controes se reazan soo desde 127.0.0.1
haca 127.0.0.1 utzando a frma dgta nca.
E fchero convene asegurarse que e fchero /var/named/c.root/etc/named'con/ tenga os
contextos correspondentes para SELnux a fn de evtar potencaes probemas de segurdad.
chcon =u s$stem%u =r ob1ect%r =t named%con&%t /var/named/chroot/etc/named8con&
<0'8'8'2' bona de reenv,o red local /var/named/c.root/var/named/red1
local'=one'
J??A '6-++
R 4O SI> dns8red=local8 alguien8gmail8com8 (
(++/+/1++1X n`mero de serie
(''++ X tiempo de re&resco
)(++ X tiempo entre reintentos de consulta
6+-'++ X tiempo tras el cual expira la "ona
'6-++ X tiempo total de vida
)
R 4O OS dns
R 4O !X 1+ mail
R 4O > 1/(816'8181
intranet 4O > 1/(816'8181
ma0uina( 4O > 1/(816'818(
ma0uina, 4O > 1/(816'818,
ma0uina- 4O > 1/(816'818-
www 4O 6O>!B intranet
mail 4O > 1/(816'8181
&tp 4O 6O>!B intranet
dns 4O 6O>!B intranet
465
<0'8'8'8' bona de resolucin inversa red local
/var/named/c.root/var/named/!'!;>'!2'in1addr'arpa'=one
J??A '6-++
R 4O SI> dns8red=local8 alguien8gmail8com8 (
(++/+/1++1 X n`mero de serie
)
R 4O OS dns8red=local8
1 4O 5?R intranet8red=local8
( 4O 5?R ma0uina(8red=local8
, 4O 5?R ma0uina,8red=local8
- 4O 5?R ma0uina-8red=local8
<0'8'8'9' bona de reenv,o del dominio
/var/named/c.root/var/named/dominio'com'=one
Suponendo que hpottcamente se es a autordad para e domno Idominio'comJ, se puede
crear una bona de 0eenv,o con un contendo smar a sguente:
J??A '6-++
R 4O SI> /;(n.(ominio$resuelo. alguien8gmail8com8 (
(++/+/1++1X n`mero de serie
)
R 4O OS dns
R 4O !X 1+ mail
R 4O > 1-'8(-,8*/81
servidor 4O > 1-'8(-,8*/81
www 4O 6O>!B servidor
mail 4O > 1-'8(-,8*/81
&tp 4O 6O>!B servidor
dns 4O 6O>!B servidor
<0'8'8':' bona de resolucin inversa del dominio
/var/named/c.root/var/named/!'298'!9>'in1addr'arpa'=one
Suponendo que hpottcamente se es a autordad para e segmento de red !9>'289'!'0/29
(reguarmente o es e proveedor de servco de acceso haca Internet), se puede crear una bona
de 0esolucin Inversa con un contendo smar a sguente:
J??A '6-++
R 4O SI> /;(n.(ominio$resuelo. alguien8gmail8com8 (
(++/+/1++1 X n`mero de serie
)
R 4O OS dns8dominio8com8
1 4O 5?R servidor8dominio8com8
466
( 4O 5?R ma0uina(8dominio8com8
, 4O 5?R ma0uina,8dominio8com8
- 4O 5?R ma0uina-8dominio8com8
Cada vez que haga agn cambo en agn fchero de zona, deber cambar e nmero de sere a
fn de que tomen efecto os cambos de nmedato cuando se rence e servco named, ya que
de otro modo tendra que rencar e equpo, ago poco convenente.
Las zonas de resoucn nversa que nvoucran dreccones IP pbcas son responsabdad de os
ISP (proveedores de servco de acceso haca Internet). Crear una zona de resoucn nversa sn
ser a autordad de dcha zona tene efecto soo para quen use e servdor DNS recn confgurado
como nco DNS.
<0'8'8';' Con/i2uracin de par@metros en el /ic.ero /etc/named'con/
options Y
allow=recursion Y
1()8+8+81X
1/(816'818+/(-X
ZX
/orw'r(ers _
200.33.1G6.209`
200.33.1G6.21F`
a`
/orw'r( /irs`
ZX
controls Y
ZX
5one Ire($lo)'lI _
ype m'ser`
/ile Ire($lo)'l.5oneI`
'llow$up('e _ none` a`
ZX
5one I1.16#.192.in$'((r.'rp'I _
ype m'ser`
/ile I1.16#.192.in$'((r.'rp'.5oneI`
'llow$up('e _ none` a`
ZX
<0'8'9' Se2uridad adicional en DNS para uso p7blico'
Ouenes hayan utzado en recentes fechas os servcos de DNS Report, habrn notado que e
dagnstco en nea devueve ahora un error que, en resumen, ndca que e servdor puede ser
susceptbe de sufrr/partcpar en un ataque DDoS (Dstrbuted Dena of Servce o denegacn de
servco dstrbudo).
Un DDoS (Dstrbuted Dena of Servce) es una ampacn de ataque DoS, se efecta con a
nstaacn de varos agentes remotos en muchas computadoras que pueden estar ocazadas en
dferentes puntos de mundo. E atacante consgue coordnar esos agentes para as, de forma
467
masva, ampfcar e voumen de saturacn de nformacn (food), pudendo darse casos de un
ataque de centos o mares de computadoras drgdo a una mquna o red ob|etvo. Esta tcnca
se ha reveado como una de as ms efcaces y sencas a a hora de coapsar servdores, a
tecnooga dstrbuda ha do hacendo ms sofstcada hasta e punto de otorgar poder de causar
daos seros a personas con escaso conocmento tcnco.
La faa reportada por a herramenta en nea de DNS Report, para un servdor DNS que permte
consutas recursvas, ndcar ago como o sguente:
CEPPKP2 Kne or more of your nameservers reports t!at it is an open /#- server. *!is usually means t!at anyone in t!e 1orld can query it for
domains it is not aut!oritative for (it is possible t!at t!e /#- server advertises t!at it does recursive loo0ups 1!en it does not, but t!at
s!ouldnSt !appen. *!is can cause an e(cessive load on your /#- server. Alos, it is stron%ly discoura%ed to !ave a /#- server be bot!
aut!oritative for your domain and be recursive (even if it is not open, due to t!e potential for cac!e poisonin% (1it! no recursion, t!ere is no
cac!e, and it is impossible to poison it. Alos, t!e bad %uys could use your /#- server as part of an attac0, by for%in% t!eir BD address<
Sgnfca que e servdor DNS puede permtr a cuaquera reazar consutas recursvas. S se trata
de un DNS que se desea pueda ser consutado por cuaquera, como puede ser e caso de DNS de
un ISP, esto es norma y esperado. S se trata de un servdor que soo debe consutar a red oca,
o ben que se utza para propagar domnos ao|ados de manera oca, s es convenente tomar
meddas a respecto.
Soucn a probema es modfcar e fchero named'con/, donde se aade en a seccn de
opcones (options) una nea que defna a red, as redes o ben os &CL (&ccess Contro Lst o
stas de contro de acceso) que tendrn permtdo reazar todo tpo de consutas.
options Y
&orwarders Y 1/(816'8+81X ZX
&orward &irstX
'llow$re)ursion _ 12F.0.0.1` 192.16#.0.0/2G` a`
ZX
controls Y
ZX
Lo anteror hace que soo se puedan reazar consutas recursvas en e DNS desde 192.168.0.0/24,
ya sea para un nombre de domno ao|ado de manera oca y otros domnos resuetos en otros
servdores (e|empo: www.yahoo.com, www.googe.com, www.acancebre.org, etc). E resto de
mundo soo podr reazar consutas sobre os domnos ao|ados de manera oca y que estn
confgurado para permtro.
En a sguente confguracn de e|empo, se pretende ograr o sguente:
Red Loca: cuaquer tpo de consuta haca domnos externos y ocaes (es decr,
www.yahoo.com, www.googe.com, acancebre.org, adems de midominio.com).
Resto de mundo: soo puede hacer consutas para a zona de midominio.com
De este modo se mpde que haya consutas recursvas y con esto mpedr a posbdad de
sufrr/partcpar de un ataque DDoS.
options Y
468
&orward &irstX
ZX
controls Y
ZX
"one VmiredlocalV Y
t$pe masterX
&ile Vmiredlocal8"oneVX
allow=update Y noneX ZX
allow=0uer$ Y 1/(816'8+8+/(-X ZX
allow=trans&er Y 1/(816'8+8(X ZX
ZX
"one Vmidominio.comV Y
t$pe masterX
&ile Vmidominio.com8"oneVX
allow=trans&er Y (++8)681'*8(*(X (++8)681'*8(*1X ZX
ZX
Un DDoS (Dstrbuted Dena of Servce) es una ampacn de ataque DoS, se efecta con a
nstaacn de varos agentes remotos en muchas computadoras que pueden estar ocazadas en
dferentes puntos de mundo. E atacante consgue coordnar esos agentes para as, de forma
masva, ampfcar e voumen de saturacn de nformacn (food), pudendo darse casos de un
ataque de centos o mares de computadoras drgdo a una mquna o red ob|etvo. Esta tcnca
se ha reveado como una de as ms efcaces y sencas a a hora de coapsar servdores, a
tecnooga dstrbuda ha do hacendo ms sofstcada hasta e punto de otorgar poder de causar
daos seros a personas con escaso conocmento tcnco.
La faa reportada por a herramenta en nea de DNS Report, para un servdor DNS que permte
consutas recursvas, ndcar ago como o sguente:
CEPPKP2 Kne or more of your nameservers reports t!at it is an open /#- server. *!is usually means t!at anyone in t!e 1orld can query it for
domains it is not aut!oritative for (it is possible t!at t!e /#- server advertises t!at it does recursive loo0ups 1!en it does not, but t!at
s!ouldnSt !appen. *!is can cause an e(cessive load on your /#- server. Alos, it is stron%ly discoura%ed to !ave a /#- server be bot!
aut!oritative for your domain and be recursive (even if it is not open, due to t!e potential for cac!e poisonin% (1it! no recursion, t!ere is no
cac!e, and it is impossible to poison it. Alos, t!e bad %uys could use your /#- server as part of an attac0, by for%in% t!eir BD address<
Sgnfca que e servdor DNS puede permtr a cuaquera reazar consutas recursvas. S se trata
de un DNS que se desea pueda ser consutado por cuaquera, como puede ser e caso de DNS de
un ISP, esto es norma y esperado. S se trata de un servdor que soo debe consutar a red oca,
o ben que se utza para propagar domnos ao|ados de manera oca, s es convenente tomar
meddas a respecto.
Soucn a probema es modfcar e fchero named'con/, donde se aade en a seccn de
opcones (optons) una nea que defna a red, as redes o ben os &CL (&ccess Contro Lst o
stas de contro de acceso) que tendrn permtdo reazar todo tpo de consutas.
options Y
469
&orward &irstX
ZX
controls Y
ZX
Lo anteror hace que soo se puedan reazar todo tpo de consutas en e DNS desde
192.168.0.0/24, ya sea para un nombre de domno ao|ado de manera oca y otros domnos
resuetos en otros servdores (e|empo: www.yahoo.com, www.googe.com, www.acancebre.org,
etc). E resto de mundo soo podr reazar consutas sobre os domnos ao|ados de mane|a oca
y que estn confgurado para permtro.
En a sguente confguracn de e|empo, se pretende ograr o sguente:
Red Loca: cuaquer tpo de consuta haca domnos externos y ocaes (es decr,
www.yahoo.com, www.googe.com, acancebre.org, adems de midominio.com).
Resto de mundo: soo puede hacer consutas para a zona de midominio.com
De este modo se mpde que haya consutas recursvas y con esto mpedr a posbdad de
sufrr/partcpar de un ataque DDoS.
options Y
&orward &irstX
ZX
controls Y
ZX
"one VmiredlocalV Y
t$pe masterX
&ile Vmiredlocal8"oneVX
allow=0uer$ Y 1/(816'8+8+/(-X ZX
allow=trans&er Y 1/(816'8+8(X ZX
ZX
"one Vmidominio.comV Y
t$pe masterX
&ile Vmidominio.com8"oneVX
allow=trans&er Y (++8)681'*8(*(X (++8)681'*8(*1X ZX
470
ZX
<0'8':' Se2uridad adicional en DNS para uso exclusivo en red local'
S se va a tratar de un servdor de nombres de domno para uso excusvo en red oca, y se
queren evtar probemas de segurdad de dferente ndoe, puede utzarse e parmetro alloN1
-uer*, e cua servr para especfcar que soo certas dreccones podrn reazar consutas a
servdor de nombres de domno. Se pueden especfcar drectamente dreccones IP, redes
competas o stas de contro de acceso que debern defnrse antes de cuaquer otra cosa en e
fchero /etc/named'con/.
<0'8':'!' %ic.ero /etc/named'con/
')l Ire(lo)'lI _
12F.0.0.1`
192.16#.1.0/2G`
192.16#.2.0/2G`
192.16#.3.0/2G`
a`
options Y
director$ V/var/named/VX
allow=recursion Y redlocalX ZX
&orwarders Y
(++8,,81-68(+/X
(++8,,81-68(1)X
ZX
&orward &irstX
'llow$;uery _
re(lo)'l`
192.16#.1.15`
192.16#.1.16`
a`
ZX
controls Y
ZX
"one Vred=localV Y
t$pe masterX
&ile Vred=local8"oneVX
ZX
"one V1816'81/(8in=addr8arpaV Y
t$pe masterX
&ile V1816'81/(8in=addr8arpa8"oneVX
ZX
<0'8';' Las =onas esclavas'
Las zonas escavas se referen a aqueas hospedadas en servdores de nombres de domno
secundaros y que hacen as funcones de redundar as zonas maestras en os servdores de
nombres de domno prmaros. E contendo de fchero de zona es e msmo que en servdor
471
prmaro. La dferenca est en a seccn de texto utzada en named'con/, donde as zonas se
defnen como escavas y defnen os servdores donde est hospedada a zona maestra.
<0'8';'!' %ic.ero named'con/ Servidor DNS secundario'
"one Vdominio8comV Y
ype sl've`
&ile Vdominio8com8"oneVX
m'sers _ 192.16#.1.25G` a`
ZX
"one Vred=localV Y
ype sl've`
m'sers _ 192.16#.1.25G` a`
ZX
ype sl've`
m'sers _ 192.16#.1.25G` a`
ZX
Adconamente, s desea ncrementar segurdad y desea especfcar en el Servidor DNS
Arimario que servdores tendrn permtdo ser servdores de nombres de domno secundaro, es
decr, hacer transferencas, puede utzar e parmetro alloN1trans/er de sguente modo:
<0'8';'2' %ic.ero named'con/ Servidor DNS Arimario'
"one Vdominio8comV Y
t$pe masterX
&ile Vdominio8com8"oneVX
'llow$r'ns/er _
200.33.1G6.21F`
200.33.1G6.209`
a`
ZX
"one Vred=localV Y
t$pe masterX
'llow$r'ns/er _
192.16#.1.15`
192.16#.1.16`
a`
ZX
t$pe masterX
'llow$r'ns/er _
192.16#.1.15`
192.16#.1.16`
a`
ZX
<0'8'<' Se2uridad adicional para trans/erencias de =ona'
Cuando se gestonan domnos a travs de redes pbcas, es mportante consderar que s se
472
tenen esquemas de servdores maestros y esclavos, sempre ser ms convenente utzar una
clave ci/rada en ugar de una dreccn IP, debdo a que esta tma puede ser fasfcada ba|o
certas crcunstancas.
Comnmente se defnen as dreccones IP desde as cuaes se permtr transferencas de zonas,
utzando una confguracn en e fchero /var/named/c.root/etc/named'con/ como a
e|empfcada a contnuacn, donde os servdores escavos corresponden a os servdores con
dreccones IP 192.168.1.11 y 192.168.1.12:
"one Vmi=dominio8orgV Y
t$pe masterX
&ile Vmi=dominio8org8"oneVX
allow=update Y noneX Z2
allow=trans&er Y 1/(816'81811X 1/(816'8181(X ZX
ZX
Lo anteror permte a transferenca de zona para os servdores con dreccones IP 192.168.1.11 y
192.168.1.12, os cuaes utzan a sguente confguracn en e fchero
/var/named/c.root/etc/named'con/, e|empfcada a contnuacn, donde e servdor prmaro
(zonas maestras) corresponde a servdor con dreccn IP 192.168.1.1:
t$pe slaveX
masters Y 1/(816'8181X ZX
ZX
E nconvenente de esquema anteror es que es fc fasfcar as dreccones IP. A fn de evtar
que esto ocurra, e mtodo recomendado ser utzar una cave cfrada que ser vadada en ugar
de a dreccn IP. La ave se crea con e mandato dnssec1Le*2en, especfcando un agortmo,
que puede ser 0S&?D: o 0S&, DS&, DG (Dffe Geman) o G?&C1?D:, e tamao de a ave en
octetos (bts), e tpo de a ave, que puede ser ZONE, HOST, ENTITY o USER y e nombre
especfco para a cave cfrada. DSA y RSA se utzan para DNS Se2uro (DNSSEC), en tanto que
G?&C1?D: se utza para BSIG (Bransfer SIGnature o transferenca de frma). Lo ms comn es
utzar BSIG. En e sguente e|empo, se generar en e drectoro de traba|o actua a cave mi1
dominio'or2, utzando /dev/random como fuente de datos aeatoros, un agortmo G?&C1
?D: tpo G6SB de 128 octetos (bts):
dnssec=ke$gen =r /dev/random =a 7!>6=!<* =b 1(' =n 7IS? mi=dominio8org
Lo anteror devueve una sada smar a a sguente:
9mi=dominio8org8L1*)L,(,((
A msmo tempo se generaran dos fcheros en e drectoro /var/named/c.root/var/named/, que
corresponderan a Kmi1dominio'or2'R!:<R82822'Le* y Kmi1dominio'or2'
R!:<R82822'private. Kmi1dominio'or2'R!:<R82822'Le* deber tener un contendo como e
sguente, e cua corresponde a regstro que se aade dentro de fchero de zona:
mi=dominio8org8 4O 9BK *1( , 1*) O5uOuxv;>1td,mriu$g?'hHH
Kmi1dominio'or2'R!:<R82822'private deber tener un contendo como e sguente:
473
5rivate=ke$=&ormat2 v18(
>lgorithm2 1*) (7!>6%!<*)
9e$2 O5uOuxv;>1td,mriu$g?'hHH
En ambos casos, NAuNuxvb&4td8mriu*2B>DOO corresponde a a cave cfrada. Ambos deben
tener a msma cave.
Los dos fcheros soo deben tener atrbutos de ectura para e usuaro named.
chmod -++ 9mi=dominio8org8L1*)L,(,((8M
chown named8named 9mi=dominio8org8L1*)L,(,((8M
A fn de poder ser utzados, ambos fcheros deben ser movdos haca e drectoro
/var/named/c.root/var/named/.
mv 9mi=dominio8org8L1*)L,(,((8M /var/named/chroot/var/named
En e servdor prmaro (zonas maestras), se aade a sguente confguracn en e fchero
/var/named/c.root/etc/named'con/:
ke$ mi=dominio8org Y
algorithm 7!>6=!<*X
secret VO5uOuxv;>1td,mriu$g?'hHHVX
ZX
t$pe masterX
allow=trans&er Y ke$ mi=dominio8orgX ZX
ZX
Los servdores escavos utzaran a sguente confguracn en e fchero
/var/named/c.root/etc/named'con/, en donde se defne a cave y que sta ser utzada para
reazar conexones haca e servdor prmaro (zonas maestras) (192.168.1.1, en e e|empo):
-ey mi$(ominio.or* _
'l*ori&m >=8C$=T5`
se)re IA+uAu.vK8H(3mriuy*@#]66I`
a`
server 192.16#.1.1 _
-eys _ mi$(ominio.or*` a`
a`
t$pe slaveX
masters Y 1/(816'8181X ZX
ZX
<0'8'<'!' Comprobaciones'
Tanto en e servdor prmaro (zonas maestras) como en os servdores escavos, utce e
mandato tail para ver a sada de fchero /var/lo2/messa2es, pero soo aqueo que contenga a
cadena de caracteres named:
474
tail =& /var/log/messages ]grep named
A rencar e servco named en servdor prmaro (zonas maestras), se debe mostrar una sada
smar a a sguente cuando un servdor escavo reaza una transferenca:
Sep 1+ +12*)2-+ servidor namedE6+-(F2 listening on 45v- inter&ace eth+.
1/(816'8186-G*,
Sep 1+ +12*)2-+ servidor namedE6+-(F2 command channel listening on 1()8+8+81G/*,
Sep 1+ +12*)2-+ servidor namedE6+-(F2 "one +8in=addr8arpa/4O2 loaded serial -(
Sep 1+ +12*)2-+ servidor namedE6+-(F2 "one +8+81()8in=addr8arpa/4O2 loaded serial
1//)+(()++
Sep 1+ +12*)2-+ servidor namedE6+-(F2 "one (**8in=addr8arpa/4O2 loaded serial -(
Sep 1+ +12*)2-+ servidor namedE6+-(F2 "one
+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8ip68arpa/4O2 loaded
serial 1//)+(()++
Sep 1+ +12*)2-+ servidor namedE6+-(F2 "one localdomain/4O2 loaded serial -(
Sep 1+ +12*)2-+ servidor namedE6+-(F2 "one localhost/4O2 loaded serial -(
Sep 1+ +12*)2-+ servidor namedE6+-(F2 "one mi=dominio8org/4O2 loaded serial
(++/+/1++1
Sep 1+ +12*)2-+ servidor named2 4niciaciPn de named succeeded
Sep 1+ +12*)2-+ servidor namedE6+-(F2 running
Sep 1+ +12*)2-+ servidor namedE6+-(F2 "one mi=dominio8org/4O2 sending noti&ies
(serial (++/+/1++1)
"ep 10 012592G9 servi(or n'me(<60G2C2 )lien 192.16#.1.11X32#1F2 r'ns/er o/ ,mi$
(ominio.or*/JA,2 8W?B s're(
A rencar e servco named en os servdores escavos, se debe mostrar una sada smar a a
sguente:
Sep 1+ +12*'21* servidor namedE*+'+F2 listening on 45v- inter&ace eth+.
1/(816'818(*,G*,
Sep 1+ +12*'21* servidor namedE*+'+F2 command channel listening on 1()8+8+81G/*,
Sep 1+ +12*'21* servidor namedE*+'+F2 "one +8in=addr8arpa/4O2 loaded serial -(
Sep 1+ +12*'21* servidor namedE*+'+F2 "one +8+81()8in=addr8arpa/4O2 loaded serial
1//)+(()++
Sep 1+ +12*'21* servidor namedE*+'+F2 "one (**8in=addr8arpa/4O2 loaded serial -(
Sep 1+ +12*'21* servidor namedE*+'+F2 "one
+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8+8ip68arpa/4O2 loaded
serial 1//)+(()++
Sep 1+ +12*'21* servidor namedE*+'+F2 "one localdomain/4O2 loaded serial -(
Sep 1+ +12*'21* servidor namedE*+'+F2 "one localhost/4O2 loaded serial -(
Sep 1+ +12*'21* servidor namedE*+'+F2 running
Sep 1+ +12*'21* servidor named2 4niciaciPn de named succeeded
"ep 10 0125#215 servi(or n'me(<50#0C2 5one mi$(ominio.or*/JA2 r'ns/erre( seri'l
2009091001
"ep 10 0125#215 servi(or n'me(<50#0C2 r'ns/er o/ ,mi$(ominio.or*/JA, /rom
192.16#.1.1X532 en( o/ r'ns/er
"ep 10 0125#215 servi(or n'me(<50#0C2 5one mi$(ominio.or*/JA2 sen(in* noi/ies
(seri'l 2009091001)
<0'8'>' 0einiciar servicio * depuracin de con/i2uracin'
A termnar de edtar todos os fcheros nvoucrados, soo bastar rencar e servdor de nombres
de domno.
service named restart
S queremos que e servdor de nombres de domno quede aaddo entre os servcos en e
arranque de sstema, deberemos reazar o sguente a fn de habtar named |unto con e
arranque de sstema:
475
chkcon&ig named on
Reace prueba de depuracn y verfque que a zona haya cargado con nmero de sere:
tail ='+ /var/log/messages ]grep named
Lo anteror, s est funconando correctamente, debera devover ago parecdo a o mostrado a
contnuacn:
Sep 1+ +(21*21* servidor namedE,+61'F2 starting :4O< /8(8( =u named
Sep 1+ +(21*21* servidor namedE,+61'F2 using 1 65#
Sep 1+ +(21*21* servidor named2 4niciaciPn de named succeeded
Sep 1+ +(21*21* servidor namedE,+6((F2 loading con&iguration &rom W/etc/named8con&W
Sep 1+ +(21*21* servidor namedE,+6((F2 no 45v6 inter&aces &ound
Sep 1+ +(21*21* servidor namedE,+6((F2 listening on 45v- inter&ace lo. 1()8+8+81G*,
Sep 1+ +(21*21* servidor namedE,+6((F2 listening on 45v- inter&ace eth+.
1/(816'8181G*,
Sep 1+ +(21*21* servidor namedE,+6((F2 command channel listening on 1()8+8+81G/*,
Sep 1+ +(21*216 servidor namedE,+6((F2 "one +8+81()8in=addr8arpa/4O2 lo'(e( seri'l 3
Sep 1+ +(21*216 servidor namedE,+6((F2 "one 1816'81/(8in=addr8arpa/4O2 lo'(e( seri'l
2009091001
Sep 1+ +(21*216 servidor namedE,+6((F2 "one localhost/4O2 lo'(e( seri'l 1
Sep 1+ +(21*216 servidor namedE,+6((F2 "one mi=dominio8com8mx/4O2 lo'(e( seri'l
2009091001
Sep 1+ +(21*216 servidor namedE,+6((F2 running
Sep 1+ +(21*216 servidor namedE,+6((F2 "one 1816'81/(8in=addr8arpa/4O2 sending
noti&ies (serial (++/+/1++1)
Sep 1+ +(21*216 servidor namedE,+6((F2 "one mi=dominio8com8mx/4O2 sending noti&ies
(serial (++/+/1++1)
476
<!' Cmo con/i2urar S-uid3 Aar@metros b@sicos
para Servidor Intermediario PArox*Q
<!'!' Introduccin'
<!'!'!' (Du) es Servidor Intermediario PArox*Q+
E trmno en nges IArox*J tene un sgnfcado muy genera y a msmo tempo ambguo,
aunque nvarabemente se consdera un snnmo de concepto de IIntermediarioJ. Se suee
traducr, en e sentdo estrcto, como dele2ado o apoderado (e que tene e que poder sobre
otro).
Un Servidor Intermediario (Proxy) se defne como una computadora o dspostvo que ofrece un
servco de red que consste en permtr a os centes reazar conexones de red ndrectas haca
otros servcos de red. Durante e proceso ocurre o sguente:
Cente se conecta haca un Servidor Intermediario (Proxy).
Cente socta una conexn, fchero u otro recurso dsponbe en un servdor dstnto.
Servidor Intermediario (Proxy) proporcona e recurso ya sea conectndose haca e servdor
especfcado o srvendo ste desde un cach.
En agunos casos e Servidor Intermediario (Proxy) puede aterar a soctud de cente o ben
a respuesta de servdor para dversos propstos.
Los Servidores Intermediarios (Proxes) generamente se hacen traba|ar smutneamente
como muro cortafuegos operando en e Nivel de 0ed, actuando como ftro de paquetes, como
en e caso de iptables, o ben operando en e Nivel de &plicacin, controando dversos
servcos, como es e caso de BCA Zrapper. Dependendo de contexto, e muro cortafuegos
tambn se conoce como #AD o #order Arotecton Devce o smpemente /iltro de pa-uetes.
Una apcacn comn de os Servidores Intermediarios (Proxes) es funconar como cach de
contendo de Red (prncpamente HTTP), proporconando en a proxmdad de os centes un
cach de pgnas y fcheros dsponbes a travs de a Red en servdores HTTP remotos,
permtendo a os centes de a red oca acceder haca stos de forma ms rpda y confabe.
Cuando se recbe una petcn para un recurso de Red especfcado en un U0L (Unform 0esource
Locator) e Servidor Intermediario busca e resutado de U0L dentro de cach. S ste es
encontrado, e Servidor Intermediario responde a cente proporconado nmedatamente e
contendo soctado. S e contendo soctado no estuvera dsponbe en e cach, e Servidor
Intermediario o traer desde servdor remoto, entregndoo a cente que o soct y
guardando una copa en e cach. E contendo en e cach es emnado uego a travs de un
agortmo de expracn de acuerdo a a antgedad, tamao e hstora de respuestas a
477
solicitudes (hts) (e|empos: L0U, L%UD& y GDS%).
Los Servidores Intermediarios para contendo de Red (Web Proxes) tambn pueden actuar
como ftros de contendo servdo, apcando potcas de censura de acuerdo a crteros
arbtraros.
<!'!'2' &cerca de S-uid'
S-uid es un Servidor Intermediario (Proxy) de ato desempeo que se ha vendo desarroando
desde hace varos aos y es hoy en da un muy popuar y ampamente utzado entre os
sstemas operatvos como GNU/Lnux y dervados de Unx. Es muy confabe, robusto y verst y
se dstrbuye ba|o os trmnos de a Lcenca Pbca Genera GNU (GNU/GAL). Sendo
equpamento gco libre, est dsponbe e cdgo fuente para quen as o requera.
Entre otras cosas, S-uid puede funconar como Servidor Intermediario (Proxy) y cac.) de
contenido de 0ed para os protocoos GBBA, %BA, G6AGE0 y Z&IS, Proxy de SSL, cach
transparente, ZZCA, aceeracn GBBA, cach de consutas DNS y otras muchas ms como
ftracn de contendo y contro de acceso por IP y por usuaro.
S-uid consste de un programa prncpa como servdor, un programa para bsqueda en
servdores DNS, programas opconaes para reescrbr soctudes y reazar autentcacn y
agunas herramentas para admnstracn y y herramentas para centes. A ncar S-uid da
orgen a un nmero confgurabe (5, de modo predefndo a travs de parmetro dnsUc.ildren)
de procesos de bsqueda en servdores DNS, cada uno de os cuaes reaza una bsqueda nca
en servdores DNS, reducendo a cantdad de tempo de espera para as bsquedas en servdores
DNS.
N6B& ESAECI&L3 S-uid no debe ser utili=ado como Servidor
Intermediario PArox*Q para protocoos como S?BA, A6A8,
BELNEB, SSG, I0C, etc. S se requere ntermedar para cual-uier
protocolo distinto a GBBA, GBBAS, %BA, G6AGE0 y Z&IS se
requerr mpementar obgatoramente un enmascaramento de IP
o N&B (Network &ddress Bransaton) o ben hacer uso de un
servdor S6CKS como Dante (http://www.net.no/dante/).
