#Tipo de sistema de ficheros en Linux: tipo ext3 (en Microsoft es tipo NTFS) #rbol de directorios en Linux: #(Explicacin del

contenido de cada directorio en el libro de texto, pginas 46 a 51) #(Libro de texto: Membrey, P. & Verhoeven, T. & Angenendt, R. (2010). The Definitive Guide to CentOS. New #York: Apress.) / /root /etc /proc /var /boot /bin /sbin /dev /home /lib /lost+found /media /mnt /usr /opt /srv /sys /tmp *******COMANDOS BSICOS.*************************************** uname informacin del sistema Ejemplos uname -a hostname indicar el nombre del equipo clear limpiar la pantalla man manual de comandos Ejemplos: man su startx arrancar interfaz grfica de Linux (GNOME o KDE) exit salir del terminal cd cambiar directorio Ejemplos: cd # ir al directorio del usuario cd ~ # dem cd - # regresar al ltimo directorio cd . #cambiarse al directorio actual cd .. #cambiarse al directorio padre del directorio actual pwd imprimir informacin del directorio actual de trabajo (print working directory) mkdir make directory: crear directorios Ejemplos: mkdir -p /etc/Wireless/RT61STA # crea el directorio RT61STA y sus padres, si no existan rmdir remove directory: eliminar directorios vacos ls list directory contents (En UNIX, los archivos no dependen de su extensin, sino de sus permisos) Ejemplos: ls -ahl ls -R ls / -R ls -hd ls -ld lspci lista los dispositivos pci conectados update-pciids descargar e instalar la actual versin del archivo pci.ids disponible en el sitio primario de la distribucin de Linux lsusb lista los dispositivos usb conectados redireccionamiento | (=usar la salida de un comando como entrada de otro comando), ``(=escribir un comando como parmetro de otro comando), > (grabar en), <, >> (= apendizar a), <<, ^ (indica buscar como inicio de lnea) cat concatenar archivos e imprimirlos en la pantalla Ejemplos: cat /var/mail/root cat /proc/version cat /etc/`ls /etc|grep sudoers` tac dem pero presenta los archivos al revs, desde la ltima lnea hasta la primera more filtro para examinar archivos por partes (spacebar: avanza 1 pgina, enter: avanza 1 lnea, b: regresa una pgina, /: buscar patrn de texto, h: ayuda) less filtro para examinar archivos por partes, mejor que more sort ordena la salida de lneas de archivos Ejemplos: ls|sort|more grep filtra por patrones entradas en archivos Ejemplos: ls -ahl / | grep lib ls -ahlR /usr | grep "^/usr/lib" |sort|less cat /etc/`ls /etc|grep sudoers` awk gestor de expresiones regulares wc contar caracteres, palabras o lneas Ejemplos: wc -l wc -w wc -c ls -ahl / | grep lib|wc -c file determina el tipo de un archivo head leer lneas iniciales de un archivo tail leer lneas finales de un archivo lpr imprimir archivo lpq ver y administrar la cola de impresin vi visual display editor Ejemplos: ls|sort|vi vim visual display editor improved gedit text editor for the GNOME desktop emacs editor de texto touch cambiar fecha y hora de archivos, o crear archivos vacos Ejemplos: touch nombre_archivo -t 10031244 touch nombre_archivo cp copiar o crear archivos desde un origen a un destino Ejemplos: cp origen destino mv rm mover archivos o renombrar archivos eliminar archivos y directorios con o sin contenido Ejemplos: rm -i rm -f rm -r rm -rf #el comando ms peligroso de UNIX: BORRAR TODO EL DISCO SIN PREGUNTAR!!!

shred find locate ln df du shutdown

init

rm -v sobrescribir un archivo y/o borrarlo buscar archivos buscar archivos en el ndice del sistema operativo, no en el disco crear enlaces simblicos (parecidos a los shortcuts de windows) disk free: indica el espacio libre en el disco duro disk usage: estima uso de disco por archivo Ejemplos: du -ks . apagar o reiniciar el sistema Ejemplos: shutdown [-t sec] [-arkhncfFHP] time [warning-message] shutdown -r now shutdown -h now /sbin/shutdown -k now Por favor salir del sistema es el padre de todos los procesos en Linux (= process control initialization) Ejemplos de Nivel de ejecucin (= runlevel) del proceso init: init 0 # HALT: detener y apagar init 1 # SINGLE MODE: reiniciar en modo mono-usuario (til para recuperar la clave de root) init 2 # MULTIUSER MODE NO NFS: modo multiusuario sin NFS init 3 # MULTIUSER MODE NO GUI: modo multiusuario sin interfaz grfica init 4 # NOT USED: no usado init 5 # MULTIUSER MODE WITH GUI: modo multiusuario con interfaz grfica init 6 # REBOOT: reiniciar indica el runlevel con el que arranc el proceso init: 0,1,2,3,4,5,6 Ejemplos: who -r /sbin/runlevel

runlevel

poweroff halt reboot **************GESTIN DE PROCESOS.********************************* service gestionar el estado de un servicio-demonio (Demonio: Programa que se ejecuta en modalidad desatendida y efecta funciones continuadas o peridicas en todo el sistema.) Ejemplos: service nombre_servicio status service nombre_servicio start service nombre_servicio stop service syslog restart service network restart #ver el estado de todos los servicios-demonios service --status-all ps controlar procesos activos Ejemplos: ps -fe ps -fe | grep esuarez pgrep pstree top ntop nice renice free kill matar procesos Ejemplos: kill -l #lista las seales posibles para enviar a procesos kill -9 pid # forzar la muerte del proceso kill -15 pid # terminar proceso ordenadamente kill -1 pid # reiniciar proceso: til con demonios kill -2 pid pkill killall /usr/bin/time ps cronometrar procesos ********PERMISOS DE FICHEROS.********************************* SON 4 DGITOS EN OCTAL:The first digit selects the set user ID (4) and set group ID (2) and sticky (1) attributes. The second digit selects permissions for the user who owns the file: read (4), write (2), and execute (1); the third selects permissions for other users in the files group, with the same values; and the fourth for other users not in the files group, with the same values. The operator + causes the permissions selected to be added to existing permissions of each file; - causes them to be removed; and = causes them to be the only permissions that the file has. the

The letters rwxXstugo select the new permissions for the affected users: read (r), write (w), execute (or access for directories) (x), execute only if the file is a directory or already has execute permission for some user (X), set user or group ID on execution (s), sticky (t), the permissions granted to the user who owns the file (u), the permissions granted to other users who are members of the files group (g), and the permissions granted to users that are in neither of the two preceding categories (o). u user (owner) --rwx rwx 000 001 010 011 100 101 110 111 g group --rwx octal 0 1 2 3 4 5 6 7 o others --rwx a (por defecto) all --rwx

==> 775 = rwx|rwx|r-x sticky-bit: +t (impide el acceso a directorios) UID-bit: +s (establece la identidad del usuario para ejecucin) chmod cambiar permisos de archivos: [ugoa]*([-+=]([rwxXst]*|[ugo]))+ Ejemplos: chmod o+t # activa el "sticky bit" en los permisos de otros usuarios chmod o+rwx /root/datos1 chmod o-rwx -Rv /home/fred reducir permisos Ejemplos: umask 002 archivos directorios

umask

666 -002 ----664 rwrwr--002

777 ---775 rwx rwx r-x

chgrp cambiar el grupo de un archivo newgrp cambiar el grupo durante una sesin chown cambiar de propietario ***********GESTIN DE USUARIOS.********************************************** #Practicar con la interfaz grfica de gestin de usuarios para evitar usar los comandos de terminal: #useradd, passwd, userdel, groupdel, roupadd, usermod. su substitute user Ejemplo su root # substituir el usuario actualmente conectado por el usuario root sudo ejecutar un comando como otro usuario (los usuarios deben estar registrados en el archivo /etc/sudoers) w averiguar qu usuarios estn conectados al servidor y qu estn haciendo who averiguar qu usuarios estn conectados al servidor who am i averiguar cul de esos usuarios conectados soy yo whoami averiguar con qu usuario estoy conectado al sistema last ltimos usuarios que han ingresado finger despliega informacin de los usuarios conectados Ejemplos finger -l finger -s finger root ********INSTALACIN DE SOFTWARE.************************************************ (Nota: ANTES DEBE HABER COMUNICACIN DNS PARA PORDER USAR rpm y yum) rpm instala paquetes de SW Ejemplos: rpm -aq rpm -i archivo.rpm # instala el paquete archivo.rpm rpm --test archivo.rpm # prueba la instalacin del paquete archivo.rpm rpm -e archivo.rpm # desinstala el paquete archivo.rpm # 2 banderas muy comunes: # -v imprime mensajes que describen el progreso del comando # -h imprime 50 marcas hash mientras progresa una instalacin o upgrade rpm -qf archivo # consulta en qu paquete vino archivo rpm -ql archivo.rpm # lista los archivos que contiene el paquete rpm -Uhv archivo.rpm #hace Upgrade de un paquete rpm -ihv archivo.rpm #instala un paquete #instalacin del navegador chrome rpm -ivh google-chrome-stable_current_i386.rpm --nodeps #EL SIGUIENTE COMANDO INSTALA LA INFORMACIN NECESARIA PARA USAR EL DEPSITO (=REPOSITORY) #MS USADO PARA DESCARGAR SOFTWARE E INSTALARLO EN RED HAT, FEDORA Y CENTOS: rpm -Uhv http://apt.sw.be/redhat/el5/en/i386/rpmforge/RPMS/rpmforge-release-0.3.6-1.el5.rf.i386.rpm gzip gunzip tar mkisofs yum comprimir descomprimir copiar a cinta o copiar de cinta crear una imagen ISO instala paquetes al tiempo que compila ejecutables y resuelve dependencias Ejemplos: yum install yum update yum list yum info yum check-update yum remove yum upgrade Yum clean all YUM versin grfica (hay que instalarlo antes de usarlo: yum install yumex)

yumex

********COMUNICACIONES: CAPAS 2, 3 Y 4********************************** #Compilacin e Instalacin de drivers de NICs: ver archivo README incluido en archivo .tar del driver #OJO: para compilar el driver, es necesario que el S.O. tenga instalados los compiladores y bibliotecas #para desarrollo. #configuracin de drivers de NICs con comandos y parmetros especficos #ejemplo para un driver Realtech rt61 ifconfig ra0 down ifconfig ra0 up iwpriv ra0 set ResetCounter=0 iwlist ra0 scanning #permite ver informacin de todas las redes fsicas activas y cercanas iwpriv ra0 set WirelessMode=0 iwpriv ra0 set PSMode=CAM iwpriv ra0 set IEEE80211H=0 iwpriv ra0 set NetworkType=Infra iwpriv ra0 set AuthMode=WEPAUTO iwpriv ra0 set EncrypType=WEP iwpriv ra0 set DefaultKeyID=1 iwpriv ra0 set Key1=1a3b5c7d9e iwpriv ra0 set BGProtection=2 iwpriv ra0 set Channel=5 iwpriv ra0 set TxRate=0 iwpriv ra0 set TxBurst=0 iwpriv ra0 set TurboRate=0 iwpriv ra0 set SSID="" #se conectar a la primera red que acepte los parmetros antes configurados #iwpriv ra0 set SSID="Sala4_3Com5" #podra no funcionar si hay colisin justo en ese momento iwconfig ra0 #permite monitorizar el estado de la interface ra0 iwpriv ra0 get_site_survey #permite ver informacin de todas las redes fsicas activas y cercanas #con otros detalles diferentes a la salida de "iwlist ra0 scanning" ifconfig comando genrico para configurar drivers de NICs, su direccin IP, mscara IP, monitorizar y cambiar su estado (UP, DOWN) (MENOS PRECISO QUE iwpriv!!!, pero prctico para configurar pocos parmetros rpido) Ejemplos ifconfig eth0 down ifconfig eth0 up #configurar direccin IP ifconfig eth0 192.168.1.5 #configurar mscara IP ifconfig eth0 netmask 255.255.255.248 #Lo anterior pero junto: ifconfig eth0 192.168.1.5 netmask 255.255.255.248 #ver el archivo en el que se ha grabado la configuracin IP cat /etc/sysconfig/network-scripts/ifcfg-eth0 #ver otros archivos-copia de /etc/sysconfig/network-scripts/ifcfg-eth0 cat /etc/sysconfig/networking/devices/ifcfg-eth0 cat /etc/sysconfig/networking/profiles/ifcfg-eth0

