Академический Документы
Профессиональный Документы
Культура Документы
Introduccin
Obteniendo Informacin Trabaje con su instructor para determinar la
informacin necesaria para configurar TCP/IP en su sistema y para
interconectar todos los hosts en el aula de laboratorio. Para facilitar su tarea
en este sentido, Ud. necesitar un diagrama de la topologa de red para la
sala de laboratorio. Su instructor le proveer de esta informacin.
Instrucciones de Ejercicio
Configuracin de TCP/IP
Nota: Cuando configure la red usando un entorno X, Ud. puede experimentar un comportamiento
extrao del entorno grfico, particularmente si cambia el hostname o la direccin IP. Tpicamente,
X parece rechazar la apertura de ventanas adicionales para aplicaciones. Si esto sucede, reinicie
su servidor X, haciendo logout del mismo y haciendo login nuevamente. Si X falla completamente,
use Ctrl-Alt-Backspace para terminar el servidor X.
1. Determine el hostname actual del sistema. Luego configure el hostname al indicado por el
instructor.
# hostname
# hostname sys1.example.com
2. Localice el archivo donde su hostname est almacenado, y cambie el hostname al que el
instructor le asign.
# vi /etc/sysconfig/network
3. Verifique que su adaptador de red est configurado correctamente, ejecutando el comando
ifconfig. Si es necesario, ejecute los comandos dmesg y lspci para descubrir qu est
mal. Si Ud. no sabe qu adaptadores tiene, consulte a su instructor.
# ifconfig eth0
Si obtiene el mensaje Device not found, Ud. necesita configurar su adaptador. Consulte al
instructor por los detalles.
4. Observe los archivos de configuracin de su adaptador de red.
# cd /etc/sysconfig/network-scripts
# ls ifcfg-*
# cat ifcfg-eth0
5. Usando las herramientas que vienen con su distribucin, asigne la direccin IP adecuada,
mscara de subred y la ruta por defecto para el adaptador. Use la direccin IP asignada
por su instructor, y use la direccin IP de la mquina del instructor como la ruta por
defecto., a menos que el instructor especifique algo diferente. No use DHCP.
# system-config-network
6. Observe los archivos de configuracin del adaptador de red nuevamente. Puede observar
su configuracin?
# cd /etc/sysconfig/network-scripts
# ls ifcfg-*
# cat ifcfg-eth0
7. Cambie el archivo /etc/hosts, de modo que todos los sistemas en la clase estn listados
all.
# vi /etc/hosts
Edite el archivo de manera que se vea ms o menos as:
127.0.0.1
10.1.1.100
10.1.1.1
10.1.1.2
...
localhost.localdomain
instructor.example.com
sys1.example.com
sys2. example.com
localhost
instructor
sys1
sys2
8. Reinicie su mquina para asegurar que todos los cambios son persistentes luego de ello.
11. Haga ping a la mquina del instructor para verificar que la conexin a travs de la red
funciona.
# ping 10.1.1.100
12. Ahora use el comando arp para observar los contenidos del cach ARP.
# arp -a
13. Observe a su alrededor para ver si otros estudiantes han reiniciado sus sistema tambin.
Haga ping a algunos otros sistemas. Luego ejecute el comando arp nuevamente.
# ping 10.1.1.2
# arp -a
14. Use el comando netstat para verificar qu puertos locales estn abiertos.
# netstat -a | less
Instrucciones de Ejercicio
Configuracin del demonio xinetd
1. Asegrese de que su sistema utilice o tenga instalado sea inetd o xinetd.
# rpm -qa | grep inetd
2. Verifique que el demonio xinetd no se est ejecutando. Si lo est, detngalo.
# ps -aux | grep inet
Si el demonio xinetd est corriendo, detngalo:
# service xinetd stop
3. Haga una lista de todos los puertos que estn actualmente abiertos. Luego inicie el
demonio xinetd y verifique la lista de puertos nuevamente. Ve alguna diferencia?
Hay puertos adicionales abiertos?
# netstat -anut
# service xinetd start
# netstat -anut
4. Explore dentro de los archivos de configuracin de xinetd e intente encontrar las
ubicaciones de cada uno de los servicios siguientes:
- telnet
- talk
- ntalk
- ftp (vsftpd)
- rsh
- rlogin
- finger
Nota: En sistemas Fedora/RedHat/CentOS, el demonio ftp (vsftpd) est configurado por
defecto como un demonio independiente. Para el propsito d eesta unidad, eso no es un
problema.
Nota: En estos sistemas, debe instalar de manera adicional algunos paquetes, de modo
que tenga a su disposicin cada uno de los servicios anteriormente mencionados. Los
paquetes que debe instalar son:
finger-server,
rsh-server,
telnet-server,
rlogin-server
Estos paquetes se encuentran en los medios de instalacin de CentOs 5.2. Si no dispone
de ellos, acuda a su instructor para el efecto.
5. Una vez que haya instalado estos paquetes que funcionan bajo el dominio de xinetd,
debe habilitarlos pues por defecto, no lo estn. Para ello edite los archivos
correspondientes a cada uno de los servicios (telnet, talk, finger, ntalk, rsh, rlogin,
klogin, eklogin, kshell, rsync, krb5-telnet) ubicados dentro del directorio /etc/xinetd.d/ y
en cada uno de ellos modifique la opcin disable = yes por disable = no, y luego de
ello reinicie el servicio xinetd.
6. Nuevamente detenga el demonio xinetd, verifique el nmero de puertos abiertos. Inicie
el demonio nuevamente y haga una nueva verificacin de los puertos.
Administracin de Red y Seguridades
# ps -anut
# service xinetd stop
# ps -anut
# service xinetd start
7. Ahora asegrese de que los servicios telnet y ftp estn arriba cuando el sistema sea
reiniciado.
# chkconfig telnet on
# chkconfig vsftpd on
21. Haga logout del sistema remoto, logout del sistema local y login localmente como tux1
nuevamente.