URL: http://www.squd-cache.org/
<!'!'2'!' &l2oritmos de cac.) utili=ados por S-uid'
A travs de un parmetro (cac.eUreplacementUpolic*) S-uid ncuye soporte para os
sguentes agortmos para e cach:
L0U Acrnmo de Least 0ecenty Used, que traduce como ?enos 0ecientemente
Utili=ado. En este agortmo os ob|etos que no han sdo acceddos en mucho tempo
son emnados prmero, mantenendo sempre en e cach a os ob|etos ms
recentemente soctados. ksta pol,tica es la utili=ada por S-uid de modo
prede/inido.

L%UD& Acrnmo de Least %requenty Used wth Dynamc &gng, que se traduce como ?enos
%recuentemente Utili=ado con Enve4ecimiento Din@mico. En este agortmo os
ob|etos ms soctados permanecen en e cach sn mportar su tamao optmzando a
e/iciencia (ht rate) por octetos (Bytes) a expensas de a efcenca msma, de modo
que un ob|eto grande que se socte con mayor frecuenca mpedr que se pueda hacer
478
cach de ob|etos pequeos que se socten con menor frecuenca.

GDS% Acrnmo de GreedyDua Sze %requency, que se traduce como %recuencia de
tama$o #reed$%ual (codicioso dual), que es e agortmo sobre e cua se basa GDS%.
Optmza a e/iciencia (ht rate) por ob|eto mantenendo en e cach os ob|etos
pequeos ms frecuentemente soctados de modo que hay me|ores posbdades de
ograr respuesta a una solicitud (ht). Tene una efcenca por octetos (Bytes) menor
que e agortmo L%UD& debdo a que descarta de cach ob|etos grandes que sean
soctado con frecuenca.
<!'2' E-uipamiento l2ico necesario'
Para poder evar a cabo os procedmentos descrtos en este y otros documentos reaconados,
usted necestar tener nstaado a menos o sguente:
A menos squd-2.5.STABLE6
httpd-2.0.x (Apache), como auxar de cach con aceeracn.
Bodos os parches de segurdad dsponbes para a versn de sstema operatvo que est
utzando. No es convenente utzar un sstema con posbes vunerabdades como Servdor
Intermedaro.
Debe tomarse en consderacn que, de ser posbe, se debe utzar siempre as versones
estabes ms recentes de todo equpamento gco que vaya a ser nstaado para reazar os
procedmentos descrtos en este manua, a fn de contar con os parches de segurdad necesaros.
Nin2una versin de S-uid anterior a la 2':'SB&#LE; se considera como apropiada
debdo a faas de segurdad de gran mportanca.
S-uid no se nstaa de manera predetermnada a menos que especfque o contraro durante a
nstaacn de sstema operatvo, sn embargo vene ncudo en cas todas as dstrbucones
actuaes. E procedmento de nstaacn es exactamente e msmo que con cuaquer otro
equpamento gco.
<!'2'!' Instalacin a trav)s de *um'
S cuenta con un sstema con CentOS o Whte Box Enterprse Lnux 3 o versones posterores,
utce o sguente y se nstaar todo o necesaro |unto con sus dependencas:
$um =$ install s0uid httpd
<!'2'2' Instalacin a trav)s de up2date'
S cuenta con un sstema con Red Hat Enterprse Lnux 3 o versones posterores, utce o
sguente y se nstaar todo o necesaro |unto con sus dependencas:
up(date =i s0uid httpd
<!'2'8' 6tros componentes necesarios'
E mandato iptables se utzar para generar as regas necesaras para e gun de
Enmascaramento de IP. Se nstaa de modo predefndo en todas as dstrbucones actuaes que
utcen n7cleo (kerne) versones 2.4 y 2.6.
Es mportante tener actuazado e nceo de sstema operatvo por dversas cuestones de
segurdad. No es recomendabe utzar versones de kerne anterores a a 2';'!>. Actuace e
479
nceo a a versn ms recente dsponbe para su dstrbucn.
S cuenta con un sstema con CentOS o Whte Box Enterprse Lnux 3 o versones posterores,
utce o sguente para actuazar e nceo de sstema operatvo e iptables, s acaso fuera
necesaro:
$um =$ update kernel iptables
S cuenta con un sstema con Red Hat Enterprse Lnux 3 o versones posterores, utce o
sguente para actuazar e nceo de sstema operatvo, e iptables s acaso fuera necesaro:
up(date =u kernel iptables
<!'8' SELinux * el servicio s-uid'
A fn de que SELnux permta a servco s-uid que os centes se conecten desde cuaquer
dreccn IP, e|ecutar o sguente.
setsebool =5 s0uid%connect%an$ 1
Para que SELnux permta a servco s-uid funconar normamente, hacendo que todo o
setsebool =5 s0uid%disable%trans 1
<!'9' &ntes de continuar'
Tenga en cuenta que este manua ha sdo comprobado varas veces y ha funconado en todos os
casos y s ago no funcona soo sgnfca que usted no o ey a detae y no sgu correctamente
as ndcacones.
Evte de|ar espacios vac,os en ugares ndebdos. E sguente es un e|empo de como no se debe
habtar un parmetro.
Ma
G IpciPn in)orre)'mene habilitada
http%port ,1('
E sguente es un e|empo de como si se debe habtar un parmetro.
Ben
G IpciPn )orre)'mene habilitada
http%port ,1('
<!':' Con/i2uracin b@sica'
S-uid utza e fchero de confguracn ocazado en /etc/s-uid/s-uid'con/, y podr traba|ar
sobre este utzando su edtor de texto smpe preferdo. Exsten un gran nmero de parmetros,
de os cuaes recomendamos confgurar os sguentes:
480
http_port
cache_dr
A menos una Lista de Control de &cceso
A menos una 0e2la de Control de &cceso
httpd_acce_host
httpd_acce_port
httpd_acce_wth_proxy
<!':'!' Aar@metro .ttpUport3 (Due puerto utili=ar para S-uid+
De acuerdo a as asgnacones hechas por I&N& y contnuadas por a IC&NN desde e 21 de
marzo de 2001, os Auertos 0egstrados (rango desde 1024 hasta 49151) recomendados para
Servidores Intermediarios (Proxes) pueden ser e 3128 y 8080 a travs de BCA.
De modo predefndo S-uid utzar e puerto 3128 para atender petcones, sn embargo se
puede especfcar que o haga en cuaquer otro puerto dsponbe o ben que o haga en varos
puertos dsponbes a a vez.
En e caso de un Servidor Intermediario (Proxy) Transparente, reguarmente se utzar e
puerto 80 o e 8000 y se vadr de re-drecconamento de petcones de modo ta que no habr
necesdad aguna de modfcar a confguracn de os clientes GBBA para utzar e Servidor
Intermediario (Proxy). Bastar con utzar como puerta de enace a servdor. Es mportante
recordar que os Servidores GBBA, como Apache, tambn utzan dcho puerto, por o que ser
necesaro vover a confgurar e servdor GBBA para utzar otro puerto dsponbe, o ben
desnstaar o desactvar e servdor HTTP.
Hoy en da puede no ser de todo prctco e utzar un Servidor Intermediario PArox*Q
Bransparente, a menos que se trate de un servco de Ca/) Internet u ofcna pequea, sendo
que uno de os prncpaes probemas con os que dan os admnstradores es e ma uso y/o
abuso de acceso a Internet por parte de persona. Es por esto que puede resutar ms
convenente confgurar un Servidor Intermediario (Proxy) con restrccones por cave de
acceso, o cua no puede hacerse con un Servidor Intermediario PArox*Q Bransparente,
debdo a que se requere un dogo de nombre de usuaro y cave de acceso.
Reguarmente agunos programas utzados comnmente por os usuaros sueen traer de modo
predefndo e puerto 8080 Pservicio de cac.eo ZZZQ para utzarse a confgurar que
Servidor Intermediario (Proxy) utzar. S queremos aprovechar esto en nuestro favor y
ahorrarnos e tener que dar expcacones nnecesaras a usuaro, podemos especfcar que S-uid
escuche petcones en dcho puerto tambn. Sendo as ocace a seccn de defncn de
.ttpUport, y especfque:
G
G Kou ma$ speci&$ multiple socket addresses on multiple lines8
G
G <e&ault2 http%port ,1('
http%port ,1('
http%port '+'+
S desea ncrementar a segurdad, puede vncuarse e servco a una IP que soo se pueda
acceder desde a red oca. Consderando que e servdor utzado posee una IP 192.168.1.254,
puede hacerse o sguente:
G
G
481
http%port 1/(816'818(*-2,1('
http%port 1/(816'818(*-2'+'+
En e caso de Squd 2.6 y versones posterores (Cent6S :, 0ed Gat Enterprise Linux : y
Z.ite #ox Enterprise Linux :), e parmetro http_port se utza tambn para especfcar s se
utza un proxy transparente, especfcando e parmetro transparent, de a sguente forma:
G
G
http%port 1/(816'818(*-2'+'+ r'nsp'ren
<!':'2' Aar@metro cac.eUmem'
E parmetro cac.eUmem estabece a cantdad dea de memora para o sguente:
Ob|etos en trnsto.
Ob|etos frecuentemente utzados (6ot).
Ob|etos negatvamente amacenados en e cach.
Los datos de estos ob|etos se amacenan en boques de 4 Kb. E parmetro cac.eUmem
especfca un mte mxmo en e tamao tota de boques acomodados, donde os ob|etos en
trnsto tenen mayor prordad. Sn embargo os ob|etos Got y aqueos negatvamente
amacenados en e cach podrn utzar a memora no utzada hasta que esta sea requerda. De
ser necesaro, s un ob|eto en trnsto es mayor a a cantdad de memora especfcada, S-uid
exceder o que sea necesaro para satsfacer a petcn.
De modo predefndo se estabecen 8 MB. Puede especfcarse una cantdad mayor s as se
consdera necesaro, dependendo esto de os hbtos de os usuaros o necesdades estabecdas
por e admnstrador.
S se posee un servdor con a menos 128 MB de RAM, estabezca 16 MB como vaor para este
parmetro:
cache%mem 16 !:
<!':'8' Aar@metro cac.eUdir3 (Cuanto desea almacenar de Internet en
el disco duro+
Este parmetro se utza para estabecer que tamao se desea que tenga e cach en e dsco
duro para S-uid. Para entender esto un poco me|or, responda a esta pregunta: (Cuanto desea
almacenar de Internet en el disco duro+ De modo predefndo S-uid utzar un cach de
100 MB, de modo ta que encontrar a sguente nea:
cache%dir u&s /var/spool/s0uid 100 16 (*6
Se puede ncrementar e tamao de cach hasta donde o desee e admnstrador. Mentras ms
grande sea e cach, ms ob|etos se amacenarn en ste y por o tanto se utzar menos e
ancho de banda. La sguente nea estabece un cach de 700 MB:
cache%dir u&s /var/spool/s0uid F00 16 (*6
482
Los nmeros !; y 2:; sgnfcan que e drectoro de cach contendr 16 drectoros
subordnados con 256 nvees cada uno. No modi/i-ue esto n7merosM no .a* necesidad de
.acerlo.
Es muy mportante consderar que s se especfca un determnado tamao de cach y ste
excede a espaco rea dsponbe en e dsco duro, S-uid se boquear nevtabemente. Sea
cauteoso con e tamao de cach especfcado.
<!':'9' Aar@metro /tpUuser'
A acceder a un servdor FTP de manera annma, de modo predefndo S-uid envar como cave
de acceso S-uidh. S se desea que e acceso annmo a os servdores FTP sea ms nformatvo,
o ben s se desea acceder a servdores FTP que vadan a autentcdad de a dreccn de correo
especfcada como cave de acceso, puede especfcarse a dreccn de correo eectrnco que
uno consdere pertnente.
&tp%user prox$Rsu=dominio8net
<!':':' Controles de acceso'
Es necesaro estabecer Listas de Control de &cceso que defnan una red o ben certas
mqunas en partcuar. A cada sta se e asgnar una 0e2la de Control de &cceso que
permtr o denegar e acceso a S-uid. Procedamos a entender como defnr unas y otras.
<!':':'!' Listas de control de acceso'
Reguarmente una sta de contro de acceso se estabece con a sguente sntaxs:
acl Enombre de la listaF src Elo 0ue compone a la listaF
S se desea estabecer una sta de contro de acceso que abarque a toda a red oca, basta defnr
a IP correspondente a a red y a mscara de a sub-red. Por e|empo, s se tene una red donde
as mqunas tenen dreccones IP 192.168.1.n con mscara de sub-red 255.255.255.0, podemos
utzar o sguente:
acl miredlocal src 1/(816'818+/(**8(**8(**8+
Tambn puede defnrse una Lista de Control de &cceso especfcando un fchero ocazado en
cuaquer parte de dsco duro, y a cua contene una sta de dreccones IP. E|empo:
acl permitidos src V/etc/s0uid/permitidosV
E fchero /etc/s-uid/permitidos contendra ago como sguente:
1/(816'8181
1/(816'818(
1/(816'818,
1/(816'8181*
1/(816'81816
1/(816'818(+
1/(816'818-+
483
Lo anteror estara defnendo que a Lista de Control de &cceso denomnada permitidos
estara compuesta por as dreccones IP ncudas en e fchero /etc/s-uid/permitidos.
<!':':'2' 0e2las de Control de &cceso'
Estas defnen s se permte o no e acceso haca S-uid. Se apcan a as Listas de Control de
&cceso. Deben coocarse en a seccn de regas de contro de acceso defndas por e
admnstrador, es decr, a partr de donde se ocaza a sguente eyenda:
G
G 4OSBR? KI#R ICO R#AB(S) 7BRB ?I >AAIC >66BSS DRI! KI#R 6A4BO?S
G
La sntaxs bsca es a sguente:
http%access Eden$ o allowF Elista de control de accesoF
En e sguente e|empo consderamos una rega que estabece acceso permtdo a S-uid a a
Lista de Control de &cceso denomnada permitidos:
http%access allow permitidos
Tambn pueden defnrse regas vandose de a expresn d, a cua sgnfca no. Pueden
defnrse, por e|empo, dos stas de contro de acceso, una denomnada lista! y otra denomnada
lista2, en a msma rega de contro de acceso, en donde se asgna una expresn a una de estas.
La sguente estabece que se permte e acceso a S-uid a o que comprenda lista! excepto
aqueo que comprenda lista2:
http%access allow lista1 dlista(
Este tpo de regas son tes cuando se tene un gran grupo de IP dentro de un rango de red a
que se debe permitir acceso, y otro grupo dentro de a msma red a que se debe dene2ar e
acceso.
<!':';' &plicando Listas * 0e2las de control de acceso'
Una vez comprenddo e funconamento de a Lstas y as Rega de Contro de Acceso,
procederemos a determnar cuaes utzar para nuestra confguracn.
<!':';'!' Caso !'
Consderando como e|empo que se dspone de una red 192.168.1.0/255.255.255.0, s se desea
defnr toda a red oca, utzaremos a sguente nea en a seccn de Listas de Control de
&cceso:
acl todalared src 1/(816'818+/(**8(**8(**8+
Habendo hecho o anteror, a seccn de stas de contro de acceso debe quedar ms o menos
de sguente modo:
Listas de Control de &cceso3 de/inicin de una red local completa
484
G
G Recommended minimum con&iguration2
acl all src +8+8+8+/+8+8+8+
acl manager proto cache%ob1ect
acl localhost src 1()8+8+81/(**8(**8(**8(**
')l o('l're( sr) 192.16#.1.0/255.255.255.0
A contnuacn procedemos a apcar a rega de contro de acceso:
http%access allow todalared
Habendo hecho o anteror, a zona de regas de contro de acceso debera quedar ms o menos
de este modo:
0e2las de control de acceso3 &cceso a una Lista de Control de &cceso'
G
G
http%access allow localhost
&p_'))ess 'llow o('l're(
http%access den$ all
La rega .ttpUaccess alloN todalared permte e acceso a S-uid a a Lista de Control de
&cceso denomnada todalared, a cua est conformada por 192.168.1.0/255.255.255.0. Esto
sgnfca que cuaquer mquna desde 192.168.1.1 hasta 192.168.1.254 podr acceder a S-uid.
<!':';'2' Caso 2'
S soo se desea permtr e acceso a S-uid a certas dreccones IP de a red oca, deberemos
crear un fchero que contenga dcha sta. Genere e fchero /etc/s-uid/listas/redlocal, dentro
de cua se ncurn soo aqueas dreccones IP que desea confrmen a Lsta de Contro de
acceso. E|empo:
1/(816'8181
1/(816'818(
1/(816'818,
1/(816'8181*
1/(816'81816
1/(816'818(+
1/(816'818-+
Denomnaremos a esta sta de contro de acceso como redlocal:
acl redlocal src V/etc/s0uid/listas/redlocalV
Habendo hecho o anteror, a seccn de stas de contro de acceso debe quedar ms o menos
de sguente modo:
Listas de Control de &cceso3 de/inicin de una red local completa
G
485
acl all src +8+8+8+/+8+8+8+
')l re(lo)'l sr) I/e)/s;ui(/lis's/re(lo)'lI
A contnuacn procedemos a apcar a rega de contro de acceso:
http%access allow redlocal
de este modo:
0e2las de control de acceso3 &cceso a una Lista de Control de &cceso'
G
G
&p_'))ess 'llow re(lo)'l
La rega .ttpUaccess alloN redlocal permte e acceso a S-uid a a Lista de Control de
&cceso denomnada redlocal, a cua est conformada por as dreccones IP especfcadas en e
fchero /etc/s-uid/listas/redlocal. Esto sgnfca que cuaquer mquna no ncuda en
/etc/s-uid/listas/redlocal no tendr acceso a S-uid.
<!':'<' Aar@metro c.ac.eUm2r'
De modo predefndo, s ago ocurre con e cach, como por e|empo que muera e procesos, se
envar un mensa|e de avso a a cuenta Nebmaster de servdor. Puede especfcarse una
dstnta s acaso se consdera convenente.
cache%mgr 1osepere"Rmidominio8net
<!':'>' Aar@metro cac.eUpeer3 cac.es padres * .ermanos'
E parmetro cache_peer se utza para especfcar otros Servidores Intermediarios (Proxes)
con cach en una |erarqua como padres o como .ermanos. Es decr, defnr s hay un Servidor
Intermediario (Proxy) adeante o en paraeo. La sntaxs bsca es a sguente:
cache%peer servidor tipo http%port icp%port opciones
E4emplo3 S su cach va a estar traba|ando detrs de otro servdor cache, es decr un cach
padre, y consderando que e cach padre tene una IP 192.168.1.1, escuchando petcones GBBA
en e puerto 8080 y petcones ICP en puerto 3130 Ppuerto utili=ado de modo prede/inido por
S-uidQ ,especfcando que no se amacenen en cach os ob|etos que ya estn presentes en e
cach de Servidor Intermediario (Proxy) padre, utce a sguente nea:
cache%peer 1/(816'8181 parent '+'+ ,1,+ prox$=onl$
Cuando se traba|a en redes muy grandes donde exsten varos Servdores Intermedaros (Proxy)
hacendo cach de contendo de Internet, es una buena dea hacer traba|ar todos os cach entre
486
s. Confgurar caches vecnos como siblin2 (hermanos) tene como benefco e que se
consutarn estos caches ocazados en a red oca antes de acceder haca Internet y consumr
ancho de banda para acceder haca un ob|eto que ya podra estar presente en otro cach vecno.
E4emplo3 S su cach va a estar traba|ando en paraeo |unto con otros caches, es decr caches
hermanos, y consderando os caches tenen IP 10.1.0.1, 10.2.0.1 y 10.3.0.1, todos escuchando
petcones GBBA en e puerto 8080 y petcones ICP en puerto 3130, especfcando que no se
amacenen en cach os ob|etos que ya estn presentes en os caches hermanos, utce as
sguentes neas:
cache%peer 1+818+81 sibling '+'+ ,1,+ prox$=onl$
cache%peer 1+8(8+81 sibling '+'+ ,1,+ prox$=onl$
cache%peer 1+8,8+81 sibling '+'+ ,1,+ prox$=onl$
Pueden hacerse combnacones que de manera ta que se podran tener caches padres y
hermanos traba|ando en con|unto en una red oca. E|empo:
cache%peer 1+8+8+81 parent '+'+ ,1,+ prox$=onl$
cache%peer 1+818+81 sibling '+'+ ,1,+ prox$=onl$
cache%peer 1+8(8+81 sibling '+'+ ,1,+ prox$=onl$
cache%peer 1+8,8+81 sibling '+'+ ,1,+ prox$=onl$
<!';' Cac.) con aceleracin'
Z.ite #ox Enterprise Linux :), esta seccn queda obsoeta, pues desaparecen
httpd_acce_host, httpd_acce_port, httpd_acce_wth_proxy y httpd_acce_uses_host_header.
En versones de S-uid 2.5 y anterores, cuando un usuaro hace petcn haca un ob|eto en
Internet, este es amacenado en e cach de S-uid. S otro usuaro hace petcn haca e msmo
ob|eto, y este no ha sufrdo modfcacn aguna desde que o acced e usuaro anteror, S-uid
mostrar e que ya se encuentra en e cach en ugar de vover a descargaro desde Internet.
Esta funcn permte navegar rpdamente cuando os ob|etos ya estn en e cach de S-uid y
adems optmza enormemente a utzacn de ancho de banda.
La confguracn de S-uid como Servdor Intermedaro (Proxy) Transparente soo requere
compementarse utzando una rega de iptables que se encargar de re-drecconar petcones
hacndoas pasar por e puerto 8080. La rega de iptables necesara se descrbe ms adeante
en este documento.
<!';'!' Arox* &celerado3 6pciones para Servidor Intermediario PArox*Q
en modo convencional'
En a seccn GBBAD1&CCELE0&B60 6ABI6NS deben habtarse os sguentes parmetros:
httpd%accel%host virtual
httpd%accel%port +
httpd%accel%with%prox$ on
487
<!';'2' Arox* &celerado3 6pciones para Servidor Intermediario PArox*Q
Bransparente'
S se trata de un Servidor Intermediario (Proxy) transparente en versones de S-uid 2.5 y
anterores, deben utzarse as sguentes opcones, consderando que se har uso de cach de un
servdor GBBA (Apache) como auxar:
G <ebe especi&icarse la 45 de cual0uier servi(or >@@+ en la
G red local o bien el valor viru'l
httpd%accel%host 1/(816'818(*-
httpd%accel%port '+
httpd%accel%uses%host%header on
Z.ite #ox Enterprise Linux :), todo o anteror es reeempazado por:
http%port 1/(816'818(*-2'+'+ transparent
<!';'8' Arox* &celerado3 6pciones para Servidor Intermediario PArox*Q
Bransparente para redes con Internet Exlorer :': * versiones anteriores'
S va a utzar Internet Exporer 5.5 y versones anterores con un Servidor Intermediario
(Proxy) transparente, es mportante recuerde que dchas versones tene un psmo soporte con
os Servidores Intermediarios (Proxes) transparentes mposbtando por competo a
capacdad de refrescar contendo. S se utza e parmetro ieUre/res. con vaor on puede hacer
que se verfque en os servdores de orgen para nuevo contendo para todas as petcones I?S1
0E%0ESG provenentes de Internet Exporer 5.5 y versones anterores.
G <ebe especi&icarse la 45 de cual0uier servidor >@@+ en la
G red local
httpd%accel%host 1/(816'818(*-
httpd%accel%port '+
httpd%accel%uses%host%header on
ie_re/res& on
Z.ite #ox Enterprise Linux :), soo es necesaro estabecer .ttpUport !2'!;>'!'2:93>0>0
transparent (vsto a nco de documento) y descomentar ieUre/res. con e vaor on:
ie_re/res& on
Lo ms convenente es actuazar haca Internet Exporer 6.x o defntvamente optar por otras
aternatvas. ?o=illa es en un con|unto de apcacones para Internet, o ben %ire/ox, que es
probabemente e me|or navegador que exste en e mercado. %ire/ox es un navegador muy
gero y que cumple con los est@ndares, y est dsponbe para Wndows, Lnux, Mac OS X y
otros sstemas operatvos.
488
<!'<' Estableciendo el idioma de los mensa4es mostrados por
de S-uid .acia el usuario'
S-uid ncuye traduccn a dstntos domas de as dstntas pgnas de error e nformatvas que
son despegadas en un momento dado durante su operacn. Dchas traduccones se pueden
encontrar en /usr/s.are/s-uid/errors/. Para poder hacer uso de as pgnas de error traducdas
a espao, es necesaro cambar un enace smbco ocazado en /etc/s-uid/errors para que
apunte haca /usr/s.are/s-uid/errors/Spanis. en ugar de hacero haca
/usr/s.are/s-uid/errors/En2lis..
Emne prmero e enace smbco actua:
rm =& /etc/s0uid/errors
Cooque un nuevo enace smbco apuntando haca e drectoro con os fcheros
correspondentes a os errores traducdos a espao.
ln =s /usr/s&'re/s0uid/errors/Spanish /etc/s0uid/errors
Nota3 Este enlace simblico debe veri/icarseM * re2enerarse de ser necesarioM cada ve=
-ue se actuali=ado S-uid *a sea a trav)s de *umM up2date o manualmente con el
mandato rpm'
<!'>' IniciandoM reiniciando * a$adiendo el servicio al
arran-ue del sistema'
Una vez termnada a confguracn, e|ecute e sguente mandato para ncar por prmera vez
S-uid:
service s0uid start
S necesta rencar para probar cambos hechos en a confguracn, utce o sguente:
service s0uid restart
S desea que S-uid nce de manera automtca a prxma vez que nce e sstema, utce o
sguente:
chkcon&ig s0uid on
Lo anteror habtar a S-uid en todos os nvees de corrda.
<!'' Depuracin de errores
Cuaquer error a nco de S-uid soo sgnfca que hubo errores de sntaxs, errores de dedo o
ben se estn ctando ncorrectamente as rutas haca os fcheros de as Listas de Control de
&cceso.
Puede reazar dagnstco de probemas ndcndoe a S-uid que vueva a eer confguracn, o
489
cua devover os errores que exstan en e fchero /etc/s-uid/s-uid'con/.
service s0uid relo'(
Cuando se trata de errores graves que no permten ncar e servco, puede examnarse e
contendo de fchero /var/lo2/s-uid/s-uid'out con e mandato less, more o cuaquer otro vsor
de texto:
less /var/log/s0uid/s0uid8out
<!'!0' &4ustes para el muro corta1/ue2os'
S se tene poca experenca con guones de cortafuegos a travs de ptabes, sugermos utzar
%irestarter. ste permte confgurar fcmente tanto e enmascaramento de IP como e muro
corta-fuegos. S se tene un poco ms de experenca, recomendamos utzar S.oreNall para e
msmo fn puesto que se trata de una herramenta ms robusta y competa.
%irestarter: http://www.fs-securty.com/
S.oreNall: http://www.shorewa.net/
<!'!0'!' 0e1direccionamiento de peticiones a trav)s de iptables *
%irestarter'
En un momento dado se requerr tener sada transparente haca Internet para certos servcos,
pero a msmo tempo se necestar re-drecconar petcones haca servco GBBA para pasar a
travs de e puerto donde escucha petcones S-uid (8080), de modo que no haya sada aguna
haca aguna haca servdores GBBA en e exteror sn que sta pase antes por S-uid. No se
puede hacer Servidor Intermediario (Proxy) Transparente para os protocoos GBBAS, %BA,
G6AGE0 n Z&IS, por o que dchos protocoos tendrn que ser ftrados a travs de N&B.
E re-drecconamento o hacemos a travs de iptables. Consderando para este e|empo que a
red oca se accede a travs de una nterfaz eth0, e sguente esquema e|empfca un re-
drecconamento:
/sbin/iptables =t nat => 5RBRI#?4O3 =i eth+ =p tcp ==dport '+ =1 RB<4RB6? ==to=port
'+'+
Lo anteror, -ue re-uiere un 2uin de corta/ue2os /uncional en un sistema con dos
inter/aces de red, hace que cuaquer petcn haca e puerto 80 (servco HTTP) hecha desde a
red oca haca e exteror, se re-drecconar haca e puerto 8080 de servdor.
Utzando %irestarter, a rega anterormente descrta se aade en e fchero
/etc//irestarter/user1post.
<!'!0'2' 0e1direccionamiento de peticiones a trav)s de la opcin
0EDI0ECB en S.oreNall'
La accn 0EDI0ECB en S.oreNall permte redrgr petcones haca protocoo GBBA para
haceras pasar a travs de S-uid. En e sguente e|empo as petcones hechas desde a zona que
corresponde a a red oca sern redrgdas haca e puerto 8080 de cortafuegos, en donde est
confgurado S-uid confgurado como Servidores Intermediario (Proxy) transparente.
490
G>6?4IO SI#R6B <BS? 5RI?I <BS?
RB<4RB6? loc '+'+ tcp '+
491
<2' Cmo con/i2urar S-uid3 &cceso por
autenticacin
<2'!' Introduccin
Es muy t e poder estabecer un sstema de autentcacn para poder acceder haca Internet,
pues esto permte controar quenes s y quenes no accedern a Internet sn mportar desde que
mquna de a red oca o hagan. Sera de modo ta que tendremos un dobe contro, prmero por
dreccn IP y segundo por nombre de usuaro y cave de acceso.
Este manua consdera que usted ya ha edo prevamente, a detae y en su totadad e manua
"Como confgurar Squd: Servdor Proxy" y que ha confgurado extosamente Squd como servdor
proxy.
<2'2' E-uipamiento l2ico necesario
Para poder evar a cabo os procedmentos descrtos en este manua y documentos
reaconados, usted necestar tener nstaado a menos o sguente:
squd-2.5.STABLE3
httpd-2.0.x (Apache) (opcona)
opendap-servers-2.2.x (opcona)
<2'8' Eli2iendo el mdulo de autenticacin
Este manua consdera poder autentcar a travs de un fchero de texto smpe con caves de
acceso creadas con htpasswd o ben a travs de un servdor LDAP, o cua consttuye una soucn
ms robusta.
<2'8'!' &utenticacin a trav)s del mdulo LD&A
Consderando que se ha confgurado extosamente OpenLDAP como servdor de autentcacn,
soo basta defnr e drectoro (o drectoro subordnado) y e servdor LDAP a utzar.
La sntaxs utzada para squd_dap_auth es a sguente:
s0uid%ldap%auth =b <irectorio o <O a utili"ar servidor=ldap=a=utili"ar
492
<2'8'!'!' Aar@metros en /etc/s-uid/s-uid'con/
Se debe modfcar e fchero /etc/squd.conf y se especfcar e programa de autentcacn se
utzar. Locace a seccn que corresponde a a etqueta aut!Hparam basic pro%ram. Por defecto
no est especfcado programa aguno. Consderando que squidHldapHaut! se ocaza en
3usr3lib3squid3ncsaHaut!, procederemos a aadr e sguente parmetro:
auth%param basic program /usr/lib/s0uid/s0uid%ldap%auth =b dcHsu=red=local.dcHcom
1()8+8+81
Lo anteror conecta a drectoro dc=su-red-oca,dc=com en e servdor LDAP en 127.0.0.1.