#Configuracin inicial de Pasarela por defecto (DEFAULT GATEWAY), ruta IP a red IP inmediata #y ruta a servidor DNS: #Aadir ruta a la red IP inmediata a travs de la interfaz ra0: ip route add 10.3.0.0/16 dev ra0 #Otra manera de hacer lo mismo: route add -net 10.3.0.0/16 dev ra0 #Aadir el default gateway: ip route add default via 10.3.0.1 #Otra forma de aadir el default gateway: route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.3.0.1 #Aadir ruta IP hacia la red IP donde est el servidor DNS: route add -net 10.20.0.0/16 gw 10.3.0.1 #Configuracin permanente de Pasarela por Defecto (DEFAULT GATEWAY) #Editar el archivo /etc/sysconfig/network vi /etc/sysconfig/network #Apendizar la siguiente lnea y grabar el archivo: GATEWAY=10.3.0.1 ping enviar paquetes de echo para diagnosticar la existencia de una conexin (=direccin ip + ruta ip) NOTA: EL FIREWALL EN EL ORIGEN Y EL FIREWALL EN EL DESTINO DEBEN PERMITIR EL COMANDO ping Ejemplos ping www.ubuntu.com ping 137.65.1.1 #enviar exactamente 4 paquetes de echo: ping -c 4 137.65.1.1 #registrar los saltos IP de ida y regreso seguida por los paquetes de echo ping -R -c 4 137.65.1.1 #NOTA: No siempre es posible registrar esta informacin pues algunos hosts y gateways #descartan o ignoran esta bandera. Adems, slo permite almacenar hasta 9 saltos IP. #La alternativa es usar el comando "tracert". #hacer que el ping sea audible: ping -a -c 4 137.65.1.1 #no intentar buscar informacin simblica sobre la direccin ip destino: ping -n 137.65.1.1 #todo lo anterior junto: ping -n -a -R -c 4 137.65.1.1 #inundar de paquetes de echo a un destinatario: ping -f 137.65.1.1 #cambiar el tamao de la carga til dentro del paquete de echo: #(ENVIAR PAQUETES "JUMBO" ES MUY TIL PARA DETECTAR PLACAS DE RED DEFECTUOSAS) ping -s 6000 137.65.1.1 #Aumentar el tiempo de espera de una respuesta al echo #para el caso en que no haya respuesta pronta pero s conectividad: #(MUY TIL EN REDES CONGESTIONADAS O EN REDES CON LATENCIAS ALTAS) ping -A -W 800 137.65.1.1 #hacer ping a una direccin de broadcast: ping -b 10.3.255.255 #inundar toda la red de paquetes de echo: # CUIDADO !!! ping -f -b 10.3.255.255 #enviar un ping infinito audible a una direccin: #(MUY TIL EN DIAGNSTICOS DE CONECTIVIDAD. PARECIDO A UN MONITOR ELECTROCARDIOGRFICO) ping -a 10.3.0.1 tracert rastrear la ruta IP que sigue un paquete en su viaje al destino NOTA: EL FIREWALL EN EL ORIGEN Y EL FIREWALL EN EL DESTINO DEBEN PERMITIR EL COMANDO tracert Ejemplos tracert 137.65.1.1 tracert www.ubuntu.com #muestra las rutas para llegar a microsoft.com, si el firewall de Microsoft lo permite tracert www.microsoft.com tracert -n # slo indica direcciones, no el nombre DNS arp Address Resolution protocol: permite relacionar la direccin MAC con la direccin IP, y viceversa -permite conocer la direccin MAC de una direccin IP -permite ver la tabla de direcciones MAC e IP Ejemplos: #ver toda la tabla ARP en formato Linux sin intentar consultar nombres de hosts arp -n -e #ver toda la tabla ARP en formato Linux a la vez que intenta consultar nombres de hosts #(SE DEMORA...) arp -e #ver toda la tabla ARP en formato reducido sin intentar consultar nombres de hosts arp -n -a #ver toda la tabla ARP en formato reducido a la vez que intenta consultar nombres de hosts #(SE DEMORA...) arp -n -a #ver la direccin MAC de la dir. IP 10.3.0.1 arp -n 10.3.0.1 permite detectar direcciones IP duplicadas. Ejemplo arping -D -c 100 -I ra0 10.3.6.93 #terminar la bsqueda al primer xito arping -D -c 100 -f -I ra0 10.3.6.93

arping

#ms comandos y ejemplos sobre configuracin IP: route gestionar rutas IP (aadir rutas, eliminarlas, cambiarlas) Ejemplos # muestra la tabla de rutas ip activas sin intentar consultar nombres de hosts route -n # muestra la tabla de rutas ip activas a la vez que intenta consultar nombres de hosts #(SE DEMORA...) route #eliminar el default gateway actual route del default gw #cambiar el default gateway (LA RED DEBE SER ALCANZABLE) route add default gw 192.168.1.1 #aumentar una ruta determinada a travs de una pasarela especfica, #con mscara resumida (= NMERO DE BITS EN 1): route add -net 192.168.1.0/24 gw 192.168.1.1. #aumentar una ruta determinada a travs de una pasarela especfica con mscara explcita: route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1 #NOTA: EL COMANDO "ip route" NO PERMITE INDICAR EXPLCITAMENTE LA MSCARA, #EL COMANDO "ip route" SLO PERMITE INDICAR LA MSCARA DE MANERA RESUMIDA. #aumentar una ruta determinada a travs de una pasarela especfica y una NIC especfica route add -net 10.10.10.0 netmask 255.255.255.0 gw 192.168.1.1 dev eth0 #aadir una ruta IP persistente (=permanente): editar los archivos de rutas IP permanentes vi /etc/sysconfig/network-scripts/route-eth0 vi /etc/sysconfig/network-scripts/route-ra0

ip

muestra informacin IP, adems aadir, cambiar, eliminar rutas IP Ejemplos: (OJO: para que se aada la ruta IP, la red IP deseada debe ser ALCANZABLE) # muestra todas las direcciones ip configuradas ip a #muestra las rutas ip ip route # dem ip route show # dem ip route list #mostrar todas las tablas de rutas ip route show table all | less #elimina la ruta por defecto a travs del default gateway ip route del default #aade la ruta por defecto a travs del default gateway ip route add default via 192.168.1.1 #aumentar una ruta determinada a travs de una pasarela especfica y una NIC especfica ip route add 10.10.10.0/24 via 192.168.1.1 dev eth0 #tambin funcionara el siguiente comando: ip route add 10.10.10.0/24 dev eth0 #vaciar las tablas de rutas en cache ip route flush all ip route flush main ip route flush local ip route flush default ip route flush cache

activar IP-forwarding entre 2 NICs instaladas en un mismo nudo de red sysctl -w net.ipv4.ip_forward=1 #NOTA: otras variables del kernel que se pueden modificar en tiempo de ejecucin #aparecen en el archivo /etc/sysctl.conf. archivo para resolver nombres y direcciones IP sin servidor DNS: vi /etc/hosts hostname nombre del ordenador que va a usar el servidor DNS service averiguar y controlar el estado de servicios activos Ejemplos service network restart netstat Ejemplos netstat netstat netstat netstat verificar estado de conexiones TCP

#muestra todas las conexiones TCp activas -platune #dem -tulp # dem, pero informacin ms compacta -platune |grep 80 netstat -r #muestra las rutas ip netstat -platune rangos de puertos TCP 0 a 1023 reservados para el S.O. (RFC 1700: well known services) BSP: 23 telnet el resto se escoge aleatoriamente o arbitrariamente de: cat /proc/sys/net/ipv4/ip_local_port_range ver puertos TCP y UDP de servicios de red instalados cat /etc/services nmap permite ver servicios activos en otros equipos (instalar con yumex el nmap y el GUI de nmap) (slo funciona si est habilitado el ping en el firewall del equipo destino) Ejemplos nmap 127.0.0.1 nmap 137.65.1.1 nmap -sT -sU -O -P0 127.0.0.1 #explora TCP, UDP, el sistema operativo y evita el uso de ping #Usar el GUI de nmap, es muy intuitivo *********************CAPAS 5, 6 Y 7**************************** ********SESIN*************** telnet Sesin insegura de terminal remota. Usa el puerto TCP 23. Instalacin: 1)instalar demonio xinetd con yumex (se instalar tambin el servidor de telnet) 2)activar servicio de telnet en Sistema->Administracin->Configuracin de Servidores->Servicios->Servicios bajo Demanda 3)Permitir en el firewall el puerto de Telnet Demonio asociado: /etc/init.d/xinetd.d Archivos de configuracion: /etc/xinetd.d/telnet /etc/xinetd.conf /etc/securetty (Para iniciar automticamente el servidor telnet, poner en "no" la variable "disable" del archivo /etc/xinetd.d/telnet ) (para reiniciar el demonio xinetd: /etc/xinetd reload) (Para permitir al usuario root hacer telnet, debe editar el archivo /etc/securetty y apendizar: pts/0 pts/1 pts/2 pts/3 Esto permite hasta 4 sesiones de telnet para el usuario root.) Nota1: pts significa "pseudo-terminal slave". Nota2: tty significa teletypewriter. ssh Secure Shell remote login program (programa de registro remoto y seguro en el shell del S.O.) Usa el puerto TCP 22. CONTIENE: Un demonio: sshd (Demonio: Programa que se ejecuta en modalidad desatendida y efecta funciones continuadas o peridicas en todo el sistema.) Tres programas: ssh = sesin remota criptogrficamente segura entre host y cliente scp = copia de archivos criptogrficamente segura entre host y cliente sftp = transferencia de archivos criptogrficamente segura entre host y cliente FUNCIONAMIENTO: Son verificados el nombre y la clave pblica del host a conectar, mediante la huella digital de la clave pblica del host, que es una suma de verificacin de la clave pblica. Si la verificacin es exitosa, se establece un canal seguro entre cliente y host, mediante una clave de sesin basada en las claves pblicas de cliente y host. Esta clave de sesin es una clave para cifrado de datos entre host y cliente, y es igual en ambos extremos. Las claves de sesin pueden usar los protocolos de cifrado 3DES, Blowfish o IDEA. Despus de establecer el canal seguro, el usuario en el cliente es preguntado por sus credenciales: username y password. PARES DE CLAVES PBLICA/PRIVADA RSA o DSA: criptografa ASIMTRICA, criptografiar, autenticar y no repudiar (= confirmar que un mensaje no ha cambiado desde su creacin). (RSA= Rivest-Shamir-Adleman)