22. Use el comando rcp para copiar el archivo tux1file del sistema remoto al sistema local
(en el cual Ud ahora est logueado como tux1). Funciona? Por qu?
tux1@sys1$ rcp sys2:tux1file tux1file
tux1@sys1$ cat tux1file
23. Use el comando rsh para ejecutar remotamente el comando hostname en el sistema de
su compaero.
tux1@sys1$ rsh sys2 hostname
24. Use el comando rsh para ejecutar remotamente el comando hostname en el sistema de
su compaero y guarde la salida del comando al archivo local hostname.remote.
Observe los contenidos del archivo.
tux1@sys1$ rsh sys2 hostname > hostname.remote
tux1@sys1$ cat hostname.remote
25. Use el comando rsh para ejecutar remotamente el comando hostname en el sistema de
su compaero, y guarde la salida del comando en el archivo remoto hostname.local.
Observe los contenidos del archivo.
tux1@sys1$ rsh sys2 hostname > hostname.local
tux1@sys1$ rsh sys2 cat hostname.local
$ talk tux1@sys2
Introduccin
En este ejercicio Ud. configurar y utilizar OpenSSH de modo que sea
capaz de hacer login seguro a su sistema. Ud. tambin utilizar
autenticacin RSA/DSA para hacer login en su servidor.
Instrucciones de Ejercicio
Iniciando y probando sshd
1. Verifique que el demonio sshd est corriendo. Si no ha sido iniciado, incielo y asegrese
de que sea iniciado cada vez que su sistema se reinicie.
# service sshd status
# chkconfig sshd on
2. Verifique que puede hacer login sobre el dispositivo de loopback.
# ssh 127.0.0.1
root@127.0.0.1s passsword: (escriba su contrasea)
# logout
tux1@sys1$ pstree
tux1@sys1$ ssh root@sys2
tux1@sys1$ logout
14. Haga logout de su subshell actual e intente hacer ssh en el sistema de su compaero
nuevamente. Necesita ingresar el password de la llave privada nuevamente?
tux1@sys1$ exit
tux1@sys1$ ssh root@sys2
Ud. necesita escribir nuevamente su password de llave privada.
root@sys2# logout
15. Haga login como tux1, pero esta vez usando xdm, kdm o gdm (cualquiera que est por
defecto en su sistema). Abra un shell y ejecute el comando pstree para revisar que sshagent se inicie automticamente. Haga upload de sus llaves privadas con ssh-add e intente
hacer login en el sistema de su compaero nuevamente.
Haga login como tux1 en la interfaz grfica (no en un emulador)
# pstree
Ud. debera ver ssh-agent ejecutndose.
# ssh-add
# ssh root@sys2
Configurar un sistema Linux para que use PPP sobre una conexin
serial dedicada.
Introduccin
En este laboratorio ser necesario trabajar en pares, estableciendo
conexiones PPP entre dos sistemas de un mismo equipo. Uno de ellos ser
el cliente, el sistema que llama, y el otro ser el servidor, el sistema llamado.
Aunque es posible configurar ambos sistemas simultneamente, es mejor
configurar el sistema llamado primero. El ltimo ejercicio, de configuracin
de
una
conexin
permanente
null-modem,
puede
realizarse
simultneamente ya que no hay diferencia entre ambos sistemas.
Material necesario
Durante el desarrollo de esta prctica Ud. necesitar disponer de un cable
null mdem (serial) por cada grupo de trabajo (par de estudiantes).
Actualmente los mainboards suelen prescindir del puerto serial. En ese caso
necesitar utilizar adaptadores Serial-USB por cada mquina para realizar
est prctica. De otro modo no ser posible.
Instrucciones de Ejercicio
Nota:
En este ejercicio, Ud. Necesita trabajar junto con el sistema de un compaero. Un sistema (el
sistema que llama) se configurar como cliente PPP y llamar al otro sistema (el sistema llamado)
que acta como servidor PPP.
Asegrese de ejecutar cada paso en el sistema correcto.
a 38400 8N1 y setee Hardware flow control on y Software flow control off. Presione
Enter.
Vaya a Modem and dialing y asegrese de que Init string y Reset string estn vacos.
Presione Enter.
Guarde la configuracin como nullmodem.
Salga de minicom.
# minicom nullmodem
Ud. debera ahora verel screen de login del sistema llamado. (Ud. puede necesitar
presionar Enter una vez para activar el proceso de login).
Haga login como ppp con el password ppp. Ud debera observar un prompt de bash
regular.
Haga logout y salga de minicom com Ctrl-A, X
5. Regrese al servidor y cambie la configuracin del usuario ppp de modo que cuando
alguien haga login como ppp, /usr/sbin/pppd sea automticamente iniciado, en lugar de
/bin/bash.
# vipw
Cambie el shell de ppp a /usr/sbin/pppd
6. Cambie los permisos de /usr/sbin/pppd a 4755.
# chmod 4755 /usr/sbin/pppd
7. Configure las siguientes opciones globales para PPP: lock, nodetach, no authentication y
hardware flor control.
# vi /etc/ppp/options
Asegrese de que solamente las siguientes lneas existan en este archivo:
lock
-detach
noauth
crtcts
8. Configure las direcciones IP en el archivo de opciones PPP especfico del puerto.
# vi /etc/ppp/options.ttyS0
Agregue la siguiente lnea:
192.168.1.2:192.168.1.1
(reemplace 192.168.1.2 con su direccin IP local y 192.168.1.1 con la direccin remota de
su conexin PPP)
9. Cmbiese nuevamente al sistema llamante y pruebe otra vez la conexin con minicom.
Luego de hacer login como ppp, Ud. debera observar una gran cantidad de basura que
indica que pppd est tratando de sincronizarse. Si lo observa, salga de minicom.
# minicom nullmodem
Haga login como ppp con password ppp.
Ud. debera ver ahora PPP intentando sincronizarse:
Salga de minicom con Control-A, X
Configuracin de la autenticacin
Vamos ahora a extender este esquema para usar autenticacin PAP o CHAP. Vamos a configurar
el servidor de manera que solicite a cada cliente que se autentique usando PAP, y vamos a usar
el archivo /etc/passwd en lugar de /etc/pap-secrets. Adems, vamos a configurar el cliente de
manera que se autenticar usando cualquier protocolo requerido, con su nombre de usuario y
password.