<2'8'2' &utenticacin a trav)s del mdulo NCS&
Squd puede utzar e mduo ncsaHaut!, de a NCSA (Natona Center for Supercomputng
&ppcatons), y que ya vene ncudo como parte de paquete prncpa de Squd en a mayora de
as dstrbucones actuaes. Este mduo provee una autentcacn muy senca a travs de un
fchero de texto smpe cuyas caves de acceso fueron creadas con htpasswd.
<2'8'2'!' Creacin del /ic.ero de claves de acceso
Se requerr a creacn preva de un fchero que contendr os nombres de usuaros y sus
correspondentes caves de acceso (cfradas). E fchero puede ocazarse en cuaquer ugar de
sstema, con a nca condcn que sea aseqube para e usuaro squid.
Debe procederse a crear un fchero 3etc3squid3claves:
touch /etc/s0uid/claves
Savo que vaya a utzarse un gun a travs de servdor web para admnstrar as caves de
acceso, como medda de segurdad, este fchero debe hacerse ebe y escrbbe soo para e
usuaro squid:
chmod 6++ /etc/s0uid/claves
chown s0uid2s0uid /etc/s0uid/claves
A contnuacn deberemos dar de ata as cuentas que sean necesaras, utzando e mandato
!tpass1d 7mismo que viene incluido en el paquete !ttpd7E.9.(7. E|empo:
htpasswd /etc/s0uid/claves 1osepere"
Lo anteror soctar tecear una nueva cave de acceso para e usuaro josepere+ y confrmar
teceando sta de nuevo. Repta con e resto de as cuentas que requera dar de ata.
Todas as cuentas que se den de ata de este modo son ndependentes a as ya exstentes en e
sstema. A dar de ata una cuenta o cambar una cave de acceso o estar hacendo
EFCLUSIH&?ENBE para e acceso a servdor Proxy. Las cuentas son ndependentes a as que se
tengan exstentes en e sstema como seran interprete de mandatos, correo y Samba.
493
<2'8'2'2' Aar@metros en /etc/s-uid/s-uid'con/
Lo sguente ser especfcar que programa de autentcacn se utzar. Locace a seccn que
corresponde a a etqueta aut!Hparam basic pro%ram. Por defecto no est especfcado programa
aguno. Consderando que ncsaHaut! se ocaza en 3usr3lib3squid3ncsaHaut!, procederemos a
aadr e sguente parmetro:
auth%param basic program /usr/lib/s0uid/ncsa%auth /etc/s0uid/claves
3usr3lib3squid3ncsaHaut! corresponde a a ocazacn de programa para autentcar y
3etc3squid3claves a fchero que contene as cuentas y sus caves de acceso.
<2'9' Listas * re2las de control de acceso
E sguente paso corresponde a a defncn de una .ista de "ontrol de Acceso. Especfcaremos
una denomnada pass1d a cua se confgurar para utzar obgatoramente a autentcacn
para poder acceder a Squd. Debe ocazarse a seccn de .istas de "ontrol de Acceso y aadrse
a sguente nea:
acl password prox$%auth RBh#4RB<
Habendo hecho o anteror, deberemos tener en a seccn de .istas de "ontrol de Acceso ago
como o sguente:
Lstas de Contro de Accesos: autentcacn.
G
acl all src +8+8+8+/+8+8+8+
acl redlocal src 1/(816'818+/(**8(**8(**8+
')l p'sswor( pro.y_'u& B:]%JB:T
Procedemos entonces a modfcar a rega de contro de accesos que ya tenamos para permtr e
acceso a Internet. Donde antes tenamos o sguente:
http%access allow redlocal
Le aadmos pass1d, a defncn de a .ista de "ontrol de Acceso que requere utzar cave de
acceso, a nuestra rega actua, de modo que quede como mostramos a contnuacn:
http%access allow redlocal password
de este modo:
Regas de contro de acceso: Acceso por cave de acceso.
G
G 4OSBR? KI#R ICO R#AB(S) 7BRB ?I allow >66BSS DRI! KI#R 6A4BO?S
494
G
&p_'))ess 'llow re(lo)'l p'sswor(
<2'9'!' %inali=ando procedimiento
Fnamente, soo bastar rencar Squd para que tomen efecto os cambos y podamos hacer
pruebas.
495
<8' Cmo con/i2urar S-uid3 0estriccin de
acceso a Sitios de 0ed
<8'!' Introduccin
Denegar e acceso a certos Stos de Red permte hacer un uso ms racona de ancho de banda
con e que se dspone. E funconamento es verdaderamente smpe, y consste en denegar e
acceso a nombres de domno o dreccones de Red que contengan patrones en comn.
proxy.
<8'2' E-uipamiento l2ico necesario
reaconados, usted necestar tener nstaado a menos squd-2.5STABLE1.
<8'8' De/iniendo patrones comunes
Lo prmero ser generar una sta a cua contendr dreccones de Red y paabras usuamente
utzadas en nombres de certos domnos. E|empos:
www8sitioporno8com
www8otrositioporno8com
sitioindeseable8com
otrositioindeseable8com
napster
sex
porn
mp,
xxx
adult
ware"
celebri
Esta sta, a cua deber ser competada con todas as paabras (muchas de est son paabras
obscenas en dstntos domas) y dreccones de Red que e admnstrador consdere pertnentes,
a guardaremos como 3etc3squid3sitiosdene%ados.
496
<8'9' Aar@metros en /etc/s-uid/s-uid'con/
Debemos defnr una .ista de "ontrol de Acceso que a su vez defna a fchero
3etc3squid3sitiosdene%ados. Esta sta a denomnaremos como Gsitiosdene%adosG. De modo ta, a
nea correspondente quedara de sguente modo:
acl sitiosdenegados url%regex V/etc/s0uid/sitiosdenegadosV
como o sguente:
G
acl all src +8+8+8+/+8+8+8+
acl redlocal src 1/(816'818+/(**8(**8(**8+
')l siios(ene*'(os url_re*e. I/e)/s;ui(/siios(ene*'(osI
A contnuacn especfcaremos modfcaremos una Pe%la de "ontrol de Acceso exstente
agregando con un smboo de T que se denegar e acceso a a .ista de "ontrol de Acceso
denomnada sitiosdene%ados:
http%access allow redlocal dsitiosdenegados
La rega anteror permte e acceso a a .ista de "ontrol de Acceso denomnada redlocal, pero e
nega e acceso a todo o que concda con o especfcado en a .ista de "ontrol de Acceso
denomnada sitiosdene%ados.
E|empo apcado a una Pe%la de "ontrol de Acceso combnando e mtodo de autentcacn
expcado en e documento Cmo confgurar Squd: Acceso por Autentcacn:
Regas de contro de acceso: denegacn de stos.
G
G
&p_'))ess 'llow re(lo)'l p'sswor( bsiios(ene*'(os
<8'9'!' Aermitiendo acceso a sitios inocentes incidentalmente
blo-ueados
S por e|empo e ncur una paabra en partcuar afecta e acceso a un sto de Red, tambn
puede generarse una sta de domnos o paabras que contengan un patrn pero que
consderaremos como apropados.
Como e|empo: vamos a suponer que dentro de a .ista de "ontrol de Acceso de stos denegados
est a paabra se(. esta denegara e acceso a cuaquer nombre de domno que ncuya dcha
cadena de caracteres, como extremesex.com. Sn embargo tambn estara boqueando a stos
como sexuadad|ove.c, e cua no tene que ver en o absouto con pornografa, sno orentacn
sexua para a |uventud. Podemos aadr este nombre de domno en un fcheros que
497
denomnaremos 3etc3squid3sitios7inocentes.
Este fchero ser defndo en una .ista de "ontrol de Acceso de msmo modo en que se hzo
anterormente con e fchero que contene domnos y paabras denegadas.
acl inocentes url%regex V/etc/s0uid/sitios=inocentesV
Para hacer uso de fchero, soo bastar utzar a expresn d en a msma nea utzada para a
Pe%la de "ontrol de Acceso estabecda para denegar e msmo.
http%access allow all inocentes
La rega anteror especfca que se denegar e acceso a todo o que comprenda a .ista de
"ontrol de Acceso denomnada dene%ados excepto o que comprenda a .ista de "ontrol de
Acceso denomnada inocentes. es decr, se podr acceder sn dfcutad a www.sexuadad|oven.c
mantenendo a restrccn para a cadena de caracteres se(.
<8'9'2' %inali=ando procedimiento
pruebas.
498
<9' Cmo con/i2urar S-uid3 0estriccin de
acceso a contenido por extensin
<9'!' Introduccin'
Denegar e acceso a certos tpos de extensones de fchero permte hacer un uso ms racona de
ancho de banda con e que se dspone. E funconamento es verdaderamente smpe, y consste
en denegar e acceso a certos tpos de extensones que concdan con o estabecdo en una .ista
de "ontrol de Acceso.
proxy.
<9'2' So/tNare re-uerido'
<9'8' De/iniendo elementos de la Lista de Control de &cceso'
Lo prmero ser generar una sta a cua contendr dreccones Web y paabras usuamente
utzadas en nombres de certos domnos. E|empos:
N8aviJ
N8mp-J
N8mp,J
N8mp-J
N8mpgJ
N8mpegJ
N8movJ
N8raJ
N8ramJ
N8rmJ
N8rpmJ
N8vobJ
N8wmaJ
N8wmvJ
N8wavJ
N8docJ
N8xlsJ
N8mbdJ
N8pptJ
499
N8ppsJ
N8aceJ
N8batJ
N8exeJ
N8lnkJ
N8pi&J
N8scrJ
N8s$sJ
N8"ipJ
N8rarJ
Esta sta, a cua deber ser competada con todas as extensones de fchero que e
admnstrador consdere pertnentes, a guardaremos como 3etc3squid3listae(tensiones.
<9'9' Aar@metros en /etc/s-uid/s-uid'con/
Debemos defnr una .ista de "ontrol de Acceso que a su vez defna a fchero
3etc3squid3listae(tensiones. Esta sta a denomnaremos como Glistae(tensionesG. De modo ta, a
nea correspondente quedara de sguente modo:
acl listaextensiones urlpath%regex V/etc/s0uid/listaextensionesV
como o sguente:
G
acl all src +8+8+8+/+8+8+8+
acl redlocal src 1/(816'818+/(**8(**8(**8+
acl sitiosdenegados url%regex V/etc/s0uid/sitiosdenegadosV
')l lis'e.ensiones urlp'&_re*e. I/e)/s;ui(/lis'e.ensionesI
A contnuacn especfcaremos modfcaremos una Pe%la de "ontrol de Acceso exstente
agregando con un smboo de T que se denegar e acceso a a .ista de "ontrol de Acceso
denomnada listae(tensiones:
http%access allow redlocal dlistaextensiones
La rega anteror permte e acceso a a .ista de "ontrol de Acceso denomnada redlocal, pero e
nega e acceso a todo o que concda con o especfcado en a .ista de "ontrol de Acceso
denomnada listae(tensiones.
E|empo apcado a una Pe%la de "ontrol de Acceso combnando e mtodo de autentcacn
expcado en e documento Cmo confgurar Squd: Acceso por Autentcacn y e de denegacn
haca Sto de Red expcado en e documento Cmo confgurar Squd: Restrccn de acceso a Sto
de Red:
Regas de contro de acceso: denegacn de extensones.
500
G
G
&p_'))ess 'llow re(lo)'l p'sswor( bsiios(ene*'(os blis'e.ensiones
<9'9'!' %inali=ando procedimiento'
pruebas.
501
<:' Cmo con/i2urar S-uid3 0estriccin de
acceso por .orarios
<:'!' Introduccin'
Denegar e acceso a certos usuaros en certos horaros permte hacer un uso ms racona de
ancho de banda con e que se dspone. E funconamento es verdaderamente smpe, y consste
en denegar e acceso en horaros y das de a semana.
Como confgurar Squd: Servdor Proxy y que ha confgurado extosamente Squd como servdor
proxy.
<:'2' E-uipamiento l2ico necesario
<:'8' Arocedimientos
La sntaxs para crear .istas de control de acceso que defnan horaros es a sguente:
acl Enombre del horarioF time Edbas de la semanaF hh2mm=hh2mm
Los das de a semana se defnen con etras, as cuaes corresponden a a prmera etra de
nombre en ngs, de modo que se utzarn de sguente modo:
S - Domngo
? - Lunes
B - Mastes
Z - Mercoes
G - |ueves
% - Vernes
& - Sbado
E|empo:
acl semana time !?C7D +/2++=(12++
502
Esta rega defne a a sta semana, a cua comprende un horaro de 09:00 a 21:00 horas desde e
Lunes hasta e Vernes.
Este tpo de stas se apcan en as Pe%las de "ontrol de Acceso con una mecnca smar a a
sguente: se permte o denega e acceso en e horaro defndo en a .ista de "ontrol de Acceso
denomnada F para as entdades defndas en a .ista de "ontrol de Acceso denomnada U. Lo
anteror expresado en una Pe%la de "ontrol de Acceso, quedara de sguente modo:
http%access Eallow ] den$F Enombre del horarioF Elista de entidadesF
E|empo: Se quere estabecer que os membros de a .ista de "ontrol de Acceso denomnada
clasematutina tengan permtdo acceder haca Internet en un horaro que denomnaremos como
matutino, y que comprende de unes a vernes de 09:00 a 15:00 horas.
La defncn para e horaro correspondera a:
acl clasematutina src 1/(816'818+/(**8(**8(**8+
acl matutino time !?C7D +/2++=1*2++
La defncn de a Pe%la de "ontrol de Acceso sera:
http%access allow matutino clasematutina
Lo anteror, en resumen, sgnfca que quenes conformen clasematutina podrn acceder a
Internet de Lunes a Vernes de 09:00-15:00 horas.
<:'8'!' ?@s e4emplos
<:'8'!'!' 0estrin2iendo el tipo de contenido
Como se expca en e documento G"'mo confi%urar -quid2 Pestricci'n de acceso a contenido por
e(tensi'nG, es posbe denegar acceso a certo tpo de contendo de acuerdo a su extensn. Igua
que con otras funcones, se requere una .ista de "ontrol de Acceso y una Pe%la de "ontrol de
Acceso
S se necesta una sta denomnada musica que defna a todos os fcheros con extensn .mp3,
utzaramos o sguente:
acl musica urlpath%regex N8mp,J
S queremos denegar e acceso a todo contendo con extensn .mp3, a rega quedara de
sguente modo:
http%access allow clasematutina dmusica
<:'8'!'2' Combinando re2las de tiempo * contenido
S por e|empo queremos restrngr parcamente e acceso a certo tpo de contendo a certos
horaros, pueden combnarse dstntos tpos de regas.
503
acl matutino time !?C7D +/2++=1*2++
acl musica urlpath%regex N8mp,J
http%access allow matutino clasematutina dmusica
La Pe%la de "ontrol de Acceso anteror especfca acceso permitido a en e horaro defndo
como matutino a quenes ntegran a .ista de "ontrol de Acceso denomnada clasematutina a todo
contendo |por omsn| excepto a os contendos que concdan con os defndos en a .ista de
"ontrol de Acceso denomnada musica.
<:'8'2' %inali=ando procedimiento
pruebas.
504
<;' Cmo con/i2urar s-uid con soporte para
direcciones ?&C'
<;'!' Introduccin'
<;'!'!' &cerca de S-uid'
S-uid es un Servidor Intermediario (Dro(y) de ato desempeo que se ha vendo desarroando
desde hace varos aos y es hoy en da un muy popuar y ampamente utzado entre os
sstemas operatvos como GNU/Lnux y dervados de Unx. Es muy confabe, robusto y verst y
se dstrbuye ba|o os trmnos de a Lcenca Pbca Genera GNU (GNU/GAL). Sendo
equpamento gco libre, est dsponbe e cdgo fuente para quen as o requera. de modo
predetermnado no est ncudo e soporte para stas de contro de acceso basadas sobre
dreccones ?&C (?eda &ccess Contro).
<;'2' E-uipamiento l2ico necesario'
<;'2'!' Instalacin a trav)s de *um'
Se requere aadr e sguente depsto *um como e fchero /etc/*um'repos'd/&L1
Server'repo. Este depsto *um ncuye e paquete s-uid1arp, msmo que a su vez ncuye
soporte para stas de contro de acceso basadas sobre dreccones ?&C.
E>A=ServerF
nameHBnterprise Ainux Jreleasever = Jbasearch = >A Server
mirrorlistHhttp2//www8alcancelibre8org/al/el*/al=server
S utza Cent6S :, 0ed Gat Enterprise Linux : o Z.ite #ox Enterprise Linux :, soo se
$um =$ install s0uid=arp
Lo anteror nstaar e paquete s-uid1arp y reempazar a paquete s-uid. E paquete s-uid1
arp es dntco a paquete s-uid con a nca dferenca de que e prmero fue compado con a
opcn 11enable1arp1acl.
En otras dstrbucones dstntas a Cent6S :, 0ed Gat Enterprise Linux : o Z.ite #ox
Enterprise Linux :, se requere desnstaar e paquete orgna y descargar os fuentes de s-uid
505
y compar stos con a opcn 11enable1arp1acl.
8/con&igure ==enable=arp=acl
make
make install
<;'8' Arocedimientos
Este documento consdera que se ha edo a detae e documento "'mo confi%urar -quid2
Darmetros bsicos para servidor de intermediaci'n (Dro(y. Se requere se hayan confgurado a
menos os sguentes parmetros:
.ttpUport, e|empo: http%port '+'+ transparent
cac.eUdir, e|empo: cache%dir u&s /var/spool/s0uid 1+(- 16 (*6
errorUdirector*, e|empo: error%director$ /usr/share/s0uid/errors/Spanish
Se requere adems determnar os vaores as sguentes varabes que debern ser reempazadas
por datos reaes:
Las dreccones ?&C especfcadas en os e|empos.
as dreccones ?&C de todos os equpos de a L&N se pueden obtener, s se est
reazando as operacones desde un servdor que srve de puerta de enace, utzando e
mandato arp con a opcn 1n, es decr: arp 1n.
Aternatvamente, a dreccn ?&C desde una estacn traba|o con Wndows se puede
obtener a dreccn ?&C utzando e mandato ipcon/i2 con a opcn /all: ipcon&ig /all
Aternatvamente, a dreccn ?&C desde una estacn traba|o con Lnux se puede
obtener a dreccn ?&C utzando e mandato i/con/i2.
%ic.ero /etc/s-uid/listas/macsredlocal'
Crear un fchero denomnado /etc/s-uid/listas/macsredlocal
vi /etc/s0uid/listas/macsredlocal
Donde e contendo ser una sta de dreccones ?&C a a cua se apcarn regas de contro de
acceso. E|empo:
++2+12'+2-12/62'>
++2+'2>12'-21'2><
++2162B,2/<26<2))
++2+-2)*2>>2(<2>1
++21/2<(26:2-12-*
++21,21+2'<2->2BB
++21/2(121-2/:2+<r
506
<;'8'!' %ic.ero /etc/s-uid/s-uid'con/
Se edta e fchero /etc/s-uid/s-uid'con/:
vi /etc/s0uid/s0uid8con&
En ste se debe confgurar a sta de contro de acceso con un nombre que a dentfque y
dference caramente de as dems stas, asgnado e tpo de sta como arp. En e sguente
e|empo, se crea a sta de contro de acceso denomnada macsredlocal de tpo arp y cuyos
eementos que a conforman estn en e fchero /etc/s-uid/listas/macsredlocal:
acl macsredlocal arp V/etc/s0uid/listas/macsredlocalV
Se crea una rega de contro de acceso que permta a os membros de a sta de contro de
acceso hacer ago. En e sguente e|empo se defne que est permtdo e acceso a a sta
macsredlocal:
http%access allow macsredlocal
S se creo aguna sta para mtar e acceso haca paabras y otra para extensones, como se
descrbe en os documentos "'mo confi%urar -quid2 Pestricci'n de acceso a -itios de Ped y
"'mo confi%urar -quid2 Pestricci'n de acceso a contenido por e(tensi'n, a rega de contro de
acceso podra quedar de a sguente manera:
http%access allow macsredlocal dporno dextensiones
S adems se creo aguna sta para mtar os horaros de acceso, como se descrbe en e
documento "'mo confi%urar -quid2 Pestricci'n de acceso por !orarios, a rega de contro de
acceso podra quedar de a sguente manera:
http%access allow matutino macsredlocal dporno dextensiones
Cuaquer otra forma de utzar a sta de contro de acceso con dreccones ?&C depender de a
magnacn de admnstrador.
<;'9' IniciarM detener * reiniciar el servicio s-uid'
Para e|ecutar por prmera vez e servco s-uid con as confguracones creadas, utce:
service s0uid start
Para detener e servco s-uid utce:
service s0uid stop
507
Para hacer que e servco de s-uid est actvo con e sguente nco de sstema, en todos os
chkcon&ig s0uid on
508
<<' Cmo instalar * con/i2urar la .erramienta
de reportes Sar2'
<<'!' Introduccin'
Sar2 (Squd &nayss 0eport Generator) es a ms competa y fc de utzar herramenta para a
generacn de reportes a partr de as btcoras de S-uid. Permte ver con detae a actvda de
todos os equpos y/o usuaros dentro de a red de rea oca, regstrada en a btcora de Squd.
URL: http://sarg.sourceforge.net/.
<<'2' E-uipamiento l2ico necesario'
Este documento fue dseado para ser puesto en prctca excusvamente en Cent6S :, Elastix
!':, 0ed Gat Enterprise Linux : y Z.itebox Enterprise Linux : o sstemas operatvos
smares, basados sobre 0ed Gat Enterprise Linux :.
Ingrese a sstema como e usuaro root.
cd =
Proceda a nstaar sar2 utzando e sguente mandato.
$um =$ install sarg httpd
<<'8' Arocedimientos'
Confgure e soporte a espao para Sarg.
Edte con vm e fchero /etc/sar2/sar2'con/:
vim /etc/sarg/sarg8con&
Puse a teca Insert.
509
Locace a cadena de texto lan2ua2e En2lis..
G Russian%koi'
G Russian%#D?='
G Russian%windows1(*1
G Serbian
G Slovak
G Spanish
G ?urkish
G
l'n*u'*e :n*lis&
G ?>32 access%log &ile
G Chere is the access8log &ile
G sarg =l &ile
G
Gaccess%log /usr/local/s0uid/var/logs/access8log
access%log /var/log/s0uid/access8log
Reempace a cadena de texto con lan2ua2e Spanis..
G Russian%koi'
G Russian%#D?='
G Russian%windows1(*1
G Serbian
G Slovak
G Spanish
G ?urkish
G
l'n*u'*e "p'nis&
G ?>32 access%log &ile
G Chere is the access8log &ile
G sarg =l &ile
G
Gaccess%log /usr/local/s0uid/var/logs/access8log
access%log /var/log/s0uid/access8log
teca = (ENBE0).
Edte con vm e fchero /etc/.ttpd/con/'d/sar2'con/:
vim /etc/httpd/con&8d/sarg8con&
Puse a teca Insert.
Locace a nea alloN /rom !2<'0'0'!, a cua defne que soo se puede acceder haca e
drectoro /sar2/ desde !2<'0'0'! (es decr, soo puede ser acceddo como !ttp233;ER.9.9.;3sar%3).
>lias /sarg /var/www/sarg
_<irector$ /var/www/sargQ
<irector$4ndex index8html
order den$.allow
den$ &rom all
'llow /rom 12F.0.0.1
_/<irector$Q
510
Defna que tambn se puede acceder a drectoro /sar2/ desde !2'!;>'!28'0/29,
reempazando por alloN /rom !2<'0'0'! !2'!;>'!28'0/29.
order den$.allow
den$ &rom all
'llow /rom 12F.0.0.1 192.16#.123.0/2G
_/<irector$Q
Defna que e acceso haca e drectoro /sar2/ (que en adeante podr ser acceddo como
!ttp233pro&$.red-local.net3sar%3 o ben !ttp2331'(.1)*.1(+.1(+3sar%3) se permtr soo a
usuaros autorzados que autentcarn a travs de fchero /var/NNN/claves1sar2.
order den$.allow
den$ &rom all
allow &rom 1()8+8+81 192.16#.123.0/2G
8u&A'me I"olo usu'rios 'uori5'(os.I
8u&@ype 9'si)
re;uire v'li($user
8u&%ser?ile /v'r/www/)l'ves$s'r*
_/<irector$Q
teca = (ENBE0).
Genere con e mandato touc. e fchero /var/NNN/claves1sar2:
touch /var/www/claves=sarg
Utce e mandato c.mod para defnr que e fchero /var/NNN/claves1sar2 soo tendr
permsos de ectura y escrtura para a case de usuaro:
chmod +6++ /var/www/claves=sarg
Utce e mandato c.oNn para defnr que e fchero /var/NNN/claves1sar2 pertenece a usuaro
apache y grupo apache:
chown apache2apache /var/www/claves=sarg
Utce e mandato .tpassNd sobre e fchero /var/NNN/claves1sar2 para crear e usuaro vrtua
administrador y asgnar a ste una cave de acceso que soo deber conocer e admnstrador
de servdor:
htpasswd /var/www/claves=sarg administrador
Ince (o smpemente rence, s es necesaro) e servco .ttpd.
511
service httpd start
S e servco .ttpd nca normamente, proceda con e sguente paso. S hay faas o errores,
regrese en os pasos que sean necesaros y corr|a os posbes errores antes de contnuar.
S e servco .ttpd nc sn errores, utce e mandato c.Lcon/i2 para que e servco .ttpd
nce automtcamente a prxma vez que arranque e sstema.
chkcon&ig httpd on
Permta a a red de rea oca generar actvdad en e servdor durante agunos mnutos y e|ecute
e mandato sar2.
sarg
Podr ver en reporte generado manuamente en a dreccn !ttp233pro&$.red-
local.net3sar%3K#E7-6K*3 o ben !ttp2331'(.1)*.1(+.1(+3sar%3K#E7-6K*3.
Podr ver un reporte generado automtcamente todos os das en a dreccn !ttp233pro&$.red-
local.net3sar%3daily3 o ben !ttp2331'(.1)*.1(+.1(+3sar%3daily3.
Los reportes de amacenarn en /var/NNN/sar2/, y pueden mpcar una cantdad consderabe
de datos. Perdcamente ngrese a os subdrectoros en e nteror de ste, prncpamente e
subdrectoro dail* y emne os reportes antguos o que sean de poca utdad, a fn de evtar se
agote e espaco en dsco duro.
512
<>' &p)ndice3 Listas * re2las de control de
acceso para S-uid
<>'0'!' 0e2las aplicadas
G Aista 0ue de&ine metodo de autenticaciPn2
G Aistas de control de acceso por de&ecto2
acl all src +8+8+8+/+8+8+8+
G Aistas 0ue de&inen con1untos de ma0uinas
acl redlocal src V/etc/s0uid/redlocalV
acl privilegiados src V/etc/s0uid/privilegiadosV
acl restringidos src V/etc/s0uid/restringidosV
acl administrador src 1/(816'818(*-
G Aistas 0ue de&inen palabras contenidas en un #RA
acl porno url%regex V/etc/s0uid/pornoV
G 6ontenido2
G
G sex
G porn
G girl
G celebrit
G extasis
G drug
G pla$bo$
G hustler
G Aista de sitios inocentes 0ue accidentealmente sean blo0ueados
acl noporno url%regex V/etc/s0uid/nopornoV
G 6ontenido2
G
G missingheart
G wirelessexcite
G msexchange
G msexcel
G &reetown
G geek=girls
G adulteducation
G Aistas 0ue de&inen tipos de extensiones
G <e&ine una lista estricta de extensiones prohibidas
acl multimedia urlpath%regex V/etc/s0uid/multimediaV
513
G 6ontenido2
G
G N8mp,J
G N8aviJ
G N8movJ
G N8mpgJ
G N8batJ
G N8pi&J
G N8s$sJ
G N8lnkJ
G N8scrJ
G N8exeJ
G <e&ine una lista moderada de extensiones prohibidas
acl peligrosos urlpath%regex V/etc/s0uid/peligrososV
G 6ontenido2
G
G N8batJ
G N8pi&J
G N8s$sJ
G N8lnkJ
G N8scrJ
G N8exeJ
G <e&ine una sola extensiPn
acl realmedia urlpath%regex N8rmJ
G Reglas de control de acceso
G Regla por de&ecto2
G B1emplos de reglas de control de acceso
http%access allow restringidos password dporno dmultimedia
http%access allow redlocal password dporno dpeligrosos
http%access allow privilegiados password dpeligrosos
http%access allow administrador
http%access allow noporno all
G Regla por de&ecto2
514
<' Cmo con/i2urar un muro corta/ue2os con
S.oreNall * tres inter/aces de red
<'!' Introduccin'
<'!'!' &cerca de S.oreNall'
S.oreNall (Shorene Frewa) es una robusta y extensbe .erramienta de alto nivel para la
con/i2uracin de muros corta/ue2o. S.oreNall soo necesta se e proporconen agunos
datos en agunos fcheros de texto smpe y ste crear as regas de cortafuegos
correspondentes a travs de iptables. S.oreNall puede permtr utzar un sstema como muro
cortafuegos dedcado, sstema de mtpes funcones como puerta de enlaceM dispositivo de
encaminamiento * servidor.
URL: http://www.shorewa.net/
<'!'2' &cerca de Iptables * Net/ilter'
Net/ilter es un con|unto de %anc!os (GooLs, es decr, tcncas de programacn que se empean
para crear cadenas de procedmentos como mane|ador) dentro de nceo de GNU/Lnux y que
son utzados para nterceptar y manpuar paquetes de red. E componente me|or conocdo es e
cortafuegos, e cua reaza procesos de ftracn de paquetes. Los %anc!os son tambn utzados
por un componente que se encarga de N&B (acrnmo de Network &ddress Bransaton o
Traduccn de dreccn de red). Estos componentes son cargados como mduos de nceo.
Iptables es e nombre de a herramenta de espaco de usuaro (User Space, es decr, rea de
memora donde todas as apcacones, en modo de usuaro, pueden ser ntercambadas haca
memora vrtua cuando sea necesaro) a travs de a cua os admnstradores crean regas para
cada ftrado de paquetes y mduos de N&B. Iptables es a herramenta estndar de todas as
dstrbucones modernas de GNU/Lnux.
URL: http://www.netfter.org/
<'!'8' &cerca de Iproute'
Iproute es una coeccn de herramentas (fcfg, p, rtmon y tc) para GNU/Lnux que se utzan
para controar e estabecmento de a red BCA/IA, as como tambn e contro de trfco. Aunque
i/con/i2 sgue sendo a herramenta de confguracn de red estndar en as dstrbucones de
GNU/Lnux, iproute tende a sustturo a proveer soporte para a mayora de as tecnoogas
modernas de red (ncuyendo IP versones 4 y 6), permtendo a os admnstradores confgurar os
parmetros de red y e contro de trfco.