(DSA= Digital Signature Algorithm, ES MS FUERTE QUE RSA porque no trabaja con nmeros primos sino con logaritmos, el algoritmo es ms complejo!) El host debe conocer la clave pblica del cliente, el cliente produce una cadena (= string) cifrada a partir de su clave privada, si el host puede descifrar esa cadena cifrada a partir de la clave pblica del cliente, la identidad del cliente es autenticada. El cliente escoge el algoritmo de cifrado que usar, RSA o DSA. La clave privada del cliente debe ser protegida con una frase de paso (= passphrase). CONFIGURACIN: cualquier nudo puede ser cliente y host ssh a la vez Archivo de configuracin de host: /etc/ssh/sshd_config (MS FCIL) Archivo de configuracin de cliente: /etc/ssh/ssh_config (MS COMPLICADO) Un usuario puede ignorar este archivo y usar: /home/Mi_directorio/.ssh/ssh_config (PARA MS DETALLES SOBRE CONFIGURACIN Y FUNCIONAMIENTO DE SSH, VER: "Beginning the Linux Command line", Sander van Vugt, pp. 266-271) Ejemplos ssh -l root servidor.com #conexin segura al servidor servidor.com con el usuario root ssh root@servidor.com #dem ssh root@servidor.com ls /etc #conexin segura para listar el contenido del dir. /etc (para cerrar la sesin, escribir exit o pulsar CTRL+D) ls -ahl ./.ssh ls -ahl /etc/ssh ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key # conocer la clave pblica RSA para ssh de un host #para registrar la propia clave pblica en un servidor y que no nos pida password: #en el cliente incorporar los siguientes comandos: (EJEMPLO PARA EL USUARIO root): ssh-keygen -t dsa -b 1024 # crear un par de claves DSA pblica/privada de 1024 bits scp /root/.ssh/id_dsa.pub root@host:/root/miclave.dsa.pub #en el host incorporar los siguientes comandos: mkdir -p /root/.ssh #slo si no existe este directorio cd /root ls -ahld .ssh #comprobar permisos, propietario y grupo de .ssh chmod 700 .ssh #asegurarse de que solamente el usuario, en este caso root, tenga permisos chown root .ssh chgrp root .ssh cat miclave.dsa.pub >> /root/.ssh/authorized_keys #Finalmente, desde el cliente, acceder a una sesin ssh, slo nos pedir el "passphrase". #Para evitar incorporar la passphrase cada vez que establezcamos una sesin, se la puede incorporar una vez en la memoria RAM local antes de iniciar sesiones ssh: ssh-agent /bin/bash ssh-add #Repetir el procedimiento con cada host con el que deseemos sesiones seguras. ssh-keygen scp generar nuevas claves pblica/privada para ssh (como descrito anteriormente) copia segura de archivos Usa el puerto TCP 22. Ejemplos: scp root@servidor.com:/etc/resolv.conf ./copia_de_seguridad/etc/resolv.conf scp -r root@servidor.com:/etc ./copia_de_seguridad/etc #copia /ect y subdirectorios Transferencia segura de archivos (ver "Beginning the Linux Command line", Sander van Vugt, p. 265) Usa el puerto TCP 22. (No confundir con Simple File Transfer Protocol, en el puerto TCP 115 y que ya no se usa.) Transferencia insegura de archivos Usa el puerto TCP 21. Demonio asociado: /etc/init.d/xinetd.d (Para iniciar automticamente el servidor ftp, poner en "no" la variable "disable" del archivo /etc/xinetd.d/wu-ftpd ) Hacer control remoto completo de servidores y PCs. USA EL PROTOCOLO RFB. Usa el puerto TCP 5900, y en formato WEB el puerto TCP 5800. Pasos para el funcionamiento de VNC en Centos: -instalar servidor de VNC (vncserver) con yumex -activar el servicio-demonio de VNC en Sistema->Administracin->Configuracin de Servidores->Servicios -instalar cliente visor (viewer) de VNC con yumex -permitir en el firewall el puerto 5900: hacerlo en Sistema->Administracin->Nivel de seguridad y cortafuegos->Otros puertos->Aadir -habilitar el acceso a escritorio remoto en el servidor donde est instalado el vncserver: ir a Sistema->Preferencias->Escritorio Remoto (Tiene versin para usarla desde el i-phone.) Ejemplos vncviewer 10.2.4.1:0 #el :0 indica el nmero de display

sftp ftp

vncviewer

*************************** DNS ****************************** 1. Razones para usar DNS: Quin usa qu nombre de host? Qu nombres de host son apropiados? Cmo registramos todos los nombres de host de todas las redes? Manualmente? Cmo distribuimos una copia de los nombres a quien lo solicite? Cmo mantenemos actualizada la lista de nombres si hay cambios? Manualmente? SOLUCIONES: Microsoft Wins, SUN NIS, DNS 2. Conceptos importantes en DNS: -DNS Tree (= rbol DNS) Ejemplo: pg. 158 del libro de texto -ROOT (= raz del rbol DNS) -DOMAIN (=DOMINIO = conjunto de nudos asociados por vnculos comunes) -ZONE (= ZONA = entidad organizacional gestionada por un servidor DNS) Hay 2 tipos bsicos de zonas -de avance (FORWARD ZONE: bsqueda de direcciones IP a partir de nombres DNS) -inversas (REVERSE ZONE: bsqueda de nombres DNS a partir de direcciones IP) -TLD (= top-level domains Ejemplos: Generic Top-Level Domains (gTLD): .com, .edu, .net, .org, .mil, etctera Country Code Top-Level Domains (ccTLD): .us, .ca, .tv, .uk, etctera. -SLD (= SUB LEVEL DOMAIN Ejemplos: ubuntu.com NOTA: Cada subdominio puede tener mximo 127 niveles de sub-subdominios) -DELEGATION (= delegar el control de un nombre y sus subdominios a la autoridad correspondiente de una organizacin, siempre que esta garantice que su gestin no afecte a otros nombres y sus subdominios) -LOOKUP (= buscar una direccin IP por su nombre DNS. Paralelismo con arp.) -DNS resolver (= programa en cada nudo conectado a Internet, que busca en el rbol DNS un nombre DNS y su direccin IP, desde el nudo raz hacia bajo. El resultado sin error del lookup es la direccin IP buscada, que se pasa al programa que la solicit.) -DNS authoritative server (= servidor DNS responsable de un dominio y con autoridad para encaminar la bsqueda de un nombre DNS y su direccin IP. Los servidores DNS autorizados del nudo raz del rbol DNS se llaman DNS root servers.) -NAME SERVER (= servidor DNS que contiene nombres DNS y direcciones IP de una organizacin y sus subdominios. Es de este servidor que finalmente obtiene el RESOLVER la informacin que necesita para localizar un host: nombre DNS y direccin IP) -DNS server (= servidor que cumple alguna funcin DNS en el sistema de servidores para DNS.

En cada nudo del rbol DNS hay servidores DNS.) -DNS caching (= almacenamiento temporal de direcciones IP y nombres ms solicitados) -FQDN = Fully qualified domain name = nombre que indica el lugar exacto de un nudo en la jerarqua del rbol DNS Ejemplo: www.microsoft.com. #Note el punto y el espacio en blanco al final! -DNS usa el protocolo UDP en el puerto 53. Si la respuesta a la consulta DNS es mayor a 512 bytes, entonces usa protocolo TCP en el puerto 53. Para tareas como transferencias de datos DNS entre zonas, tambin usa TCP en el puerto 53. -El DNS resolver de algunos sistemas operativos, como HP-UX, slo usa TCP, aunque UDP sea suficiente. 3. CONFIGURACIONES PARA SER CLIENTE DE UN SERVIDOR DNS: Archivo hosts: AQU PUEDE INTRODUCIR MANUALMENTE NOMBRES DNS CON SUS DIRECCIONES IP cat /etc/hosts Archivo resolv.conf: AQU PONER LA DIRECCIN IP DEL SERVIDOR DNS QUE ESTE NUDO VA A CONSULTAR! cat /etc/resolv.conf Archivo nsswitch.conf: INDICA EN QU ORDEN EL NUDO CONSULTA PARA BUSCAR NOMBRES DNS cat /etc/nsswitch.conf nscd Name Service Caching Daemon (Si no est instalado por defecto, instalarlo con yum.) NOTA: ES TIL SI LA CONEXIN A INTERNET ES DE BAJA VELOCIDAD. NO ES TIL SI LA CONEXIN A INTERNET ES DE ALTA VELOCIDAD y ENTONCES CONVIENE DESHABILITARLO. Ejemplos yum install nscd #actualizar el nscd (similar a "ipconfig /flushdns" en Microsoft) nscd i hosts #lo mismo que el comando anterior pero con otra sintaxis: nscd --invalidate=hosts #iniciar el demonio de ns caching service nscd start #detener el demonio de ns caching service nscd stop #reiniciar el demonio de ns caching service nscd restart #configurar el inicio automtico de nscd cada vez que inicie el S.O. chkconfig nscd on #editar el archivo de configuracin de nscd cat /etc/nscd.conf