16. en el servidor, cambie el archivo /etc/ppp/optins de manera que desde ahora a cada cliente
se le solicite autenticarse usando PAP. Tambin agregue la opcin que habilita chequeo
regular va /etc/`passwd.
# vi /etc/ppp/options
Borre la opcin noauth y agregue las opciones auth, login y +pap.
Su archivo ahora se ver como sigue:
lock
-detach
crtcts
auth
login
+pap
Administracin de Red y Seguridades
17. En el servidor, cambie el archivo /etc/ppp/pap-secrets de manera que contenga una lnea
como la que se menciona ms abajo.
# vi /etc/ppp/pap-secrets
Agregue la siguiente lnea:
*
*
noauth
crtcts
# ping 192.168.1.2
27. Mate uno de los demonios pppd y observe lo que pasa
# kill -INT cat /var/run/ppp0.pid
Un nuevo pppd debera ser iniciado por init automticamente.
Ejercicio 6: Enrutamiento
De qu se trata este ejercicio
Este ejercicio le dar la oportunidad de configurar enrutamiento entre
sistemas en redes diferentes. Ud. examinar inicialmente las tablas de
enrutamiento y luego se harn cambios, as como tambin se probarn
dichas rutas, utilizando comandos TCP/IP.
Introduccin
La clase consiste de lo que llamaramos una red plana, lo que significa que
no hay un router en ella. Sin embargo, usaremos la tarjeta de red adicional
de nuestros equipos para crear una red adicional.
Lo que haremos es lo siguiente: Conectar usando un cable cruzado las
tarjetas integradas de las mquinas de cada equipo. Entre las dos, cada
equipo deber decidir cual ser el router. Este router enrutar todos los
paquetes provenientes de la otra mquina de su equipo.
Instrucciones de Ejercicio
Preparacin del router para hacer enrutamiento
1. Decida entre los sistemas que se encuentran conectados a travs del cable cruzado, cual
ser el que funcione como router. Comunique su decisin al instructor y al resto de la
clase.
- En este ejemplo se asumir que sys1 es el router.
2. En el router solamente haga login como root. Active la funcin de IP forwarding y
asegrese de que est activa luego de reiniciar la mquina.
#cat /proc/sys/net/ipv4/ip_forward
Si la salida es 0, active el reenvo IP (IP forwarding)
# echo 1 > /proc/sys/net/ipv4/ip_forward
Ahora asegrese de que esta opcin est activa an luego de un reinicio del sistema.
# vi /etc/sysctl.conf
Cambie la lnea ip_forward de manera que luzca como sigue:
net.ipv4.ip_forward = 1
Introduccin
En este ejercicio, Ud. configurar un dominio DNS para un nmero de hosts
en la red de la clase. Haga equipos de dominio en pares y decide qu
sistemas sern los servidores primarios y los secundarios.
Instrucciones de Ejercicio
Nota:
Aqu se asume que Ud. est configurando un dominio example.com. y tambin asumimos que
sys1 es su servidor DNS primario, sys2 es un DNS secundario y sys3 es un cliente DNS.
Asegrese de sustituir el nombre de dominio example.com por el dominio que necesita configurar,
y haga lo mismo para los hostnames y direcciones IP.
bind
bind-utils
bind-libs
caching-nameserver
Vamos a hacer referencia en estos ejercicios al archivo /etc/named.conf. Tomar en cuenta dos
datos:
- En las ltimas versiones de CentOS el archivo de configuracin ha
cambiado de nombre por named.caching-nameserver.conf. Dentro de /etc
cree en enlace simblico llamado named.conf y que apunte a
named.caching-nameserver.conf as:
# cd /etc
# ln -s named.caching-nameserver.conf named.conf
Con esto ya podr trabajar en /etc/named.conf como se indica a
continuacin.
- Si tiene instalado el paquete bind-chroot, la ubicacin del archivo de
confguracin named.caching-nameserver.conf ser /var/named/chroot/etc/.
En ese directorio tendr que localizar el archivo de configuracin.
1. Haga login como root.
2. Modifique el archivo named.conf para que refleje su situacin.
Recuerde nuevamente que si tiene el paquete bind-chroot instalado, el demonio named
se ejecuta en un ambiente enjaulado, relativo al directorio /var/named/chroot. Por lo tanto
deber crear el archivo named.conf en /var/named/chroot/etc/named.conf.
El archivo debera verse como sigue:
# vi /etc/named.conf
options {
directory
dump-file
};
"/var/named";
"/var/named/named_dump.db";
zone "example.com" IN {
type master;
file "named.example.com";
};
zone "1.10.10.in-addr.arpa" IN {
type master;
file "named.10.1.1";
};
Administracin de Red y Seguridades
Los materiales de este curso no pueden ser reproducidos en su totalidad
o en parte sin el permiso escrito previo de Syderix S.A.
3. Cree el archivo de zonas de nombres. Este debera incluir todos los hosts en su dominio.
# vi /var/named/named.example.com
Este archivo debera lucir como sigue:
$TTL 86400
@
IN
sys1
sys2
sys3
sys4
SOA
IN
IN
NS
NS
IN
IN
IN
IN
A
A
A
A
sys1.example.com. root.sys1.example.com.
2009060702
; serial
28800
7200
604800
86400 )
sys1.example.com.
sys2.example.com.
10.1.1.1
10.1.1.2
10.1.1.3
10.1.1.4
4. Cree los archivos de zona IP, as como lo hizo para los archivos de zona de nombre.
# vi /var/named.10.1.1
$TTL 86400
@
IN
1
2
3
4
SOA
IN
IN
NS
NS
creative.sidevox.ec. root.creative.sidevox.ec.
2009060702
; serial
28800
7200
604800
86400 )
sys1.example.com.
sys2.example.com.
IN
IN
IN
IN
PTR
PTR
PTR
PTR
sys1.example.com.
sys2.example.com.
sys3.example.com.
sys4.example.com.