515
URL: http://nux-net.osd.org/ndex.php/Iproute2
<'!'9' 0e-uisitos'
Un sstema GNU/Lnux con todos os parches de segurdad correspondentes nstaados.
S.oreNall 8'0'> o versiones posteriores'
Tres nterfaces de red:
Interfaz para acceso haca Internet.
Interfaz para acceso haca una D?b, tras a cua se podrn coocar servdores.
Interfaz para acceso haca a L&N (acrnmo de Loca &rea Network o Area de
Red Loca).
<'2' Conceptos re-ueridos'
<'2'!' (Du) es una =ona desmilitari=ada+
Una zona desmtarzada (D?b), es parte de una red que no est dentro de a red nterna (L&N)
pero tampoco est drectamente conectada haca Internet. Podra resumrse como una red que se
ocaza entre dos redes. En trmnos ms tcncos se refere a un rea dentro de cortafuegos
donde os sstemas que a componen tenen acceso haca as redes nterna y externa, sn embargo
no tenen acceso competo haca a red nterna y tampoco acceso competamente aberto haca a
red externa. Los cortafuegos y dspostvos de encamnamento (routers) protegen esta zona con
funconadades de ftrado de trfco de red.
Dagrama de una Zona Desmtarzada.
Imagen de domno pbco tomada de Wkpeda y modfcada con e Gmp.
<'2'2' (Due es una 0ed Arivada+
Una 0ed Arivada es aquea que utza dreccones IP estabecdas en e RFC 1918. Es decr,
dreccones IP reservadas para 0edes Arivadas dentro de os rangos 10.0.0.0/8 (desde 10.0.0.0
hasta 10.255.255.255), 172.16.0.0/12 (desde 172.16.0.0 hasta 172.31.255.255) y 192.168.0.0/16
516
(desde 192.168.0.0 hasta 192.168.255.255).
<'2'8' (Du) es un N&B+
N&B (acrnmo de Network &ddress Bransaton o Traduccn de dreccn de red), tambn
conocdo como enmascaramento de IP, es una tcnca medante a cua as dreccones de orgen
y/o destno de paquetes IP son reescrtas mentras pasan a travs de un dspostvo de
encamnamento (router) o muro cortafuegos. Se utza para permtr a mtpes anftrones en
una 0ed Arivada con dreccones IP para 0ed Arivada para acceder haca una Internet utzando
una soa dreccn IP pbca.
<'2'9' (Du) es un DN&B+
DN&B, (acrnmo de Destnaton Network &ddress Bransaton o traduccn de dreccn de red de
destno) es una tcnca medante a cua se hace pbco un servco desde una 0ed Arivada. Es
decr permte redrgr puertos haca dreccones IP de 0ed Arivada. E uso de esta tcnca puede
permtr a un usuaro en Internet acanzar un puerto en una 0ed Arivada (dentro de una L&N)
desde e exteror a travs de un encamnados (router) o muro cortafuegos donde ha sdo
habtado un N&B.
<'8' Arocedimientos'
<'8'!' E-uipamiento l2ico necesario'
ptabes: Controa e cdgo de nceo de GNU/Lnux para ftracn de paquetes de red.
proute: Con|unto de utdades dseadas para utzar as capacdades avanzadas de
gestn de redes de nceo de GNU/Lnux.
shorewa: Shorene Frewa.
Shorewa puede descargarse en formato RPM desde http://www.shorewa.net/.
S dspone de un sstema con Red Hat Enterprse Lnux 4, CentOS 4 o Whte Box Enterprse Lnux
4, puede utzar e sguente depsto yum (utzado por &lcance Libree para dstrbur
MaScanner y que adems ncuye Shorewa):
Emailscanner=lptF
nameH!ailScanner >lcance Aibre para :nerprise 7inu. G.0
baseurlHhttp2//www8alcancelibre8org/al/el/server/-/
Una vez confgurado o anteror, soo bastar utzar:
$um =$ install shorewall
<'8'2' %ic.ero de con/i2uracin /etc/s.oreNall/s.oreNall'con/
En ste se defnen, prncpamente, dos parmetros. SB&0BUAUEN&#LED y CL&?A?SS.
SB&0BUAUEN&#LED se utza para actvar Shorewa. De modo predefndo est desactvado,
soo basta cambar No por aes.
517
S?>R?#5%BO>:AB<HKes
CL&?A?SS se utza en conexones tpo PPP (PPTP o PPPoE) y srve para mtar e ?SS
(acrnmo de ?axmum Segment Sze que sgnfca Mxmo Tamao de Segmento). Cambando e
vaor No por aes, Shorewa cacuar e ?SS ms apropado para a conexn. S se es osado,
puede tambn especfcarse un nmero en paquetes SYN. La recomendacn es estabecer aes s
se cuenta con un enace tpo PPP.
6A>!5!SSHKes
<'8'8' %ic.ero de con/i2uracin /etc/s.oreNall/=ones
Este fchero se utza para defnr as zonas que se admnstrarn con Shorewa y e tpo de zona
(frewa, pv4 o psec). La zona /N est presente en e fchero /etc/s.oreNall'con/ como
confguracn predefnda. En e sguente e|empo se regstrarn as zonas de Internet (net), Red
Loca (oc) y Zona Desmtarzada (dmz):
G;IOB <4S5A>K I5?4IOS
&w &irewall
net ipv-
loc ipv-
dm" ipv-
<'8'9' %ic.ero de con/i2uracin /etc/s.oreNall/inter/aces
En ste se estabecen cuaes sern as nterfaces para as tres dferentes zonas. Se estabecen as
nterfaces que corresponden a a Internet, Zona Desmtarzada D?b y Red Loca. En e sguente
e|empo, se cuenta con una nterfaz ppp0 para acceder haca Internet, una nterfaz eth0 para
acceder haca a L&N y una nterfaz eth1 para acceder haca a D?b, y en todas se socta se
cacue automtcamente a dreccn de transmsn (Broadcast):
G;IOB 4O?BRD>6B :RI><6>S? I5?4IOS 3>?BC>K
net ppp+ detect
loc eth+ detect
dm" eth1 detect
En e sguente e|empo, se cuenta con una nterfaz et.0 para acceder haca Internet, una nterfaz
eth1 para acceder haca a L&N y una nterfaz et.2 para acceder haca a D?b, y en todas se
socta se cacue automtcamente a dreccn de transmsn (Broadcast):
net eth+ detect
loc eth1 detect
dm" eth( detect
Hay una cuarta zona mpcta que corresponde a cortafuegos msmo y que se denomna /N.
S acaso hubera un servco de DGCA, sea como cente, como servdor o como ntermedaro, en
aguna de as nterfaces, se debe aadr a opcn d.cp para permtr a comuncacn requerda
para este servco. En e sguente e|empo e anftrn donde opera e muro cortafuegos obtene su
518
dreccn IP, para a nterfaz ppp0, a travs de servco DGCA de ISA; en este msmo anftrn
opera smutneamente un servdor DGCA, e cua es utzado en a red de rea oca para asgnar
dreccones IP; por todo o anteror se debe actvar a opcn DGCA para as nterfaces ppp0 *
et.!, que correspondentemente son utzadas por a zona de Internet y a red de rea oca, pero
no es necesaro hacero para a nterfaz et.2 que es utzada para a zona de a D?b:
net ppp+ detect (&)p
loc eth1 detect (&)p
dm" eth( detect
<'8':' %ic.ero de con/i2uracin /etc/s.oreNall/polic*
En este fchero se estabece como se acceder desde una zona haca otra y haca a zona de
Internet.
GSI#R6B <BS? 5IA46K AI3 A4!4?2:#RS?
loc net >66B5?
dm" net >66B5?
&w net >66B5?
net all <RI5 in&o
all all RBaB6? in&o
Lo anteror hace o sguente:
!' La zona de a red oca puede acceder haca a zona de Internet.
2' La zona de a DMZ puede acceder haca a zona de Internet.
8' E cortafuegos msmo puede acceder haca a zona de Internet.
9' Se mpden conexones desde Internet haca e resto de as zonas.
:' Se estabece una potca de rechazar conexones para todo o que se haya omtdo.
Todo o anteror permte e paso entre as dversas zonas haca Internet, lo cual no es deseable
s se quere mantener una potca estrcta de segurdad. La recomendacn es cerrar todo haca
todo e r abrendo e trfco de acuerdo a como se vaya requrendo. Es decr, utzar ago como o
sguente:
net all <RI5 in&o
all all RBaB6? in&o
Lo anteror boquea todo e trfco desde donde sea a donde sea. S es necesaro reazar pruebas
de dagnstco desde e cortafuegos haca Internet para probar conectvdad y acceso haca
dversos protocoos, se puede utzar o sguente:
&w net >66B5?
net all <RI5 in&o
all all RBaB6? in&o
519
Lo anteror permte a propo cortafuegos acceder haca a zona de Internet. Esta sera a potca
ms rea|ada que se pudera recomendar para mantener un nve de segurdad aceptabe.
<'8';' %ic.ero de con/i2uracin /etc/s.oreNall/mas-
Se utza para defnr que a travs de que nterfaz o nterfaces se habtar enmascaramento, o
N&B, y para que nterfaz o nterfaces o redes se apcar dcho enmascaramento. En e sguente
e|empo, se reazar enmascaramento a travs de a nterfaz ppp0 para as redes que acceden
desde as nterfaces eth0 y eth1:
G4O?BRD>6B S#:OB? ><<RBSS 5RI?I 5IR?(S) 45SB6
ppp+ eth+
ppp+ eth1
En e sguente e|empo, se reazar enmascaramento a travs de a nterfaz eth0 para as redes
192.168.0.0/24 y 192.168.1.0/24:
eth+ 1/(816'8+8+/(-
eth+ 1/(816'818+/(-
Tambn es posbe hacer N&B soamente haca una IP en partcuar y para un soo protocoo en
partcuar. En e sguente e|empo se hace N&B a travs de a nterfaz ppp0 para a dreccn
192.168.3.25 que accede desde a nterfaz eth1 y soo se e permtr hacer N&B de os protocoos
smtp y pop3. Los nombres de os servcos se asgnan de acuerdo a como estn stados en e
fchero /etc/services.
ppp+ eth1 1/(816'8,8(* tcp (*.11+
<'8'<' %ic.ero de con/i2uracin /etc/s.oreNall/rules
Todos os puertos estn cerrados de modo predefndo, y es en este fchero donde se habtan os
puertos necesaros. Hay dversas funcones que pueden reazarse.
<'8'<'!' &CCEAB
La accn ACCEPT se hace para especfcar s se permten conexones desde o haca una(s) zona
(s) un protocoo(s) y puerto(s) en partcuar. En e sguente e|empo se permten conexones
desde Internet haca e puerto 80 (www), 25 (smtp) y 110 (pop3). Los nombres de os servcos se
asgnan de acuerdo a como estn stados en e fchero /etc/services.
G 5IR?
>66B5? net &w tcp '+.(*.11+
<'8'<'2' 0EDI0ECB
La accn REDIRECT permte redrgr petcones haca un puerto en partcuar. Muy t cuando se
520
queren redrgr petcones para GBBA (puerto 80) y se quere que estas pasen a travs de un
Servidor Intermediario (Proxy) como Squd. En e sguente e|empo as petcones hechas desde
a red oca y desde a D?b sern redrgdas haca e puerto 8080 de cortafuegos, en donde hay
un Servidor Intermediario (Proxy) confgurado de modo transparente.
G 5IR?
RB<4RB6? dm" '+'+ tcp '+
<'8'<'8' DN&B
La accn DN&B se utza para reenvar petcones desde un puerto de cortafuegos haca una IP y
puerto en partcuar tanto en a red oca como en a D?b. Cabe destacar que para que e DN&B
funcon se necesta que:
Est habtado e reenvo de paquetes en /etc/s*scon/i2/s*sctl'c/2 y
/etc/s.oreNall/s.oreNall'con/
Los equpos haca os que se est hacendo DN&B utcen como puerta de enace a cortafuegos
desde sus correspondentes zonas.
En e sguente e|empo, se hace DN&B desde a zona de Internet para GBBA (puerto 80), S?BA
(puerto 25) y A6A8 (puerto 110) por TCP y DNS (puerto 53) por BCA y UDA haca a IP
10.10.10.28 ocazada en a zona de a Red Loca.
G 5IR?
<O>? net dm"21+81+81+8(' tcp '+.(*.11+.*,
<O>? net dm"21+81+81+8(' udp *,
<'8'<'9' E4emplos diversos de re2las'
En e sguente e|empo se permte a a zona de Red Loca e acceso haca e puerto 22 (SSH) de
cuaquer equpo dentro de a D?b:
G 5IR?
>66B5? loc dm" tcp ((
En e sguente e|empo se permte soo a a dreccn 192.168.2.34 de zona de Red Loca e
acceso haca e puerto 22 (SSH) de cuaquer equpo dentro de a D?b:
G 5IR?
>66B5? loc21/(816'8(8,- dm" tcp ((
En e sguente e|empo se permte soo a a dreccn 192.168.2.34 de zona de Red Loca e
acceso haca e puerto 22 (ssh) de a dreccn 10.10.10.5 que est dentro de a D?b:
521
G 5IR?
>66B5? loc21/(816'8(8,- dm"21+81+81+8* tcp ((
En e sguente e|empo se hace DN&B desde a zona de Internet para os servcos de GBBA
(puerto 80), S?BA (puerto 25) y A6A8 (puerto 110) por BCA y DNS (puerto 53) por BCA y UDA
haca dversos servdores ocazados D?b:
G 5IR?
<O>? net dm"21+81+81+81 tcp '+
<O>? net dm"21+81+81+8( tcp (*.11+
<O>? net dm"21+81+81+8, tcp *,
<O>? net dm"21+81+81+8, udp *,
En e sguente e|empo se hace DN&B desde a zona de a Red Loca para os servcos de GBBA
(puerto 80), S?BA (puerto 25), A6A8 (puerto 110) y DNS (puerto 53) haca dversos servdores
ocazados D?b:
G 5IR?
<O>? loc dm"21+81+81+81 tcp '+
<O>? loc dm"21+81+81+8( tcp (*.11+
<O>? loc dm"21+81+81+8, tcp *,
<O>? loc dm"21+81+81+8, udp *,
En e sguente e|empo se hace DN&B desde a zona de Internet para os servcos de GBBA
(puerto 80), S?BA (puerto 25), A6A8 (puerto 110) y DNS (puerto 53) haca dversos servdores
ocazados D?b y mtar a taza de conexones a dez por segundo con rfagas de hasta cnco
conexones para cada servco:
G>6?4IO SI#R6B <BS? 5RI?I <BS? SI#R6B IR434O>A R>?B
G 5IR? 5IR?(S) <BS? A4!4?
<O>? net dm"21+81+81+81 tcp '+ = = 1+/sec2*
<O>? net dm"21+81+81+8( tcp (*.11+ = = 1+/sec2*
<O>? net dm"21+81+81+8, tcp *, = = 1+/sec2*
<O>? net dm"21+81+81+8, udp *, = = 1+/sec2*
En e sguente e|empo as petcones hechas desde a red oca (L&N) sern redrgdas haca e
puerto 8080 de cortafuegos, en donde hay un Servidor Intermediario (Proxy) confgurado de
modo transparente, mtando a taza de conexones a dez por segundo con rfagas de hasta
cnco conexones. Esto es muy t para evtar ataques de DoS (acrnmo de Dena of Servce que
se traduce como Denegacn de Servco) desde a red oca (L&N).
G>6?4IO SI#R6B <BS? 5RI?I <BS? SI#R6B IR434O>A R>?B
G 5IR? 5IR?(S) <BS? A4!4?
RB<4RB? loc '+'+ tcp '+ = = (+/sec2*
522
<'9' Iniciar el corta/ue2os * a$adirlo a los servicios de
arran-ue del sistema
Para e|ecutar por prmera vez e servco, utce:
service shorewall start
service shorewall restart
Para detener e cortafuegos, utce:
service shorewall stop
Cabe seaar que detener e cortafuegos tambn detene todo trfco de red, ncuyendo e trfco
provenente desde a L&N. S se desea restaurar e trfco de red, sn a proteccn de un
cortafuegos, ser necesaro tambn utzar e gun de iptables.
service iptables stop
Lo ms convenente, en caso de ser necesaro detener e cortafuegos, es defnr que dreccones IP
o redes podrn contnuar accedendo cuando e cortafuegos es detendo, o cuando ste se
encuentra en proceso de renco. Esto se defne en e fchero /etc/s.oreNall/routestopped,
defnendo a nterfaz, a travs de a cua se permtr a comuncacn, y a dreccn IP o red, en
un formato de sta separada por comas, de os anftrones que podrn acceder a cortafuegos.
E|empo:
G4O?BRD>6B 7IS?(S) I5?4IOS
eth+ 1/(816'818+/(-
eth+ 1/(816'8(8,+.1/(816'8(8,1
Para aadr Shorewa a arranque de sstema, utce:
chkcon&ig shorewall on
523
>0' Cmo con/i2urar un servidor de 6penHAN
en Cent6S :
>0'!' Introduccin'
>0'!'!' &cerca de 6penHAN'
6penHAN es una soucn de conectvdad basada sobre equpamento gco (soft1are):
SSL(Secure Sockets Layer) VPN (Vrtua Prvate Network, o red vrtua prvada), OpenVPN ofrece
conectvdad punto-a-punto con vadacn, |errquca de usuaros y host conectados
remotamente, resuta una muy buena opcn en tecnoogas W-F (redes nambrcas EEI 802.11)
y soporta una ampa confguracn, entre stas e baanceo de cargas, entre otras muchas cosas
ms.
URL: http://openvpn.net
>0'!'2' #reve explicacin de lo -ue se lo2rar@ con este documento'
Este documento descrbe a confguracn de una HAN tpo Intranet.
Este tpo de redes es creado entre una ofcna centra (servdor) y una o varas ofcnas remotas
(centes). E acceso vene de exteror. Se utza este tpo de VPN cuando se necesta enazar a os
stos que son parte de una compaa, en nuestro caso ser compuesto por un servdor Centra
que conectar a muchos centes VPN entre s.
La nformacn y apcacones a as que tendrn acceso os drectvos mves en e VPN, no sern
as msmas que aqueas en donde pueden acceder os usuaros que efectan actvdades de
mantenmento y soporte, esto como un e|empo de o que se podr reazar con esta
confguracn.
Ademas de que podr conectarse a travs de Berminal Server (en el caso de clientes ,inu&)
a termnaes Wndows de a red VPN as como de Centes Wndows a computadoras con e msmo
sstema operatvo (medante RDP).
Nota Importante: Enfocado a esta confguracn .. Una vez que os centes (-indows/,inu&) se
conecten a a red VPN quedarn automtcamente sn conexn a Internet, o cua NO podrn
acceder a a red munda. Esto puede ser modfcabe en e servdor VPN.
524
Servdor de Pasarea OpenVPN con centes (Wndows/Lnux) remotos
E servdor VPN .ace de pasarela para que todos os centes (Wndows/Lnux) puedan estar
comunicados a travs de tne OpenVPN, estos a conectarse por medo de Internet a tne
automtcamente quedan sin lineaa a red munda quedando como una red local, esto caro
esta a travs de a VPN.
Cada cente se encuentra en ugares dferentes (cudad/estado/pas) con dferentes tpos de
segmento de red, a estar conectados medante e tne VPN se crea un red vrtua y se asgna un
nuevo segmento de red proporconada por e servdor prncpa en este caso con segmento (por
e|empo 10.10.0.0/255.255.255.0no 192.168.37.0/255.255.255.0).
>0'2' Instalacin del e-uipamiento l2ico necesario'
Fedora 9 en adeante ncuye e paquete openvpn en sus depstos Yum, por o que soo es
necesaro nstaaro desde a termna a travs de mandato *um. E sguente procedmento soo
es necesaro para Cent6S :.
>0'2'!' Instalacin en Cent6S :'
Como e usuaro root, desde una termna, crear e fchero /etc/*um'repos'd/&L1Server'repo,
utzando cuaquer edtor de texto. En e sguente e|empo se utza vi.
vi /etc/$um8repos8d/>A=Server8repo
525
Aadr a este nuevo /ic.ero e sguente contendo:
E>A=ServerF
gpgcheckH1
Importar a frma dgta de &lcance Libre e|ecutando o sguente desde a termna:
Instaar e equpamento gco (soft1are) necesaro,m que consste en os paquetes RPM de
OpenVPN, Shorewa y vm-enhanced (a versn me|orada de V):
$um =$ install openvpn shorewall vim=enhanced
>0'8' Arocedimientos'
S fuera necesaro, cambarse a usuaro root utzando e sguente mandato:
su =l
A fn de poder utzar nmedatamente a versn me|orada de Hi (nstaado con e paquete vim1
en.anced), e|ecutar desde a termna o sguente:
alias viHVvimV
Cambarse a drectoro, desde a termna, e|ecutar o sguente para cambarse a drectoro
/etc/openvpn:
cd /etc/openvpn
N6B&3 Todos os procedmentos necesaros para confgurar un servdor con 6penHAN se
reazan sn sar de /etc/openvpn/. Por favor, evite cambiar de directorio hasta haber
fnazado os procedmentos descrtos en este documento.
A fn de factar os procedmentos, se coparn dentro de drectoro /etc/openvpn/ os fcheros
openssl'cn/, N.ic.opensslcn/, pLitool y vars, que se ocazan en /etc/openvpn/eas*1
rsa/2'0/:
cp /usr/share/openvpn/eas$=rsa/(8+/openssl8cn& 8/
cp /usr/share/openvpn/eas$=rsa/(8+/whichopensslcn& 8/
cp /usr/share/openvpn/eas$=rsa/(8+/pkitool 8/
cp /usr/share/openvpn/eas$=rsa/(8+/vars 8/
Utzar e edtor de texto y abrr e fchero /etc/openvpn/vars:
vi /etc/openvpn/vars
526
De este fchero, soamente edtar as tmas neas, que corresponden a o sguente:
export 9BK%6I#O?RKHV#SV
export 9BK%5RI@4O6BHV6>V
export 9BK%64?KHVSanDranciscoV
export 9BK%IR3HVDort=DunstonV
export 9BK%B!>4AHVmeRm$host8m$domainV
Reempazar por caores reaes, como os de sguente e|empo:
export 9BK%6I#O?RKHV!XV
export 9BK%5RI@4O6BHV<DV
export 9BK%64?KHV!exicoV
export 9BK%IR3HVservidor8mi=dominio8comV
export 9BK%B!>4AHV&ulanitoRmi=dominio8comV
Se requere e|ecutar de sguente modo e fchero /etc/openvpn/vars a fn de que carguen as
varabes de entorno que se acaban de confgurar.
source /etc/openvpn/8/vars
Cada vez que se vayan a generar nuevos certfcados, debe e|ecutarse e mandato anteror a fn
de que carguen as varabes de entorno defndas.
Se e|ecuta e fchero /usr/s.are/openvpn/eas*1rsa/2'0/clean1all a fn de mpar cuaquer frma
dgta que accdentamente estuvera presente.
sh /usr/share/openvpn/eas$=rsa/(8+/clean=all
Lo anteror reaza un rm 1/r (emnacn recursva) sobre e drectoro /etc/openvpn/Le*s, por o
que se emnarn todas os certfcados y frmas dgtaes que huberan exstdo con anterordad.
A fn de crear e certfcado de servdor, se crea un certfcado:
sh /usr/share/openvpn/eas$=rsa/(8+/build=ca
Para generar a frma dgta, se utzan os sguentes dos mandatos:
sh /usr/share/openvpn/eas$=rsa/(8+/build=dh
sh /usr/share/openvpn/eas$=rsa/(8+/build=ke$=server server
Fnamente se crean os certfcados para os centes. En e sguente3 e|empo se crean os
certfcados para cliente!, cliente2, cliente8, cliente9, cliente:, y cliente;:
sh /usr/share/openvpn/eas$=rsa/(8+/build=ke$ cliente1
sh /usr/share/openvpn/eas$=rsa/(8+/build=ke$ cliente(
sh /usr/share/openvpn/eas$=rsa/(8+/build=ke$ cliente,
sh /usr/share/openvpn/eas$=rsa/(8+/build=ke$ cliente-
sh /usr/share/openvpn/eas$=rsa/(8+/build=ke$ cliente*
sh /usr/share/openvpn/eas$=rsa/(8+/build=ke$ cliente6
527
A fn de utzar os certfcados y que se confgure e sstema, se crea con e edtor de texto e
fchero /etc/openvpn/servidorvpn1udp1!!9'con/, donde servidorvpn se reempaza por e
nombre de anftrn de sstema:
vi /etc/openvpn/servidorvpn=udp=11/-8con&
Para a HAN se recomenda utzar una red prvada que sea poco usua, a fn de poder permtr a
os centes conectarse sn confctos de red. Un e|empo de una red poco utzada sera
192.168.37.0/255.255.255.0, o cua permtr conectarse a a HAN a 253 centes. Tomando en
cuenta o anteror, e contendo de fchero /etc/openvpn/servidorvpn1udp1!!9'con/, debe
ser e sguente:
port 11/-
proto udp
dev tun
G==== Seccion de llaves =====
ca ke$s/ca8crt
cert ke$s/server8crt
ke$ ke$s/server8ke$
dh ke$s/dh1+(-8pem
G============================
server 1/(816'8,)8+ (**8(**8(**8+
i&con&ig=pool=persist ipp8txt
keepalive 1+ 1(+
comp=l"o
persist=ke$
persist=tun
status openvpn=status=servidorvpn=udp=11/-8log
verb ,
Descrpcn de os parmetros anterores:
.ort: Especfca e puerto que ser utzado para que os centes vpn puedan conectarse a servdor.
.roto: tpo de protocoo que se empear en a conexn a travs de VPN
de/: Tpo de nterfaz de conexn vrtua que se utzar e servdor openvpn.
ca: Especfca a ubcacn exacta de fchero de Autordad Certfcadora |.ca|.
cert: Especfca a ubcacn de fchero |.crt| creado para e servdor.
ke$: Especfca a ubcacn de a ave |.key| creada para e servdor openvpn.
dh: Ruta exacta de fchero |.pem| e cua contene e formato de Dffe Heman (requrerdo para 11tls1
serversoamente).
ser/er: Se asgna e rango IP vrtua que se utzar en a red de tne VPN.
01con1ig-pool-persist: Fchero en donde quedarn regstrado as dreccones IP de os centes que se
encuentran conectados a servdor OpenVPN.
2eepali/e 10 1(0 : Enva os paquetes que se mane|an por a red una vez cada 10 segundos; y
asuma que e acopamento es aba|o s nnguna respuesta ocurre por 120 segundos.
comp-l3o: Especfca os datos que recorren e tne vpn ser compactados durante a trasferenca de
estos paquetes.
persist-ke$: Esta opcn soucona e probema por aves que perssten a travs de os rea|ustes
SIGUSR1, as que no necestan ser reedos.
.ersist-tun: Permte que no se cerre y re-abre os dspostvos TAP/TUN a correr os guones up/down
status: fchero donde se amacenar os eventos y datos sobre a conexn de servdor |.og|
/erb: Nve de nformacn (defaut=1). Cada nve demuestra todo e Info de os nvees anterores. Se
recomenda e nve 3 s usted desea un buen resumen de qu est sucedendo.
528
0 11No muestra una sada excepto errores fataes. ! to 9 lRango de uso norma. : 11Sada 0y
Zcaracteres en a consoa par os paquetes de ectura y escrtura, mayscuas es usada por paquetes
TCP/UDP mnscuas es usada para paquetes TUN/TAP.
S SELinux est actvo, es necesaro que e drectoro /etc/openvpn y sus contendos, tengan os
contextos apropados de esta mpementacn de segurdad
(system_u:ob|ect_r:openvpnUetcUrNUt para ipp'txt y openvpn1status1servidorvpn1udp1
!!9'lo2 y system_u:ob|ect_r:openvpnUetcUt para e resto de contendo de drectoro).
Se utza uego e mandato restorecon sobre e drectoro /etc/openvpn a fn de asgnar os
contextos adecuados.
restorecon =R /etc/openvpn/
Se crean os fcheros ipp'txt y openvpn1status1servidorvpn1udp1!!9'lo2:
cd /etc/openvpn/
touch ipp8txt
touch openvpn=status=servidorvpn=udp=11/-8log
Estos tmos dos fcheros requeren se es asgne contexto de ectura y escrtura
(openvpnUetcUrNUt).
cd /etc/openvpn/
chcon =u s$stem%u =r ob1ect%r =t openvpn%etc%rw%t ipp8txt
chcon =u s$stem%u =r ob1ect%r =t openvpn%etc%rw%t openvpn=status=servidorvpn=udp=11/-8log
Los anteror camba os contextos a usuaro de sstema (s*stemUu), ro de ob|eto (ob4ectUr) y
tpo confguracn de OpenVPN de ectura y escrtura (openvpnUetcUrNUt).
Para ncar e servco, se utza e mandato service de sguente modo:
service openvpn start
Para que e servco de OpenVPN est actvo en e sguente nco de sstema, se utza e
mandato c.Lcon/i2 de a sguente forma:
chkcon&ig openvpn on
>0'8'!' Con/i2uracin de muro corta/ue2os con S.oreNall'
E sguente procedmento consdera que se ha confgurado un muro cortafuegos
apropadamente, de acuerdo a as ndcacones descrtas en e documento ttuado Cmo
con/i2urar un muro corta/ue2os con S.oreNall * tres inter/aces de red.
Independentemente de contendo, en e fchero /etc/s.oreNall/=ones, se aade a zona rem
con e tpo ipv9, antes de a tma nea.
X !penE+A $$$$
rem ipvG
529
Independentemente de contendo, en e fchero /etc/s.oreNall/inter/aces, se aade a zona
rem asocada a a nterfaz tun0, con a opcn detect, para detectar automtcamente e nmero
de dreccn IA de dfusn (broadcast) y a opcn d.cp. Tambn debe defnrse antes de a
tma nea de fchero.
X !penE+A $$$$
rem un0 (ee) (&)p
Independentemente de contendo, en e fchero /etc/s.oreNall/polic*, se aade a potca
deseada para permtr e acceso de os membros de a HAN haca as zonas que se consderen
apropadas. En e sguente e|empo, se defne una potca que permte e acceso de as
conexones orgnadas desde a zona rem haca e cortafuegos, a red pbca y a red oca. Todo
debe defnrse antes de a tma nea de fchero.
&w all >66B5?
loc all >66B5?
X !penEpn $$$$
rem /w 8CC:+@
rem ne 8CC:+@
rem lo) 8CC:+@
X $$$$$$$$$$$$
net all <RI5 in&o
all all RBaB6? in&o
Independentemente de contendo, en e fchero /etc/s.oreNall/rules, se debe abrr e puerto
1194 por UDP en e cortafuegos para as zonas desde as cuaes se pretenda conectar centes a a
HAN
>66B5? net &w udp 11/-
Fnamente, se edta e fchero /etc/s.oreNall/tunnels a fn de defnr e tne SSL que ser
utzado para e servdor de HAN y que permta conectarse desde cuaquer ubcacn.