4. CONFIGURACIN DE SERVIDOR DNS: BIND -Berkeley Internet Name Domain: servidor de nombres, es el estndar en Unix. Usa el protocolo UDP en el puerto 53. Si la respuesta a la consulta DNS es superior a 512 bytes, usar protocolo TCP en el puerto 53. -Por SEGURIDAD TELEMTICA, usar siempre la ltima versin disponible de BIND. -Roles de servidores DNS: (un slo servidor DNS puede simultneamente desempear todos los roles) MASTER -PRIMARY NAME SERVER: servidor DNS que contiene la DOMAIN MASTER ZONE (= zona maestra del dominio = informacin verificada sobre el dominio). -Este servidor primario de nombres es responsable de un dominio y tiene autoridad para encaminar la bsqueda de un nombre DNS y su direccin IP. Sin embargo, no hay garanta de que sea siempre el primero en ser consultado por los usuarios. -Por lo anterior se llama tambin AUTHORITATIVE SERVER del dominio. -Mantiene registrada la informacin verificada del dominio en el archivo MASTER ZONE FILE -Si hay ms de 1 servidor DNS en un dominio, el primero en ser declarado debe ser el PRIMARY NAME SERVER. Slave -SECONDARY NAME SERVER: servidor DNS que contiene una copia del MASTER ZONE FILE, que se llama SLAVE ZONE FILE. -El proceso de copia del MASTER ZONE FILE al SLAVE ZONE FILE se llama ZONE TRANSFER. -Los cambios que se efectan en el PRIMARY NAME SERVER, tambin se registran en el SECONDARY NAME SERVER. -NO se debe efectuar cambios directamente en el SECONDARY NAME SERVER CACHING Almacenamiento temporal de informacin DNS. FORWARDING Remisin de consultas DNS si no hay informacin local. -Ejemplos: #instalacin o actualizacin completa de BIND yum install bind bind-chroot bind-libs bind-utils #bind-chroot asegura el directorio de instalacin de BIND contra ataques #y accesos no autorizados #instalar interfaz grfica de gestin para BIND yum install system-config-bind #instalacin de bind-sdb: yum install bind-sdb #sdb significa Simplified Database Backend, es decir, #capacidad para soportar bases alternas de datos sobre ZONAS #almacenadas en servidores LDAP (ldapdb), bases postgreSQL (pgsqldb), #bases sqlite (sqlitedb) o en el sistema de archivos (dirdb), adems de hacerlo por #defecto en memoria RAM en la base RBT (Red Black Tree) zone database. #Tambin incluye soporte para DLZ (Dynamic Loadable Zones). #instalacin de caching-nameserver yum install caching-nameserver #La necesidad de un caching-nameserver se hace evidente al pensar en #las miles de consultas en Internet por nombres como www.google.com or www.facebook.com. #As reducimos trfico en Internet por consultas de nombres frecuentemente consultados. #Navegar en Internet puede crear miles de consultas de nombres DNS por navegador. #Adems, distribuimos la carga por consultas de nombres entre varios caching-nameserver. #En su configuracin es importante el parmetro TIME TO LIVE (TTL), #que indica cunto tiempo mantendr el caching-server informacin sobre nombres #recientemente consultados. NOTA: ANTES DE MODIFICAR CUALQUIER ARCHIVO DE CONFIGURACIN, HACER UNA COPIA DE LA VERSIN ANTERIOR DE DICHO ARCHIVO!!!

named

Demonio del servidor de nombres DNS Ejemplos: #iniciar el demonio servidor de nombres service named start

#OJO: le presentar un error si no ha instalado antes el caching-nameserver. #determinar la versin de BIND named -v #pruebas del funcionamiento del demonio named con el comando host: #Buscar informacin DNS del nombre www.centosbook.com en el servidor #DNS llamado localhost: host www.centosbook.com localhost host www.ibm.com localhost host www.microsoft.com localhost #Si no indica el nombre del servidor DNS a consultar, el comando host #consultar el servidor DNS declarado en el archivo /etc/resolv.conf host www.microsoft.com #pruebas del funcionamiento del demonio named con el comando nslookup: #Buscar informacin DNS del nombre www.centosbook.com en el servidor #DNS llamado localhost: nslookup www.centosbook.com localhost nslookup www.ibm.com localhost nslookup www.microsoft.com localhost #Pruebas del funcionamiento del demonio named con el #comando dig (=domain information groper = contador de informacin de dominios): dig microsoft.com #Para ver otras opciones del comando dig: dig -h #El problema de este comando es que tiene demasiadas opciones.

USO DEL DNS CACHING-NAMESERVER: #Hacer que el servidor DNS escuche en todas sus direcciones IP, adems de la #direccin de loopback y tambin busque en otros servidores DNS: vi /etc/named.caching-nameserver.conf #dejar como comentarios las lneas: # listen-on-port 53 { 127.0.0.1 }; #despus guardar el archivo y finalmente reiniciar el servicio de BIND: service named restart #Comprobacin de funcionamiento: host www.google.com www.centosbook.com #indicar a BIND que acepte consultas desde cualquier lugar: vi /etc/named.caching-nameserver.conf #dejar como comentarios tambin las lneas: # allow-query { localhost; }; # match-clients { localhost;}; # match-destinations {localhost;}; #despus guardar el archivo y finalmente reiniciar el servicio de BIND: service named restart #Comprobacin de funcionamiento: host www.google.com www.centosbook.com CONFIGURACION DE BIND COMO HOST DE DOMINIOS: #Creacin de un archivo propio de configuracin vi /var/named/chroot/etc/named.conf #pegar como primeras configuraciones las que aparecen en el libro de texto en la pgina 170: options { directory "/etc"; pid-file "/var/run/named/named.pid"; recursion no; }; #Con estas primeras configuraciones, el servidor DNS an no est listo para funcionar. #NOTA: en la eleccin de nombres DNS para los nudos, escoger nombres descriptivos que faciliten #la inspeccin del archivo de configuracin de DNS. #Buenos ejemplos de nombres: dns1, dns2, ... mail1, mail2, ... srv_uio1, srv_uio2, srv_gye1, srv_cue1, ... pc_uio1, pc_gye23, pc_iba12, ... rtr_cisco_uio1, rtr_huawei_gye3, ... #Malos ejemplos de nombres: frodo, gandalf, bilbo, ... mercurio, saturno, marte, ... hercules, afrodita, zeus, .. neron, julio, herodes, ... bolivar, sucre, ... finanzas, inventario, marketing, ... #UN BUEN NOMBRE PERMITE ACCEDER RPIDAMENTE A INFORMACIN BSICA PERO TIL SOBRE UN NUDO!

#CREACIN DE UN MASTER ZONE FILE: #Para conocer con exhaustividad la sintaxis de un ZONE File, debe hacer la lectura completa de #las pgs. 23-39 y 483-551 de Aitchison, R. (2011). Pro DNS and BIND. New York: Apress #$TTL directive: Directriz TTL (Time to Live), indica el valor por defecto del tiempo mximo que un registro puede almacenarse temporalmente o guardarse en otro servidor DNS. #Esta directriz es obligatoria. #Puede valer entre 0 y 2147483647 (= 2^31) segundos (ms de 68 aos). #Un TTL de 12 horas (= 43200s) es un valor promedio. #Un TTL de 2 das es razonable para zonas muy estables. #Si un registro necesita un valor TTL diferente al valor defecto $TTL, #simplemente lo indica en su configuracin de registro. # Ejemplos: $TTL 2d $TTL 48h $TTL 2880m $TTL 1d24h #Ms informacin ver pgs. 27-28 y 487 de Aitchison, R. (2011). Pro DNS and BIND. New York: Apress #$ORIGIN directive: Directriz que indica el nombre del dominio para la zona que #se est definiendo. Esta directriz es opcional. #Ejemplos: $ORIGIN example.com. $ORIGIN us.example.com. $ORIGIN uio.miservidor.com.ec. #Ms informacin ver pgs. 28-29 y 484-486 de Aitchison, R. (2011). Pro DNS and BIND. New York: Apress

#SOA record (= start of authority record = registro de inicio de autoridad) #Est estandarizado en el RFC 1035. #Es el registro que primero debe aparecer en un zone file. #Describe las caractersticas globales de la zona o dominio. #Slo puede haber 1 SOA record en un archivo de zona. #Este registro es obligatorio. #La sintaxis para declarar este registro es: name ttl class record-type name-server e-mail ( sn; nmero serial refresh; refresh time retry; update retry expiry; min; minimum ) #Ejemplo1: ver pgs. 30-32 de Aitchison, R. (2011). Pro DNS and BIND. New York: Apress #Ejemplo2: ver pgs. 540-543 de Aitchison, R. (2011). Pro DNS and BIND. New York: Apress

#A Record (= Address record = registro de direccin) #Est estandarizado en el RFC 1035. #Hace corresponder la direccin IPv4 de un host con su nombre dentro del dominio o #zona del dominio. #El equivalente en IPv6 es el AAAA Resource Record. #Ms informacin: # -ver pgs. 170 y 171 del libro de texto # -ms informacin ver pgs. 35-36 y 500-503 de # Aitchison, R. (2011). Pro DNS and BIND. New York: Apress #Sintaxis: # name ttl class rr ipv4 #Ejemplo: # ns1 IN A 192.168.254.2 # mail IN A 192.168.254.4 # joe IN A 192.168.254.6 # www IN A 192.168.254.7 # www.example.org. IN A 192.168.1.1 #Las clases posibles de los registros son IN (Internet), HS (Hesiod), CH (Chaos) y ANY. #Sus usos se encuentran descritos en las pgs. 214, 219, 230, 251, 259, 497 y 597 de #Aitchison, R. (2011). Pro DNS and BIND. New York: Apress #NS record (= name server record = registro de servidor de nombres) #Est estandarizado en el RFC 1035. #Define los servidores de nombres que son responsables de un dominio y con #autoridad (= AUTHORITATIVE) para encaminar la bsqueda de un nombre DNS y su direccin IP. #Debe haber al menos 2 NS record en un zone file. #Los 2 NS record mnimos son obligatorios. #Los NS record pueden citar servidores dentro del dominio, fuera de l o en otro dominio. #Ejemplo1: example.org. IN NS dns0.example.com. ; esta declaracin es incorrecta pues causa una situacin catch-22 (por qu?) #Ejemplo2: 2 servidores DNS internos y 1 externo example.org. IN NS dns0.example.com. example.org. IN NS dns1.example.com. example.org. IN NS dns3.example.net. dns0.example.com. IN A 10.20.1.5 dns1.example.com. IN A 10.20.1.50 #Ms informacin ver pgs. 33 y 527-530 de Aitchison, R. (2011). Pro DNS and BIND. New York: Apress

#CNAME Record (= Canonical name record = registro de nombre cannico) #Nombre cannico en este contexto quiere decir nombre esperado o nombre real. #Est estandarizado en el RFC 1035. #Hace corresponder un alias de un host (o servicio en un host) #con su nombre real previamente definido en un A Record. #Ms informacin: # -ver pgs. 171 y 172 del libro de texto # -ms informacin ver pgs. 36-38 y 507-508 de # Aitchison, R. (2011). Pro DNS and BIND. New York: Apress #Sintaxis: # name ttl class rr canonical-name #Ejemplo1: #En vez de estos A records en la configuracin del servidor DNS: www IN A 192.168.1.1 ftp IN A 192.168.1.1 #Podemos simplificar con un alias mediante CNAME: www IN A 192.168.1.1 ftp IN CNAME www #As, si cambiamos la direccin IP de la mquina, no tendremos que cambiar cada registro A. #Ejemplo2: # ftp IN CNAME bill # www IN CNAME bill # bill IN A 192.168.254.21 #Ejemplo3: ftp IN CNAME ftp.example.net. #Los dos nicos casos en que es OBLIGATORIO usar un CNAME record son: # 1. Cuando el host real se encuentra fuera del dominio o en un dominio externo. ; si el dominio que estamos configurando se llama ejemplo.org ; y queremos usar el servidor de correo del dominio ejemplo.com mail IN CNAME mail.example.com NOTA: tambin funciona si creamos un A record en el dominio ejemplo.org con la direccin IP del servidor de correo en el dominio ejemplo.com # 2. Cuando el usuario desea poner a un sitio web simultneamente las direcciones http://www.ejemplo.com y http://ejemplo.com, en cuyo caso la configuracin correcta en DNS es: ; definir una IP que se resuelva como ejemplo.com ejemplo.com. IN A 192.168.0.3 ; ahora el alias www.ejemplo.com de ejemplo.com www IN CNAME ejemplo.com. NOTA: el servidor http tambin debe adaptar su configuracin. Ver ejemplo completo en las pgs. 177-179 de Aitchison, R. (2011). Pro DNS and BIND. New York: Apress #NO ABUSAR DE LOS ALIAS QUE PERMITEN LOS CNAME Records #PORQUE REDUCEN EL RENDIMIENTO DEL DNS SERVER (= el DNS debe hacer consultas de las consultas, y adems puede verse forzado a cambiar de protocolo UDP a TCP debido al tamao mayor a 512 bytes de las respuestas.)

