ADMINISTRACIN DE SAMBA

OBJETIVOS
Comprender los conceptos y parmetros basicos de SAMBA
Comprender que es la Swat
Describir los diferentes permisos aplicados a los recursos
Configurar el cliente para samba

Samba
Mediante Samba, se puede configurar una mquina Unix como servidor de
impresin y archivos para mquinas DOS, Windows y OS/2. Samba se ha
desarrollado hasta convertirse en un producto maduro y ms bien complejo. Samba
se puede configurar con YaST, SWAT (interfaz de Web) o el archivo de
configuracin.

Terminologa
Protocolo SMB
Samba utiliza el protocolo SMB (Server Message Block, bloque de mensajes de
servidor), que est basado en los servicios NetBIOS. Debido a las presiones de IBM,
Microsoft liber el protocolo para que otros fabricantes de software pudieran
establecer conexiones con una red de dominio de Microsoft. Con Samba, el
protocolo SMB funciona por encima del protocolo TCP/IP, de manera que ste
ltimo debe estar instalado en todos los clientes.
Protocolo CIFS
CIFS (Common Internet File System, sistema de archivos comunes de Internet) es
otro de los protocolos compatibles con Samba. CIFS define un protocolo estndar
de acceso a sistemas de archivos remotos para su uso en la red, con lo que hace
posible que grupos de usuarios trabajen juntos y compartan documentos a travs
de la red.
NetBIOS
NetBIOS es una interfaz de software (API) diseada para la comunicacin entre
mquinas. En l se ofrece un servicio de nombres que permite que las mquinas
conectadas a la red reserven nombres para ellas mismas. Tras la reserva, es
posible dirigirse a las mquinas mediante el nombre. No existe ningn proceso
central que compruebe los nombres. Cualquier mquina de la red puede reservar
tantos nombres
como desee, siempre que no estn ya en uso. La interfaz NetBIOS puede
implementarse para diferentes arquitecturas de red. Una implementacin que
funciona de un modo relativamente prximo al hardware de red es NetBEUI,
aunque a menudo se habla de ella como NetBIOS. Los protocolos implementados
con NetBIOS son IPX de Novell (NetBIOS sobre TCP/IP) y TCP/IP.
Los nombres de NetBIOS enviados mediante TCP/IP no tienen nada en comn con
los nombres que se usan en /etc/hosts/ o los definidos por DNS.
NetBIOS: utiliza su propia convencin para la nomenclatura, completamente
independiente.

Gestin de Redes II Virtual______________________Gua Terica 4

Sin embargo, es recomendable utilizar nombres que se correspondan con los

nombres de host DNS para que la administracin sea ms sencilla. Esta es la opcin
que Samba utiliza por defecto.
Servidor Samba
El servidor Samba es un servidor que proporciona servicios SMB/CIFS y NetBIOS a
travs de los servicios de nombre IP a los clientes. En Linux, existen dos daemons
que corresponden al servidor Samba: smnd para los servicios SMB/CIFS y nmbd
para los servicios de nombre.

Cliente Samba
El cliente Samba es un sistema que utiliza los servicios proporcionados por un
servidor Samba a travs del protocolo SMB. Todos los sistemas operativos
habituales, como Mac OS X, Windows y OS/2, son compatibles con el protocolo
SMB. El protocolo TCP/IP debe estar instalado en todos los ordenadores. Samba
ofrece clientes para las distintas versiones de UNIX. Para Linux, existe un mdulo
del ncleo para SMB que permite integrar recursos SMB en el nivel de sistema de
Linux. No es preciso ejecutar ningn daemon para el cliente Samba.
Recursos compartidos
Los servidores SMB ofrecen espacio de hardware a sus clientes por medio de
recursos compartidos. Estos recursos son las impresoras y directorios, con los
subdirectorios correspondientes, que se encuentran en el servidor. Se exporta
mediante un nombre y se puede acceder a l a travs de dicho nombre. El nombre
del recurso compartido se puede definir como se quiera, no tiene que corresponder
al nombre del directorio de exportacin. A las impresoras tambin se les asigna un
nombre. Los clientes pueden acceder a la impresora por su nombre.