G?K5B ;IOB 3>?BC>K 3>?BC>K
G ;IOB
openvpnserver211/- rem +8+8+8+/+
En ugar de 0'0'0'0/0, se puede especfcar una dreccn IP o ben una red desde a cua se quera
estabecer as conexones HAN.
Para apcar os cambos, es necesaro rencar s.oreNall con e mandato service, de sguente
modo:
service shorewall restart
>0'8'2' Con/i2uracin de clientes ZindoNs'
>0'8'2'!' & trav)s de 6penHAN GUI'
Instaar 6penHAN GUI desde http://openvpn.se/. Se requere nstaar a versn de desarroo
530
!'0'8 de 6penHAN GUI, compatbe con OpenVPN 2.1.x. E cente es estable, sempre que se
verfque que funcone adecuadamente a confguracn utzada antes de poner en marcha en un
entorno productvo.
Crear e fchero cliente!1udp1!!9'ovpn, con e sguente contendo, donde es mportante que
as rutas defndas sean as correctas, y as dagonaes nvertdas sean dobes:
client
dev tun
proto udp
remote dominio=o=ip8del8servidor8vpn 11/-
&loat
resolv=retr$ in&inite
nobind
persist=ke$
persist=tun
G====== SB664IO @BS ========
ca V62NN>rchivos de 5rogramaNNIpen@5ONNcon&igNNca8crtV
cert V62NN>rchivos de 5rogramaNNIpen@5ONNcon&igNNcliente18crtV
ke$ V62NN>rchivos de 5rogramaNNIpen@5ONNcon&igNNcliente18ke$V
ns=cert=t$pe server
G=================================
comp=l"o
verb ,
Descrpcn de os parmetros anterores:
client: Especfca e tpo de confguracn, en este caso tpo cente OpenVPN.
.ort: Especfca e puerto que ser utzado para que os centes VPN puedan conectarse a servdor.
.roto: tpo de protocoo que se empear en a conexn a travs de VPN
de/: Tpo de nterfaz de conexn vrtua que se utzar e servdor openvpn.
remote: Host remoto o dreccn IP en e cente, e cua especfca a servdor OpenVPN.
E cente OpenVPN puede tratar de conectar a servdor con .ost3port en e orden especfcado de as
opcones de a opcn 11remote.
/loat: Este e dce a OpenVPN aceptar os paquetes autentcados de cuaquer dreccn, no soamente
a dreccn cu fue especfcado en a opcn 11remote.
resolv1retr*: S a resoucn de nombre de anftrn (!ostname) faa para 11 remote, a resoucn
antes de faar hace una re-comprobacn de n segundos.
nobind: No agrega bnd a a dreccn oca y a puerto.
ca: Especfca a ubcacn exacta de fchero de Autordad Certfcadora |.ca|.
cert: Especfca a ubcacn de fchero |.crt| creado para e servdor.
ke$: Especfca a ubcacn de a ave |.key| creada para e servdor OpenVPN.
remote: Especfca e domno o IP de servdor as como e puerto que escuchara as petcones para
servco VPN.
comp-l3o: Especfca os datos que recorren e tne VPN ser compactados durante a trasferenca de
estos paquetes.
persist-ke$: Esta opcn soucona e probema por aves que perssten a travs de os rea|ustes
SIGUSR1, as que no necestan ser reedos.
.ersist-tun: Permte que no se cerre y re-abre os dspostvos TAP/TUN a correr os guones up/down
/erb: Nve de nformacn (defaut=1). Cada nve demuestra toda a Informacn de os nvees
anterores. Se recomenda e nve 3 s usted desea un buen resumen de qu est sucedendo.
531
0 11No muestra una sada excepto errores fataes. ! to 9 lRango de uso norma. : 11Sada 0y
Zcaracteres en a consoa par os paquetes de ectura y escrtura, mayscuas es usada por paquetes
TCP/UDP mnscuas es usada para paquetes TUN/TAP.
E cente necestar que os fcheros ca'crt, cliente!'crt, cliente!'Le* y cliente!1udp1
!!9'ovpn estn presentes en e drectoro 5C3]&rc.ivos de Aro2rama]6penHAN]con/i2]5.
Estos fcheros fueron creados, a travs de un procedmento descrto en este documento, dentro
de drectoro /etc/openvpn/Le*s/ de servdor.
S se quere que os centes de a HAN se puedan conectar a a red oca, es mportante
consderar as mpcacones de segurdad que esto coneva s aguno de os certfcados es
robado, o ben e cente se ve comprometdo en su segurdad por una ntrusn, vrus, troyano o
gusano. Es preferbe que a red de a HAN sea ndependente a a red oca y cuaquer otra red,
unendo os servdores y centes a a HAN, ndependentemente de s stos estn en a red oca o
una red pbca.
S es mperatvo hacer que os centes de a HAN se conecten a a red oca, a red desde a cua
se conectan os centes debe ser dferente a a red utzada en a red oca. Por e|empo: s a red
oca detrs de servdor de HAN es 192.168.0.0/255.255.255.0, 10.0.0.0/255.0.0.0 o
172.16.0.0/255.255.0.0, os centes que se conecten a a HAN detrs de un modem ADSL o Cabe
e ntenten estabecer conexones con a red oca, muy seguramente tendrn confctos de red.
Para permtr a os centes de a HAN poder estabecer conexones haca a red oca, se aaden
as sguentes neas en e fchero de confguracn de OpenVPN para os centes, y que defnen a
ruta para a red oca y un servdor DNS que debe estar presente y confgurado para permtr
consultas recursivas a a red de a HAN:
route 1/(816'8+8+ (**8(**8(**8+
dhcp=option <OS 1/(816'8+81
Opconamente, tambn se puede defnr un servdor Wns.
dhcp=option C4OS 1/(816'8(681
E|empo, consderando que a red oca es !2'!;>'2;'0/2::'2::'2::'0:
client
dev tun
proto udp
&loat
nobind
persist=ke$
persist=tun
roue 192.16#.26.0 255.255.255.0
(&)p$opion TA" 192.16#.26.1
(&)p$opion UJA" 192.16#.26.1
G====== SB664IO @BS ========
ca V62NN>rchivos de 5rogramaNNIpen@5ONNcon&igNNca8crtV
cert V62NN>rchivos de 5rogramaNNIpen@5ONNcon&igNNcliente18crtV
ke$ V62NN>rchivos de 5rogramaNNIpen@5ONNcon&igNNcliente18ke$V
ns=cert=t$pe server
G=================================
comp=l"o
532
verb ,
>0'8'8' Clientes GNU/Linux'
>0'8'8'!' & trav)s del servicio openvpn'
Este es e mtodo que funconar en prctcamente todas as dstrbucones de de GNU/Lnux
basadas sobre 0ed Gat, Cent6S y %edora. Se requere nstaar e paquete openvpn:
$um =$ install openvpn
Para Cent6S :, se requere haber confgurado prevamente e depsto de &L Server, descrto
con anterordad en este msmo documento.
Para os centes con GNU/Lnux utzando e servco openvpn, bscamente se utza e msmo
fchero para 6penHAN GUI para Wndows, pero defnendo rutas en e sstema de fcheros de
GNU/Lnux. E|empo:
client
dev tun
proto udp
&loat
nobind
persist=ke$
persist=tun
G====== SB664IO @BS ========
ca /etc/openvpn/ke$s/ca8crt
cert /etc/openvpn/ke$s/cliente18crt
ke$ /etc/openvpn/ke$s/cliente18ke$
ns=cert=t$pe server
G=================================
comp=l"o
verb ,
Este fchero se guarda como /etc/openvpn/cliente!1udp1!!9'ovpn. Requere que os
certfcados defndos en a confguracn estn en as rutas especfcadas dentro de drectoro
/etc/openvpn/Le*s/.
Para ncar a conexn haca a HAN, smpemente se nca e servco openvpn:
service openvpn start
Para que a conexn se estabezca automtcamente cada vez que se nce e sstema, se utza
e mandado c.Lcon/i2 de a sguente manera:
chkcon&ig openvpn on
>0'8'8'2' & trav)s de NetNorL?ana2er'
NetNorL?ana2er es una mpementacn que permte a os usuaros confgurar nterfaces de
red de todos os tpos, sn necesdad de contar con prvegos de admnstracn en e sstema. Es
533
a forma ms fexbe, senca y prctca de conectarse a una red HAN.
Se requere que os centes Lnux tengan nstaado e paquete NetNorL?ana2er1openvpn,
msmo que debe estar ncudo en os depstos Yum de %edora en adeante y dstrbucones
recentes de GNU/Lnux. Cent6S : carece de soporte para utzar NetNorL?ana2er1openvpn,
por o que soo podr conectarse a a HAN a travs de mtodo anteror, con e servco openvpn.
Para nstaar a travs de mandato *um en dstrbucones basadas sobre %edora en adeante,
se hace de a sguente manera:
$um =$ install Oetwork!anager=openvpn
Se puede rencar e sstema para que tengan efectos os cambos, o smpemente rencar e
servco NetNorL?ana2er:
service Oetwork!anager restart
Lo anteror cerrar y vover a estabecer as conexones de red exstentes.
A gua que e mtodo anteror, para os centes con GNU/Lnux con NetworkManager,
bscamente se utza e msmo fchero para 6penHAN GUI para Wndows, pero defnendo rutas
en e sstema de fcheros de GNU/Lnux. E|empo:
client
dev tun
proto udp
&loat
nobind
persist=ke$
persist=tun
G====== SB664IO @BS ========
ca /etc/openvpn/ke$s/ca8crt
cert /etc/openvpn/ke$s/cliente18crt
ke$ /etc/openvpn/ke$s/cliente18ke$
ns=cert=t$pe server
G=================================
comp=l"o
verb ,
Este fchero se puede utzar con a nterfaz grfca de NetNorL?ana2er. Soo hay que hacer cc
sobre e cono en e mrea de noti/icacin de pane de GNOME y uego hacer cc en Con/i2urar
HAN.
534
En a ventana que abre a contnuacn, hay un botn que permte mportar e fchero de
confguracn.
S os certfcados y frma dgta son coocados en a ruta /etc/openvpn/Le*s/ con SELnux actvo,
stos funconarn adecuadamente. S os certfcados y frma dgta son amacenados dentro de
drectoro de nco de usuaros, es necesaro estabecer a potca openvpnUenableU.omedirs
con vaor ! (que equvae a on, o actva):
setsebool =5 openvpn%enable%homedirs 1
Personamente recomendo crear una confguracn nueva desde a nterfaz de
NetNorL?ana2er. Desde a ventana de redes VPN de a nterfaz de NetNorL?ana2er, hacer
cc en &$adir.
535
Aparecer un dogo donde se debe seecconar que se trata de una HAN con 6penHAN.
En a sguente ventana de dogo, se defne e nombre de a conexn, dreccn IP o nombre de
servdor donde est nstaado OpenVPN, y os certfcados a utzar. S se sgueron os
procedmentos de ese documento, se de4a en blanco e campo Contrase$a de clave privada.
536
Luego, se hace cc en &van=ado para especfcar que se utzar compresn Lb6.
Para evtar confctos de conectvdad, se hace cc en a pestaa &4ustes IAH9, y se defne un
servdor DNS que permta a cente navegar a travs de Internet y dentro de a red de a HAN.
537
Se hace cc en 0utas para abrr otra ventana de dogo y se seecconan as casas de as
opcones I2norar las rutas obtenidas autom@ticamente y Usar esta conexin solo para
los recursos de su red. Opconamente se pueden aadr as rutas esttcas para tener
conectvdad con a red oca detrs de servdor de HAN, tomando en cuenta que a red oca
desde a cua se est conectado e cente debe ser dferente a a de a red oca detrs de
servdor de HAN, a fn de evtar confctos de red.
538
Fnamente se hace cc en apcar. Para conectarse a a red HAN, soo basta hacer cc sobre e
cono de NetNorL?ana2er en e mrea de noti/icacin de pane de GNOME y seecconar a red
HAN recn confgurada.
>0'9' #ibilio2ra/,a'
Este documento se basa sobre os manuaes ttuados VPN en servdor Lnux y centes
Wndows/Lnux con OpenVPN + Shorewa |Parte 1| y VPN en servdor Lnux y centes
Wndows/Lnux con OpenVPN + Shorewa |Parte 2|, por Zilliam Lpe= "im)ne=, pubcados en
&lcance Libre, cumpendo cabamente con os trmnos de a cenca Creative Commons
Reconocmento-NoComerca-CompartrIgua 2.1.
539
>!' Cmo con/i2urar SN?A'
>!'!' Introduccin'
>!'!'!' &cerca de SN?A'
SN?A (Smpe Network ?anagement Arotoco o Protocoo Smpe de admnstracn de red) es
uno protocoos de con|unto defndo por a Fuerza de Traba|o en Ingenera de Internet (IEB% o
Internet Engneerng Bask %orce), casfcada en e nve de apcacn de modeo TCP/IP, y que
est dseado para factar e ntercambo de nformacn entre dspostvos de red y es
ampamente utzado en a admnstracn de redes para supervsar e desempeo, a saud y e
benestar de una red, equpo de computo y otros dspostvos.
URL: http://toos.etf.org/htm/rfc1157.
>!'!'2' &cerca de Net1SN?A'
Net1SN?A, e equpamento go utzado en este documento, es un con|unto de apcacones
utzados para mpementar SNMP v1, SNMP v2c y SNMP v3 utzando IPv4 y/o IPv6. E proyecto
fue ncado como un con|unto de herramentas SNMP por Steve Wadbusser en a C?U (Carnege
?eon Unversty), Pttsburgh, Pennsyvana, EE.UU., en 1992. Tras ser abandonado, fue retomado
por Wes Hardaker en a UCDavis (Unversty of Caforna, Davis), renombrado como UCD1SN?A
y me|orado para cubrr as necesdades de Departamento de Ingenera Ectrca de dcha
nsttucn. Tras de|ar a unversdad, Hardaker contnu e proyecto, cambando e nombre de
ste a Net1SN?A.
URL: http://net-snmp.sourceforge.net/
>!'2' E-uipamiento l2ico necesario'
>!'2'!' Instalacin a trav)s de *um'
$um =$ install net=snmp net=snmp=utils
>!'2'2' Instalacin a trav)s de up2date'
540
up(date =i net=snmp net=snmp=utils
>!'8' Arocedimientos
reaes:
192.168.1.0/24: Dreccn de red y mscara de subred en bts que correspondan a os de a
red oca a a que se pertenece.
C4v3-d3-Acc3s0: Cuaquer cave de acceso o sufcentemente buena.
m064.acancebre.org: Nombre de anftrn de sstema donde se est confgurando e
servco.
fuano@agun-domno.net: Cuenta de correo de admnstrador de servdor.
192.168.1.254: Dreccn IP de servdor.
%ic.ero de con/i2uracin /etc/snmp/snmpd'con/'
E fchero /etc/snmp/snmpd'con/ que se nstaa |unto con e paquete, y puede resutar para
agunos una verdadera maraa de comentaros y opcones de todo tpo. Lo ms recomendabe
ser crear un fchero nuevo y mpo de contendo para poder partr de ago ms smpe y
funcona.
cd /etc/snmp
mv snmpd8con& snmpd8con&=IA<
touch snmpd8con&
>!'8'!'!' Listas de control de acceso'
Se deben crear as stas de contro de acceso (&CL o &ccess Contro Lst) correspondentes en e
fchero /etc/snmp/snmpd'con/, as cuaes servrn para defnr o que tendr acceso haca e
servco snmpd. A una de estas stas se e otorgar permso de acceso de ectura y escrtura,
para o que sea necesaro en reacn con admnstracn, y a a otra de soo ectura. Por razones
de segurdad soo a nterfaz 127.0.0.1 estar en a sta de ectura escrtura. Se otorgar permso
de acceso de soo ectura a una red o ben a una dreccn IP en a otra sta de contro de acceso.
Consderando o anteror, se podran agregar un par de neas como as sguentes:
com(sec local 1()8+8+81/,( 6l-v,=d,=>cc,s+
com(sec miredlocal 1/(816'818+/(- 6l-v,=d,=>cc,s+
En o anteror a prmera nea sgnfca que habr una sta de contro de acceso denomnada
Clocal< y que corresponder soo a !2<'0'0'!/82, asgnando "lMvL7dL7AccLs9 como cave de
acceso. La segunda nea hace o msmo pero defnendo a a red !2'!;>'!'0/29. Se puede
defnr o que uno guste mentras no sea a cave de root, esto debdo a que dcha cave se
transmte a travs de a red en forma de texto smpe (es decr, sn cfrar).
541
>!'8'!'2' De/inicin de 2rupos'
Se crean a menos dos grupos: ?*0ZGroup y ?*06Group. E prmero ser un grupo a que se
asgnarn ms adeante permsos de lectura escritura y e segundo ser un grupo a que
posterormente se asgnarn permsos de solo lectura. Por cada grupo se asgnan tres neas que
especfcan e tpo de acceso que se permtr en un momento dado a un grupo en partcuar. Es
decr, ?*0ZGroup se asoca a local y ?*06Group a miredlocal.
GSe asigna local al grupo de le)ur' es)riur'
group !$RC3roup v1 local
group !$RC3roup v(c local
group !$RC3roup usm local
GSe asigna miredlocal al grupo de solo le)ur'
group !$RI3roup v1 miredlocal
group !$RI3roup v(c miredlocal
group !$RI3roup usm miredlocal
>!'8'!'8' 0amas permitidas'
Se especfcan as ramas que se van a permtr ver a travs de servco. Lo ms comn, para, por
e|empo, utzarse con ?0BG, es o sguente:
GG name incl/excl subtree mask(optional)
view all included 81 '+
>!'8'!'9' &si2nacin de permisos a los 2rupos'
Se debe especfcar que permsos tendrn os dos grupos, ?*06Group y ?*0ZGroup. Son de
especa nters as tmas coumnas.
GG group context sec8model sec8level pre&ix read write noti&
access !$RI3roup VV an$ noauth exact all none none
access !$RC3roup VV an$ noauth exact all all all
>!'8'!':' Aar@metros de car@cter in/ormativo'
Se defnen dos parmetros de carcter nformatvo para que cuando utcen apcacones cente
como ?0BG se ncuya ago de nformacn acerca de que sstema se est accedendo.
s$slocation Servidor Ainux en S#=SBR@4<IR8algun=dominio8net
s$scontact >dministrador (&ulanoRalgun=dominio8net)
>!'8'2' Un e4emplo /uncional de con/i2uracin'
E e|empo que mostramos a contnuacn se utza en todas os equpos que posee e autor en
casa y en a ofcna. Soo hay que reempazar e vaor redlocal por o que uno consdere
apropado y reempazar e vaor !2'!;>'!'0/29 por e vaor de la red o a dreccn IP desde
donde se requera acceder con un cente snmp, como ?0BG.
542
G Aistas de control de acceso (>6A)
GG sec8name source communit$ (alias clave de acceso)
com(sec local 1()8+8+81/,( 6l-v,=d,=>cc,s+
com(sec miredlocal 1/(816'818+/(- 6l-v,=d,=>cc,s+
GSe asigna >6A al grupo de lectura escritura
group !$RC3roup v1 local
group !$RC3roup v(c local
group !$RC3roup usm local
GSe asigna >6A al grupo de solo lectura
group !$RI3roup v1 miredlocal
group !$RI3roup v(c miredlocal
group !$RI3roup usm miredlocal
G Ramas !4: 0ue se permiten ver
GG name incl/excl subtree mask(optional)
view all included 81 '+
G Bstablece permisos de lectura $ escritura
GG group context sec8model sec8level pre&ix read write noti&
access !$RC3roup VV an$ noauth exact all all all
G 4n&ormaciPn de 6ontacto del Sistema
s$slocation Servidor Ainux en m+6-8alcancelibre8org
s$scontact >dministrador (&ulanoRalgun=dominio8net)
S es necesaro aadr ms equpos para que accedan a servco snmpd, soo hay que hacer o
sguente:
Agregar una ACL con un nombre nco. E|empo:
com(sec mi)uev' 1/(816'818(*1 6l-v,=d,=>cc,s+
Agregar un |uego regas que asgnen a grupo, en este caso micueva, con o sguente:
group oro*rupo v1 local
group oro*rupo v(c local
group oro*rupo usm local
Agregar una nea donde se estabece que permsos tendr e grupo otro2rupo. En este e|empo,
va a ser de soo ectura:
>!'8'8' IniciarM detener * reiniciar el servicio snmpd'
Para e|ecutar por prmera vez e servco snmpd, utce:
service snmpd start
service snmpd restart
Para detener e servco snmpd utce:
543
service snmpd stop
>!'8'9' &2re2ar el servicio snmpd al arran-ue del sistema'
Para hacer que e servco de snmpd est actvo con e sguente nco de sstema, en todos os
chkcon&ig snmpd on
>!'9' Comprobaciones'
Consderando, como e4emplo, que sea sgn como cave de acceso Cl9v81d81&cc8s0 en un
sstema cuya dreccn IP es !2'!;>'!'2:9, para probar s a confguracn funcona, soo hay
que e|ecutar os dos sguente mandatos a fn verfcar que devuevan nformacn acerca de
sstema consutado.
snmpwalk =v 1 192.16#.1.25G =c ClGv3$(3$8))3s0 s$stem
snmpwalk =v 1 192.16#.1.25G =c ClGv3$(3$8))3s0 inter&aces
>!':' ?odi/icaciones necesarias en el muro corta/ue2os'
abrr os puerto 161 y 162 por UDP (SN?A y SN?AB0&A, respectvamente).
G 5IR? 5IR?(S)1
>66B5? net &w udp 161.16(
y loc), donde soo se va a permtr e acceso a servco snmpd desde a red oca, correspondera
a o sguente:
G 5IR? 5IR?(S)1
>66B5? loc &w udp 161.16(
544
>2' Cmo con/i2urar ?0BG'
>2'!' Introduccin'
>2'!'!' &cerca de ?0BG'
?0BG (?ut 0outer Braffc Grapher) es una herramenta, escrta en C y Per por Tobas Oetker y
Dave Rand, que se utza para supervsar a carga de trfco de nterfaces de red. ?0BG genera
os resutados en fcheros HTML con grfcos, que proveen una representacn vsua de este
trfco.
?0BG utza SN?A (Smpe Network ?anagement Arotoco o Protocoo Smpe de admnstracn
de red) para recoectar os datos de trfco de un determnado dspostvo (dspostvos
encamnamento o servdores), por tanto es requsto contar con a menos un sstema a supervsar
con SN?A funconando, y con dcho servco correctamente confgurado.
>2'2' E-uipamiento l2ico necesario'
>2'2'!' Instalacin a trav)s de *um'
$um =$ install mrtg
>2'2'2' Instalacin a trav)s de up2date'
up(date =i mrtg
>2'8' Arocedimientos
reaes:
C4v3-d3-Acc3s0: Cuaquer cave de acceso o sufcentemente buena.
192.168.1.1: Dreccn IP de servdor.
545
192.168.1.2, 192.168.1.3, 192.168.1.4: Dreccones IP de otros servdores que estn
confgurados con SNMP y se quera supervsa con MRTG.
Accedendo a sstema como e usuaro root, se debe generar e drectoro de traba|o de MRTG de
sguente modo:
mkdir =p /var/www/mrtg/miredlocal
Debe respadarse e fchero de confguracn predetermnado, con e fn de poder restauraro en e
futuro s fuese necesaro:
cp /etc/mrtg/mrtg8c&g /etc/mrtg/mrtg8c&g=IA<
Para 2enerar el /ic.ero de confguracn para supervsar una soa dreccn IP, utilice el
si2uiente mandato, donde Cl9v81d81&cc8s0 es a cave de acceso defnda en a confguracn
de SN?A de sstema nvoucrado:
c&gmaker N
==global Vworkdir2 /var/www/mrtg/miredlocalV N
==global VIptionsE%F2 bits.growrightV N
==output /etc/mrtg/mrtg8c&g N
ClGv3$(3$8))3s0R1/(816'8181
Para 2enerar el /ic.ero de confguracn para supervsar varas dreccones IP, utilice el
si2uiente mandato, donde Cl9v81d81&cc8s0 es a cave de acceso s esta fue defnda as en a
confguracn de SN?A de todos os sstemas nvoucrados:
c&gmaker N
==global Vworkdir2 /var/www/mrtg/miredlocalV N
==global VIptionsE%F2 bits.growrightV N
==output /etc/mrtg/mrtg8c&g N
==communit$HClGv3$(3$8))3s0 N
1/(816'8181 N
1/(816'818( N
1/(816'818, N
1/(816'818-
>2'9' Comprobaciones
E paquete de ?0BG ncuye un gun para crond, e cua se nstaa en a ruta /etc/cron'd/mrt2,
de modo que ste e|ecute ?0BG, de forma autom@tica, cada 5 mnutos. S se quere comprobar
a confguracn soo es necesaro esperar agunos mnutos y consutar os resutados. S se quere
generar un reporte a momento, utce e mandato mrt2 de sguente modo:
env A>O3H6 mrtg /etc/mrtg/mrtg8c&g
Se debe rencar e servco .ttpd (Apache) a fn de cargar a confguracn necesara y
especfcada en e fchero /etc/.ttpd/con/'d/mrt2'con/, a que permtr acceder haca os
reportes de ?0BG a travs de nterfaz por protocoo .ttp.
546
Se pueden observaros resutados con cuaquer navegador grfco examnando e drectoro
/var/NNN/mrt2/miredlocal de dsco duro, o ben accedendo a travs de haca
!ttp233;ER.9.9.;3mrt%3miredlocal31'(.1)*.1.1HE.!tml, consderando, como e4emplo, que se
desea observar e reporte de e sstema con a dreccn IP 192.168.1.1.
547
>8' Cmo instalar "ava !': en Cent6S :'
>8'!' Introduccin'
De modo predetermnado, Cent6S : y 0ed Gate Enterprise Linux : ncuyen a versn 1.4.2
de |ava por GNU.org. Sn embargo, agunos desarroos, sobre todo apcacones comercaes para
&pac.e Bomcat, pueden requerr utzar una versn dstnta de |ava. Este documento expca
como nstaar "DK !':'0 de Sun ?icros*stems en Cent6S : y 0ed Gate Enterprise Linux :.
>8'2' Instalacin del e-uipamiento l2ico necesario'
>8'2'!' Instalacin a trav)s de *um'
S utza Cent6S :, Red Hat Enterprse Lnux 5 o Z.ite #ox Enterprise Linux :, soo se
$um =$ install rpm=build gcc gcc=cLL redhat=rpm=con&ig automake autocon&
>8'8'!' Creacin de usuario para utili=ar rpmbuild'
Es poco convenente y representa un ato rego utzar rpmbud como root. Por o tanto es
recomendabe crear una cuenta de usuaro destnada excusvamente a utzar e mandato
rpmbuild.
su = root
useradd rpmbuilduser
passwd rpmbuilduser
>8'8'2' Creacin de estructura de directorios para rpmbuild'
A fn de poder traba|ar cmodamente, se crear como usuaro un con|uto de drectoros que sern
utzados para crear paquetera RPM.
su = rpmbuilduser
mkdir =p S/rpmbuild/YSI#R6BS.SR5!S.S5B6S.R5!S.?!5.:#4A<Z
Utzando vi, o cuaquer otro edtor detexto, confgure e fchero W/'rpmmacros con e sguente
548
contendo:
U%topdir /home/rpmbuilduser/rpmbuild
U%tmppath UY%topdirZ/?!5
U%unpackaged%&iles%terminate%build +
Upackager !i nombre
Udistribution !i distribuciPn o crea de traba1o8
Uvendor !i empresa8
Descargar e fchero 4ava1!':'01sun1!':'0'!:1!4pp'nosrc'rpm, o ben una versn posteror a a
edcn de este documento, ocazado en
.ttp3//mirrors'dotsrc'or2/4pacLa2e/:'0/2eneric/non1/ree/S0A?S/.
A contnuacn, se debe descargar a ms recente versn de |DK de Sun Mcrosystems desde
http://|ava.sun.com/products/archve/
Hacer e|ecutabe e fchero descargado utzando e sguente mandato:
chmod Lx 1dk=1%*%+%1*=linux=i*'68bin
Mover ste tmo dentro de W/rpmbuild/S6U0CES/
mv 1dk=1%*%+%1*=linux=i*'68bin S/rpmbuild/SI#R6BS/
Reconstrur e paquete 4ava1!':'01sun1!':'0'!:1!4pp'nosrc'rpm para generar os paquetges de
|ava 1.5.
rpmbuild ==rebuild 1ava=18*8+=sun=18*8+81*=11pp8nosrc8rpm
Lo anteror, uego de agunos mnutos, generar dentro de drectoro W/rpmbuild/0A?S/i:>;/
os sguentes paquetes:
|ava-1.5.0-sun-1.5.0.15-1|pp.586.rpm
|ava-1.5.0-sun-asa-1.5.0.15-1|pp.586.rpm
|ava-1.5.0-sun-demo-1.5.0.15-1|pp.586.rpm
|ava-1.5.0-sun-deve-1.5.0.15-1|pp.586.rpm
|ava-1.5.0-sun-fonts-1.5.0.15-1|pp.586.rpm
|ava-1.5.0-sun-|dbc-1.5.0.15-1|pp.586.rpm
|ava-1.5.0-sun-pugn-1.5.0.15-1|pp.586.rpm
|ava-1.5.0-sun-src-1.5.0.15-1|pp.586.rpm
Para nstaar, cambarse a drectoro W/rpmbuild/0A?S/i:>;/ e nstaar soo a paquetera
requerda. E|empo:
cd S/rpmbuild/R5!S/i*'6/
su
rpm =#vh 1ava=18*8+=sun=18*8+81*=11pp8i*'68rpm 1ava=18*8+=sun=alsa=18*8+81*=
11pp8i*'68rpm 1ava=18*8+=sun=&onts=18*8+81*=11pp8i*'68rpm 1ava=18*8+=sun=plugin=
18*8+81*=11pp8i*'68rpm
exit
De modo predetermnado, e sstema utza a versn 1.4.2 de GNU.org.Se puede defnr desde a
termna que versn de |ava utzar a travs demandato alternatives con a opcn 11con/i2
549
4ava.
/usr/sbin/alternatives ==con&ig 1ava
Lo anteror devueve una sada smar a a sguente:
7a$ ( programas 0ue proporcionan W1avaW8
SelecciPn 6omando
===============================================
ML 1 /usr/lib/1vm/1re=18-8(=gc1/bin/1ava
( /usr/lib/1vm/1re=18*8+=sun/bin/1ava
5resione 4ntro para mantener la selecciPn actualELF. o escriba el
n`mero de la selecciPn2
Seeccone a versn !': de de Sun ?icros*stems pusando a teca de nmero 2 y uego a
teca ENBE0.