#MX record (= mail exchanger record = registro de intercambiador de correo) #Est estandarizado en el RFC 1035.

#Define los servidores de mail para la zona. #Es un registro opcional, depende de la existencia de servidores de correo. #Si no hay servidores de correo, no hay ningn MX record. #Por cada servidor de correo debe haber un MX record. #Un registro MX tambin puede citar a un servidor de mail fuera del dominio #o en otro dominio. #NO FUNCIONA DECLARAR UN SERVIDOR DE MAIL CON UN A RECORD O UN CNAME RECORD. #El MX record indica a los clientes qu servidores deben usar para entregar correo #y en qu orden deben hacerlo. #Por cada MX record debe existir un A record asociado! #Ejemplo1: 1 SERVIDOR DE CORREO mailserver.example.org. IN A 192.168.1.1 example.org. IN MX 10 mailserver ; 10 indica la MEJOR prioridad del servidor de mail. ; Las prioridades se incrementan de 10 en 10 para los siguientes ; servidores de correo, Y SON INFERIORES EN PRIORIDAD A LA PRIORIDAD 10. #Ejemplo2: 2 SERVIDORES DE CORREO mailserver.example.org. IN A 192.168.1.1 mailserver2.example.org. IN A 192.168.1.2 example.org. IN MX 10 mailserver example.org. IN MX 20 mailserver2 #Ejemplo3: 2 SERVIDORES DE CORREO con igual prioridad # (til en grandes redes con muchos usuarios) mailserver.example.org. IN A 192.168.1.1 mailserver2.example.org. IN A 192.168.1.2 example.org. IN MX 10 mailserver example.org. IN MX 10 mailserver2 #Ejemplo4: 1 SERVIDOR DE CORREO fuera del dominio mailserver.example.org. IN A 192.168.1.1 example.org. IN MX 10 mailserver example.org. IN MX 20 backup-email.example.com. ; No aumentamos un A record para backup-email.example.com. ; para evitarnos tener que actualizar su direccin IP ; si esta es cambiada por el administrador del otro dominio. #De esta forma, es el cliente (no el servidor DNS) el que decide a cul servidor contactar. #NOTA: el registro MX slo proporciona la informacin para encontrar a un servidor #de correo. El registro MX no recibe, procesa o enva correos electrnicos. #Ms informacin ver pgs. 34-35 y 521-524 de Aitchison, R. (2011). Pro DNS and BIND. New York: Apress

#EJEMPLO CONJUNTO DE UN MASTER ZONE FILE: #editar el archivo /var/named/chroot/etc/named.conf vi /var/named/chroot/etc/named.conf #Introducir las siguientes declaraciones (es el ejemplo del libro de texto, pgs. 175-176): options { directory "/etc"; pid-file "/var/run/named/named.pid"; recursion no; }; zone "example.org" { type master; file "/var/named/chroot/var/named/example.org.hosts"; }; #editar el archivo /var/named/chroot/var/named/example.org.hosts vi /var/named/chroot/var/named/example.org.hosts #introducir (es el ejemplo del libro de texto, pgs. 175-176): $ttl 38400 example.org. IN SOA dns0.example.com. pmembrey.example.org. ( 1187790697 ; serial number 10800 ; refresh 3600 ; retry 604800 ; expiry 38400 ) ; minimum www.example.org. IN A 192.168.1.1 ftp.example.org. IN CNAME www mail.example.org. IN A 192.168.1.2 mail2.example.org. IN A 192.168.1.3 example.org. IN NS dns0.example.com. example.org. IN NS ns1.example.net. example.org. IN MX 10 mail example.org. IN MX 20 mail2 dns0.example.com. IN A 192.168.1.4 #(Re)iniciar el servidor DNS: service named restart #Probar el servidor DNS: host www.example.org localhost #SEGUNDO EJEMPLO CONJUNTO DE MASTER ZONE FILE: #CONTENIDO DEL ARCHIVO /var/named/chroot/etc/named.conf options { directory "/etc"; pid-file "/var/run/named/named.pid"; recursion no; }; zone "dominioesc.org.ec" { type master; file "/var/named/dominioesc.org.ec.hosts"; }; zone "." IN { type hint; file "named.root"; }; #CONTENIDO DEL ARCHIVO /var/named/chroot/var/named/dominioesc.org.hosts $TTL 38400 $ORIGIN dominioesc.org.ec. @ IN SOA dns1.dominioesc.org.ec. hostmaster.dominioesc.org.ec. ( 2010112801 10800 3600 604800 38400 ) dominioesc.org.ec. IN NS dns1.dominioesc.org.ec. dominioesc.org.ec. IN NS dns2.dominioesc.org.ec. dns1.dominioesc.org.ec. IN A 192.168.1.4 dns2.dominioesc.org.ec. IN A 192.168.1.3 www.dominioesc.org.ec. IN A 192.168.1.4 ftp.dominioesc.org.ec. IN CNAME www dominioesc.org.ec. IN MX 10 mail1 dominioesc.org.ec. IN MX 20 mail2 mail1.dominioesc.org.ec. IN A 192.168.1.4

mail2 IN CNAME mail1.dominioesc.com.

#NOTA: para ejemplos ms complejo ver pgs. 483-551 de #Aitchison, R. (2011). Pro DNS and BIND. New York: Apress

#CREACIN DE UNA SLAVE ZONE: (CREA REDUNDANCIA Y DISTRIBUYE CARGA Y TRFICO) #editar el archivo /var/named/chroot/etc/named.conf #en el servidor DNS slave: vi /var/named/chroot/etc/named.conf #Introducir: zone "example.org" { type slave; file "/var/named/example.org.hosts"; masters { 192.168.1.1; esta es la dir IP del Master server }; }; #Guardar. #(Re)iniciar el servicio DNS: service named restart

#HABILITACIN DE ZONE TRANSFERS: #Aumentar "allow-transfer" en el archivo "named.conf" del MASTER server. #Ejemplo: vi /var/named/chroot/var/named/example.org.hosts #Introducir: allow-transfer {192.168.1.5;}; esta es la dir IP del SLAVE server #Grabar. #Reiniciar el servicio named en servidores MASTER y SLAVE. #Finalmente, editar el archivo /etc/hosts para que registre el nuevo nombre dominio. #Ejemplo: # Do not remove the following line, or various programs # that require network functionality will fail. #127.0.0.1 centos1 localhost.localdomain localhost 127.0.0.1 centos1 centos1.midominio.org localhost #CONSEJOS PRCTICOS: # a. Incrementar el nmero serial despus de cada cambio al servidor master de DNS. El nmero serial es un nmero entre 0 y 4294967295 (2^32 - 1). Es arbitrario, pero se recomienda poner los nmeros de serie as: YYYYMMDDSS donde YYYY = ao MM = mes DD = da del mes SS = nmero de cambio hecho en el da Ejemplo: 2011052302 Para resolver problemas con nmeros seriales fuera de secuencia, vea pgs. 196-197 de Aitchison, R. (2011). Pro DNS and BIND. New York: Apress # b. Usar la declaracin "recursion no;" para evitar el ataque al servidor DNS # llamado "Envenenamiento del cache de DNS". # c. No olvidar los puntos al final en los nombres cannicos declarados en # los RECORD de DNS. # d. Una gua de referencia completa sobre todas las declaraciones DNS posibles en un ZONE FILE se encuentra en las pgs. 483-551 de Aitchison, R. (2011). Pro DNS and BIND. New York: Apress e. Si usted va a trabajar como administrador de una red grande y compleja que usa BIND como su software de servidor DNS, debe leer completamente la siguiente documentacin; -Aitchison, R. (2011). Pro DNS and BIND 10. New York: Apress -Manuales del men de ayuda del BIND configuration GUI (system-config-bind): -BIND Administrator Reference Manual -System-config-bind User Guide and Manual

**************** SMTP ************************* #Instalacin del MTA (Mail Tranfer Agent) postfix: yum install postfix system-switch-mail #Escoger Postfix como MTA por defecto con system-switch-mail: system-switch-mail #Permitir en el firewall el puerto 25. #Confirmar que el puerto 25 acepta conexiones SMTP: iptables -L | grep smtp #Configurar postfix para que inicie cuando arranque el servidor Centos chkconfig postfix on #Confirmar lo anterior, que el servicio Postfix arranque en los RUNLEVEL 3 y 5: chkconfig postfix --list #Arrancar el servicio postfix: service postfix start #Probar el funcionamiento bsico del servicio de mail. #Envo de un mensaje de correo. echo "hello" | mail -s "asunto_prueba" root #Ver el log del servidor de correo. cat /var/log/maillog #ver el buzn de entrada del usuario actual (root): mail

#CONFIGURACION DE POSTFIX: #Confirmar que postfix est instalado: rpm -q postfix #El directorio ms importante para la configuracin de postfix es /etc/postfix ls /etc/postfix #CONFIGURACIN PARA ENVIAR CORREO: #(NOTA: Postfix no enva mensajes de correo al usuario root por seguridad. #Para ello usa los alias creados en el archivo /etc/aliases.)

#En el siguiente directorio almacena postfix los archivos para gestionar el sistema de correo. ls /var/spool/postfix #En el siguiente directorio almacena postfix los buzones de correo de los usuarios. ls /var/spool/mail/ #Editar con el usuario root el archivo principal de configuracin de postfix: vi /etc/postfix/main.cf #Modificar las siguientes lneas. #Ejemplo: myhostname = mail1.dominioesc.org.ec mydomain = dominioesc.org.ec myorigin = $mydomain #La direccin del servidor "repetidor" de mail, que en este caso es #la de mail.andinanet.net relayhost = 200.107.10.14 #permitir que postfix escuche mail en todas sus direcciones ip inet_interfaces = all #permitir que todos los clientes del servidor le enven mail mynetworks = 192.168.1.0/29,127.0.0.1/8 #NOTA: la direccin del relayhost del laboratorio de la UCE es 10.3.0.9 #Para ver un resumen de los cambios realizados al archivo /etc/postfix/main.cf postconf -n #Para ver todos los parmetros por defecto de postconf: postconf -d #Para ver el valor actual de parmetros especficos, por ejemplo: postconf myhostname #Para editar un parmetro en lnea y que su cambio entre en efecto de inmediato, por ejemplo: postconf -e "myorigin = midominio.org" #NOTA: para ver todas las opciones de configuracin de este archivo, ejecutar el comando: man 5 postconf #Enviar un mensaje de correo a una cuenta en cualquier servicio de correo externo. #Ejemplo: #Recuerde que no se puede usar la cuenta de root para enviar-recibir mails. su huesped echo "prueba desde centos hacia yahoo" | mail -s "centos a yahoo" eduardosuarez_cruz@yahoo.es #despus de pulsar enter, introducir el cuerpo del mensaje, finalizarlo con CTRL+D y #pulsar enter en el campo de CC: exit #Ver el estado del log del servicio de correo. cat /var/log/maillog #Informacin sobre cmo funciona el gestor de colas de mensajes se puede ver en: man 8 qmgr