Inicio y detencin de Samba

Se puede iniciar o detener el servidor Samba automticamente durante el arranque
o
de forma manual. La directiva de inicio y detencin forma parte de la configuracin
del servidor Samba de YaST.
Para iniciar o detener los servicios Samba en ejecucin con YaST, seleccione
Sistema. Editor de niveles de ejecucin. Desde la lnea de comandos puede
detener los servicios necesarios para Samba con rcsmb stop y rcnmb stop e
iniciarlos con rcnmb start y rcsmb start.
Configuracin de un servidor
Samba
Un servidor Samba se puede configurar en SUSE Linux de dos modos diferentes:
con
YaST o manualmente. La configuracin manual ofrece un nivel superior de detalle,
pero carece de la comodidad de la interfaz grfica de YaST.
Configuracin de un servidor Samba
con YaST
Para configurar un servidor Samba, inicie YaST y seleccione Servicios de red.
Servidor Samba. Cuando se inicia el mdulo por primera vez, se muestra el cuadro
de dilogo Instalacin del servidor Samba, donde se le solicita que tome algunas
decisiones bsicas en relacin con la administracin del servidor. Al final de la
configuracin, este cuadro de dilogo solicita la contrasea del usuario Root de
Samba. Cuando se inicia el servidor posteriormente, aparece el cuadro de dilogo
Configuracin del servidor Samba.

Gestin de Redes II Virtual______________________Gua Terica 4

El cuadro de dilogo Instalacin del servidor Samba consta de dos pasos:

Nombre de grupo de trabajo o dominio
En Nombre de grupo de trabajo o dominio, seleccione un nombre existente o
introduzca uno nuevo y haga clic en Siguiente.
Tipo de servidor Samba
En el siguiente paso, especifique si el servidor debe actuar como PDC y haga clic en
Siguiente.
Puede cambiar todos los ajustes de Instalacin del servidor Samba ms adelante en
el cuadro de dilogo Configuracin del servidor Samba, por medio de la pestaa
Identidad. Durante el primer inicio del mdulo del servidor Samba, el cuadro de
dilogo Configuracin del servidor Samba se muestra inmediatamente despus del
cuadro de dilogo Instalacin del servidor Samba. Est compuesto por tres
pestaas:
Inicio
En la pestaa Inicio, puede definir el inicio del servidor Samba. Para iniciar el
servicio cada vez que se arranque el sistema, seleccione Durante el arranque. Para
activar el inicio manual, elija Manualmente.
En esta pestaa puede tambin abrir puertos en el cortafuegos. Para ello,
seleccione
Puerto abierto en el cortafuegos.
Si tiene varias interfaces de red, seleccione la que corresponda a los servicios
Samba haciendo clic en Detalles del cortafuegos, seleccionando la interfaz y
haciendo clic en Aceptar.
Recursos compartidos
En esta pestaa puede determinar los recursos compartidos de Samba que se
deben activar. Hay algunos predefinidos, como los que corresponden a los
directorios personales y las impresoras. Utilice Cambiar estado para cambiar entre
Activo e Inactive (Inactivo). Haga clic en Aadir para agregar recursos compartidos
nuevos o en Suprimir para eliminar el recurso compartido seleccionado.
Identity (Identidad)
En la pestaa Identidad, puede determinar el dominio con el que est asociado el
host (Configuracin bsica) y si se debe utilizar un nombre de host alternativo en la
red (Nombre de host de NetBIOS). Para definir ajustes globales de experto o la
autenticacin de usuarios, haga clic en Configuracin avanzada.
Haga clic en Finalizar para cerrar la configuracin.
Administracin Web con SWAT
SWAT (Samba Web Administration Tool, herramienta de administracin Web de
Samba) es una herramienta alternativa para administrar el servidor Samba. Este
programa ofrece una interfaz Web sencilla que permite configurar el servidor
Samba. Para utilizar SWAT, abra http://localhost:901 en un navegador Web e inicie
la sesin como usuario Root. Si no dispone de una cuenta de usuario Root especial
para Samba, utilice la cuenta de usuario Root del sistema.
NOTA: Activacin de SWAT
Despus de la instalacin del servidor Samba, SWAT no est activado. Para
activarlo, abra Servicios de red . Servicios de red (xinetd) en YaST, habilite la
configuracin de los servicios de red, seleccione swat en la tabla y haga clic en
Cambiar estado (encendido o apagado).
Configuracin del servidor manualmente
Si tiene la intencin de utilizar Samba como servidor, debe instalar samba. El
archivo
de configuracin principal de Samba es /etc/samba/smb.conf. Este archivo se
puede dividir en dos partes lgicas.