Para verfcar que a versn de |ava 1.5 ha sdo nstaada correctamente, soo basta e|ecutar e
sguente mandato:
1ava =version
Para fnazar, s e sstema dspone de ?o=illa %ire/ox, se puede confgurar e compemento |ava
(Pugn |ava) creando un enace smbco de /usr/lib/4vm/4re1!':'01
sun/plu2in/i8>;/ns</lib4avaplu2inUo4i'so dentro de /usr/lib/mo=illa/plu2ins/ de a sguente
manera:
ln =s /usr/lib/1vm/1re=18*8+=sun/plugin/i,'6/ns)/lib1avaplugin%o1i8so
/usr/lib/mo"illa/plugins/
550
>9' Cmo instalar la complemento Pplu21inQ
%las. Ala*er para %ire/ox * otros nave2adores'
condcones sguentes: a) Debe reconocer y ctar a autor orgna. bQ No puede utili=ar esta obra para /ines comerciales' c) S atera o
>9'!' Introduccin
Los procedmentos descrtos permtrn desde os navegadores Frefox, Epphany, Gaeon, Opera
y Konqueror vsuazar contendo de Internet hecho para Adobe Fash Payer 10 (y versones
anterores de ste) y Adobe FashMX con extensones *.swf y *.sp.
La versn 10 de Fash Payer soo es compatbe con Cent6S : y 0ed Gat Enterprise Linux :, y
versones posterores de stos, as como versones recentes de %edora. Cent6S 9 y 0ed Gat
Enterprise Linux 9, y as versones anterores de stos, soo puede utzar Fash Payer 9.
>9'2'!' %edoraM Cent6S : * 0ed Gat Enterprise Linux :'
>9'2'!'!' Desde el nave2ador'
Smpemente acceda con e navegador haca e sguente enace:
.ttp3//linuxdoNnload'adobe'com/adobe1release/adobe1release1i8>;1!'01
!'noarc.'rpm
Permta que e gestor de paquetes de sstema se encargue de a nstaacn proporconado a
cave de acceso de admnstrador de sstema.
>9'2'!'2' Desde terminal de texto'
Abra una termna de texto y cambe a root de a sguente forma:
su =l
Descargue e fchero adobe1release1i8>;1!'01!'noarc.'rpm utzando e sguente mandato:
wget http2//linuxdownload8adobe8com/adobe=release/adobe=release=i,'6=18+=18noarch8rpm
Instae e fchero adobe1release1i8>;1!'01!'noarc.'rpm utzando e mandato *um de a
sguente manera:
551
$um =$ localinstall adobe=release=i,'6=18+=18noarch8rpm
Una vez reazado o anteror, se procede a nstaar e compemento Fash Payer utzando e
sguente mandato:
$um =$ install &lash=plugin
>9'2'2' Cent6S 9 * 0ed Gat Enterprise Linux 9'
Para CentOS 4 y Red Hat Enterprse Lnux 4, y versones anterores de stos, soo es posbe hacer
a nstaacn de Fash Payer 9 desde termna de texto.
Abra una termna de texto y cambe a root de a sguente forma:
su =l
E|ecute e sguente mandato parta nstaar e paquete compat1libstdcRR188 de cua depende e
compemento de Fash Payer 9:
$um =$ install compat=libstdcLL=,,
Descargue e fchero installU/las.Upla*erU'tar'2= utzando e sguente mandato:
wget
http2//download8macromedia8com/pub/&lashpla$er/installers/current///install%&lash%pla
$er%/8tar8g"
Descomprmr e fchero installU/las.Upla*erU'tar'2= utzando e mandato tar de a sguente
manera:
tar "xv& install%&lash%pla$er%/8tar8g"
Cambarse a drectoro descomprmdo installU/las.Upla*erUUlinux utzando e sguente
mandato:
cd install%&lash%pla$er%/%linux
Cope e fchero lib/las.pla*er'so dentro de drectoro /usr/lib/mo=illa/plu2ins/ utzando e
sguente mandato:
cp lib&lashpla$er8so /usr/lib/mo"illa/plugins/
>9'8' Comprobaciones'
Abra Frefox, Epphany o Gaeon y en a barra de dreccones tece about3plu2ins. Puse a teca
<ENTER>. Deber aparecer a nformacn acerca de os compementos nstaados para e
navegador, y entre stos deber aparecer a nformacn correspondente a compemento (plu%7
in) Adobe Fash.
552
Informacn sobre e compemento de Adobe Fash.
553
>:' Cmo con/i2urar esc@ner en red
>:'!' Introduccin'
>:'!'!' &cerca de S&NE'
S&NE (Scanner &ccess Now Easy) es un &AI (&ppcaton Arogrammng Interface o Interfaz de
Programacn de Apcacones) que proporcona un acceso estandarzado haca cuaquer
dspostvo de captura de mgenes.
Dfere de &AI BZ&IN, utzado en Mcrosoft Wndows y Mac OS, e cua gestona
smutneamente as nterfaz y as comuncacones con e dspostvo. S&NE est separado dos
partes: programas de cente y controadores de dspostvo. Un controador S&NE soo provee una
nterfaz con e sustento fsco y descrbe un determnado nmero opcones que cada dspostvo
puede utzar. Las opcones, a su vez, especfcan parmetros taes como a resoucn para
captura, tamao de rea a capturar, coores, brantes, contraste, etc. Una de as venta|as de
esta separacn es que es reatvamente fc de mpementar e servco en red, sn
consderacones partcuares tanto en os programas cente como controadores de dspostvos.
URL: http://www.sane-pro|ect.org/
>:'!'2' &cerca de Fsane'
Fsane es un programa cente para S&NE. Utza a bboteca S&NE para reazar a
comuncacn con os dspostvos escner.
Fsane tene as sguentes capacdades con as mgenes adqurdas a travs de S&NE:
Mostrar a magen capturada en un vsor.
Guardar una magen como fchero.
Hacer una fotocopa.
Crear un documento de mtpes pgnas.
Crear un fax.
Crear un mensa|e de correo eectrnco.
URL: http://www.xsane.org/
554
>:'2' E-uipamiento l2ico necesario'
>:'2'!' Instalacin del servicio saned'
>:'2'!'!' Instalacin a trav)s de *um'
$um =$ install sane=backends sane=&rontends xinetd
>:'2'!'2' Instalacin a trav)s de up2date'
up(date =i sane=backends sane=&rontends xinetd
>:'2'2' Instalacin del cliente Fsane'
>:'2'2'!' Instalacin a trav)s de *um'
$um =$ sane=backends sane=&rontends xsane=gimp xsane sane=&rontends
>:'2'2'2' Instalacin a trav)s de up2date'
up(date =i sane=backends sane=&rontends xsane=gimp xsane sane=&rontends
>:'8' Arocedimientos
>:'8'!' Con/i2uracin del servicio saned'
Se debe verfcar que en e fchero /etc/sane'd/dll'con/ est habtada a nea correspondente
a controador para escner a travs de red, es decr net.
G enable the next line i& $ou want to allow access through the network2
net
Se aade en e fchero /etc/sane'd/saned'con/ a sta de dreccones IP que tendrn permtdo
conectarse a servco saned para escner en red. En e sguente e|empo se permte e acceso a
as dreccones IP 192.168.1.254, 192.168.1.253, 192.168.1.252, 192.168.1.251 y 192.168.1.250:
G
555
G saned8con&
G
G ?he contents o& the saned8con& &ile is a list o& host
G names or 45 addresses that are permitted b$ saned to
G use local S>OB devices in a networked con&iguration8
G ?he hostname matching is not case=sensitive8
G
Gscan=client8somedomain8&irm
G1/(816'8+81
1/(816'818(*-
1/(816'818(*,
1/(816'818(*(
1/(816'818(*1
1/(816'818(*+
Con a fnadad de que as dversas apcacones y servcos puedan proporconar una
dentfcacn para e servco, se edta e fchero /etc/services y se aade a sguente nea,
donde ;:;; corresponde a puerto correspondente a servco saned:
saned 6*66/tcp saned G S>OB network scanner daemon8
Debe crearse e fchero /etc/xinetd'd/saned con e sguente contendo, a fn de que e acceso a
servco sea gestonado sobre demanda a travs de e servco xinetd:
service saned
Y
socket%t$pe H stream
server H /usr/sbin/saned
protocol H tcp
user H root
group H root
wait H no
disable H no
Z
Una vez hecho todo o anteror, se especfca a actvacn de servco saned con e mandato
c.Lcon/i2, e cua a su vez notfcar a e servco xinetd que nce automtcamente este a
recbr cuaquer petcn en e puerto 6566 de sstema:
chkcon&ig saned on
S todo ha do ben, se puede comprobar e funconamento de servco utzando e mandato
telnet drgdo haca e puerto 6566 de retorno de sstema.
telnet localhost 6*66
Lo anteror debe devover ago como o sguente:
?r$ing 1()8+8+81888
6onnected to localhost8
Para sar de ntrprete de mandato telnet, soo se debe ngresar 0uit y pusar a teca ENTER.
556
>:'8'2' Con/i2uracin del cliente Fsane'
Se debe especfcar en e fchero /etc/sane'd/net'con/ de os equpos cente con Fsane a
dreccn IP de servdor recn confgurado. En e sguente e|empo. se especfca que e servco
saned est en e sstema con dreccn IP 192.168.1.1:
G ?his is the net con&ig &ile8 Bach line names a host to attach to8
G 4& $ou list VlocalhostV then $our backends can be accessed either
G directl$ or through the net backend8 3oing through the net backend
G ma$ be necessar$ to access devices that need special privileges8
1/(816'8181
Una vez hecho o anteror, a utzar Fsane en os centes, estos debern detectar
automtcamente e escner en e servdor 192.168.1.1. Es mportante recordar que soo se puede
acceder haca e escner con un soo cente por vez.
557
>;' Usando Smartd para anticipar los desastres
de disco duro
>;'!' Introduccin'
La mayora de as dstrbucones recentes ncuyen smartctl y smartd (parte de smartmontools
ncudo en e paquete Lernel1utils), que son herramentas utzadas para supervsar a saud de
os dscos duros reazando pruebas para comprobar su buen funconamento. Mentras e dsco y
a tar|eta madre (soporte que se actva en e BIOS) tenga capacdad para utzar S.M.A.R.T. (Sef-
?ontorng, &nayss and 0eportng Bechnoogy), es posbe antcpar as faas de un dsco duro.
So basta confgurar un fchero (/etc/smartd'con/) e ncar un servco (smartd).
>;'2' Arocedimientos
E fchero /etc/smartd'con/ so requere una nea de confguracn por cada dsco duro en e
sstema. E|empos:
/dev/hda =a =m alguienRcuenta=de=correo8algo
/dev/sda =d scsi =a =m alguienRcuenta=de=correo8algo
/dev/sdb =d scsi =a =m alguienRcuenta=de=correo8algo
Lo anteror hace que se env un reporte competo y detaado de toda a nformacn S.M.A.R.T. y
as aertas pendentes. La opcn -a en dscos IDE equvae a '-H - -c -A - error 1l sel/test 1l
selective', y en dscos SCSI equvae a [1G 1i 1& 1l error 1l sel/test', donde:
=7 Incuye en e reporte e estado de saud y aertas pendentes. S se quere envar
reportes a un tefono mv, sta sera a opcn nca a utzar.
=i Incuye en e reporte e numero de modeo, nmero de sere, versn de Frmware
e nformacn adcona reaconada.
=c Incuye en e reporte as capacdades S.M.A.R.T.
=>
Incuye en e reporte atrbutos S.M.A.R.T. especfcos de fabrcante de dsco.
=l error Incuye en e reporte a btcora de errores de S.M.A.R.T.
=l
sel&test
Incuye en e reporte a btcora de pruebas de S.M.A.R.T.
=l
selectiv
e
Agunos dscos tpo ATA-7 (e|empo: Maxtor) ncuyen una btcora de pruebas
seectvas.
558
=7 Incuye en e reporte e estado de saud y aertas pendentes. S se quere envar
reportes a un tefono mv, sta sera a opcn nca a utzar.
=m Cuenta de correo eectrnco a a cua se envarn reportes.
S por e|empo, so nos nteresa recbr reportes de saud en un tefono mv, se utzara
soamente o sguente:
/dev/hda =7 =m alguienRcuenta=de=correo8algo
/dev/sda =d scsi =7 =m alguienRcuenta=de=correo8algo
/dev/sdb =d scsi =7 =m alguienRcuenta=de=correo8algo
Hecho o anteror, so basta agregar e servco a os servcos de arranque de sstema e ncar (o
rencar, segn e caso) smartd:
chkcon&ig smartd
service smartd start
E servco se encarga de e|ecutar automtcamente en e trasfondo de sstema todas as pruebas
necesaras y soportadas por as undades de dsco duro presentes. E reporte se enva
automtcamente |unto con e mensa|e con e reporte de a btcora de sstema unos mnutos
despus de as 4:00 AM.
S se quere ver un reporte a momento, competo y detaado, suponendo que se trata de un
dsco duro en e IDE 1, basta e|ecutar:
smartctl =a /dev/hda
S se quere ver un reporte a momento y que so muestre e estado de saud de a undad,
suponendo que se trata de un dsco duro en e IDE 1, basta e|ecutar:
smartctl =7 /dev/hda
559
><' Cmo crear un disco con instalacin
personali=ada de Cent6S :'
><'!' Instalacin de e-uipamiento l2ico necesario'
Se requere a herramenta mLiso/s para poder crear mgenes ISO, a herramenta system-
confg-kckstart para crear un fchero de confguracn con parmetros personazados para e
programa de nstaacn, y e mandato createrepo para regenerar e depsto yum en caso de
que se aadan paquetes nuevos o actuazados a a nstaacn.
$um =$ install mkiso&s s$stem=con&ig=kickstart createrepo
La herramenta s*stem1con/i21LicLstart esta ncuda en todas as versones de Cent6S,
%edora y 0ed Gat Enterprise Linux, as como as dstrbucones de GNU/Lnux dervadas de
stas.
><'2' Arocedimientos'
><'2'!' Creacin de /ic.ero de con/i2uracin de instalacin
personali=ada'
Se utza e programa s*stem1con/i21LicLstart, que consste en un programa que smua as
opcones de confguracn de programa de nstaacn de CentOS 5. A fnazar, se guarda un
fchero, que puede ser nombrado como Ls'c/2,y que ser utzado posterormente en este
documento.
S se carece de s*stem1con/i21LicLstart o ben sta tene un ma funconamento, o sguente
corresponde a una confguracn de e|empo que estabece a nstaacn desde la unidad
lectora de CD/DHD, nstaacn en doma espa$ol, con tecado con dsposcn Espa$ol,
nterfaz et.0 confgurada por DGCA, cave de acceso para e usuaro root ser !28-Ne,
cortafuegos habtado con e puerto 22 por TCP aberto, SELnux funconar en modo en/orcin2,
zona horara de a ciudad de ?)xico, nstaacn de grub en /dev/sda, y a nstaacn de os
grupos de paquetes Core (nceo y componentes bscos de sstema operatvo),
#ase(herramentas bscas de sstema operatvo), Editors (edtores de texto), %onts
(tpografas), GN6?E DesLtop (escrtoro de GNOME), Grap.ical Internet (programas grfcos
para Internet), "ava (soporte para |ava), 6//ice (OpenOffce.org y otros programas para
documentos), Arintin2 (soporte para mpresn), Sound and Hideo (programas para sonodo y
vdeo) y Spanis. Support (soporte a espao):
G 9ickstart &ile automaticall$ generated b$ anaconda8
560
install
cdrom
lang es%BS8#?D='
ke$board es
network ==device eth+ ==bootproto dhcp
rootpw ==iscr$pted J1JDvs,o#*cJ-&&'/riow5b1Bma)I8ht<+
&irewall ==enabled ==portH((2tcp
authcon&ig ==enableshadow ==enablemd*
selinux ==en&orcing
time"one ==utc >merica/!exico%6it$
bootloader ==locationHmbr ==driveorderHsda
G ?he &ollowing is the partition in&ormation $ou re0uested
G Oote that an$ partitions $ou deleted are not expressed
G here so unless $ou clear all partitions &irst. this is
G not guaranteed to work
Gclearpart ==linux
Gpart /boot ==&st$pe ext, ==si"eH(++ ==onpartHsda1
Gpart / ==&st$pe ext, ==si"eH1+(- ==ondiskHsda( ==grow ==maxsi"eH**+++
Gpart swap ==ondiskHsda, ==si"eH(+-'
Upackages
Rbase
Rcore
Reditors
R&onts
Rgnome=desktop
Rgraphical=internet
R1ava
Ro&&ice
Rprinting
Rsound=and=video
Rspanish=support
Lo anteror soo de|a a confguracn de partcones como nco procedmento a reazar durante
a nstaacn. Se recomenda de|ar de este modo a fn de evtar emnacn accdenta de
partcones exstentes en e dsco duro.
><'2'2' Creacin del directorio de traba4o * contenido del mismo'
E prmer paso consste en crear un drectoro de traba|o donde haya espaco sufcente, es decr
aproxmadamente 3.6 GB para e drectoro de traba|o y otros 3.6 GB para crear a nueva magen
de DVD. Por tanto, se requere un mnmo de 7.2 GB de espaco bre en dsco duro. En e sguente
e|empo se utza W/centos:1personal:
mkdir S/centos*=personal
Se nserta e DVD de CentOS 5 y se de|a que e sstema asgne e punto de monta|e dentro de
/meda/ o ben se monta manuamente. S se monta manuamente, se puede utzar e sguente
procedmento:
mkdir /media/centos*
mount /dev/cdrom /media/centos*
Se copa competo e contendo de DVD de CentOS 5 en e drectoro de traba|o defndo
prevamente:
cp =r /media/centos*/M S/centos*=personal/
561
Tambn se debe copar tambn e fchero 'discin/o que est en e DVD.
cp =r /media/centos*/8discin&o S/centos*=personal/
Corregr e fchero 'discin/o que se cop dentro de W/centos:1personal/, con cuaquer edtor
de texto, y cambar /.ome/buildcentos/CENB6S/:'2/en/i8>;/Cent6S por Cent6S/Cent6S
Copar e fchero Ls'c/2 creado con s*stem1con/i21LicLstart dentro de drectoro de traba|o
W/centos:1personal/:
cp /donde/este/ks8c&g S/centos*=personal/
Edtar e fchero W/centos:1personal/isolinux/isolinux'c/2 y aadr e parmetro
LsOcdrom3/Ls'c/2 a a defncn que se desee utzar por omsn. Por e|empo, se tene e
sguente contendo en sonux.cfg:
de&ault linux
prompt 1
timeout 6++
displa$ boot8msg
D1 boot8msg
D( options8msg
D, general8msg
D- param8msg
D* rescue8msg
label linux
kernel vmlinu"
append initrdHinitrd8img
label text
kernel vmlinu"
append initrdHinitrd8img text
label ks
kernel vmlinu"
append ks initrdHinitrd8img
label local
localboot 1
label memtest'6
kernel memtest
append =
Soo se necesta aadr LsOcdrom3/Ls'c/2 a a prmera nea de append, que corresponde a
arranque predetermnado de dsco de nstaacn.
de&ault linux
prompt 1
timeout 6++
displa$ boot8msg
D1 boot8msg
D( options8msg
D, general8msg
D- param8msg
D* rescue8msg
label linux
kernel vmlinu"
'ppen( inir(6inir(.im* -s6)(rom2/-s.)/*
label text
kernel vmlinu"
562
label ks
kernel vmlinu"
label local
localboot 1
label memtest'6
kernel memtest
append =
Puede resutar ms convenente aadr una nueva de/inicin de arran-ue, a fn de que se de|e
ntacto e arranque por defecto, y aternatvamente se pueda cargar e fchero Ls'c/2 a nvocar
desde e daogo de boot3 esta defncn.
de&ault linux
prompt 1
timeout 6++
displa$ boot8msg
D1 boot8msg
D( options8msg
D, general8msg
D- param8msg
D* rescue8msg
label linux
kernel vmlinu"
append initrdHinitrd8img
label text
kernel vmlinu"
label ks
kernel vmlinu"
label local
localboot 1
label memtest'6
kernel memtest
append =
l'bel mi$'rr'n;ue
-ernel vmlinu5
'ppen( inir(6inir(.im* -s6)(rom2/-s1.)/*
Para utzar o anteror, a posterormente ncar e DVD de nstaacn personazado, en e
dogo de boot3 se ngresa:
boot2 mi=arran0ue
><'2'8' &$adir e-uipamiento l2ico adicional'
S se desea aadr equpamento gco (soft1are) adcona, por e|empo as ms recentes
actuazacones, puede hacerse copando ste en e drectoro W/centos:1personal/Cent6S, y
regenerando e depsto yum oca. A fn de respetar os grupos de paquetes y poder dsponer de
un fchero con as especfcacones de os grupos de paquetes, debe respadarse prmero e fchero
comps'xml que est dentro de W/centos:1personal/repodata.
mkdir =p S/respaldos/
cp S/centos*=personal/repodata/comps8xml S/respaldos/
563
Este fchero puede ser modfcado con cuaquer edtor de texto para refe|ar os cambos de
paquetes nuevos que se quera ncur a a nstaacn.
Se aaden os paquetes adconaes o actuazados en W/centos:1personal/Cent6S:
cp /donde/esten/pa0uetes/M8rpm S/centos*=personal/6entIS
A fn de evtar confctos con as frmas dgtaes y evtar tener que modfcar e programa de
nstaacn, soo se recomenda utzar paquetes RPM frmados por CentOS, es decr, os paquetes
RPM de as actuazacones de CentOS.
A fn de poder regenerar e depsto, se utza e mandato createrepo con a opcn 12 para
ndcar a ruta de fchero comps'xml que se respad prevamente, y a ruta de drectoro de
traba|o.
createrpo =g S/respaldos/comps8xml S/centos*=personal/
Lo anteror crea un nuevo drectoro W/centos:1personal/repodata que ncur os sguentes
fcheros:
comps.xm
fests.xm.gz
other.xm.gz
prmary.xm.gz
repomd.xm
S aguno de os anterores est ausente, se deben repetr e procedmento verfcando a sntaxs
y rutas utzadas con createrepo.
><'2'9' Creacin de la ima2en IS6'
Una vez termnadas as modfcacones, se crea a magen ISO:
cd S/centos*=personal/
mkiso&s => V6entIS%*8(%Dinal%5ersonalV =o S/mi=dvd=centos*8iso =b
isolinux/isolinux8bin =c isolinux/boot8cat =no=emul=boot =boot=load=si"e - =boot=
in&o=table =R =a =v =? S/centos*=personal
La magen ISO resutante en W/mi1dvd1centos:'iso se puede grabar de nmedato desde
cuaquer herramenta grfca para este fn, como magen ISO, y |ams como fchero. Se puede
utzar K8b, FCDroast o GN6?E Boaster.
S soo se dspone de una termna, a magen de DVD recn creada se puede grabar con
2roNiso/s, de a sguente manera:
growiso&s =dvd=compat =; /dev/dvdHmi=dvd=centos*8iso
E programa de nstaacn utzado en CentOS 5 pudera faar debdo a as modfcacones
hechas, por o que es mportante reazar varas pruebas de nuevo dsco de nstaacn antes de
utzaro en agn sstema en produccn u otros fnes que nvoucren operacn crtca.
564
Es mportante recordar que s se va a comercazar o dstrbur esta magen ISO recn creada, se
deben respetar os derechos de autor, ogotpos y a marca de Cent6S. Las modfcacones
necesaras para e programa de nstaacn, que consste en reempazar as referencas de CentOS
y as mgenes de ogotpos, se detaarn en un documento que pubcaremos posterormente.
565
>>' E4ercicios
>>'!' E4ercicio N%S
>>'!'!' Introduccin
Haga equpo con agn compaero de curso a fn de poder reazar e procedmento, pruebas y
depuracn entre s.
>>'!'2' Arocedimientos
>>'!'2'!' Servidor
1. Como root genere e drectoro /var/n/s/publico/ y asgne a ste un permso 1777.
mkdir =p /var/n&s/publico
chmod 1))) /var/n&s/publico
2. Como root modi/i-ue /etc/exports y defna que se compartr /var/n/s/publico a sstema de
compaero con e cua est hacendo equpo en modo de ectura y escrtura con el si2uiente
contenido:
/var/n&s/publico 1/(816'8+8n(rw.s$nc)
3. Como root inicie o reinicie e servco de nfs.
service n&s restart
>>'!'2'2' Cliente
1. Como root genere e drectoro /mnt/publico a fn de que posterormente sea utzado para
montar e voumen NFS de esta prctca.
2. Como root modfque /etc//stab y especfque que se montar e voumen /var/n/s/publico/
de sstema de compaero con e que est hacendo equpo en e drectoro /mnt/publico/,
utzando as opcones de montado no automtco (noauto), ectura y escrtura (rw), montado
con expracn (soft), contnuar en trasfondo de ser necesaro (bg), se pueda montar por e
usuaro (user) y permtr nterrumpr procesos (ntr).
1/(816'8+8n2/var/n&s/publico /mnt/publico n&s
noauto.rw.so&t.bg.user.intr + +
3. Como usuaro (fuano) ntente montar e voumen NFS:
mount /mnt/publico
4. Como fuano cambe a drectoro /mnt/publico/ e ntente crear un fchero con cuaquer
566
contendo dentro de drectoro /mnt/publico/.
cd /mnt/publico/
echo k7ola mundoV Q holamundo8txt
ls
567
>>'2' E4ercicio S&?#&
Usted deber confgurar a travs de Samba un drectoro sobre e cua se quere permtr e
ngreso so a dos usuaros, |efe y contador, quenes pertenecen a grupo de contabdad. Dcho
drectoro deber contar con permsos de escrtura, de modo que tanto |efe como contador
puedan traba|ar en dcho drectoro con una apcacn admnstratva.
>>'2'!' Arocedimientos
1. Defna que dreccn IP y mascara de subred tene e servdor utzando os sguentes
mandatos:
/sbin/i&con&ig eth+ ] grep inet ] cut =d 2 =& ( ] cut =d N =& 1
/sbin/i&con&ig eth+ ] grep !as ] cut =d 2 =& -
E prmer mandato donde aparece un \, debe haber dos espacios entre ] y 1/ !, porque se
est especfcando una barra invertida como secuenca de escape para e espaco
posteror. Utzando man cut y man 2rep, expque que fue o que reazaron os dos
mandatos anterores en e reporte escrto de este e|ercco.
2. Instae samba, samba-cente y samba common de sguente modo:
$um =$ install samba samba=client samba=common
3. Utzando como referenca e documento ttuado Cmo confgurar SAMBA., edte e fchero
/etc/samba/smb'con/ y confgure os sguentes parmetros de a seccn S2lobalT donde
adems deber expcar en un reporte por escrito en pape qu es o que hace cada uno
de estos parmetros con os vaores que sern asgnados en e e|ercco:
workgroup H cursolinux
hosts allow H 1/(816'8+8 1()8
inter&aces H lo. eth+. 1()8+8+81/,(. 1/(816'8+8XXX/(-
remote announce H 1/(816'8+8(**/cursolinux
N6B&3 192.168.0.XXX se refere a a dreccn IP que posee e servdor y no teramente
192.168.0.XXX.
Saga de fchero.
4. Incar e servco recn confgurado.
service smb start
5. Aadr e servco smb a arranque de sstema.
chkcon&ig smb on
6. Genere e nuevo drectoro /var/samba/contabilidad:
mkdir =p /var/samba/contabilidad
7. Confgure e drectoro para que SELnux permta utzaro como contendo que ser
compartdo a travs de Samba:
568
chcon =t samba%share%t /var/samba/contabilidad
8. Genere e grupo de traba|o:
groupadd contabilidad
9. Genere os usuaros |efe y contador de modo que no tengan acceso a ntrprete de
mandatos y tengan como grupo prmaro a contabdad. Asgne a stos contrasea
useradd =s /sbin/nologin =g contabilidad 1e&e
useradd =s /sbin/nologin =g contabilidad contador
smbpasswd =a 1e&e
smbpasswd =a contador
10.Asgne os permsos necesaros a /var/samba/contabilidad, de modo ta, que se permta
so a escrtura, ectura y e|ecucn a dcho drectoro a usuaro y a grupo contabdad, y
de modo que se preserven os permsos de contendo de dcho drectoro:
chmod 1))+ /var/samba/contabilidad
chgrp contabilidad /var/samba/contabilidad
11.Modfque /etc/samba/smb'con/ y confgure o necesaro para compartr
/var/samba/contabilidad en modo ectura-escrtura con acceso soo para |efe y contador,
redundando os permsos que se asgnaron ocamente a dcho drectoro, y defnendo e
permso que deber tener por defecto todo fchero o documento nuevo en e nteror, a fn
de que soamente puedan ser edos y modfcados por |efe y contador:
EcontabilidadF
comment H 6ontabilidad
path H /var/samba/contabilidad
writable H $es
browseable H $es
public H no
printable H no
valid users H 1e&e contador
director$ mode H 1))+
create mode H +66+
veto &iles H /M8mp,/M8wma/M8avi/M8wmv/M8mpg/M8mpeg/M8mov/

569
12.Rence e servco de Samba:
service smb restart
13.Haga as pruebas pertnentes accedendo desde e admnstrador de archvos copando,
movendo o emnado ob|etos en e recurso que acaba de confgurar.
smbclient =O =A 1()8+8+81
smbclient //1()8+8+81/contabilidad =# 1e&eU1(,0we
14.Reace cuaquer tpo de transferenca utzando mget o mput desde e ntrprete smb. A
termnar, utce exit para sar.
570
>>'8' E4ercicio &pac.eE * HS%BAD
Usted deber smuar ser un proveedor de servco de hospeda|e y confgurar o sguente a travs
de apache y vsftpd:
Una sto de red vrtua denomnado NNN.mi1dominio'or2 asocado a a dreccn IP
192.168.!0.n., donde n corresponde a tmo octeto de su dreccn IP y en este
e|ercco ser un nmero entre e 1 y e 254.
E domno vrtua debe poder ser admnstrado a travs de una cuenta de usuaro
accedendo por medo de una conexn FTP.
E usuaro deber estar en|auado a travs de FTP y tener acceso a as btcoras
generadas por e sto de red vrtua, pero sn permtr a usuaro que pueda borrar
accdentamente e drectoro que contene a dchas btcoras.