#Configuracin para cifrar el envo de mails por la conexin SMTP: #Ejemplo con el relay host de la cnt.com.ec #Instalacin de bibliotecas para cifrado SASL (=Simple Authentication and Security Layer): yum install cyrus-sasl cyrus-sasl-lib cyrus-sasl-plain #Comprobar que el servidor mail.andinanet.net soporta cifrado TLS telnet 200.107.10.14 25 help ehlo 200.107.10.14 starttls quit #Aadir las siguientes entradas al archivo /etc/postfix/main.cf: vi /etc/postfix/main.cf smtp_sasl_auth_enable = yes smtp_sasl_security_options = noanonymous smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_tls_security_level = may tls_random_source = /dev/urandom #Aadir la contrasea para que postfix se identifique: vi /etc/postfix/sasl_passwd mail.andinanet.net usuario:contrasea #Transformar la informacin anterior en archivo .db postmap /etc/postfix/sasl_passwd #Usar el archivo .db creado: service postfix reload

#CONFIGURACIN PARA RECIBIR CORREO: #Primero comprobar que el servidor DNS cuenta con registros MX #Ejemplo: host -t MX dominioesc.org.ec centos1 #Aadir las siguientes entradas al archivo /etc/postfix/main.cf: vi /etc/postfix/main.cf #Si es que los mensajes son rechazados, que sea rechazo temporal y haya reintento: soft_bounce = yes unknown_local_recipient_reject_code = 450 #Indicar a postfix que es el ltimo salto hacia user@dominioesc.org.ec, # user@mail1.dominioesc.org.ec, user@centos1.example.com #y user@centos1: mydestination = $mydomain, $myhostname, localhost.$mydomain, localhost #Confirmar que los usuarios que van a recibir mail realmente existan en el servidor getent passwd huesped getent passwd eduardo ... #NOTA: tan pronto como se crea un usuario, ya est listo para recibir mail. #Para crear alias para los usuarios, determinar primero el archivo de alias: postconf alias_maps #Luego, vi /etc/aliases #Quitar el smbolo de comentario y cambiar el nombre del usuario #que va a recibir los mails dirigidos a root: root: eduardo #Luego, introducir los alias que sean necesarios. #Ejemplos: mama: lourdes.suarez@andinanet.net support: eduardo,huesped,cecilia #Despus, obtener un archivo .db del anterior: newaliases #Reiniciar postfix. service postfix restart #Recuperacin del mail como cliente: #DOVECOT: Servidor de IMAP4 y POP3 yum install dovecot service dovecot start #Comprobar el funcionamiento de DOVECOT POP3: #(Este es un protocolo menos complejo que IMAP4, pues solamente controla la descarga #del buzn de correo desde el servidor hacia el cliente.)

telnet localhost 110 user eduardo pass <password> stat list 1 retr 1 quit #Comprobar el funcionamiento de DOVECOT IMAP4: #(Este es un protocolo ms complejo que POP3, pues debe gestionar todo desde el servidor.) telnet localhost 143 login eduardo <password> select Inbox fetch 1 body[text] logout #Permitir en el firewall los puertos TCP 993 (IMAP4S) y 995 (POP3S). #(Usar para ello Sistema->Administracin->Nivel de seguridad y Cortafuegos) #Comprobacin de que aquellos puertos estn abiertos: iptables -L -v | grep -E "pop3|imap" #NO HAY NECESIDAD DE ABRIR LOS PUERTOS 110 y 143 SI TODOS LOS ACCESOS VAN A #SER UNICAMENTE CIFRADOS! #Instalar cliente grfico de correo electrnico: yum install thunderbird #El cliente de correo Novell Evolution es mejor, pues le permite comprobar los algoritmos de cifrado #configurados en el servidor de correo. #Para comprobar el funcionamiento pleno del cliente grfico de correo electrnico, #crear 3 cuentas de correo: i)Una para enviar y recibir correo de un servidor pblico de correo como yahoo, gmail, hotmail, etc: -en el caso de servidores pblicos de correo es muy posible que el puerto para enviar correo no sea 25 sino 587 ii)Otra para enviar y recibir correo del propio servidor de correo ya instalado: -el protocolo del cliente para enviar correo siempre es SMTP en el puerto 25, a menos que lo haya configurado de otra forma -el protocolo del cliente para recibir correo puede ser POP, IMAP o spool -NOTA: si va acceder a su correo desde otro equipo que no sea aquel en el que est instalado el servidor de correo, debe ser capaz de localizar va DNS a dicho servidor. Si el nombre de dominio no est registrado, aada una entrada correspondiente al servidor DNS respectivo en /etc/resolv.conf, o aada una entrada correspondiente al servidor de mail en /etc/hosts. Haga lo mismo para otros servidores de mail cuyo nombre no est registrado. iii)Otra para enviar y recibir correo del servidor de correo de otro grupo de compaeros en el laboratorio NOTA1: EN TODOS LOS CASOS, NO USAR CIFRADO (a menos que lo haya activado en la configuracin de su servidor) NOTA2: EN TODOS LOS CASOS, SELECCIONAR EL ALGORITMO DE AUTENTICACIN CORRECTO, caso contrario el servidor de correo no podr leer la contrasea del usuario. #Configurar certificados de seguridad en dovecot: ver pgs. 139 a 151 del libro de texto #Si tiene instalado nmap, puede comprobar los puertos activados con nmap: nmap localhost -p 110,143,993,995 #Comprobar el cifrado: openssl s_client -connect localhost:995 openssl s_client -connect localhost:993 #Para filtrar spam: Instalar SpamAssassin #Para filtrar virus: Instalar ClamAV #Para integrar SpamAssassin y ClamAV con el servidor de mail: Instalar MailScanner **************** HTTP ************************* 1. INTRODUCCIN -Historia del HTTP, el HTML y la WWW: ver hiperenlaces relacionados en la pgina del grupo UCE_TIC en yahoo -HTTP y HTTPS -puerto TCP por defecto para HTTP: 80 -puerto TCP por defecto para HTTPS: 443 -URL = uniform resource locator = hiperenlace -Dimensiones actuales del hipertexto: -texto plano -grficos -vdeo -audio -metadatos -Virtual Hosting: -Alojamiento virtual de sitios web -Un nico servidor web puede manejar muchos diferentes sitios web simultneamente -Funcionamiento bsico de HTTP -El usuario introduce un URL. -A partir del URL, el cliente HTTP (= el navegador) pide al DNS la traduccin del nombre del servidor HTTP en direccin IP. -El cliente HTTP establece la conexin IP con el servidor HTTP. -El navegador del cliente enva una peticin GET con el URL como parmetro al servidor. Ejemplo: GET http://www.apress.com/book/catalog/ -El servidor HTTP enva un cdigo de respuesta y el resultado de la peticin del cliente (= del navegador). -OJO: todos los cdigos de respuesta (= Reply codes) se encuentran explicados en el RFC 2616. -El navegador sigue el mismo procedimiento para descargar grficos, Cascading Style Sheets (=CSS) y JavaScripts: -Fcilmente puede haber ms de 50 peticiones para descargar una pgina completa. -En HTTP hay mucho caching de archivos para mejorar los tiempos de descarga. -Por qu instalar un servidor web propio en vez de alquilar uno? Por la flexibilidad y libertad para hacer cambios. La mayora de empresas de WEB HOSTING restringen lo que uno puede hacer en su servidor web. -APACHE HTTP: es el servidor HTTP ms usado del mundo, hay abundante soporte y documentacin. -ESTADSTICAS DE USO DE WEB SERVERS Y WEB BROWSERS: ver hiperenlaces en la pgina de yahoo para el grupo UCE_TIC. -Historia -NCSA Mosaic=>Netscape Navigator=>Internet Explorer, Opera=>Mozilla=>Chrome, RockMelt -El proyecto Mozilla empez a consolidarse con el desarrollo de Phoenix (hoy Firefox) y Minotaur (hoy Thunderbird)

-TAXONOMA -TUX Linux in-kernel web server -APACHE HTTP SERVER / APACHE TOMCAT /Java software platform (Apache ya tiene ms de 15 aos de desarrollo) -NGINX ("Mr. Jinks", a.k.a. Jinksy) -lighttpd -IBM HTTP/WEBSPHERE -Microsoft Internet Information Services /MICROSOFT ASP.NET /MS .NET FRAMEWORK -Algo sobre los 3 marcos de desarrollo de SW ms importantes: -PILA .NET (ver http://en.wikipedia.org/wiki/File:DotNet.svg) -PILA JAVA (ver http://en.wikipedia.org/wiki/Java_(software_platform) ) -PILA IBM Websphere (ver http://en.wikipedia.org/wiki/IBM_WebSphere) -CUL ES MEJOR? MICROSOFT VS. ORACLE VS. IBM = TRIOPOLIO! http://en.wikipedia.org/wiki/Comparison_of_the_Java_and_.NET_platforms http://en.wikipedia.org/wiki/Comparison_of_C_Sharp_and_Java -NOTA: Antes de probar servidores web ms exticos, aprenda a usar bien Apache! -NOTA: Sobre los navegadores, pruebe y compare OBJETIVAMENTE los siguientes -Google Chrome -Rockmelt -Opera -Mozilla Firefox -MS Internet Explorer

2. Secure Sockets Layer (SSL) -Fue desarrollado por Netscape (Javascript tambin fue desarrollado por Netscape). -SITIOS WEB SEGUROS -CORREO SEGURO -DOS servicios: -conexin segura mediante cifrado del transporte entre las capas simtricas participantes -las capas simtricas negocian (acuerdan) el ms alto algoritmo mutuo de cifrado -certificados para que el cliente pueda identificar al servidor -al conectarse, el servidor presenta sus certificados al cliente -el cliente tiene una base de datos de autoridades de certificacin (= CA = certificate authorities) en las cuales confa -el cliente verifica con estas autoridades para ver si alguna a firmado el certificado presentado por el servidor -si el certificado ha sido firmado, si no ha expirado y si el nombre de host coincide, el cliente mostrar la pgina web sin pedir ms credenciales -Caso contrario, WARNING: ver ejemplo de pgina de notas de la EDC-UCE 3. Instalacin de Apache yum install httpd #Habilitar HTTP y HTTPS en el firewall #Asegurarse de httpd arranque siempre que arranque el sistema operativo: chkconfig httpd on #Confirmar lo anterior: chkconfig --list httpd #Iniciar el demonio httpd: service httpd start #Confirmar el estado del demonio: note los varios procesos que necesita httpd para funcionar... service httpd status #Los nmeros de los procesos (PIDs) son tiles cuando se hace depuracin del kernel. #Arranque el navegador y pruebe navegar en # http://<su direccin IP> #El comando elinks tambin es til para verificar el buen funcionamiento del servidor http: yum install elinks elinks http://localhost #Pulsar Q para salir. #Para ver la versin de Apache que ha instalado, puede introducir en su navegador lo siguiente: http://<su direccin IP>/xyz #O en la lnea de comandos de una venta de terminal: httpd -v 4. Configuracin de Apache #NOTA: La documentacin completa y oficial de Apache se encuentra en http://httpd.apache.org/docs/ #Todos los archivos de configuracin de Apache en el servidor se encuentran en: cd /etc/httpd/ #El siguiente directorio contiene el archivo central de configuracin de Apache (httpd.conf): ls /etc/httpd/conf #El siguiente directorio contiene los archivos de configuracin de software complementario de Apache: ls /etc/httpd/conf.d #Primeros cambios necesarios en el archivo de configuracin: vi /etc/httpd/conf/httpd.conf #Buscar la variable ServerAdmin y modificarla con la direccin de correo electrnico #con la cual ponerse en contacto en caso de errores del servidor web: ServerAdmin admin@su-dominio.com #Nombre del servidor y puerto TCP: ServerName www.su-dominio.com:80 #NOTA: si el nombre de dominio no est registrado, aada una entrada correspondiente al servidor DNS respectivo en /etc/resolv.conf, o aada una entrada correspondiente al servidor web en /etc/hosts. Haga lo mismo para otros servidores web cuyo nombre no est registrado. #Verifique la correctitud actual de la sintaxis en el archivo de configuracin de Apache: service httpd configtest #El anterior comando es muy til para determinar errores en las declaraciones sintcticas #para configurar Apache, si tomamos en cuenta que es un archivo con 1000 lneas de #configuracin en promedio. #Compruebe que el servicio httpd arranca correctamente con los cambios efectuados a la configuracin: service httpd restart