Gestin de Redes II Virtual______________________Gua Terica 4

La seccin [global] contiene los ajustes centrales y globales.

Las secciones [share] contienen cada uno de los recursos compartidos de archivos
e impresin. De esta manera, los detalles se pueden configurar de manera diferente
para cada recurso compartido o bien de manera global en la seccin [global], con
lo que se mejora la transparencia del archivo de configuracin.
La seccin global
Para que las otras mquinas puedan acceder al servidor Samba por medio de SMB
en
un entorno Windows, deben ajustarse los siguientes parmetros de la seccin
[global] para que se adecuen a las necesidades de la configuracin de la red.
workgroup = TUX-NET
Esta lnea asigna el servidor Samba a un grupo de trabajo. Sustituya TUX-NET por
el grupo de trabajo adecuado del entorno de red. El servidor Samba aparece bajo
su nombre DNS, a menos que dicho nombre ya se haya asignado a otra mquina
de la red. Si el nombre DNS no est disponible, establezca el nombre del servidor
mediante netbiosname=MINOMBRE. Consulte mansmb.conf para conocer ms
detalles de este parmetro.
os level = 2
De este parmetro depende que el servidor Samba intente establecerse como LMB
(Local Master Browser, navegador principal local) para el grupo de trabajo
correspondiente. Seleccione un valor muy bajo para evitar que la red Windows
existente se vea perturbada por un servidor Samba mal configurado. Podr
encontrar
ms informacin sobre este punto importante en los archivos BROWSING.txt y
BROWSING-Config.txt del subdirectorio textdocs de la documentacin del paquete.
Si no existe ningn otro servidor SMB en la red (como servidores Windows NT o
2000) y desea que el servidor Samba lleve una lista de todos los sistemas
disponibles en el entorno local, aumente el valor de os level (por ejemplo, hasta
65). El servidor Samba se elegir como LMB para la red local. Al cambiar este valor,
tenga muy en cuenta cmo podra afectar a un entorno de
red Windows existente. Pruebe los cambios primero en una red aislada o en
momentos del da que no sean crticos.
wins support y wins server
Para integrar el servidor Samba en una red Windows existente en la que haya un
servidor WINS activo, active la opcin wins server y establezca como su valor la
direccin IP del servidor WINS.
Si las mquinas Windows estn conectadas a subredes separadas pero deben ser
visibles entre s, es necesario establecer un servidor WINS. Para convertir el
servidor
Samba en dicho servidor WINS, establezca la opcin wins support = Yes.
Asegrese de que slo un servidor de la red tiene este ajuste habilitado. Las
opciones wins server y wins support no deben habilitarse nunca al mismo tiempo
en el archivo smb.conf.
Recursos compartidos
En los siguientes ejemplos se indica cmo poner a disposicin de los clientes SMB
na
unidad de CD-ROM y los directorios de usuario (homes).
[cdrom]
Para impedir la activacin por error del acceso a la unidad de CD-ROM, las
siguientes lneas se han desactivado mediante marcas de comentario (en este caso,
puntos y coma). Elimine los puntos y coma de la primera columna para compartir la
unidad de CD-ROM mediante Samba.
Un CD-ROM como recurso compartido