1) Modfque e fchero /etc/.osts y proceda a resover de manera oca a dreccn IP y e
nombre que tendr e servdor en a red 192.168.10.0, aadendo o sguente, donde n
corresponde a tmo octeto de su dreccn IP:
1/(816'81+8n www8mi$(ominio.or* m'il.mi$(ominio.or* mi$(ominio.or*
1/(816'81+.n /p.mi$(ominio.or* (ns.mi$(ominio.or*
2) Proceda a crear e fchero de confguracn de dspostvo vrtua en e fchero
/etc/s*scon/i2/netNorL1scripts/i/c/21et.03! con e sguente contendo:
<B@46BHe&021
45><<RH1/(816'81+8n
OB?!>S9H(**8(**8(**8+
3) Rence e servco de red de sstema y compruebe que haya evantado a nterfaz vrtua
et.03! que acaba de confgurar:
i&con&ig e&021
4) Genere e rbo de drectoros necesaro e|ecutando o sguente:
mkdir =m 1)** /var/www/mi=dominio
mkdir =m ,))* /var/www/mi=dominio/public%html
mkdir =m +)** /var/www/mi=dominio/Yetc.logs.mailZ
5) Genera a cuenta de usuaro que ser utzada para admnstrar e sto de red vrtua:
useradd =s /sbin/nologin =d /v'r/www/mi$(ominio mi=dominio
usermod =c k>dministrador de mi=dominiol mi=dominio
passwd mi=dominio
6) Confgure os permsos apropados a /var/NNN/mi1dominio y su contendo, e|ecutando o
sguente:
571
chown root2apache /var/www/mi=dominio
chown mi$(ominio2apache /var/www/mi=dominio/public%html
chown mi$(ominio2apache /var/www/mi=dominio/etc
chown mi=dominio2mi=dominio /var/www/mi=dominio/mail
chown root2root /var/www/mi=dominio/logs
chcon =t httpd%s$s%content%t /var/www/mi=dominio/public%html
7) Confgure apache para poder acceder haca este sto de red vrtua hacendo uso de fchero
ocazado en a ruta /etc/.ttpd/con/'d/virtuales'con/ con e sguente contendo:
Oame@irtual7ost 1/(816'81+8n
_@irtual7ost 1/(816'81+8nQ
<ocumentRoot /var/www/mi=dominio/public%html
ServerOame www8mi$(ominio.or*
Server>lias mi$(ominio.or*
Server>dmin webmasterRmi$(ominio.or*
BrrorAog /var/www/mi=dominio/logs/error%log
6ustomAog /var/www/mi=dominio/logs/access%log combined
_/@irtual7ostQ
8) Este sto vrtua generar su propa btcora. Por ta motvo, es mportante confgurar e
sstema para que reace a rotacn de btcoras correspondente. Genere o ben verfque que
exsta e fchero de confguracn correspondente, en a ruta /etc/lo2rotate'd/virtuales con
e sguente contendo, donde as comas se estabecern utzando acentos 2raves:
/var/www/M/log/Mlog Y
missingok
noti&empt$
sharedscripts
postrotate
/bin/kill =7#5 gcat /var/run/httpd8pid (Q/dev/nullg (Q /dev/null ]] true
endscript
Z
9) Rence apache y haga comprobacones y dagnstco s fuese necesaro.
>>'8'2' Comprobaciones
Rence Apache y pruebe pubcar un documento HTML utzando cuaquer herramenta para
pubcacn de red, como puede ser Buefsh, Komposer, Dreamweaver, Frontpage o cuaquer
edtor HTML y pubcando a travs de FTP, hacendo uso de a cuenta FTP de mi1dominio.
Vsuace desde e navegador que prefera e sto de red vrtua que se confgur.
S desea hacer todo desde modo termna, utce e sguente procedmento.
1. Acceda a sstema como usuaro oca (/ulano).
2. Genere un documento HTML denomnado index'.tml utzando e edtor de texto que prefera
572
_htmlQ
_headQ
_titleQ:ienvenido a www.mi$(ominio.or*_/titleQ
_/headQ
_bod$Q
_h1Q:ienvenido a www.mi$(ominio.or*_/h1Q
_pQjiexclX7ola mundod_/pQ
_/bod$Q
_/htmlQ
3. Pubque como e usuaro mi1dominio e documento anteror utzando e mandato ftp:
&tp /p.mi$(ominio.or*
6onnected to amdk6 (1/(816'8181)8
((+ :ienvenido al servidor D?5 de >lcance Aibre8
Oame (/p.mi$(ominio.or*2&ulano)2mi$(ominio
5assword2
(,+ Aogin success&ul8 7ave &un8
&tpQ)( publi)_&ml
&tpQpu in(e..&ml
&tpQbye
4. Fnamente vsuace a pgna NNN'mi1dominio'or2 prncpa utzando enks.
elinks http2//www.mi$(ominio.or*/
573
>>'9' E4ercicio3 Cuotas de discoM &pac.eM HS%BAD * DNS
Usted deber smuar ser un proveedor de servco de hospeda|e y confgurar o sguente a travs
de apache, bnd y vsftpd:
Deber confgurar a zona de reenvo para e DNS que se har cargo de resover os sub-
domnos www, dns, ma, y ftp de domno que se e especfque.
Un sto de red vrtua denomnado NNN.su1nombre'com con aas su1
nombre'com asocado a a dreccn IP 192.168.20.n, donde n corresponde a tmo
octeto de su dreccn IP y en este e|ercco ser un nmero entre e 1 y e 254.
E domno vrtua debe poder ser admnstrado a travs de una cuenta de usuaro
accedendo por medo de una conexn FTP.
E usuaro deber estar en|auado a travs de FTP y tener acceso a as btcoras
generadas por e sto de red vrtua, pero sn permtr que e usuaro pueda borrar
accdentamente e drectoro que contene a dchas btcoras.
E usuaro deber tener asgnada una cuota de dsco de 300 MB.
1) Aada e sguente contendo en e fchero /etc/.osts a resoucn oca de nombre de
domno de sto de red vrtua asocado a a dreccn IP defnda para e msmo, donde n
corresponde a tmo octeto de su dreccn IP:
1/(816'8(+8n www.su$nombre.)om m'il.su$nombre.)om /p.su$nombre.)om
1/(816'8(+8n (ns.su$nombre.)om su$nombre.)om
2) Proceda a crear e fchero de confguracn ocazado en a ruta /etc/s*scon/i2/netNorL1
scripts/i/c/21et.032 para e dspostvo et.032 utzando e sguente contendo, aadendo o
sguente, donde n corresponde a tmo octeto de su dreccn IP:
<B@46BHe&022
45><<RH1/(816'8(+8n
OB?!>S9H(**8(**8(**8+
3) Rence e servco de red de sstema y compruebe que haya evantado a nterfaz vrtua
et.032 que acaba de confgurar:
i&con&ig e&022
4) Dentro de drectoro /var/named/c.root/var/named, genere e fchero su1
nombre'com.zone, que servr para resover a zona de reenvo para e domno su1
nombre'com con os sub-domnos www, dns, ma, y ftp:
574
J??A '6-++
R 4O SI> )urso8'l)'n)elibre.or*8 usuario8*m'il.)om8 (
20090#0301 X n`mero de serie
(''++ X tiempo re&resco
)(++ X tiempo entre reintentos
6+-'++ X expiraciPn
)
R 4O OS )urso8alcancelibre8org8
R 4O !X 1+ mail
R 4O ?X? kvHsp&1 a mx =alll
R 4O > 1/(816'8(+8n
www 4O > 1/(816'8(+8n
mail 4O > 1/(816'8(+8n
dns 4O > 1/(816'8(+8n
&tp 4O > 1/(816'8(+8n
5) Modfque /var/named/c.root/etc/named'con/ y aada a zona correspondente:
"one ksu$nombre.)omc Y
t$pe masterX
&ile ksu$nombre.)om.5onecX
ZX
6) Cambe a pertenenca de fchero de zona a usuaro named y os contextos de SELnux de
usuaro de sstema (s*stemUu), ro de ob|eto (ob4ectUr) y tpo zona de servco named
(namedU=oneUt), e|ecutando o sguente:
cd/var/named/chroot/var/named/
chown named8named su$nombre.)om8"one
chcon =u s$stem%u =r ob1ect%r =t named%"one%t su$nombre.)om8"one
cd =
7) Rence e servco de servdor de nombres e|ecutando o sguente:
service named restart
8) Reace prueba de depuracn y verfque que a zona haya cargado con nmero de sere:
tail ='+ /var/log/messages ]grep named
9) Compruebe que e domno resueve correctamente:
host su$nombre.)om 12F.0.0.1
dig R12F.0.0.1 su$nombre.)om
dig R12F.0.0.1 su$nombre.)om !X
10) S e domno resueve correctamente, proceda a colocar como DNS primario a su propo
servdor en e fchero /etc/resolv'con/, smpemente defnendo ste como e prmer regstro
nameserver de este fchero, |usto deba|o de os regstros searc.:
575
X 5arte superior del &ichero /etc/resolv8con&
search 'l)'n)elibre.or*
search su$nombre.)om
n'meserver 12F.0.0.1
11) Genere e rbo de drectoros necesaro para e sto de red vrtua a travs de Apache
utzando os sguentes mandatos:
mkdir =m 1)** /var/www/su=nombre
mkdir =m ,)** /var/www/su=nombre/public%html
mkdir =m +)** /var/www/su=nombre/Ylogs.etc.mailZ
chcon =t httpd%s$s%content%t /var/www/su=nombre/public%html
12) Genere a cuenta de usuaro que ser utzada para admnstrar e sto de red vrtua:
useradd =s /sbin/nologin =d /var/www/su=nombre su=nombre
usermod =c kSu Oombre 6ompletol su=nombre
passwd su=nombre
13) Confgure os permsos apropados a /var/NNN/su1nombre y os drectoros en su nteror
utzando lo si2uientes mandatos:
chown root2apache /var/www/su=nombre
chown su$nombre2apache /var/www/su=nombre/public%html
chown su$nombre2apache /var/www/su=nombre/etc
chown su$nombre2su$nombre /var/www/su=nombre/mail
chown root2root /var/www/su=nombre/logs
14) Confgure Apache para poder acceder haca este sto de red vrtua hacendo uso de fchero
ocazado en a ruta /etc/.ttpd/con/'d/virtuales'con/ con e sguente contendo:
Oame@irtual7ost 1/(816'8(+8n
_@irtual7ost 1/(816'8(+8nQ
<ocumentRoot /var/www/su=nombre/public%html
ServerOame www8su$nombre.)om
Server>lias su$nombre.)om
Server>dmin webmasterRsu$nombre.)om
BrrorAog /var/www/su=nombre/logs/error%log
6ustomAog /var/www/su=nombre/logs/access%log combined
_/@irtual7ostQ
15) Este sto vrtua generar su propa btcora. Por ta motvo es mportante confgurar e
sstema para que reace a rotacn de btcoras correspondente. Genere o ben verfque que
exsta e fchero de confguracn correspondente en a ruta /etc/lo2rotate'd/virtuales con e
sguente contendo, donde as comas se estabecern utzando acentos 2raves:
/var/www/M/log/Mlog Y
missingok
noti&empt$
sharedscripts
postrotate
/bin/kill =7#5 gcat /var/run/httpd8pid (Q/dev/nullg (Q /dev/null ]]
true
endscript
Z
576
16) Rence e servco de httpd (apache) y haga as comprobacones, a depuracn y e
dagnstco s fuese as necesaro.
17) Confgure os domnos vrtuaes para que Sendma pueda recbr correo para os msmos
aadendo su1nombre'com y ma.su1nombre'com en e nteror de fchero /etc/mail/local1
.ost1names con e sguente contendo:
su$nombre.)om
mail.su$nombre.)om
18) Confgure e domno vrtua su1nombre'com a fn de que Sendma permta envar correo
para e msmo en e fchero /etc/mail/rela*1domains con e sguente contendo:
su$nombre.)om
19) Genere os nuevos fcheros necesaros para os domnos vrtuaes en Sendma, s es que an
exsten:
touch /etc/mail/Yvirtusertable.genericstable.generics=domainsZ
20) S no ha hecho an, para habtar a re-escrtura de as cuentas de correo, aada en e fchero
/etc/mail/sendmail'mcM deba|o de parmetro %E&BU0EPjvirtusertable[Mj.as. 1o
/etc/mail/virtusertable'db[Qdnl as sguentes dos neas de confguracn resatadas en
negrta:
DB>?#RB(gvirtusertableW.ghash =o /etc/mail/virtusertable8dbW)dnl
?:8@%B:(^*eneri)s'ble,4^&'s& $o /e)/m'il/*eneri)s'ble.(b,)(nl
G:A:BJC"_T!=8JA_?J7:(^/e)/m'il/*eneri)s$(om'ins,)(nl
21) S e parmetro ?&SDUE0&DEU&S est defndo con otro domno dstnto a que est
confgurando, aada tambn en e fchero /etc/mail/sendmail'mc a excepcn de
enmascaramento (MASOUERADE_EXCEPTION) para su domno vrtua, |usto deba|o de
parmetro MASOUERADE_AS:
=8"]%:B8T:_:WC:+@J!A(^su$nombre.)om,)(nl
22) Genere a cuenta de correo vrtua denomnada webmaster@su1nombre'com como aas de
a cuenta oca su-nombre, modfcando e fchero /etc/mail/virtusertable de sguente modo:
webmasterRsu$nombre.)om su=nombre
23) A termnar, y a fn de que e usuaro vrtua sea reconocdo por e servco de Sendma, se
deber convertr e fchero /etc/mail/virtusertable en /etc/mail/virtusertable'db
e4ecutando o sguente:
makemap hash /etc/mail/virtusertable8db _ /etc/mail/virtusertable
577
24)A fn de reescrbr como webmaster@su1nombre'com a correo emtdo desde a cuenta oca
su1nombre, modfcando e fchero /etc/mail/2enericstable de sguente modo:
su=nombre webmasterRsu$nombre.)om
25) A termnar, y a fn de que e correo de usuaro rea se reescrba como a cuenta de correo de
usuaro vrtua, se deber convertr e fchero /etc/mail/2enericstable en
/etc/mail/2enericstable'db e4ecutando o sguente:
makemap hash /etc/mail/genericstable8db _ /etc/mail/genericstable
26) Aada en e fchero /etc/mail/2enerics1domains e nuevo domno vrtua:
su$nombre.)om
27)Rence e servdor de Sendma:
28) E|ecutando ed-uota su1nombre, asgne una cuota de 300 MB (307200 kb) a usuaro su1
nombre:
<isk 0uotas &or user su=nombre (uid *+')2
/dev/hda6 + + + + + +
/dev/hda, (- + 30F200 1+ + +
>>'9'2' Comprobaciones
Rence Apache y pruebe pubcar un documento HTML utzando cuaquer herramenta para
pubcacn de red, como puede ser Buefsh, Komposer, Dreamweaver, Frontpage o cuaquer
edtor HTML y pubcando a travs de FTP, hacendo uso de a cuenta FTP de su1nombre en e
URL /tp3//su1nombrehsu1nombre'com/publicU.tml/
Vsuace desde e navegador e sto de red vrtua que se confgur.
Pruebe envar correo a a cuenta vrtua Nebmasterhsu1nombre'com y eer dcho correo a
travs de POP3 o IMAP desde a cuenta de su1nombre.
S desea hacer todo desde modo termna, utce e sguente procedmento.
1. Acceda a sstema como usuaro oca (/ulano).
2. Genere un documento HTML denomnado index'.tml utzando e edtor de texto que prefera
578
_htmlQ
_headQ
_titleQ:ienvenido a www.su$nombre.)om_/titleQ
_/headQ
_bod$Q
_h1Q:ienvenido a www.su$nombre.)om_/h1Q
_pQjiexclX7ola mundod_/pQ
_/bod$Q
_/htmlQ
3. Pubque como e usuaro su-nombre e documento anteror utzando ftp:
&tp /p.su$nombre.)om
6onnected to amdk6 (1/(816'8181)8
((+ :ienvenido al servidor D?5 de >lcance Aibre8
Oame (/p.su$nombre.)om2&ulano)2su$nombre
5assword2
(,+ Aogin success&ul8 7ave &un8
&tpQ)( publi)_&ml
&tpQpu in(e..&ml
&tpQbye
4. Fnamente, vsuace a pgna NNN'su1nombre'com prncpa de utzando e navegador
enks.
elin-s &p2//www.su$nombre.)om/
5. Utce mutt y enve un mensa|e a usuaro Nebmasterhsu1nombre'com.
echo k!ensa1e de pruebaV ] mutt =s k!ensa1e de pruebaV webm'serMsu$
nombre.)om
6. Verfque a cuenta de correo de su1nombre a travs de cual-uier cente de correo
eectrnco o ben e correo con nterfaz HTTP.
elinks http2//www8su=nombre8com/webm'il/
579
>>':' E4ercicio3 Servidor Intermediario PArox*Q
>>':'!' Introduccin'
Utzando como referenca os sguentes documentos, eabore un reporte por escrto de cada uno
de os mandatos y parmetros utzados en este e|ercco.
Cmo confgurar Squd: Parmetros bscos para servdor de ntermedacn (Proxy).
Cmo confgurar Squd: Acceso por Autentcacn.
Cmo confgurar Squd: Restrccn de acceso a Stos de Red.
Cmo confgurar Squd: Restrccn de acceso a contendo por extensn.
Cmo confgurar Squd: Restrccn de acceso por horaros.
Cmo confgurar Squd: Como confgurar e admnstrador de cache.
Arocedimientos
18 5roceda a instalar s0uid $ el navegador l$nx2
sudo $um =$ install s0uid l$nx
(8 6on&igure la polbtica de SBAinux para permitir conexiones desde cual0uier direcciPn2
,8 6ambie al directorio /etc/s0uid
cd /etc/s0uid
-8 3enere el subdirectorio listas2
sudo mkdir listas/
5. Genere os fcheros que se utzarn para as stas de contro de acceso y caves de
acceso:
sudo touch listas/Ylibres.redlocal.porno.extensiones.claves.inocentesZ
6. Lstar as propedades de fchero que ser utzado para amacenar as caves de acceso:
ls =l listas/claves
7. Cambar atrbutos de ectura y escrtura soo para e usuaro propetaro:
sudo chmod 6++ listas/claves
8. Cambar e propetaro de fchero de caves de acceso haca e usuaro s-uid:
sudo chown s0uid8s0uid listas/claves
580
9. Lstar de nuevo as propedades de fchero que ser utzado para amacenar as caves
de acceso, y observar cambos:
ls =l listas/claves
10.E|ecutar o sguente y asgnar caves de acceso a os usuaros vrtuaes (para este
e|ercco, asgnar a todos -Nert* como cave de acceso)
&or usuario in 1uanito pepito pedrito pa0uito
do
sudo htpasswd listas/claves Jusuario
done
11.Edtar e fchero stas/bres:
sudo vim listas/libres
Poner como nco contendo a dreccn IP de su mquna.
12.Edtar e fchero stas/redoca:
sudo vim listas/redlocal
Poner como contendo as dreccones IP de resto de a LAN. Un rengn por IP.
13.Edtar e fchero stas/porno:
sudo vim listas/porno
Poner como contendo o sguente:
www8sitioporno8com
www8otrositioporno8com
sitioindeseable8com
otrositioindeseable8com
napster
sex
porn
mp,
xxx
adult
ware"
celebri
$outube
babosas
orgasm
petarda
14.Edtar e fchero stas/extensones:
sudo vim listas/extensiones
581
15.Poner como contendo:
N8aviJ
N8mp(J
N8mp,J
N8mp-J
N8mpgJ
N8mpegJ
N8movJ
N8raJ
N8ramJ
N8rmJ
N8rpmJ
N8vobJ
N8wmaJ
N8wmvJ
N8wavJ
N8docJ
N8xlsJ
N8mbdJ
N8pptJ
N8ppsJ
N8aceJ
N8batJ
N8exeJ
N8lnkJ
N8pi&J
N8scrJ
N8s$sJ
N8"ipJ
N8rarJ
16.Edtar e fchero stas/nocentes:
sudo vim listas/inocentes
Poner como contendo:
8alcancelibre8org
8google8com8mx
8eluniversal8com8mx
8milenio8com8mx
8edu8mx
8gob8mx
17.Edtar e fchero squd.conf:
sudo vim s0uid8con&
18.Desde vm, e|ecutar a sguente bsqueda:
/http%port ,1('
Reempazar por:
582
http%port 192.16#.0.WWW2'+'+
Donde !2'!;>'0'FFF corresponde a a dreccn IP de su servdor.
19.Desde vm, reazar a sguente bsqueda:
/1++ 16 (*6
Reempazar:
G cache%dir u&s /var/spool/s0uid 1++ 16 (*6
Por:
cache%dir u&s /var/spool/s0uid *1( 16 (*6
/Gauth%param basic program _uncomment and complete this lineQ
Reempazar:
Gauth%param basic program _uncomment and complete this lineQ
Por:
auth%param basic program /usr/lib/s0uid/ncsa%auth /etc/s0uid/listas/claves
/Gacl password prox$%auth RBh#4RB<
Descomentar a nea, qutando e smboo #
22.Desde v, reazar a sguente bsqueda:
/acl to%localhost dst 1()8+8+8+
Deba|o de sta nea, agregar:
acl redlocal src V/etc/s0uid/listas/redlocalV
acl libres src V/etc/s0uid/listas/libresV
acl porno url%regex V/etc/s0uid/listas/pornoV
acl extensiones urlpath%regex V/etc/s0uid/listas/extensionesV
acl inocentes dstdomain V/etc/s0uid/listas/inocentesV
acl matutino time !?C7D +'2++=1/2++
583
/http%access den$ all
Arrba de dcha nea, agregar:
http%access allow matutino redlocal password dporno dextensiones
http%access allow inocentes redlocal password
http%access allow libres
/G error%director$
Reempazar o sguente:
G error%director$ /usr/share/s0uid/errors/Bnglish
Por:
error%director$ /usr/share/s0uid/errors/Spanish
25.Rence o, en su defecto, nce a confguracn de Squd a fn de verfcar s hubo errores
fataes:
sudo service s0uid restart
S hay errores, corregros. S no devueve errores pero e servco faa a ncar, examnar
/var/lo2/s-uid/s-uid'out y reazar correccones:
sudo tail =& /var/log/s0uid/s0uid8out
26.Recargar a confguracn de Squd a fn de verfcar s hubo errores no fataes:
sudo service s0uid reload
S hay errores, reazar correccones pertnentes.
27.Reazar comprobacones utzando navegador en modo texto:
Defna e propo servdor como e vaor para a varabe de ambente http_proxy:
export http%prox$HVhttp2//192.16#.0.WWW2'+'+/V
Donde !2'!;>'0'FFF corresponde a a dreccn IP de su servdor.
28.Reace una prueba de bsqueda a travs de Googe Mxco para a paabra sex:
l$nx Vhttp2//www8google8com8mx/searchi0HsexoV
584
Deber permtr reazar a bsqueda e ngresar haca stos cuyo URL contenga a cadena
de caracteres sex.
Defna otro servdor donde a IP de sstema donde est traba|ando est en a sta de
redlocal como e vaor para a varabe de ambente http_proxy:
export http%prox$HVhttp2// 45 de la 56 de al lado2'+'+/V
Reace una prueba de bsqueda a travs de Googe Mxco para a paabra sex:
l$nx $'))ep_'ll_)oo-ies Vhttp2//www8google8com8mx/searchi0HsexoV
Deber permtr reazar a bsqueda pero denegar e ngreso haca stos cuyo URL
contenga a cadena de caracteres sex.
585
>' E4ercicio3 Servidor DNS din@micoM servidor
DGCAM Servidor Intermediario PArox*Q *
S.oreNall'
>'!' Introduccin'
Este e|ercco est dseado para ser puesto en prctca en Cent6S :, Elastix !':, 0ed Gat
Enterprise Linux : y Z.itebox Enterprise Linux : o sstemas operatvos smares, basados
sobre 0ed Gat Enterprise Linux :. Requere haber estudado en su totadad os sguentes
documentos:
Cmo confgurar un servdor DHCP en una LAN.
Cmo confgurar un servdor de nombres de domno (DNS).
Cmo confgurar Squd: Parmetros bscos para servdor de ntermedacn (Proxy).
Cmo confgurar Squd: Restrccn de acceso a Stos de Red.
Cmo confgurar squd con soporte para dreccones MAC.
Cmo nstaar y confgurar a herramenta de reportes Sarg.
Cmo confgurar un muro cortafuegos con Shorewa y tres nterfaces de red.
Durante este e|ercco se confgurar un servdor DNS dnmco y un servdor DHCP, ambos
utzando a msma frma dgta a fn de permtr a os centes actuazar sus regstros en e
servdor DNS, un servdor ntermedaro (Proxy) con S-uid y un muro cortafuegos con S.oreNall.
>'!'!' Aol,tica3 cerrar todo * abrir solo lo necesario'
Durante este e|ercco se crearn soo tres stas de contro de acceso para Squd. La sta que ser
denomnada libres permtr acceder bremente y sn restrccones haca Internet. La sta que
ser denomnada red1local soo podr acceder a os stos de Internet cuyos domnos estn
defndos en a sta denomnada sitios1libres. Es decr, se apcar una potca estrcta que
cerrar e acceso a quenes estn defndos en a sta red1local permtendo soo acceder a sta
sta de stos de Internet controada por e admnstrador.
E muro cortafuegos se confgurar a travs de Shorewa y soo permtr a sada a a red de
rea oca (LAN) para acceder a os servcos de DNS, NTP, FTP-Data, FTP, HTTP, HTTPS, SMTP,
SMTP Submsson, SMTPS, POP3, IMAP, POP3S e IMAPS.
E e|ercco consdera que se dspone de dos nterfaces de red en dos dferentes dspostvos, y que
et.0 se utza para acceder haca Internet y et.! se utza para acceder haca a red de rea
oca (LAN). Cuaquer servco dstnto a DNS, NTP, FTP-Data, FTP, HTTP, HTTPS, SMTP, SMTP
Submsson, SMTPS, POP3, IMAP, POP3S e IMAPS, estar boqueado haca Internet para a red de
rea oca (LAN). Es decr, estarn boqueados para a red de rea oca (LAN) os dversos
servcos de mensa|era nstantnea, redes entre guaes (P2P), BtTorrent, Lmewre y muchos
otros servcos ms.
>'2' E-uipamiento l2ico necesario'
Ingrese a sstema como e usuaro root.
Proceda a mpar a confguracn de cuaquer e|ercco anteror, restaurando e fchero de
586
confguracn predetermnado de Squd y emnando e drectoro de stas, s acaso ste exstese:
cp =a /etc/s0uid/s0uid8con&8de&ault /etc/s0uid/s0uid8con&
rm =&r /etc/s0uid/listas
Proceda a nstaar os paquetes .ttpd, d.cp, bind, bind1c.root, cac.in21nameserver, a
versn me|orada de V (paquete vim1en.anced), a herramenta de descargas N2et y e
navegador para modo texto l*nx:
$um =$ install httpd dhcp bind bind=chroot caching=nameserver
$um =$ install vim=enhanced wget l$nx
cd =
Proceda a nstaar sar2, paquete que consste en una herramenta de reportes para Squd, squd-
arp, paquete modfcado por Acance Lbre y que consste en Squd con soporte para dreccones
MAC, as como tambn e paquete s.oreNall, e cua ser utzado para confgurar
posterormente e muro cortafuegos, y e paquete Nebmin, herramenta que se utzar a
termnar todos os procedmentos para admnstrar e servdor competo desde una nterfaz
HTTPS.
$um =$ install sarg s0uid=arp shorewall webmin
>'8' Arocedimientos
>'8'!' ?odi/icacin de la inter/a= de acceso .acia Internet'
1. En caso de utzar una nterfaz con dreccn IP esttca, gnore este paso y os 3
sguentes.
S a nterfaz et.0 obtene sus parmetros de red a travs de DHCP, edte con vm e
fchero /etc/s*scon/i2/netNorL1scripts/i/c/21et.0.
vim /etc/s$scon&ig/network=scripts/i&c&g=eth+
2. Puse a teca Insert.
Modfque e vaor de parmetro AEE0DNS de *es a no a fn de evtar que se modfque
automtcamente e fchero /etc/resolv'con/ cuando nce e sstema o se refresque a
conexn DHCP. Evte modfcar e vaor de parmetro GZ&DD0, e vaor
FF3FF3FF3FF3FF3FF corresponde a a dreccn MAC espec,/ica de dspostvo et.0.
<B@46BHeth+
7C><<RHWW2WW2WW2WW2WW2WW
IO:II?H$es
:II?5RI?IHdhcp
587
+::BTA"6no
Puse a teca Esc, guarde cambos y saga de vm pusando a combnacn de tecas 3x y
uego a teca = (ENBE0).
3. Rence e servco netNorL a fn de que surtan efecto os cambos.
Edte con vm e fchero /etc/resolv'con/ y asegrese de que est defndo un servdor
DNS vdo para poder acceder haca Internet. E vaor !28'!28'!28'!28 debe
corresponder a a dreccn IP de servdor DNS de proveedor de servco de acceso haca
Internet o de modem ADSL.
search gatewa$8(wire8net
nameserver 123.123.123.123
Con/i2uracin de servidor DNS'
1. Se debe crear e drectoro /var/named/c.root/var/named/d*namics y confgurar ste
para qu pertenezca a usuaro y grupo named, tenga permsos de ectura, escrtura y
e|ecucn para e usuaro y grupo named (770) y tenga os contextos de SELnux de
usuaro de sstema (s*stemUu), ro de ob|eto (ob4ectUr) y tpo cache de servco named
(namedUcac.eUt) a fn de permtr escrtura en este drectoro.
mkdir d$namics/
chmod ))+ d$namics/
chown named8named d$namics/
chcon =u s$stem%u =r ob1ect%r =t named%cache%t d$namics/
cd =
2. Genere con e mandato touc. e fchero /var/named/c.root/var/named/d*namics/red1
local'net'=one:
touch /var/named/chroot/var/named/d$namics/re($lo)'l.ne.5one
3. Edte con vm e fchero /var/named/c.root/var/named/d*namics/red1local'net'=one:
vim /var/named/chroot/var/named/d$namics/re($lo)'l.ne.5one
Aada e sguente contendo, donde prox*'red1local'net corresponde a nombre de
anftrn de servdor que se est confgurando, red1local'net corresponde a nombre de
domno de a red de rea oca con a que se est traba|ando y !2'!;>'!28'!28
588
corresponde a a dreccn IP de servdor para a nterfaz et.!:
J??A '6-++
R 4O SI> pro.y.re($lo)'l.ne8 root8re($lo)'l.ne8 (
(++/+'1*+1 X n`mero de serie
6+-'++ X tiempo 0ue expira la "ona si de1a de resolver
)
R 4O OS pro.y.re($lo)'l.ne8
R 4O > 192.16#.123.123
prox$ 4O > 192.16#.123.123
5. Confgure os permsos de fchero /var/named/c.root/var/named/d*namics/red1
local'net'=one para que ste pertenezca a e usuaro y grupo named y tenga os
contextos de SELnux de usuaro de sstema (s*stemUu), ro de ob|eto (ob4ectUr) y tpo
zona de servco named (namedU=oneUt):
cd /var/named/chroot/var/named/d$namics/
chown named2named re($lo)'l.ne.5one
chcon =u s$stem%u =r ob1ect%r =t named%"one%t re($lo)'l.ne.5one
cd =
6. Genere con e mandato touc. e fchero
/var/named/c.root/var/named/d*namics/!28'!;>'!2'in1addr'arpa'=one:
touch /var/named/chroot/var/named/d$namics/123.16#.192.in$'((r.'rp'.5one
7. Edte con vm e fchero /var/named/c.root/var/named/d*namics/!28'!;>'!2'in1
addr'arpa'=one:
vim /var/named/chroot/var/named/d$namics/123.16#.192.in$'((r.'rp'.5one
Aada e sguente contendo, donde prox*'red1local'net corresponde a nombre de
anftrn de servdor que se est confgurando, red1local'net corresponde a nombre de
domno de a red de rea oca con a que se est traba|ando y !28 corresponde a tmo
octeto de a dreccn IP de servdor para a nterfaz et.!:
J??A '6-++
R 4O SI> pro.y.re($lo)'l.ne8 root8re($lo)'l.ne8 (
(++/+'1*+1 X n`mero de serie
6+-'++ X tiempo 0ue expira la "ona si de1a de resolver
)
R 4O OS pro.y.re($lo)'l.ne8
1(, 4O 5?R pro.y.re($lo)'l.ne8
589
9. Confgure os permsos de fchero
/var/named/c.root/var/named/d*namics/!28'!;>'!2'in1addr'arpa'=one para que
ste pertenezca a e usuaro y grupo named y tenga os contextos de SELnux de usuaro
de sstema (s*stemUu), ro de ob|eto (ob4ectUr) y tpo zona de servco named
(namedU=oneUt):
cd /var/named/chroot/var/named/d$namics/
chown named2named 123.16#.192.in$'((r.'rp'.5one
chcon =u s$stem%u =r ob1ect%r =t named%"one%t 123.16#.192.in$'((r.'rp'.5one
cd =
10.Genere con e mandato touc. e fchero /var/named/c.root/etc/named'con/:
touch /var/named/chroot/etc/named8con&
11.Edte con vm e fchero /var/named/c.root/etc/named'con/:
vim /var/named/chroot/etc/named8con&
12.Puse a teca Insert.