#HABILITAR .htaccess (permite controlar permisos sobre contenidos web y usuarios autorizados #para navegar en su sitio web): vi /etc/httpd/conf/httpd.conf #Cambiar el valor de la variable AllowOverride None a AllowOverride All #Reiniciar httpd service httpd restart

#PROTEGER DIRECTORIOS DE CONTENIDOS WEB MEDIANTE CONTRASEA: #Por ejemplo, proteger el directorio principal de contenidos web de Apache: vi /var/www/html/.htaccess #Introducir lo siguiente: <Files .htaccess> order allow,deny deny from all </Files> <Files .htpasswd> order allow,deny deny from all </Files> AuthUserFile /etc/httpd/htpasswd AuthName "Secret Secure Area" AuthType Basic require valid-user #La primera y segunda partes impedirn que los usuarios puedan descargar los #archivos .htaccess o .htpasswd #NOTA: Es mejor situar los archivos .htpasswd en /etc/httpd para evitar problemas en el control de acceso a dichos archivos. #La tercera parte: #AuthUserFile apunta al archivo .htpasswd que contiene informacin #de login (= apertura de la sesin) de los usuarios en el servidor web. #AuthName es el texto que aparecer en la ventana de login. #AuthType es el tipo de autenticacin, casi siempre es de tipo bsico (= Basic). #Hay otros modos de autenticacin, pero este es el ms usado. El tipo Basic #consiste en el intercambio de nombre de usuario y contrasea. #require valid-user indica a Apache que cualquier usuario vlido en el #archivo .htpasswd tendr acceso al sitio web. #Si lo desea, puede especificar l#El algoritmo de cifrado de contraseas que usa Apache por defecto es crypt(). #Otros algoritmos disponibles para cifrar contraseas en Apache son MD5 y SHA. #Adems, es posible no cifrarlas si escoge el mtodo PLAINTEXT. os usuarios que tendrn acceso as: require user <username> #Ejemplo: require user admin #CREAR CUENTAS DE USUARIO EN EL SITIO WEB: #Debe usar el comando htpasswd. Ejemplo: htpasswd -c /etc/httpd/htpasswd admin #La opcin -c crea el archivo si no exista. Por ello, en futuros usos ya no ser necesaria. #Ejemplo: htpasswd /etc/httpd/htpasswd huesped #Para ver todas opciones del comando: man htpasswd #Reinicie el servidor http: service httpd restart #Compruebe con su navegador que ahora su sitio web le pide autenticarse (= identificarse).

#INSTALACIN DE SSL: yum install mod_ssl service httpd restart #Comprobar la instalacin con el navegador y la siguiente pgina web: https://<su direccin IP> #Ahora ya puede usar https, pero con un certificado SSL auto-firmado, por eso la advertencia. #Acptela y conctese. #Si usa Firefox, note el candado (= padlock) en la parte inferior del navegador. #Para obtener un certificado SSL firmado por una autoridad de certificacin #(= Certificate Authority, CA), por ejemplo Verisign o Thawte, #debe pagar por aquel certificado. Cuesta aproximadamente US$1.000 por ao. #Certificados SSL relativamente ms baratos son ofrecidos por DynDNS y GoDaddy. #Antes de obtener un certificado de una CA, debe genera una CSR (certificate-signing request). #Antes de generar la CSR, debe crear una clave: mkdir /etc/certs/ #NOTA: el directorio /etc contiene mucha informacin importante, por ello... #... HAGA UNA COPIA DE SEGURIDAD DE L!!! cd /etc/certs/ #DEBE CREAR UNA CLAVE PARA CADA SITIO WEB. Ejemplo: openssl genrsa -des3 -out www_sudominio_com.key 1024 #Note que el nombre del archivo en el que se guarda la clave alude al nombre de su dominio. #Durante la creacin de la clave RSA le pedir una frase de paso (= passphrase). #El archivo contendr la clave privada RSA de su servidor Apache. NO PERMITA A NADIE ACCEDER A ESTE ARCHIVO! (Si hace pblico dicho archivo, algn hacker podra usar el siguiente comando para descargarse el archivo: wget https://sudominio.com/www_sudominio.key Note lo til que podra ser el comando wget.) #Cree la peticin CSR: openssl req -new -key www_sudominio_com.key -out www_sudominio_com.csr #Cumplimente la informacin que le solicitan con cuidado. #En especial, cuando le pidan "common name", introduzca el nombre FQDN de su servidor web #pero sin el punto final. #Compruebe la creacin de la CSR: cat www_sudominio_com.csr #El contenido de este archivo le ser solicitado por la CA para crear su certificado digital. #La CA generar su certificado a partir de su CSR, la clave pblica de su servidor Apache y #la firma digital de la CA. #Copie ABSOULTAMENTE TODA LA SALIDA de "cat www_sudominio_com.csr" en la pgina de la CA, #cuando esta la solicite, SIN BLANCOS NI LNEAS EN BLANCO ANTES O DESPUS. #NOTA: debido al precio que cobran las CA por los certificados digitales, y para finalizar este #ejercicio de SSL, firme usted mismo su certificado. Ejemplo: openssl x509 -req -days 365 -in www_sudominio_com.csr -signkey \ www_sudominio_com.key -out www_sudominio_com.crt #Le pedir una frase de paso. #En criptografa, X509 es el estndar ITU (= International Telecommunication Union) #para infraestructuras de claves pblicas. #Especifica los formatos de los certificados de clave pblica y algoritmos para validacin #de la ruta de certificacin. #Compruebe el contenido del directorio /etc/certs: ls -ahl /etc/certs #Modificar la variable SSLCertificateFile vi /etc/httpd/conf.d/ssl.conf SSLCertificateFile /etc/certs/www_sudominio_com.crt #Modificar la variable SSLCertificateKeyFile vi /etc/httpd/conf.d/ssl.conf SSLCertificateKeyFile /etc/certs/www_sudominio_com.key

#Otros variables importantes en ssl.conf: #intermediary certificate: Son generalmente certificados ms baratos ofrecidos por CAs ms pequeas. Los archivos correspondientes le son entregados por dichas CA. #certificate bundle: si tiene ms de un certificado, puede agruparlos todos en un slo archivo (= bundle). Debe cifrarlo con algoritmo PEM. Puede pedirlo a su CA. #certificate chain: archivo con informacin para validar la ruta de certificacin. Lo debe proveer su CA. #Reinice el demonio httpd: service httpd restart #Ahora su servidor http le pide clave para arrancar. #Si no desea que aquello suceda: openssl rsa -in www_sudominio_com.key -out www_sudominio_com.key #Pruebe su certificado con su navegador, preferentemente desde otro equipo distinto al que #alberga su servidor http.

#VIRTUAL HOSTING para albergar varios sitios web en el mismo servidor: (ver pgs. 100-104 del libro de texto.) #UN PAR DE TRUCOS PARA MEJORAR EL RENDIMIENTO (= PERFORMANCE) DE APACHE: (ver pgs. 97-100 del libro de texto.) #EJERCICIO1: instalar WEBMAIL (pgs. 152-154 del libro de texto)