Gestin de Redes II Virtual______________________Gua Terica 4

;[cdrom]
; comment = Linux CD-ROM
; path = /media/cdrom
; locking = No
[cdrom] y comment
La entrada [cdrom] es el nombre del recurso compartido que vern todos los
clientes SMB de la red. De forma opcional, se puede aadir un comment para
describir ms detalladamente el recurso compartido.
path = /media/cdrom
path exporta el directorio /media/cdrom.
Mediante la restrictiva configuracin por defecto, este tipo de recurso compartido
slo se encuentra disponible para usuarios presentes en el sistema. Si el recurso
compartido debe estar disponible para todos los usuarios, aada la lnea guest ok =
yes a la configuracin. Este ajuste concede permiso de lectura a todos los usuarios
de la red. Se recomienda utilizarlo con mucho cuidado. En particular, hay que
utilizarlo con mucho cuidad en la seccin [global].
[homes]
El recurso compartido [home] tiene una importancia especial. Si el usuario dispone
de una cuenta vlida y de una contrasea en el servidor de archivos Linux y de su
propio directorio personal, podr acceder a l.
Recurso compartido homes
[homes]
comment = Home Directories
valid users = %S
browseable = No
read only = No
create mask = 0640
directory mask = 0750
[homes]
Siempre y cuando no exista otro recurso compartido que utilice como nombre de
recurso compartido el del usuario que se conecte al servidor SMB, se crear de
forma dinmica un recurso compartido mediante las directivas de recurso
compartido de [homes]. El nombre del recurso compartido que resulte ser el
nombre del usuario.
valid users = %S
Una vez que la conexin quede correctamente establecida, %S se reemplazar por
el nombre especfico del recurso compartido. En el caso de un recurso compartido
[homes], ste ser siempre del nombre del usuario. Como consecuencia, los
derechos de acceso al recurso compartido de un usuario quedarn restringidos al
propio usuario.
browseable = No
Este ajuste hace que el recurso compartido no pueda verse en el entorno de red.
read only = No
Por defecto, Samba deniega el permiso de escritura a todos los recursos
compartidos xportados mediante el parmetro read only = Yes. Para tener
permiso de escritura en un recurso compartido, establezca el valor
read only = No, que es equivalente a writeable = Yes.
create mask = 0640
Los sistemas no basados en MS Windows NT no comprenden el concepto de los
permisos de UNIX, por lo que no pueden establecerlos al crear un archivo. El
parmetro create mask define los permisos de acceso que se asignarn a los
archivos de nueva creacin. Esto slo se aplica a los recursos compartidos en los
que se puede escribir. En concreto, este ajuste significa que el propietario tiene

Gestin de Redes II Virtual______________________Gua Terica 4

permisos de lectura y escritura, y que los miembros del grupo primario del usuario
tienen permisos de lectura. valid users = %S impide el acceso de lectura incluso
aunque el grupo tenga permiso para ello. Para que el grupo tenga acceso de lectura
y escritura, desactive la lnea valid users = %S.
Nivel de seguridad
Es posible proteger el acceso a cada recurso compartido mediante una contrasea
Para aumentar la seguridad. SMB dispone de tres maneras posibles de comprobar
los
permisos:
Seguridad en el nivel del recurso compartido (security = share)
Se asigna una contrasea fija al recurso compartido. Todos los que conozcan la
contrasea tendrn acceso al recurso compartido.
Seguridad en el nivel del usuario (security = user) Esta variante introduce el
concepto de usuario en SMB. Cada usuario debe registrarse en el servidor con su
propia contrasea. Despus del registro, el servidor puede dar acceso a cada
recurso compartido exportado en funcin de los nombres de usuario.
Seguridad en el nivel del servidor (security = server):
De cara a los clientes, Samba acta como si trabajara en el modo de nivel de
usuario.
Sin embargo, todas las peticiones de contraseas se pasan a otro servidor en modo
de nivel de usuario, que es el encargado de la autenticacin. Este ajuste requiere
un parmetro adicional (password server).
La seleccin de la seguridad en el nivel del recurso compartido, del usuario o del
servidor afecta al servidor entero. No es posible ofrecer ciertos recursos
compartidos en la configuracin de un servidor con seguridad en el nivel del recurso
compartido y otros con seguridad en el nivel del usuario. No obstante, se puede
ejecutar un servidor Samba individual para cada direccin IP configurada en el
sistema.
Configuracin de los clientes
Los clientes slo pueden acceder al servidor Samba mediante TCP/IP. NetBEUI y
NetBIOS no se pueden utilizar mediante IPX con Samba.
Configuracin de un cliente Samba
con YaST
Configure un cliente Samba para acceder a recursos (archivos o impresoras) en el
servidor Samba. Introduzca el dominio o el grupo de trabajo en el cuadro de
dilogo Grupo de trabajo SAMBA. Haga clic en Examinar para ver todos los grupos
y dominios disponibles que se pueden seleccionar con el ratn. Si activa Usar
tambin la informacin SMB para la autentificacin de Linux, la autenticacin de
usuarios se realizar en el servidor Samba. Cuando haya introducido todos los
ajustes, haga clic en Finalizar para completar la configuracin.
Windows 9x y ME
Windows 9x y ME ya incorporan compatibilidad con TCP/IP. Sin embargo, sta no
se
instala por defecto. Para aadir TCP/IP, vaya a Control Panel . System (Panel de
control - Sistema) y escoja Add . Protocols . TCP/IP from Microsoft (Agregar Protocolos - TCP/IP de Microsoft). Despus de reiniciar la mquina Windows,
busque el servidor Samba haciendo doble clic en el icono del escritorio
correspondiente al entorno de red.
SUGERENCIA