Aada o modfque e contendo para que ncuya todo o sguente, donde
192.168.!28.0/29 corresponde a a dreccn IP y mscara de subred (en formato de bts)
de a red de rea oca (LAN) con a cua est traba|ando, red1local'net corresponde a
nombre de domno que se utza en a red de rea oca (LAN) con a cua se est
traba|ando y !28'!;>'!2'in1addr'arpa corresponde a a zona de resoucn nversa de
RFC1918 para a red de rea oca (LAN) con a cua est traba|ando. Modfque a sta de
servdores DNS de parmetro /orNarders para que correspondan a os servdores DNS de
su proveedor de acceso haca Internet.
acl Vred=localV Y
1()8+8+81/,(X
1/(816'81238+/2GX
ZX
options Y
allow=recursion Y red=localX ZX
allow=0uer$ Y red=localX ZX
&orwarders Y 200.33.1G6.193X 200.33.1G6.193X 200.33.1G6.21F` ZX
&orward &irstX
ZX
"one Vre($lo)'l.neV Y
t$pe masterX
&ile V/var/named/d$namics/re($lo)'l.ne8"oneVX
allow=update Y ke$ Vrndcke$VX ZX
ZX
"one V123.16#.192.in$'((r.'rp'V Y
590
t$pe masterX
&ile V/var/named/d$namics/123.16#.192.in$'((r.'rp'8"oneVX
allow=update Y ke$ Vrndcke$VX ZX
ZX
13.Utzando e mandato c.con, confgure os contextos de SELnux para e fchero
/var/named/c.root/etc/named'con/, defnendo ste con ro de ob|eto (ob4ectUr),
usuaro de sstema (s*stemUu) y fchero de confguracn de servco named
(namedUcon/Ut):
chcon =u s$stem%u =r ob1ect%r =t named%con&%t /var/named/chroot/etc/named8con&
14.Ince (o smpemente rence, s es necesaro) e servco named.
service named start
15.S e servco named nca normamente, proceda con e sguente paso. S hay faas o
errores, regrese en os pasos que sean necesaros y corr|a os posbes errores antes de
contnuar.
16.S e servco named nc sn errores, utce e mandato c.Lcon/i2 para que e servco
named nce automtcamente a prxma vez que arranque e sstema.
chkcon&ig named on
17.Edte con vm e fchero /etc/resolv'con/:
vim /etc/resolv8con&
Modfque e contendo para defna como nco servdor DNS a !2<'0'0'! y defna e
domno predetermnado para a red de rea oca (LAN) con a que se est traba|ando:
search re($lo)'l.ne
nameserver 12F.0.0.1
Con/i2uracin de servidor DGCA'
1. Edte con vm e fchero /etc/d.cpd'con/:
vim /etc/dhcpd8con&
591
Aada o modfque e contendo para que ncuya todo o sguente, donde prox*'red1
local'net corresponde a nombre de anftrn de servdor que se est confgurando,
!2'!;>'!28'0 corresponde a a dreccn IP de a red de rea oca (LAN) con a cua est
traba|ando, 2::'2::'2::'0 corresponde a a mscara de subred en formato decma de a
red de rea oca (LAN) con a cua est traba|ando, !28'!;>'!2'in1addr'arpa
corresponde a a zona de resoucn nversa de RFC1918 para a red de rea oca (LAN)
con a cua est traba|ando, !2'!;>'!28'!28 corresponde a a dreccn IP de servdor
que est confgurando, !2'!;>'!28'2:: corresponde a a dreccn IP de dfusn
(broadcast) de a red de rea oca (LAN) con a cua est traba|ando, red1local'net
corresponde a nombre de domno que se utza en a red de rea oca (LAN) con a cua
se est traba|ando y !2'!;>'!28'!00 y !2'!;>'!28'! corresponden a os mtes
nferor y superor de rango de dreccones IP que se van a asgnar de manera dnmca.
include V/var/named/chroot/etc/rndc8ke$VX
server=identi&ier pro.y.re($lo)'l.neX
ddns=update=st$le interimX
ddns=domainname Vre($lo)'l.ne8VX
ddns=rev=domainname V123.16#.192.in$'((r.'rp'8VX
ignore client=updatesX
authoritativeX
de&ault=lease=time /++X
max=lease=time )(++X
option domain=name Vre($lo)'l.neVX
option ip=&orwarding o&&X
"one localdomain8 Y
primar$ 1()8+8+81X
ke$ rndcke$X
Z
subnet 192.16#.123.0 netmask 255.255.255.0 Y
option routers 192.16#.123.123X
option subnet=mask 255.255.255.0X
option broadcast=address 192.16#.123.255X
option domain=name=servers 192.16#.123.123X
option ntp=servers (++8(,8*18(+*. 1,(8(-'8'18(/. 1-'8(,-8)8,+X
range 192.16#.123.100 192.16#.123.199X
"one 123.16#.192.in$'((r.'rp'8 Y
primar$ 1/(816'81(,81(,X
ke$ rndcke$X
Z
"one re($lo)'l.ne8 Y
primar$ 1/(816'81(,81(,X
ke$ rndcke$X
Z
Z
3. Edte con vm e fchero /etc/s*scon/i2/d.cpd:
vim /etc/s$scon&ig/dhcpd
Modfque e contendo estabecendo et.! como argumentos para e servco d.cpd, con
a fnadad de que ste soo funcone a travs de a nterfaz et.!, a cua corresponde a a
nterfaz por donde acceder a red de rea oca (LAN).
592
G 6ommand line options here
<765<>R3SHe&1
5. Ince (o smpemente rence, s es necesaro) e servco d.cpd.
service dhcpd start
6. S e servco d.cpd nca normamente, proceda con e sguente paso. S hay faas o
contnuar.
7. S e servco d.cpd nc sn errores, utce e mandato c.Lcon/i2 para que e servco
d.cpd nce automtcamente a prxma vez que arranque e sstema.
chkcon&ig dhcpd on
Con/i2uracin de S-uid'
1. Confgure a potca de SELnux para permtr conexones desde cuaquer dreccn:
2. Cambe a drectoro /etc/squd
cd /etc/s0uid
3. Genere e subdrectoro listas:
mkdir listas/
4. Genere os fcheros que se utzarn para as stas de contro de acceso y caves de
acceso:
touch listas/Ylibres.red=local.sitios=libresZ
5. Edtar e fchero stas/bres:
vim listas/libres
Poner como nco contendo a dreccn MAC de su mquna (por e|empo:
0030!3083DC3;<328).
593
Edtar e fchero stas/red-oca y aadr a este todas as dreccones MAC de resto de os
equpos de a red de rea oca (LAN):
vim listas/red=local
8. Edtar e fchero stas/stos-bres:
vim listas/sitios=libres
Aada como contendo o sguente, susttuyendo os domnos en negrta por domnos
reaes:
.re($lo)'l.ne
.mis$empres's.)om.m.
.mis$provee(ores.)om.m.
.mis$)lienes.)om
.mis$b'n)os.)om
.mis$/'bri)'nes$(e$)ompu'(or's.)om
.mis$perio(i)os$/'vorios.)om
.mis$'nivirus.)om
8google8com8mx
8docs8google8com
8maps8google8com
8alcancelibre8org
8centos8org
8&edorapro1ect8org
8redhat8com
8clamav8net
8mo"illa8com
8adobe8com
81ava8sun8com
8wikipedia8org
8edu8mx
8gob8mx
8windowsupdate8com
10.Edtar e fchero squd.conf:
vim s0uid8con&
11.Desde vm, reace a bsqueda de a cadena .ttpUport 8!2> e|ecutando:
/http%port ,1('
594
Reempazar por:
G 4& $ou run S0uid on a dual=homed machine with an internal
G and an external inter&ace we recommend $ou to speci&$ the
G internal address2port in http%port8 ?his wa$ S0uid will onl$ be
G visible on the internal address8
G
G S0uid normall$ listens to port ,1('
http%port 192.16#.123.1232'+'+ transparent
G ?>32 https%port
G #sage2 Eip2Fport certHcerti&icate8pem Eke$Hke$8pemF Eoptions888F
G
Donde !2'!;>'!28'!28 corresponde a a dreccn IP para a red de rea oca (LAN) de
servdor que se est confgurando.
12.Desde vm, reazar a bsqueda de a cadena !0 !; 2:; e|ecutando o sguente:
/1++ 16 (*6
Reempazar:
G cache%dir u&s /var/spool/s0uid 1++ 16 (*6
Por:
cache%dir u&s /var/spool/s0uid *1( 16 (*6
/acl to%localhost dst 1()8+8+8+
14.Deba4o de sta nea que acaba de buscar y ocazar, agregar o sguente:
acl all src +8+8+8+/+8+8+8+
acl to%localhost dst 1()8+8+8+/'
')l re($lo)'l 'rp I/e)/s;ui(/lis's/re($lo)'lI
')l libres 'rp I/e)/s;ui(/lis's/libresI
')l siios$libres (s(om'in I/e)/s;ui(/lis's/siios$libresI
acl SSA%ports port --,
acl Sa&e%ports port '+=/+ G http
acl Sa&e%ports port (1 G &tp
acl Sa&e%ports port --, G https
/http%access den$ all
16.&rriba de a nea que acaba de buscar y ocazar, agregar o sguente:
595
G Bxample rule allowing access &rom $our local networks8 >dapt
G to list $our (internal) 45 networks &rom where browsing should
G be allowed
Gacl our%networks src 1/(816'818+/(- 1/(816'8(8+/(-
Ghttp%access allow our%networks
G >nd &inall$ den$ all other access to this prox$
&p_'))ess 'llow siios$libres re($lo)'l
&p_'))ess 'llow libres
G ?>32 http%access(
G >llowing or <en$ing access based on de&ined access lists
17.Confgure e soporte a espao para os mensa|es de error que mostrar Squd.
Desde vm, reazar a sguente bsqueda:
/G error%director$
Reempazar o sguente:
Gerror%director$ /usr/share/s0uid/errors/Bnglish
G
G<e&ault2
X error_(ire)ory /usr/s&'re/s;ui(/errors/:n*lis&
G ?>32 maximum%single%addr%tries
G ?his sets the maximum number o& connection attempts &or a
Por:
Gerror%director$ /usr/share/s0uid/errors/Bnglish
G
G<e&ault2
error_(ire)ory /usr/s&'re/s;ui(/errors/"p'nis&
G ?>32 maximum%single%addr%tries
G ?his sets the maximum number o& connection attempts &or a
18.Rence o, en su defecto, nce a confguracn de Squd a fn de verfcar s hubo errores
fataes:
S hay errores, corregros. S no devueve errores pero e servco faa a ncar, examnar
/var/lo2/s-uid/s-uid'out y reazar correccones:
tail =& /var/log/s0uid/s0uid8out
19.Recargar a confguracn de Squd a fn de verfcar s hubo errores no fataes:
service s0uid reload
596
S hay errores, reazar correccones pertnentes.
20.Aada e servco s-uid a os servcos de arranque de sstema:
chkcon&ig s0uid on
21.Reazar comprobacones utzando navegador en modo texto:
Defna a dreccn IP de servdor que acaba de confgurar como e vaor para a varabe de
entorno .ttpUprox*:
export http%prox$HVhttp2//192.16#.123.1232'+'+/V
Donde !2'!;>'!28'!28 corresponde a a dreccn IP de servdor que acaba de
confgurar.
22.Genere un aas para e mandato l*nx que especfque se se acepten todas as gaetas de
todos os stos cuando sea necesaro:
alias l$nxHVl$nx $)oo-ies $r')eV
23.Reace una prueba de bsqueda a travs de Googe Mxco para a paabra sex:
Deber permtr reazar a bsqueda e ngresar haca cuaquer sto en Internet mentras
que a dreccn MAC de propo servdor est ncuda en a sta libres, es decr e fchero
/etc/s-uid/listas/libres.
24.Reace as comprobacones para as restrccones de acceso que soo permten acceder
haca os stos de Internet cuyos domnos estn defndos en a sta sitios1libres. Tene
una de dos opcones:
a. S exste otro servdor con dntca confguracn, defna ahora a dreccn IP de
ste como e vaor de a varabe de entorno .ttpUprox*:
export http%prox$HVhttp2//direcciPn 45 otro servidor similar2'+'+/V
b. S soo exste e servdor que se acaba de confgurar, edte de nuevo s-uid'con/:
vim s0uid8con&
Reace a sguente bsqueda:
/http%access allow libres
Reempace .ttpUaccess alloN libres por o sguente, a fn de que a sta libres
soo pueda acceder a os stos de Internet cuyo domno est en a sta sitios1
libres, es decr e fchero /etc/s-uid/listas/sitios1libres:
597
http%access allow siios$libres libres
Recargue a confguracn de Squd.
service s0uid reload
Defna a dreccn IP de servdor que acaba de confgurar como e vaor para a
varabe de entorno .ttpUprox*:
export http%prox$HVhttp2//192.16#.123.1232'+'+/V
Donde !2'!;>'!28'!28 corresponde a a dreccn IP de servdor que acaba de
confgurar.
N6B&3 A termnar las pruebas, es mportante reverta este 7ltimo cambio a fn
de restabecer a potca de sada bre a quenes estn en a sta libres.
25.Utce e navegador l*nx reazando una bsqueda a travs de Googe Mxco para a
paabra sex:
Lo anteror deber permtr reazar a bsqueda pero soo permtendo e ngreso cuaquer
sto de Internet cuyo domno est ncudo en a sta sitios1libres, es decr e fchero
/etc/s-uid/listas/sitios1libres.
26.A fn de concur e e|ercco, emne os vaores de a varabe de entorno .ttpUprox*:
unset http%prox$
Con/i2uracin de S.oreNall'
1. S todo o anteror funcon correctamente, contne con a confguracn de S.oreNall. En
caso contraro, regrese sobre os pasos que sean necesaros hasta hacer as correccones
necesaras.
2. Cambe a drectoro /etc/s.oreNall:
cd /etc/shorewall
3. Edte con vm e fchero s.oreNall'con/:
vim shorewall8con&
Cambe SB&0BUAUEN&#LEDONo por SB&0BUAUEN&#LEDO*es:
S?>R?#5%BO>:AB<HKes
598
5. Edte con vm e fchero =ones.
vim "ones
Deba|o de a zona /N y antes de a tma nea, a cua deber respetar y |ams modfcar o
coocar datos despus de sta, aada as zonas net y loc defnendo que son de tpo ipv9:
&w &irewall
ne ipvG
lo) ipvG
GA>S? A4OB == ><< KI#R BO?R4BS >:I@B ?74S A4OB == <I OI? RB!I@B
7. Edte con vm e fchero inter/aces:
vim inter&aces
Defna que a zona net corresponder a a nterfaz et.0, con auto-deteccn de dreccn
de dfusn (broadcast) y con opcones de d.cp y blacLlist (para e uso de fchero de sta
negra). Repta de msmo modo para a zona loc, pero defnendo que corresponde a a
nterfaz et.!:
ne e&0 (ee) (&)p4bl')-lis
lo) e&1 (ee) (&)p4bl')-lis
9. Edte con vm e fchero mas-:
vim mas0
Defna que todo e trfco provenente de a nterfaz eth1 ser enmascarado con a
dreccn IP de a nterfaz eth0:
e&0 e&1
599
11.Edte con vm e fchero blacLlist:
vim blacklist
Defna estar en sta negra a dreccn IP 20>'>!'!!'!!0, que corresponde a
meebo.com, un servco que ofrece un cente HTTP para mensa|era nstantnea para e
servco MSN Messenger, boqueando soo as conexones TCP haca ste a travs de e
puerto 443:
20#.#1.191.110 )p #04GG3
Nota: Puede repetr esta operacn para otros stos de Internet que ofrezcan centes HTTP
para os dversos servcos de mensa|era nstantnea a travs de HTTPS (puerto 443).
13.Edte con vm e fchero polic*:
vim polic$
Defna como potcas predetermnadas que a zona /N puede acceder haca cuaquer otra
zona, que se descartarn (D06A) as conexones provenentes desde a zona net haca
cuaquer otra zona guardando en a btcora de sstema toda a actvdad descartada, y
que se rechazarn (0E"ECB) conexones provenentes desde a zona loc haca cuaquer
otra zona guardando en a btcora de sstema toda a actvdad rechazada.
/w 'll 8CC:+@
ne 'll TB!+ in/o
lo) 'll B:V:C@ in/o
15.Edte con vm e fchero rules:
vim rules
Defna que todo e trfco provenente de a red de rea oca (LAN) (zona loc) ser
redrgdo a puerto 8080 de servdor que acaba de confgurar cuando as conexones sean
600
soo por TCP para pueto 80 (GBBA).
B:TJB:C@ lo) #0#0 )p #0
17.Defna que a red de rea oca (LAN) (zona loc) podr acceder haca Internet (zona net)
soo a os servcos de DNS, NTP, FTP-Data, FTP, HTTPS, SMTP, SMTP Submsson, SMTPS,
POP3, IMAP, POP3S e IMAPS.
8CC:+@ lo) ne )p 204214254GG3
8CC:+@ lo) ne )p 254G6545#F
8CC:+@ lo) ne )p 11041G349934995
8CC:+@ lo) ne )p 534123
8CC:+@ lo) ne u(p 534123
18.Defna que a red de rea oca (LAN) (zona loc) podr acceder haca e cortafuegos (zona
/N) para a os servcos de SSH, DNS, HTTP y Webmn (en caso de estar nstaado).
>66B5? loc net tcp (+.(1.(*.--,
>66B5? loc net tcp (*.-6*.*')
>66B5? loc net tcp 11+.1-,.//,.//*
>66B5? loc net tcp *,.1(,
>66B5? loc net udp *,.1(,
8CC:+@ lo) /w )p 224534#0410000
8CC:+@ lo) /w u(p 53
19.Ince e servco s.oreNall.
service shorewall start
20.S e servco s.oreNall nco normamente, proceda con e sguente paso. S hay faas o
contnuar.
21.S e servco s.oreNall nc sn errores, utce e mandato c.Lcon/i2 para que e
servco s.oreNall nce automtcamente a prxma vez que arranque e sstema.
chkcon&ig shorewall on
22.Para reazar pruebas, se necesta confgurar un equpo que acceda desde a nterfaz et.!
y que use a dreccn IP de servdor que acaba de confgurar como puerta de enlace
predeterminada. Es mportante recordar que cuaquer servco dstnto a DNS, NTP, FTP-
Data, FTP, HTTP, HTTPS, SMTP, SMTP Submsson, SMTPS, POP3, IMAP, POP3S e IMAPS,
estar boqueado para a red de rea oca (LAN).
601
Instalar * con/i2urar la .erramienta de reportes Sar2'
Por favor, sga os procedmentos descrtos en e documento ttuado Cmo nstaar y confgurar a
herramenta de reportes Sarg.
602
0' E4ercicio3 con/i2uracin del sistema para
LinuxM &pac.eM AGA * ?*SDL
Este e|ercco e mostrar como confgurar e sstema para hacer uso de Lnux, &pache, AHP y
?ySOL, o que se conoce como L.A.M.P., y mostrar tambn agunas funcones bscas de PHP.
Este e|ercco se reaza como cortes,a a fn de preparar os sstemas para poder ser utzados
por quenes tomarn e curso de PHP y MySOL.
1. S acaso exstera, por favor emne a confguracn en Apache hecha durante as prctcas
anterores:
rm =& /etc/httpd/con&8d/virtuales8con&
rm =& /etc/httpd/con&8d/misvariables8con&
2. A fn de mpar e sstema de as confguracones dervadas de este curso, emne os servcos
que no sern necesaros e|ecutando o sguente:
$um =$ remove bind caching=nameserver n&s=utils samba
$um =$ remove vs&tpd s0uirrelmail s0uid /ires'rer ip'bles
3. Instae o verfque que est nstaado todo o necesaro e|ecutando o sguente:
$um =$ install httpd php php=m$s0l blue&ish m$s0l m$s0l=server
4. Aada os servcos de Apache y MySOL a nco de sstema:
chkcon&ig httpd on
chkcon&ig m$s0ld on
5. Proceda a crear e drectoro de traba|o /var/NNN/cursolamp y e rbo de traba|o
correspondente, sobre e cua podr reazar pruebas de confguracn de servcos sn
necesdad de tocar fcheros de confguracn centra e|ecutando o sguente:
mkdir =p /var/www/cursolamp/
mkdir =p /var/www/cursolamp/public%html/
mkdir =p /var/www/cursolamp/cgi=bin/
mkdir =p /var/www/cursolamp/etc/
mkdir =p /var/www/lo*$)ursol'mp/
ln =s /var/www/lo*$)ursol'mp /var/www/cursolamp/log
6. Proceda a crear un usuaro especfco para traba|ar con e drectoro de traba|o
/var/www/cursoamp/. Dcho usuaro deber daro de ata con acceso a ntrprete de mandatos
(She) a fn de poder permtr acceso por SSH, asgnando como clave de acceso a paabra
-Nert*. E|ecute o sguente:
useradd =s /bin/bash =m =d /v'r/www/)ursol'mp cursolamp
passwd )ursol'mp
7. Asgne os permsos necesaros a drectoro de traba|o y drectoros subordnados en e nteror,
e|ecutando o sguente:
603
chown )ursol'mp.'p')&e /var/www/cursolamp
chmod 1)** /var/www/cursolamp
chown cursolamp8apache /var/www/cursolamp/public%html/
chown cursolamp8apache /var/www/cursolamp/cgi=bin/
chown cursolamp8apache /var/www/cursolamp/etc/
chown root8root /var/www/lo*$)ursol'mp/
ln =s /var/www/cursolamp/public%html
/var/www/cursolamp/<esktop/public%html
8. Confgure apache para que utce e domno NNN.dominio1red1local asocado a de a
dreccn IP 192.168.0.n en e fchero de confguracn /etc/.ttpd/con/'d/cursolamp'con/
utzando e sguente contendo:
Oame@irtual7ost M2'+
_@irtual7ost M2'+Q
ServerOame www8(ominio$re($lo)'l
Server>lias www
<ocumentRoot /var/www/cursolamp/public%html/
Server>dmin cursolampRm'il.(ominio$re($lo)'l
BrrorAog /var/www/lo*$)ursol'mp/error%log
6ustomAog /var/www/lo*$)ursol'mp/access%log combined
G 5ermitir ver contenido de directorio $ activar uso de &icheros 8htaccess
_<irector$ /var/www/cursolamp/public%html/Q
Iptions 4ndexes 4ncludes DollowS$mAinks
>llowIverride >ll
Irder allow.den$
>llow &rom all
_/<irector$Q
G 6on&igurar directorio cgi=bin independiente al del sistema8
Script>lias /cgi=bin/ V/var/www/cursolamp/cgi=bin/V
_<irector$ V/var/www/cursolamp/cgi=binVQ
Iptions 4ncludes
>llowIverride Oone
Irder allow.den$
>llow &rom all
_/<irector$Q
_/@irtual7ostQ
9. Rence o nce e servco de Apache e|ecutando o sguente:
10.Cerre a sesn de root e in2rese como e usuaro cursolamp.
11.Como e usuaro cursolamp, cambe a drectoro -/htm/
cd S/html/
12.Utzando cuaquer edtor de texto (v o buefsh, por e|empo), genere e fchero
-/htm/cabecera.php utzando e sguente contendo:
_html langHVesVQ
_headQ
604
-/htm/cuerpo.php utzando e sguente contendo:
_/headQ
_bod$ st$leHVbackground=color2 redX color2 GDDDD++X &ont=weight2 bolderX VQ
-/htm/pe.php utzando e sguente contendo:
_/bod$Q
_/htmlQ
-/htm/e|empo-ncudes.php utzando e sguente contendo:
_iphp &unction titulo() Y echo V5jaacuteXgina de prueba 575VX Z iQ
_iphp include Vcabecera8phpVX iQ
_titleQ_iphp titulo() iQ_/titleQ
_iphp include Vcuerpo8phpVX iQ
_h1Q_iphp titulo() iQ_/h1Q
_pQ<ocumento de e1emplo de &unciones bjaacuteXsicas de 5758_/pQ
_pQ7o$ es _iphp echo date(Vl dS o& D K h2i2s >V)XiQ_/pQ
_iphp include Vpie8phpVX iQ
16.Utce cuaquer navegador, ya sea en modo texto o ben en modo grfco y vsuace e
documento ocazado en e ur http://NNN'dominio1redlocal/e|empo-ncudes.php.
elinks http2//www.(ominio$re(lo)'l/e1emplo=includes8php
605
!' E4ercicio3 Con/i2uracin del sistema como
estacin de traba4o
1. Edte e fchero /etc/nttab y ocace a sguente nea:
id232initde&ault2
2. Lo anteror estabece que e sstema nca en nve de e|ecucn 3; es decr, en modo
mutusuaro competo, sn modo grfco actvo. A fn de que e sstema nce en modo grfco,
cambe a nea anteror por esta otra:
id252initde&ault2
3. Locace ms adeante en este msmo fchero o sguente:
G Run gett$s in standard runlevels
12(,-52respawn2/sbin/mingett$ tt$1
(2(,-52respawn2/sbin/mingett$ tt$(
,2(,-52respawn2/sbin/mingett$ tt$,
-2(,-52respawn2/sbin/mingett$ tt$-
*2(,-52respawn2/sbin/mingett$ tt$*
4. Lo anteror especfca que as ses termnaes de texto estarn habtadas en os nvees de
e|ecucn 2, 3, 4 y 5. Se deshabtarn as ses termnaes soamente en e nve de e|ecucn 5.
Edte o anteror de modo que quede de sguente modo:
G Run gett$s in standard runlevels
(2(,-2respawn2/sbin/mingett$ tt$(
,2(,-2respawn2/sbin/mingett$ tt$,
-2(,-2respawn2/sbin/mingett$ tt$-
*2(,-2respawn2/sbin/mingett$ tt$*
5. Edte e fchero /etc/rc.oca y aada a nstruccn /usr/bn/cear, de modo que a pantaa sea
mpada una vez que haya concudo e arranque.
Gd/bin/sh
G
G ?his script will be executed Ma&terM all the other init scripts8
G Kou can put $our own initiali"ation stu&& in here i& $ou donWt
G want to do the &ull S$s @ st$le init stu&&8
touch /var/lock/subs$s/local
/usr/bin/clear
6. Modfque /etc/grub.conf y ocace a nea de nceo:
title 6entIS ((8681'=1('8(818el*)
root (hd+.+)
kernel /vmlinu"=(8681'=1('8(818el* ro rootHA>:BAH/
initrd /initrd=(8681'=1('8(818el*8img
7. Aada os parmetros r.2b y -uiet a a nea que especfca e nceo a e|ecutar, teniendo
606
cuidado de de4ar un espacio despu)s de rootOL&#ELO/ *a -ue de otro modo no podr@
iniciar el sistema:
title 6entIS ((8681'=1('8(818el*)
root (hd+.+)
kernel /vmlinu"=(8681'=1('8(818el* ro rootHA>:BAH/ r&*b ;uie
initrd /initrd=(8681'=1('8(818el*8img
8. Instae e paquete denomnado r.2b, e cua es un programa que har que e sstema tenga un
arranque grfco ms amstoso para e usuaro no-tcnco:
$um =$ install rhgb
9. Ince una sesn grfca con e mandato xnt. Esto ncar una sesn grfca smpe con una
nca termna xrvt. No olvide posicionar el puntero del ratn sobre la terminal a /in de
darle /oco.
10.E|ecute e mandato 2dmsetup y estabezca que e sstema nce automtcamente con e
usuaro cursoamp.
11.Elimine todas las inter/aces virtuales; es decr, todos os fcheros i/c/21et.03` ocazados
dentro de drectoro /etc/s*scon/i2/netNorL1scripts/
rm -f /etc/sysconfg/network-scrpts/fcfg-eth0:*
12.Edte e fchero /etc/.osts y emne todas a resoucones ocaes asocadas a as dferentes
dreccones IP que fueron confguradas a o argo de curso. E fchero /etc/.osts debe quedar
ncamente con e sguente contendo:
607
G <o not remove the &ollowing line. or various programs
G that re0uire network &unctionalit$ will &ail8
13.Edte tambn e fchero /etc/s*scon/i2/netNorL y estabezca de nuevo
local.ost'localdomain como G6SBN&?E de sstema. Emne tambn a nea que
deshabta a confguracn de Zeroconf. De modo ta, e fchero /etc/s*scon/i2/netNorL debe
quedar ncamente con e sguente contendo:
OB?CIR94O3H$es
7IS?O>!BHlocalhost8localdomain
14.Confgure de nuevo a nterfaz eth0; esta vez como DGCA y utzando e mandato netcon/i2.
Desde cuaquer termna, como e usuaro root, e|ecute e mandato netcon/i2.
15.0einicie el sistema y compruebe que ste o hace con rhgb y que adems nca
automtcamente con a sesn de usuaro cursoamp.
608
Notas
609
Notas
610
Notas
611
Notas
612

Implementacion Servidores Linux SEPTIEMBRE 20090910

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Implementacion Servidores Linux SEPTIEMBRE 20090910

Uploaded by

Copyright:

Available Formats

Implementacin De Servidores Con Implementacin De Servidores Con

You might also like