5. Verifique los archivos de zona local. Note que estos archivos son instalados por defecto
lo nico que debe verificar es que existan. No te tambin que su nombre vara de
distribucin en distribucin y que no todas las distribuciones son consistentes en referencia
a su esquema de nombrado.
# vi /var/named/localhost.zone
Este archivo ya debera existir. Revise si los contenidos estn bien, y cmbielos si es
necesario.
Administracin de Red y Seguridades
86400
IN SOA
root (
43
3H
15M
1W
1D )
IN NS
IN A
IN AAAA
@
127.0.0.1
::1
# vi /var/named/named.local
Este archivo igualmente ya debera existir. Revise si los contenidos estn bien y cmbielos
de ser necesario.
$TTL
@
86400
IN
SOA
IN
IN
NS
PTR
localhost. root.localhost.
1997022700 ;
28800
;
14400
;
3600000
;
86400 )
;
localhost.
localhost.
(
Serial
Refresh
Retry
Expire
Minimum
6. Copie el archivo /etc/hosts para crear un backup. Luego edtelo, borrando todos los hosts
excepto localhost y el de su sistema.
# cp /etc/hosts /etc/hosts.bck
# vi /etc/hosts
La nica informacin que debera estar es :
127.0.0.1
10.1.1.1
localhost.localdomain
sys1.example.com
localhost
sys1
"/var/named";
"/var/named/data/cache_dump.db";
zone "example.com" IN {
type slave;
file "named.example.com.bck";
masters {
10.1.1.1;
};
};
zone "1.10.10.in-addr.arpa" IN {
type slave;
file "named.10.1.1.bck";
masters {
10.1.1.1;
};
};
zone "localhost" IN {
type master;
file "localhost.zone";
};
zone "0.0.127.in-addr.arpa" IN {
type master;
file "named.local";
};
11. Verifique los archivos de zona local. Note que estos archivos estn instalados por defecto
lo nico que debe hacer es verificar que existen. Note tambin que sus nombres difieren
de distribucin en distribucin y que no todas ellas son consistentes en su esquema de
nombrado.
# vi /var/named/localhost.zone
Este archivo ya debera existir. Revise si los contenidos estn bien, y cmbielos si es
necesario.
$TTL
@
86400
IN SOA
root (
43
3H
15M
1W
1D )
IN NS
IN A
@
127.0.0.1
::1
# vi /var/named/named.local
Este archivo igualmente ya debera existir. Revise si los contenidos estn bien y cmbielos
de ser necesario.
$TTL
@
86400
IN
SOA
IN
IN
NS
PTR
localhost. root.localhost.
1997022700 ;
28800
;
14400
;
3600000
;
86400 )
;
localhost.
localhost.
(
Serial
Refresh
Retry
Expire
Minimum
12. Copie el archivo /etc/hosts para crear un backup. Luego edite su archivo /etc/hosts,
borrando todos los hosts excepto localhost y su sistema.
# cp /etc/hosts /etc/hosts.bck
# vi /etc/hosts
La nica informacin en el archivo debera ser :
127.0.0.1
10.1.1.2
localhost
sys2.example.com
Configuracin de un cliente
Todos los sistemas EXCEPTO los servidores de nombres deberan completar esta seccin.
Administracin de Red y Seguridades
17. Copie el archivo /etc/hosts para crear un backup. Luego edite el archivo comentando todas
las entradas excepto la lnea con localhost y la que hace referencia a su sistema. Este no
es un paso necesario, pero mostrar que Ud. est nicamente utilizando el servidor de
nombres.
# cp /etc/hosts /etc/hosts.bck
# vi /etc/hosts
La nica informacin presente debera ser:
127.0.0.1
10.1.1.3
localhost
sys3.example.com
# nslookup
> set d2
> sys1
> set nodebug
> exit
26. Use dig para consultar todos los registros SOA y NS en su dominio.
# dig @sys1.example.com example.com soa
# dig @sys1.example.com example.com ns
localhost;
"rndckey";
953;
# cd /etc
# vi named.conf
Modifique el archivo y agregue las siguientes lneas :
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { rndckey; };
};
include "/etc/rndc.key";
directorio donde desea crear el archivo de dump. En este caso ejecute un chown para
hacer al usuario named el dueo de ese directorio, o cree un directorio separado que
pueda ser escrito por el usuario named, y almacene el archivo de dump alli. (Ud. necesita
la directiva dump-file en el archivo named.conf para completar esto.)
# less /var/named/named_dump.db
Configurar aliases
Introduccin
En este ejercicio, Ud. configurar uno de sus sistemas en su dominio DNS
como un servidor de correo para ese dominio. Todos los sistemas enviarn
so correo electrnico a ese servidor, y recuperarn e-mail pendiente de l.
Instrucciones de Ejercicio
Configuracin de registros MX en el DNS
1. En su servidor DNS master, agregue los registros MX al archivo de zona de nombres y
reinicie el servicio named.
# vi /var/named/named.example.com
Edite el archive de manera que luzca as: (tome en cuenta el agregar el registro MX en la
lnea nmero 10)
$TTL 86400
@
IN
sys1
sys2
sys3
sys4
SOA
IN
IN
IN
NS
NS
MX
IN
IN
IN
IN
A
A
A
A
sys1.example.com. root.sys1.example.com.
2009060702
; serial
28800
7200
604800
86400 )
sys1.example.com.
sys2.example.com.
sys1.example.com.
10.1.1.1
10.1.1.2
10.1.1.3
10.1.1.4
protocols = pop3
# service dovecot start
# chkconfig dovecot on
11. Revise si hay un demonio escuchando en el Puerto 110, el Puerto de POP3.
# netstat -antp | grep 110
Ud. debera observar un demonio (dovecot) escuchando en este puerto.
12. Use telnet para configurar una conexin a localhost, puerto 110. Use comandos del
protocolo POP para revisar si algn mail para tux1 est presente. No borre el mensaje!