Gestin de Redes II Virtual______________________Gua Terica 4

Para utilizar una impresora en el servidor Samba, instale el controlador de

impresin estndar o Apple-PostScript que corresponda a la versin de Windows.
Se recomienda enlazarlo con la cola de impresin de Linux, que admite PostScript
como formato de entrada.
Samba como servidor de inicio de sesin
En las redes en las que se encuentren en su mayora clientes de Windows, a
menudo es preferible que los usuarios se puedan registrar slo mediante una
cuenta vlida y una contrasea. En una red basada en Windows, esta tarea la
gestiona un servidor Windows NT configurado como controlador de dominio
primario (PDC, del ingls Primary Domain Controller), aunque tambin se puede
realizar a travs de un servidor Samba.
se muestran las entradas que deben realizarse en la seccin [global] de
smb.conf.
Seccin global de smb.conf
[global]
workgroup = TUX-NET
domain logons = Yes
domain master = Yes
Si para la verificacin se utilizan contraseas cifradas (ste es el ajuste por defecto
en instalaciones bien mantenidas de MS Windows 9x, MS Windows NT 4.0 a partir
del Service Pack 3 y productos posteriores), el servidor Samba debe poder
gestionarlas.
Esto lo permite la entrada encrypt passwords = yes de la seccin [global] (en la
versin 3 de Samba, es la opcin por defecto). Adems, es necesario cifrar las
cuentas de usuario y las contraseas en un formato admitido por Windows. Hgalo
con el comando smbpasswd -a nombre. Cree la cuenta de dominio para los
equipos,
necesaria debido al concepto de dominio de Windows NT, mediante los siguientes
comandos:
Configuracin de una cuenta de mquina
useradd nombredehost\$
smbpasswd -a -m nombredehost
Con el comando useradd se aade un smbolo de dlar. El comando smbpasswd
lo inserta automticamente al utilizar el parmetro -m. El ejemplo comentado de
configuracin
(/usr/share/doc/packages/Samba/examples/smb.conf
.SuSE)
contiene ajustes para que esta tarea se realice automticamente.
Configuracin automtica de una cuenta de mquina add machine script =
/usr/sbin/useradd -g nogroup -c "NT Machine Account" \
-s /bin/false %m\$
Para que Samba pueda ejecutar este guin correctamente, elija un usuario de
Samba con los permisos de administrador necesarios. Para ello, seleccione un
usuario y adalo al grupo ntadmin. A continuacin puede asignar el estatus de
Domain Admin a todos los usuarios de dicho grupo Linux mediante el comando:
net groupmap add ntgroup="Domain Admins" unixgroup=ntadmin .

Gestin de Redes II Virtual______________________Gua Terica 4

MANEJO DE CLIENTES CON TRANSFERENCIA DE ARCHIVOS

OBJETIVOS:

Transferencia de archivos a travs de Telnet y FTP

Utilizacin de comandos tiles para el manejo remoto de archivos.
Comprender la utilizacin del editor vi.