************************** SNMP ************************* 1. INTRODUCCIN -ES NECESARIO UN PROTOCOLO PARA GESTIONAR LA INFRAESTRUCUTURA DE RED EN SUS 7 CAPAS: -MONITORIZAR EL ESTADO ACTUAL DE TODOS! SUS COMPONENTES, FORMALMENTE LLAMADOS DISPOSITIVOS GESTIONADOS (= MANAGED DEVICES = MD) EN TERMINOLOGA SNMP, O ELEMENTOS DE CONFIGURACIN (= CONFIGURATION ITEMS = CI) EN TERMINOLOGA ITIL. -EJEMPLOS DE MDs: -NUDOS DE RED: SERVIDORES, PCs, ROUTERS, SWITCHES, IMPRESORAS, ETC. -HARDWARE DE HOSTS: PROCESADORES, DISCOS, MEMORIAS, NICs, MOTHERBOARDs, TEMPERATURAS, VENTILADORES, VOLTAJES, HUMEDAD, ETC. -SERVICIOS Y DEMONIOS EN HOSTS: SMTP, POP, HTTP, DNS, ETC. -LOGs (=ARCHIVOS DE REGISTRO DE EVENTOS EN HOSTS) -EL ESTADO DE UN MD PUEDE SER DE 4 TIPOS: VERDE: EN BUEN ESTADO, FUNCIONANDO CORRECTAMENTE AMARILLO: ADVERTENCIA, PUEDE SEGUIR FUNCIONANDO PERO HAY ANOMALAS ROJO: ALARMA, PELIGRO INMINENTE DE MAL FUNCIONAMIENTO APAGADO: NO HAY COMUNICACIN SNMP CON EL MD -NOTA SOBRE LA PALABRA ALERTA: -LA PALABRA ALERTA SE USA TAMBIN EN TIC, PERO SU ORIGEN EST EN LA GESTIN DE DESASTRES NATURALES, LOS SISTEMAS DE "ALERTA TEMPRANA" DE FENMENOS NATURALES, Y EN SITUACIONES DE GUERRA O DE EXCEPCIN (PANDEMIAS, EPIDEMIAS, TERRORISMO, ETC.) -LOS COLORES Y SIGNIFICADOS DE LAS ALERTAS SON: -ALERTA BLANCA: LOCALIDAD SIN RIESGO SIGNIFICATIVO -ALERTA VERDE: LOCALIDAD CON RIESGO PERO BAJO CONTROL -ALERTA AMARILLA: LOCALIDAD CON RIESGO EN DESARROLLO PERO BAJO OBSERVACIN -ALERTA NARANJA: LOCALIDAD CON RIESGO INMINENTE + EVACUACIN INMEDIATA DE LA POBLACIN -ALERTA ROJA: LOCALIDAD EN LA QUE EL RIESGO SE HA MATERIALIZADO, EL DESASTRE SE HA PRODUCIDO -Definicin general de la palabra MONITORIZAR: Observar mediante aparatos especiales el curso de uno o varios parmetros fisiolgicos o de otra naturaleza para detectar posibles anomalas. -MANTENER EL INVENTARIO CENTRALIZADO DE LA CONFIGURACIN DE CADA MD -CONTROLAR CENTRALIZADAMENTE CADA MD -APAGAR -REINICIAR -DESACTIVAR/ACTIVAR PUERTOS -DETERMINAR LA VERSIN ACTUAL DE SW, DISTRIBUIR SOFTWARE, INSTALARLO. -SOLUCIN DE TCP/IP: SNMP = SIMPLE NETWORK MANAGEMENT PROTOCOL -EL SNMP ES UN PROTOCOLO DE CAPA 7 QUE USA COMO PROTOCOLO DE TRANSPORTE (= CAPA 4) AL UDP EN LOS PUERTOS 161 (PARA ENVIAR) Y 162 (PARA RECIBIR). -ARQUITECTURA DE SNMP: -UN SISTEMA CENTRAL PARA GESTIN DE RED VA SNMP (= NETWORK MANAGEMENT SYSTEM = NMS) -UN AGENTE SNMP (= SNMP AGENT) EN CADA MD, ES DECIR, UN PROGRAMA EN CADA NUDO DE RED QUE EJECUTE INSTRUCCIONES EN REPRESENTACIN DEL NMS. -UNA BASE DE INFORMACIN PARA GESTION DE RED (= MANAGEMENT INFORMATION BASE = MIB), ES DECIR, UN ARCHIVO LOCALIZADO EN CADA NUDO DE RED, EN EL QUE EL AGENTE SNMP RESPECTIVO GUARDA INFORMACIN SOBRE DICHO NUDO PARA USO POSTERIOR EN EL NMS. -AQUELLA INFORMACIN ES GUARDADA POR EL AGENTE SNMP EN VARIABLES SNMP! (= SNMP VARIABLES) DENTRO DEL ARCHIVO MIB DEL NUDO CORRESPONDIENTE. -HAY UNA VARIABLE SNMP POR CADA OBJETO GESTIONADO (= MANAGED OBJECT = MO). -UN OBJETO GESTIONADO (= MO) ES UN SUBCOMPONENTE DE UN MD. EJEMPLO: -EL MD SERVIDOR TIENE AL MENOS UN MO PROCESADOR, UN MO MEMORIA, UN MO DISCO DURO Y UN MO NIC. -EL ARCHIVO MIB GUARDA LAS VARIABLES SNMP EN UNA ESTRUCTURA DE RBOL JERRQUICO. -UNA BASE DE DATOS CENTRAL EN EL NMS, EN LA CUAL SE ALMACENAN COPIAS DE LOS MIBs DE TODOS LOS MDs PARA COMPONER EL SISTEMA DE INFORMACIN DE RED GESTIONADO POR EL NMS. -UN PROTOCOLO DE COMUNICACIONES PARA INTERCONECTAR AL NMS CON LOS AGENTES SNMP. -ESTE ES EL PROTOCOLO SNMP PROPIAMENTE DICHO (= SIMPLE NETWORK MANAGEMENT PROTOCOL) -LOS PDUs DE SNMP PUEDEN SER DE 7 TIPOS: -GET: PARA ORDENAR EL NMS AL AGENTE SNMP QUE ENVE EL VALOR DE UNA VARIABLE SNMP GUARDADA EN EL MIB DEL MD RESPECTIVO. -GETNEXT: PARA ORDENAR EL NMS AL AGENTE SNMP QUE ENVE EL VALOR DE LA SIGUIENTE VARIABLE SNMP GUARDADA EN EL MIB DEL MD RESPECTIVO. -GETBULK: PARA ORDENAR EL NMS AL AGENTE SNMP QUE ENVE LOS VALORES DE VARIAS VARIABLES SNMP GUARDADAS EN EL MIB DEL MD RESPECTIVO. -SET: PDU QUE EL NMS ENVA PARA ORDENAR AL AGENTE QUE MODIFIQUE EL VALOR DE ALGUNA VARIABLE EN EL MIB DEL MD. -TRAP: PDU ENVIADO POR UN AGENTE AL NMS, SIN QUE ESTE LTIMO LA HAYA SOLICITADO, PARA NOTIFICAR ALGUNA NOVEDAD EN EL MD. -RESPONSE: RESPUESTA A ALGUNO DE LOS PDUs ANTERIORES -INFORMREQUEST: PARA ENVIAR UN RECONOCIMIENTO (=ACKNOWLEDGEMENT = ACK) ENTRE 2 NMS, O UN RECONOCIMIENTO DE UN NMS A UN TRAP ENVIADO POR UN AGENTE.

-NOTA: EL SNMP USA UDP. A SU VEZ, EL PROTOCOLO UDP ES UN PROTOCOLO NO ORIENTADO A CONEXIN QUE NO NOTIFICA NI CORRIGE ERRORES EN EL TRANSPORTE DE DATOS. DE AH LA NECESIDAD DEL PDU INFORMREQUEST. -EJEMPLO DE TRAP E INFORMREQUEST: -EL ADMINISTRADOR DE UNA RED HA AUMENTADO MEMORIA RAM EN LA i-sima PC (= "PC-i") DE UN SISTEMA DE INFORMACIN. -EL AGENTE SNMP DEL MD "PC-i" NOTIFICA AL NMS MEDIANTE UN TRAP QUE LA CONFIGURACIN DEL MD "PC-i" HA CAMBIADO. -EL NMS RESPONDE (= RESPONSE) AL AGENTE SNMP, ORDENNDOLE QUE ACTUALICE (= SET) TODAS LAS VARIABLES EN EL MIB DEL MD "PC-i". -EL AGENTE SNMP ENVA AL NMS UNA RESPUESTA (= RESPONSE) EN LA QUE INDICA QUE LA ACTUALIZACIN DEL MIB DEL MD SE HA EFECTUADO CON XITO. -EL NMS ENVA UN INFORMREQUEST PARA INDICAR QUE HA RECIBIDO SATISFACTORIAMENTE LA RESPUESTA DEL AGENTE SNMP. -DESCUBRIMIENTO (= DISCOVERY): PROCEDIMIENTO MEDIANTE EL CUAL EL NMS DETECTA AGENTES SNMP Y SUS RESPECTIVOS MIBs EN LAS REDES IP A LAS QUE TIENE ACCESO. -AUTODESCUBRIMIENTO (= AUTODISCOVERY): PROCEDIMIENTO AUTOMTICO (SIN INICIACIN DELIBERADA POR EL INGENIERO RESPONSABLE DE GESTIONAR EL NMS), MEDIANTE EL CUAL EL NMS DETECTA AGENTES SNMP Y SUS RESPECTIVOS MIBs EN LAS REDES IP A LAS QUE TIENE ACCESO. -COMUNIDAD SNMP (= SNMP COMMUNITY): -CONJUNTO DE MDs QUE SON GESTIONADOS CLAVE DE SEGURIDAD QUE LES AUTENTICA -SI LA CLAVE DE LA COMUNIDAD SNMP ES CASO CONTRARIO SE LLAMAR PRIVADA (= -EL NMS SLO PUEDE GESTIONAR MDs SIN O MDs DE LOS CULES CONOZCA SU CLAVE POR UN NMS VA SNMP Y QUE COMPARTEN UNA COMO MIEMBROS DE ESE CONJUNTO SNMP. NULA, LA COMUNIDAD SE LLAMA PBLICA (= PUBLIC). PRIVATE). CLAVE DE COMUNIDAD SNMP, DE COMUNIDAD SNMP.

-EJEMPLOS DE NMS: -MICROSOFT SYSTEM CENTER CONFIGURATION MANAGER (MS SCCM) -IBM TIVOLI -HP OPENVIEW -HP Systems Insight Manager (Originalmente COMPAQ Insight Manager, actualmente versin muy reducida y limitada de HP Openview) -BMC PATROL -CISCO WORKS -OPEN SOURCE -PRTG -ZENOSS -NAGIOS -NOTA: El protocolo SNMP, la norma ISO/IEC 7498-4 para Gestin de Redes de Comunicaciones, la norma ISO/IEC 20000 para Gestin de Servicios de Tecnologa de la Informacin y las metodologas de-facto ITIL y COBIT son los pilares tecnolgicos y metodolgicos para la GESTIN DE LAS TIC en los actuales sistemas de informacin y comunicaciones empresariales. (Ver pginas web correspondientes en http://es.groups.yahoo.com/group/UCE_TIC ) 2. CONFIGURACIN DE NAGIOS #Instalacin de nagios y nagios plug-ins: yum install nagios nagios-plugins rpm -ivh http://packages.sw.be/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.i386.rpm #Al final de la instalacin, todos los archivos de configuracin de Nagios #se encontrarn en /etc/nagios #El principal archivo de configuracin es nagios.cfg #Las definiciones para objetos gestionados (=Managed Objects = MO) #se encuentran en /etc/nagios/objects #Managed objects en Nagios: host object, service object, contact object. #El archivo /etc/httpd/conf.d/nagios.conf contiene la configuracin #de Nagios para el Apache web server. #El archivo /usr/lib/nagios/cgi contiene scripts CGI de configuracin #para la interface web de Nagios. #El archivo /usr/lib/nagios/plugins contiene scripts para leer MIBs #y enviar alertas al administrador. #El archivo /usr/share/nagios contiene la parte esttica de la interface web de Nagios. #Los logs de Nagios se encuentran en /var/log/nagios #En el directorio /var/nagios se registra la informacin sobre el estado de los MDs. #CONFIGURACIN INICIAL: #Cambiar la direccin de contacto del administrador, a la cual Nagios enviar alertas: vi /etc/nagios/objects/contacts.cfg cambie la direccin nagios@localhost por su direccin de correo electrnico #Crear la clave de administrador de Nagios: htpasswd -c /etc/nagios/htpasswd.users nagiosadmin #El archivo /etc/nagios/htpasswd.users contiene los nombres y contraseas (cifradas) #de los usuarios creados en Nagios y es usado por el servidor web Apache para autenticarlos. #Configurar el demonio de Nagios para arrancar siempre que arranque el SO del servidor: chkconfig nagios on #Arrancar el demonio de Nagios: service nagios start #Asegrese de que el servidor HTTP Apache tambin arranque cuando el SO inicie: chkconfig httpd on #Asegrese de que el demonio de Apache arranque: service httpd start #Abra la interfaz web de nagios con su navegador en la siguiente direccin: #http://<su_servidorweb.su_dominio>/nagios/ #O tambin: #http://<su_direccin_IP>/nagios/ #Le pedir nombre de usuario y contrasea. Introduzca el nombre "nagiosadmin" y la contrasea #que cre para esta cuenta de usuario. #CONFIGURACIN BSICA DE NAGIOS:

#Ver el libro de texto, pgs. 303-311. vi /etc/nagios/nagios.cfg #CONFIGURACIN AVANZADA DE NAGIOS: #Ver pautas bibliogrficas en el libro de texto, pg. 312. #Leer la documentacin de Nagios en http://www.nagios.org/documentation #Instalacin de NSClient++ para gestionar desde Nagios clientes Windows. #Ver los detalles de la instalacin en http://nsclient.org/nscp/