# telnet localhost 110
user tux1
pass tux1
list
retr 1
quit
Ahora haga login como tux2 y configure Evolution. Luego intente enviar
e-mail desde y hacia tux2 tambin.
Asimismo intente enviar correo a otros estudiantes en la clase.
Funciona?
Qu se debera hacer para que este ltimo paso funcione?
Observa
los
20. Deje el mensaje en la cola. Este eventualmente expirar, aunque probablemente no antes
de que la clase finalice.
Configuracin de Aliases
21. Agregue equipo como un alias para tux1 y tux2 al archivo /etc/aliases.
# vi /etc/aliases
Agregue la siguiente linea:
equipo:
tux1, tux2
22. Ejecute el comando newaliases para que los cambios de alias tomen efecto.
# newaliases
23. Enve un mensaje a equipo.
# mail equipo@example.com
24. Revise el correo para tux1 y tux2 para asegurar que su alias funciona.
Ejercicio 9: DHCP
De qu se trata este ejercicio
En este ejercicio Ud. configurar sistemas Linux para implementar funciones
de cliente y servidor DHCP.
Introduccin
En este ejercicio, el sistema router ser configurado como servidor DHCP y
todos los otros sistemas se configurarn como clientes. El servidor DHCP
proveer a los clientes con varios parmetros por su configuracin IP.
Instrucciones de Ejercicio
Configuracin de servidor DHCP
1. Junto con su compaero de equipo, decida qu sistema ser el servidor DHCP y qu
sistemas sern clientes.
Esta prctica asume que su servidor DHCP es 10.1.1.1.
2. Configure el servidor DHCP. Este debera proveer del nombre dominio, los servidores
DNS, la mscara de subred, el router por defecto, y la direccin IP a los clientes. Para el
rango de direcciones IP que cada servidor DHCP debera distribuir, consulte a su
instructor.
Para este ejercicio, asuma que el PC del instructor es el router por defecto para la red.
Use el archivo de configuracin (/etc/dhcpd.conf) de las diapositivas como modelo.
# vi /etc/dhcpd.conf
Edite el archivo de manera que luzca como sigue, pero aplique sus propios rangos de
direccionamiento IP, que sern asignados por el instructor.
max-lease-time 3600;
default-lease-time 600;
ddns-update-style none;
ddns-updates off;
option domain-name "example.com";
option domain-name-servers 10.1.1.1;
subnet 10.1.1.0 netmask 255.255.255.0 {
option routers 10.1.1.100;
option subnet-mask 255.255.255.0;
range 10.1.1.20 10.1.1.30;
}
3. Espere a que el instructor lo indique, e inicie el servidor DHCP (dhcpd).
# service dhcpd start
Introduccin
Para el resto de los ejercicios, Ud. trabajar en equipos. Seleccione un
sistema en su red para que sea su compaero de equipo. Ud. debe
coordinar con su compaero ya que depender de cada uno la finalizacin
de cada configuracin en el ejercicio, pues deber realizar montajes remotos
a nivel de cliente/servidor.
Seleccione un equipo para que sea el servidor NFS y el otro el cliente NFS.
Instrucciones de Ejercicio
Nota: Este ejercicio asume que tux1 en el servidor y tux1 en el cliente tienen el mismo UID. Este
puede no ser el caso: Red Hat y Fedora inician creando cuentas de usuario con UID 500, mientras
SuSE inicia en 1000. Por lo tanto, tener cuidado en referencia a esto.
$ logout
/etx/export (rw,no_root_squash)
Guarde el archive.
# exportfs -r -a
17. En el cliente y como usuario root, desmonte y luego monte el directorio /mnt/nfs
nuevamente. Cmbiese al directorio punto de montaje /mnt/nfs. Liste el contenido del
directorio. Intente editar el archivo rootfile nuevamente. Pudo hacerlo?
# cd
# umount /mnt/nfs
# mount sysy:/export /mnt/nfs
# cd /mnt/nfs
# ls -l
# vi /rootfile
/mnt/nfs
nfs
bg,hard,intr
0 0
Guarde el archivo.
20. Revise el montaje predefinido funcione correctamente.
# mount -t nfs -a
21. Asegrese de que el servicio que monta el filesystem NFS est activado cuando el sistema
arranca.
# chkconfig netfs on
22. Reinicie el sistema.
# shutdown -r now
23. Cuando el sistema ha reiniciado, haga login como root. Muestre la tabla de montaje para
asegurar que el montaje tom lugar. Cmbiese al directorio /mnt/nfs y muestre el archivo
tus1file montado desde el servidor de su compaero.
# mount
# cd /mnt/nfs
# cat tux1file
Administracin de Red y Seguridades
24. Desmonte el montaje preconfigurado. Revise la tabla de montaje para asegurarse de que
fue desmontada. Obtuvo un mensaje de error? _____________________
Si fue as, Por qu? ___________________________
Qu
necesita
hacer
para
desmontar
el
filesystem?
_______________________________________________________________________
Arregle el inconveniente, desmonte el filesystem, y revise para asegurarse de que fue
desmontado.
# umount /mnt/nfs
# cd
# umount /mnt/nfs
# mount
Introduccin
En este ejercicio Ud. configurar e instalar Squid como servidor de Proxy.
Esta aplicacin provee el servicio bsico para permitir compartir el acceso a
Internet de sus usuarios.
Instrucciones de Ejercicio
http_port 192.168.1.1:8080
icp_port 0
cache_mem 32 MB
cache_dir ufs /var/spool/squid 6000 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
pid_filename /var/run/squid.pid
acl all src 0.0.0.0/0.0.0.0
acl allowed_hosts src 192.168.1.0/255.255.255.0
http_access allow allowed_hosts
http_access deny all
icp_access deny all
miss_access allow all
cache_effective_user squid
cache_effective_group squid
snmp_port 0
Guarde el archivo.
3. Inicie squid
# service squid start
4. Verifique que Squid escuche nicamente en la interfaz interna.
# netstat -an | less
Busque la lnea que indique el puerto 8080. Inmediatamente antes de 8080 debera estar
la direccin IP de la interfaz interna. Esto significa que nicamente las conexiones
entrantes en la interfaz interna en el puerto 8080 sern escuchadas.