INTRODUCCION
FTP ("File Transfer Protocol"):
FTP es el conjunto de programas que se usa en Internet para
transferir archivos entre sistemas. La mayora de los sistemas
UNIX, VMS y MS-DOS de Internet tienen un programa llamado
ftp que se usa para transferir estos ficheros, y si Ud. tiene acceso
a Internet, el mejor modo de descargarse el software de Linux es
usando ftp. Este apndice cubre el uso de ftp a nivel bsico por
supuesto, hay muchas ms funciones y usos del ftp de los que se dan aqu.
Ftp puede usarse tanto para "subir" (enviar) como para "bajar" (recibir) ficheros desde los
sites de Internet. En la mayora de situaciones, Ud. estar bajando software. En Internet hay
un gran nmero de FTP archive sites de acceso pblico, mquinas que permiten a cualquiera
hacer ftp sobre ellas y bajarse el software.
Aprendiendo ftp:
Una sesin de ftp puede iniciarse casi idntica a una sesin de telnet Inicialmente abrimos
una consola y colocamos ftp> luego establecemos comunicacin con una maquina remota
mediante la instruccin open, seguida de la direccin IP de la maquina deseada, al comenzar
ftp la maquina nos pide una autenticacin. Si no contamos con una cuenta de usuario en
dicha maquina ( lo cual es lo mas frecuente), podemos introducir como usuario anonymous
y como contrasea, una direccin de un e-mail o itca. Con esto habremos iniciado una
sesion ftp annima , despus de esto podremos comenzar a subir y bajar archivos. Cuando
hayamos acabado nuestro trabajo en la maquina remota emplee el comando close y luego
exit
FTP (File Transfer Protocol, puerto 21 TCP) es, como su nombre indica, un protocolo de
transferencia de ficheros entre sistemas. Desde un equipo cliente conectamos a un servidor
para descargar ficheros desde l lo habitual o para enviarle nuestros propios archivos.
Un problema bsico y grave de FTP es que est pensado para ofrecer la mxima velocidad en
la conexin, pero ni mucho menos para ofrecer la mxima seguridad; todo el intercambio de
informacin, desde el login y password del usuario en el servidor hasta la transferencia de
cualquier fichero, se realiza en texto claro, con lo que un atacante lo tiene muy fcil para
capturar todo ese trfico y conseguir as un acceso vlido al servidor. Incluso puede ser una
amenaza a la privacidad de nuestros datos el hecho de que ese atacante tambin pueda
capturar y reproducir los ficheros transferidos.
Parece evidente que la conexin FTP a nuestro sistema ha de estar restringida a los usuarios
que realmente lo necesiten: por ejemplo, un usuario como root en principio no va a necesitar
utilizar este servicio, ya que por lo general va a trabajar en consola; otros usuarios
considerados `del sistema' (donde se incluye por ejemplo a postmaster, bin, uucp,
shutdown, daemon...) tampoco necesitarn hacer uso de FTP. Podemos indicar este tipo de
usuarios a los que no les est permitida una conexin va FTP a nuestra mquina en
/etc/ftpusers, con un nombre por lnea un ejemplo de este fichero es el siguiente:
luisa:~# cat /etc/ftpusers
halt
operator root
shutdown sync

Gestin de Redes II Virtual______________________Gua Terica 4

bin
postmaster

daemon
news

adm

lp
uucp

man

mail

games

FTP annimo :
Los problemas relacionados con la seguridad del servicio FTP son especialmente
preocupantes cuando se trata de configurar un servidor de FTP annimo; muchos de estas
mquinas situadas en universidades espaolas se convierten en servidores de imgenes
pornogrficas o de warez (copias ilegales de programas comerciales). Conseguir un servidor
de FTP annimo seguro puede llegar a ser una tarea complicada: incluso en las pginas de
ayuda de algunas variantes de Unix (como Solaris) se trata de facilitar el proceso para el
administrador mediante un shellscript que por defecto presenta graves problemas de
seguridad, ya que deja una copia del fichero de claves del sistema como un archivo de
acceso pblico y annimo.
Para configurar correctamente un servidor de este tipo necesitamos en primer lugar crear al
usuario ftp en /etc/passwd y /etc/shadow, as como su directorio de conexin (algunos
Unices, como Linux, ya incorporan esto al instalar el sistema). Este directorio ha de
pertenecer a root (ningn fichero o subdirectorio ha de pertenecer nunca a ftp) y al grupo al
que pertenece ftp: con esto conseguimos que los permisos de propietario sean para el
administrador y los de grupo para los usuarios annimos; estos permisos sern 555.
Dentro del $HOME de ftp hemos de crear el rbol de directorios mnimo para poder trabajar
correctamente; esto es debido a la llamada a chroot() que se utiliza en los accesos
annimos, que permite a esos usuarios ver el directorio raz de su conexin en el directorio
real ftp/.
Al menos dos directorios son necesarios: etc/ y bin/, ambos propiedad de root y con modo
111. En el primero de ellos hemos de crear un fichero passwd y otro group, utilizados no con
propsitos de autenticacin sino para visualizar el propietario y grupo de cada fichero en el
entorno sobre el que se ha aplicado chroot() al ejecutar ls: por tanto, no hace falta ninguna
contrasea en ese fichero passwd, y slo ha de contener entradas para los usuarios que
posean ficheros bajo la jerarqua de ftp, como root; de la misma forma, el fichero group slo
ha de contener las entradas correspondientes a grupos que posean ficheros en dicha
jerarqua:
Como vemos, el usuario ftp tiene un shell denominado /bin/false; aunque aqu no tiene
ningn efecto, en el archivo de contraseas real de la mquina esto es til para prevenir que
dicho usuario pueda conectar mediante TELNET o similar.
Por su parte, en el otro directorio que hemos creado (bin/) hemos de almacenar una copia
del programa ls, de forma que los usuarios puedan listar los contenidos de los directorios
cuyos permisos lo permitan; si utilizamos una versin esttica del programa, como hace por
ejemplo Linux, no hemos de configurar nada para que la aplicacin funcione, pero si en
cambio utilizamos un ls dinmico (como SunOS o Solaris) hemos de crear el directorio lib/
dentro de ftp/ y copiar en l las libreras necesarias para que el programa funcione (podemos
ver de cules se trata con ldd).
Con estos pasos ya tenemos configurada la base de nuestro servidor de FTP annimo; no
obstante, es habitual crear dos directorios ms, uno denominado pub/ y otro incoming/,
dentro de la misma jerarqua que los anteriores (esto es, en el $HOME del usuario ftp).
El primero suele contener directorios con todos los ficheros que deseemos ofrecer a los
usuarios annimos; su modo ha de ser 555, o 2555 en los sistemas que utilicen el bit setgid
en un directorio para que sus subdirectorios y ficheros hereden el grupo del propietario. El
directorio incoming es justo lo contrario: sirve para que esos usuarios annimos puedan
enviar archivos a nuestra mquina. Y es aqu donde suelen comenzar muchos problemas: al
permitir el upload de software, es posible que algunos piratas utilicen nuestra mquina para
crear servidores warez, subiendo programas comerciales a este directorio y luego indicando
su localizacin exacta a otras personas, para que los puedan descargar. Por tanto, los
permisos de incoming son vitales para nuestra seguridad (incluso si no deseamos que los
usuarios annimos nos enven ficheros podemos borrar este directorio): esos permisos han
de ser 1733, y el propietario del directorio es el root. >Para qu ponemos el bit de
permanencia? Muy sencillo: para que los usuarios no puedan sobreescribir o borrar ficheros
existentes; aunque la mayora de servidores FTP no permiten a los usuarios annimos