5. En la estacin de trabajo verificar que todo vaya bien, cargando algunas pginas del
servidor del instructor.
Ingrese la direccin IP del servidor del instructor en su navegador. Ud. debera observar la
pgina web. Para asegurarse, haga clic en Reload. (Reload fuerza al servidor de Proxy a
recuperar la pgina nuevamente y no obtenerla de cach)
Recupere algunas otras pginas del servidor del instructor.
6. En el Proxy, observe los archivos de log del servicio de Proxy para observar lo que fue
recuperado.
# cd /var/log/squid
# less access.log
7. Observe el contenido del directorio de cach. Tambin observe el contenido de varios de
los archivos en esta jerarqua.
Administracin de Red y Seguridades
# cd /var/spool/squid
# ls -lR
# find . -type f
# less (cualquier archive de la lista generada por find)
8. Detener Squid.
# service squid stop
Introduccin
En este ejercicio Ud. implementar una configuracin en donde el servidor
NIS master almacena todos los nombres de usuarios y passwords. Sin
embargo, los usuarios siempre trabajaran en su propia estacin de trabajo,
ya que es all donde se encuentran sus archivos. Esto significa bsicamente
que nosotros tenemos que agregar la informacin de usuario al servidor NIS,
pero los archivos de datos de los usuarios se mantienen en el sistema
cliente.
Normalmente hay slo un dominio NIS con un servidor NIS master
funcionando en una red. Sin embargo, esto significa que solamente un
equipo observar el proceso de configuracin de un servidor NIS master; por
lo tanto, Ud. tendr equipos de 3 sistemas con cada servidor NIS. Recuerde,
en cada equipo, un sistema ser el servidor NIS master, uno el servidor NIS
esclavo y el otro ser el cliente NIS. (Los servidores master y esclavo sern
tambin clientes).
Para que todos tengan contacto con el proceso de configuracin de
servidores NIS, los usuarios en los sistemas designados como clientes NIS
deberan asistir y observar a los usuarios en los servidores NIS master y
esclavo.
Ud. y sus compaeros de equipo deben decidir qu sistemas sern master,
esclavo y cliente NIS. Su instructor asignar el nombre de dominio NIS de
cada equipo.
Instrucciones de Ejercicio
Preparacin para NIS
Esta seccin debera cumplirse en todos los sistemas.
1. Haga una copia de backup de /etc/passwd, /etc/shadow y /etc/hosts.
# cp /etc/passwd /etc/passwd.bck
# cp /etc/shadow /etc/shadow.bck
# cp /etc/hosts /etc/hosts.bck
2. Configure el nombre de dominio NIS para este instamte y para que el cambio se mantenga
luego del siguiente reinicio del sistema. Asegrese de que su configuracin PAM y del
archivo /etc/nsswitch.conf se actualicen para NIS tambin. Lo ms sencillo es hacerlo
usando la herramienta de configuracin que viene con su distribucin.
Nota: So Ud. usa la herramienta de configuracin que viene con su distribucin, necesita
configurar su sistema como si fuese un cliente, inicialmente. La herramienta de
configuracin entonces intentar automticamente agregar su sistema a un dominio NIS.
Pero debido a que el dominio NIS no est aun configurado, esto fallar luego de un tiempo.
No se preocupe por esto por ahora.
# domainname midominionis
# system-config-authentication
6. Asegrese de que los demonios de servidor master apropiados estn ejecutndose. Liste
los contenidos de /var/yp/<su_dominio_NIS> para observar la lista de mapas de
informacin creados durante la configuracin.
# ps ax | grep yp
# ls -al /var/yp/<su_dominio_NIS>
7. Verificar que est ligado al servidor NIS.
# ypwhich
8. Liste los contenidos del mapa de informacin passwd y revise las entradas contra ellos en
el archivo de entrada /etc/passwd. Qu paso con los contenidos de /etc/shadow? Haga lo
mismo con tux1.
# ypcat -k passwd
# ypcat -k passwd.byname
# ypcat -k passwd.byuid
# cat /etc/passwd
9. Haga logout de tux1 y nuevamente haga login.
10. Observe si puede ejecutar el comando ypcat tambin. considera esto un riesgo de
seguridad?
# $ ypcat -k passwd
11. Ahora que se ha logueado exitosamente la primera vez, ejecute el comando yppasswd
para asignarse a si mismo un nuevo password que actualizar el mapa de informacin
passwd automticamente con su nuevo password.
$ yppasswd
Changing NIS password for tux1
Old NIS password: tux1
tux1s new password: lpic2008
Enter the new password again: lpic2008
12. Ejecute el commando ypcat nuevamente. Cambio su password?
$ ypcat -k passwd
13. Agregue un nuevo usuario a su sistema, tux3. Luego ejecute el comando make en el
directorio /var/yp para agregar esta cuenta de usuario a sus mapas NIS tambin.
# su - root
# ypcat passwd
# useradd -m tux3
# passwd tux3
# cd /var/yp
# make
# ypcat passwd
16. Edite ela rchivo /etc/hosts para que contenga slo dos entradas: para su sistema y para el
local loopback
# vi /etc/hosts
17. Inicie el demonio de cliente NIS, ypbind.
# service ypbind start
18. Verifique que se ha ligado al servidor NIS master.
# ypwhich
19. En una Terminal virtual, haga login como tux2.
20. Ahora que Ud. ha hecho login exitosamente en la primera vez, ejecute yppasswd para
asignarse un nuevo password.
$ yppasswd
Changing NIS password for tux2
Old NIS password: tux2
tux2s new password: lpic2008
Enter the new password again: lpic2008
NIS password changed on sysx
21. Muestre el mapa de informacin passwd del servidor NIS master usando el comando
ypcat. Observe su cuenta. Tambin despliegue su archivo /etc/passwd.
$ ypcat -k passwd
$ cat /etc/passwd
# ls -la /var/yp/su_nombredominio
29. Liste los contenidos del mapa de informacin passwd y revise las entradas contra las
existentes en el archivo fuinte /etc/passwd.
# ypcat -k passwd
# cat /etc/passwd
30. Trabajando con sus compaeros, baje el servidor NIS master.
En la mquina servidor NIS master ejecute:
# service ypserv stop
31. Trabajando con sus compaeros, ejecute el comando ypwhich en el cliente NIS para
desplegar el servidor al que est ligado. Si el servidor no ha conmutado al servidor
esclavo, espere unos segundos e intente el comando ypwhich nuevamente.
En el cliente:
# ypwhich
Espere unos segundos:
# ypwhich
32. Reinicie el servidor NIS master.
En el master NIS.
# service ypserv start
Introduccin
En este ejercicio, Ud. deber trabajar con un compaero de equipo para
implementar LDAP. Uno de Uds. implementar un servidor LDAP master y el
otro un servidor LDAP esclavo.
Instrucciones de Ejercicio
Todos los sistemas
1. Junto con su compaero de equipo, decida quien ser el servidor LDAP master y quien
ser el servidor esclavo. Ambos implementarn la configuracin cliente.
2. Junto con su compaero de equipo, decida el Base DN que utilizar, si su instructor no le
ha dado uno ya. Debera ser algo como dc=example,dc=com.
/etc/openldap/schema/core.schema
/etc/openldap/schema/cosine.schema
/etc/openldap/schema/inetorgperson.schema
/etc/openldap/schema/nis.schema
/etc/openldap/schema/misc.schema
access to attrs=userPassword
by self write
by anonymous auth
by dn.base="uid=root,ou=People,dc=example,dc=com" write
by * none
access to attrs=gecos
by self write
by dn.base="uid=root,ou=People,dc=example,dc=com" write
by * read
access to attrs=loginShell
by self write
by dn.base="uid=root,ou=People,dc=example,dc=com" write
by * read
access to *
by dn.base="uid=root,ou=People,dc=example,dc=com" write
by * read
Cambie los parmetros suffix, rootdn y rootpw de manera que se vean como sigue:
suffix "dc=example,dc=com"
rootdn "uid=root,ou=People,dc=example,dc=com"
Administracin de Red y Seguridades
rootpw secret
Guarde el archivo.
4. Cmbiese al directorio de herramientas de migracin y migre toda la informacin de
autenticacin a LDAP.
# cd /usr/share/openldap/migration
# vi migrate_common.ph
Cambie las variables $DEFAULT_MAIL_DOMAIN y $DEFAULT_BASE de manera que
luzcan como sigue:
$DEFAULT_MAIL_DOMAIN = "example.com";
$DEFAULT_BASE = "dc=example,dc=com";
Guarde el archivo.
5. Haga una ejecucin de prueba de migrate_all_offline.sh.
La experiencia ha mostrado que este script funcionar luego de algunos cambios. Algunas
de las causas ms comunes de error son:
- Archivos origen que no existen, particularmente /etc/netgroup
- Caracteres ilegales en algunos archivos fuente, particularmente tp++
en /etc/protocols y whois++ en /etc/services
- Rangos de nmeros de puertos en lugar de nmeros de puerto nicos
en /etc/services
- Entradas duplicadas en archivos fuente, particularmente echo en
/etc/services y localhost en /etc/hosts
Si Ud. recibe errores al ejecutar el script migrate_all_offline.sh, intente corregir estos
problemas conocidos primeramente, comentando las entradas identificadas en los archivos
mencionados anteriormente. Si eso no basta, modifique el script migrate_all_offline.sh de
manera que el archivo /tmp/nis.ldif.version no sea borrado despus para poder darnos
cuenta que sali mal dentro de este archivo el error tpicamente incluye un nmero de
lnea de este archivo, que debera darle una pista.
Antes de cada nueva ejecucin del script migrate_all_offline.sh, asegrese de borrar todos
los archivos creados en /var/lib/ldap.
# ./migrate_all_offline.sh
Para arreglar algunos problemas:
# vi /etc/services
Comente el protocolo echo 4/ddp. (Este hace conflicto con echo 7/tcp y con echo 7/udp).
# touch /etc/netgroup
# vi /etc/protocols
Comente el protocolo tp++
# vi /etc/services
Comente el protocolo whois++, tanto para tcp como para udp.
# vi /etc/services
Borre cualquier lnea que describa un nmero de puerto mayor que 1024. La experiencia
ha mostrado que hay muchas entradas incompatibles aqu.
Esta es la forma ms fcil de borrar estas lneas, utilizando el comando vi: :2000,$d
# vi /etc/hosts
Comente la lnea ::1 localhost
Administracin de Red y Seguridades
Trabajo con GQ
Los siguientes pasos pueden ejecutarse ya sea en el servidor esclavo y master.
8. Revise si gq est instalado. Si no lo est, instlelo. En su CD de informacin y material del
mdulo podr encontrar el rpm de esta aplicacin.
# rpm -q gq
Si gq no est instalado:
# rpm -ihv --nodeps gq-version.rpm
9. Asegrese de iniciar la interfaz grfica. Luego inicie el cliente gq. Vaya a File, Preferentes.
En el tab de Servers, borre el servidor localhost y agregue una entrada para su servidor
LDAP master. No configure an Bind DN o Bind Password. Salga de gq y reincielo
nuevamente. Luego intente explorar su servidor master LDAP. Puede encontrar a tux1?
Puede ver el password de tux1?
10. En gq, intente cambiar el campo gecos de tux1. Funciona?
11. Vaya a File, Preferentes, nuevamente. En el tab Servers, seleccione su servidor y clic en
Edit. En el tab Details, configure Bind DN y Bind Password de manera que Ud. se ligue
al dominio como tux1. (Configure Bind DN=uid=tux1,ou=People,dc=example,dc=com y
Bind Password con el password de tux1). Salga de gq e incielo nuevamente. Puede
observar el password de tux1 y tux2? Ahora intente cambiar el campo gecos de tux1
nuevamente. Funciona ahora? Puede cambiar otros campos? Puede cambiar el
campo gecos de tux2?