Gestin de Redes II Virtual______________________Gua Terica 4

sobreescribir ficheros, si no pusiramos este modo un usuario normal del sistema s que
podra hacerlo.
El siguiente shellscript puede utilizarse para configurar cmodamente un entorno restringido
destinado a los usuarios de FTP annimo siguiendo las directrices que acabamos de
comentar; funciona correctamente (en teora) sobre Solaris, Linux y AIX. Al igual que sucede
con muchas tareas automatizadas, conviene repasar manualmente la estructura de
directorios y ficheros creados para comprobar que todo es como esperbamos:

USO DE TELNET:
Para el uso de este protocolo es importante tener en cuenta la velocidad de la conexin
ya que es una limitante critica en el trabajo con Telnet.
Para trabajar con Telnet, debemos abrir la consola e introducir en ella el comando Telnet
El indicador de nuestro shell cambia a Telnet> una ve que esto sucede, le diremos al
programa que deseamos comenzar una sesin en una mquina remota, para lo cual
emplearemos la instruccin open seguido de la direccin IP de la mquina remota
Si la mquina remota se encuentra disponible veremos en nuestra consola, la consola
correspondiente a dicha mquina y una vez all podremos registrarnos y comenzar a
trabajar.
Es muy importante que entendamos en que consiste trabajar con Telnet La idea fundamental
es la posibilidad de ejecutar aplicaciones en maquinas diferentes de la nuestra, y al mismo
tiempo las vemos como si se tratara de aplicaciones instaladas localmente .
Cuando hayamos acabado nuestro trabajo en la maquina remota emplee el comando exit.

El servicio TELNET
El protocolo TELNET (TCP, puerto 23) permite utilizar una mquina como terminal virtual de
otra a travs de la red, de forma que se crea un canal virtual de comunicaciones similar pero mucho ms inseguro - a utilizar una terminal fsicamente conectada a un servidor; la
idea es sencilla: estamos accediendo remotamente en modo texto a un equipo - en principio
potente - igual que si estuviramos utilizando su consola o una de sus terminales fsicas, lo
que nos permite aprovechar toda su potencia de clculo si necesidad de desplazarnos hasta
la ubicacin de ese servidor, sino trabajando cmodamente desde nuestro propio equipo.

Gestin de Redes II Virtual______________________Gua Terica 4

10