12. Vaya a File; Preferentes, de nuevo. En el tab Servers, seleccione su servidor y haga clic en
Edit. En el tab Details, configure Bind DN y Bind Password para que correspondan con
rootdn y rootpw que configur en /etc/openldap/slapd.conf.
Ahora intente cambiar el campo gecos de tux1 y tux2 nuevamente. Funciona?
Para una referencia posterior, anote el password encriptado de tux1 y tux2.
# vi /etc/openldap/ldap.conf
HOST sys1.example.com
BASE dc=example,dc=com
14. Use ldapsearch para buscar la entrada que describe a tux1. No se ligue al dominio como
ningn usuario en particular? Solamente obtenga la salida LDIF plana, ningn comentario.
Puede ver el password del usuario?
# ldapsearch -x -LLL "(uid=tux1)"
15. Use el mismo comando ldapsearch nuevamente, pero ahora lguese como tux1. Puede
ver el password ahora?
# ldapsearch -x -LLL -W -D "uid=tux1,ou=People,dc=example,dc=com" "(uid=tux1)"
16. Usando las mismas credenciales, busque la entrada que describe a tux2. Puede ver el
password de tux2?
# ldapsearch -x -LLL -W -D "uid=tux1,ou=People,dc=example,dc=com" "(uid=tux2)"
17. Ahora lguese al dominio como el Root DN, e intente ver las entradas para tux1 y tux2
nuevamente.
# ldapsearch -x -LLL -W -D "uid=root,ou=People,dc=example,dc=com" "(uid=tux1)"
# ldapsearch -x -LLL -W -D "uid=root,ou=People,dc=example,dc=com" "(uid=tux2)"
18. Use el comando ldapmodify para cambiar el campo gecos de tux1.
# ldapmodify -x -D "uid=tux1,ou=People,dc=example=com" -W << END
> dn: uid=tux1,ou=People,dc=example,dc=com
> changetype: modify
> replace: gecos
> gecos: Tux the Penguin (1)
> > END
Replicacin LDAP
Administracin de Red y Seguridades
/etc/openldap/schema/core.schema
/etc/openldap/schema/cosine.schema
/etc/openldap/schema/inetorgperson.schema
/etc/openldap/schema/nis.schema
/etc/openldap/schema/misc.schema
by * read
28. Copie el archivo exportado LDAP desde el servidor master al esclavo, e imprtelo a la
base de datos LDAP local.
# scp sys1.example.com:/tmp/ldap-export.ldif /tmp
# rm -fr /var/lib/ldap/*
# slapadd -l /tmp/ldap-export.ldif
# chown -R ldap.ldap /var/lib/ldap
En el servidor master LDAP ejecute los siguientes pasos:
29. Inicie gq nuevamente y cambie el campo gecos de tux2.
# gq
30. Observe el archivo /var/lib/ldap/master-slapd.replog y observe los contenidos del directorio
/var/lib/ldap/replica.
# cat /var/lib/ldap/master-slapd.replog
Este archivo debera estar vaco: El demonio slapd almacena sus modificaciones aqu,
pero slurpd las borra inmediatamente. Las modificaciones son ordenadas por sistema y
almacenadas en el directorio propio de slurp, /var/lib/ldap/replica.
# ls -l /var/lib/ldap/replica
En el servidor LDAP esclavo ejecute los siguientes pasos:
31. Inicie el servidor LDAP. Verifique que nicamente el demonio slapd fue iniciado.
# service ldap start
32. Use gq para explorar el servidor LDAP esclavo. Asegrese de que Ud. no se ligue al
dominio como Root DN al servidor esclavo. Se replic el cambio? Haga otro cambio al
campo gecos de tux1 en el servidor master, luego de un vistazo al servidor esclavo
nuevamente. Qu sucedi? se replic ahora el cambio?
Introduccin
En este ejercicio, Ud. deber trabajar con un compaero de equipo para
implementar NTP. Uno de Uds. implementar un servidor NTP master que
es esclavo del reloj local y el otro implementar un cliente de tiempo que es
esclavo del anterior sistema.
Instrucciones de Ejercicio
Todos los sistemas
1. Junto con su compaero de equipo, decida quien ser el servidor de tiempo NTP y quien el
cliente de tiempo.
2. Tanto en el servidor como en el cliente de tiempo, haga login como root e inicie el
ambiente grfico, de ser necesario. Abra tres ventanas terminales,. En una de ellas, inicie
un tail -f /var/log/messages, y en la segunda ventana, match ntpq -c hostnames no
-c rl c peers. Esto muestra un reloj simple y algo de informacin de debugging. La tercera
ventana se usar para ingresar comandos.
Nota: Si est logueado usando una GUI, Ud. puede tambin utilizar el reloj presentado por
esa interfaz, mientras se asegura de que este reloj le muestre el contador de segundos.
3. Verificar que el paquete ntp est instalado. Note que en distribuciones anteriores el
demonio NTP se llamaba xntpd y ahora ntpd. Consecuentemente, el script de inicio
puede llamarse ntpd o xntpd.
server 127.127.1.0
driftfile /etc/ntp/drift
authenticate no
Borre o comente todas las otras lneas en el archivo, particularmente las lneas restrict.
5. Verifique que el tiempo en su sistema sea ms o menos correcto en comparacin con un
reloj de pared o uno de pulsera. De ser necesario, configure el tiempo usando el comando
date.
De ser necesario
# date MMDDhhmmCCYY.ss
6. Inicie el servidor de tiempo.
# service ntp start
7. Observe la salida de los comandos ntpq. Espere hasta que el stratum de su sistema no
sea ms 16. Esto podra tomar varios minutos.
driftfile /etc/ntp/drift
authenticate no
9. Usando el comando date configure el tiempo de manera que este sistema este un minuto o
mas atrasado o adelantado.
# date MMDDhhmmCCYY.ss
10. Inicie el servidor de tiempo.
# service ntpd start
11. Observe el archivo de log y observe el reloj improvisado. Ud. observar que el tiempo
automticamente se ajusta al servidor de tiempo. (esto podra tomar cinco minutos o ms)