#Tipo de sistema de ficheros en Linux: tipo ext3 (en Microsoft es tipo NTFS) #rbol de directorios en Linux: #(Explicacin del

contenido de cada directorio en el libro de texto, pginas 46 a 51 ) #(Libro de texto: Membrey, P. & Verhoeven, T. & Angenendt, R. (2010). The Defini tive Guide to CentOS. New #York: Apress.) / /root /etc /proc /var /boot /bin /sbin /dev /home /lib /lost+found /media /mnt /usr /opt /srv /sys /tmp *******COMANDOS BSICOS.*************************************** uname informacin del sistema Ejemplos uname -a hostname indicar el nombre del equipo clear limpiar la pantalla man manual de comandos Ejemplos: man su startx arrancar interfaz grfica de Linux (GNOME o KDE) exit salir del terminal cd cambiar directorio Ejemplos: cd # ir al directorio del usuario cd ~ # dem cd - # regresar al ltimo directorio cd . #cambiarse al directorio actual cd .. #cambiarse al directorio padre del directorio actual pwd imprimir informacin del directorio actual de trabajo (print working direc tory) mkdir make directory: crear directorios Ejemplos: mkdir -p /etc/Wireless/RT61STA # crea el directorio RT61STA y su s padres, si no existan rmdir remove directory: eliminar directorios vacos ls list directory contents (En UNIX, los archivos no dependen de su extensin, sino de sus permisos) Ejemplos: ls -ahl ls -R ls / -R ls -hd ls -ld lspci lista los dispositivos pci conectados update-pciids descargar e instalar la actual versin del archivo pci.ids disponi

ble en el sitio

primario de la distribucin de Linux lsusb lista los dispositivos usb conectados redireccionamiento (=usar la salida de un comando como entrada de otro co mando), ``(=escribir un comando como parmetro de otro comando), > (grabar en), <, >> (= apendizar a), <<, ^ (indica buscar como inicio de lnea) cat concatenar archivos e imprimirlos en la pantalla Ejemplos: cat /var/mail/root cat /proc/version cat /etc/`ls /etc grep sudoers` tac dem pero presenta los archivos al revs, desde la ltima lnea hasta la primera more filtro para examinar archivos por partes (spacebar: avanza 1 pgina, enter: avanza 1 lnea, b: regresa una pgina, /: buscar patrn de texto, h: ayuda) less filtro para examinar archivos por partes, mejor que more sort ordena la salida de lneas de archivos Ejemplos: ls sort more grep filtra por patrones entradas en archivos Ejemplos: ls -ahl / grep lib ls -ahlR /usr grep "^/usr/lib" sort less cat /etc/`ls /etc grep sudoers` awk gestor de expresiones regulares wc contar caracteres, palabras o lneas Ejemplos: wc -l wc -w wc -c ls -ahl / grep lib wc -c file determina el tipo de un archivo head leer lneas iniciales de un archivo tail leer lneas finales de un archivo lpr imprimir archivo lpq ver y administrar la cola de impresin vi visual display editor Ejemplos: ls sort vi vim visual display editor improved gedit text editor for the GNOME desktop emacs editor de texto touch cambiar fecha y hora de archivos, o crear archivos vacos Ejemplos: touch nombre_archivo -t 10031244 touch nombre_archivo cp copiar o crear archivos desde un origen a un destino Ejemplos: cp origen destino mv rm mover archivos o renombrar archivos eliminar archivos y directorios con o sin contenido Ejemplos: rm -i rm -f rm -r rm -rf #el comando ms peligroso de UNIX: BORRAR TODO EL DISCO SIN PRE

GUNTAR!!! shred find locate ln df du

rm -v sobrescribir un archivo y/o borrarlo buscar archivos buscar archivos en el ndice del sistema operativo, no en el disco crear enlaces simblicos (parecidos a los shortcuts de windows) disk free: indica el espacio libre en el disco duro disk usage: estima uso de disco por archivo Ejemplos: du -ks . shutdown apagar o reiniciar el sistema Ejemplos: shutdown [-t sec] [-arkhncfFHP] time [warning-message] shutdown -r now shutdown -h now /sbin/shutdown -k now Por favor salir del sistema init es el padre de todos los procesos en Linux (= process control initializa tion) Ejemplos de Nivel de ejecucin (= runlevel) del proceso init: init 0 # HALT: detener y apagar init 1 # SINGLE MODE: reiniciar en modo mono-usuario (til para re cuperar la clave de root) init 2 # MULTIUSER MODE NO NFS: modo multiusuario sin NFS init 3 # MULTIUSER MODE NO GUI: modo multiusuario sin interfaz g rfica init 4 # NOT USED: no usado init 5 # MULTIUSER MODE WITH GUI: modo multiusuario con interfaz grfica init 6 # REBOOT: reiniciar runlevel ,6 indica el runlevel con el que arranc el proceso init: 0,1,2,3,4,5 Ejemplos: who -r /sbin/runlevel

poweroff halt reboot **************GESTIN DE PROCESOS.********************************* service gestionar el estado de un servicio-demonio (Demonio: Programa que se ejecuta en modalidad desatendida y efecta fun ciones continuadas o peridicas en todo el sistema.) Ejemplos: service nombre_servicio status service nombre_servicio start service nombre_servicio stop service syslog restart service network restart #ver el estado de todos los servicios-demonios service --status-all ps controlar procesos activos Ejemplos: ps -fe ps -fe grep esuarez pgrep pstree top ntop nice

renice free kill matar procesos Ejemplos: kill -l #lista las seales posibles para enviar a procesos kill -9 pid # forzar la muerte del proceso kill -15 pid # terminar proceso ordenadamente kill -1 pid # reiniciar proceso: til con demonios kill -2 pid pkill killall /usr/bin/time ps cronometrar procesos ********PERMISOS DE FICHEROS.********************************* SON 4 DGITOS EN OCTAL:The first digit selects the set user ID (4) and set group ID (2) and sticky (1) attributes. The second digit selects permissions for the user who owns the file: read (4), write (2), and execute (1); the third selects permissions for other users in the file s group, with the same values; and the fourth for other users not in the file s group, with the same values. The operator + causes the permissions selected to be added to the existing permissions of each file; - causes them to be removed; and = causes them to be the only permissions that the file has. The letters rwxXstugo select the new permissions for the affected users: read (r), write (w), execute (or access for directories) (x), execute only if the file is a directory or already has execute permission for some user (X), set user or group ID on execution (s), sticky (t), the permissions granted to the user who owns the file (u), the permissions granted to other users who are members of the file s group (g), and the permissions granted to users that are in neither of the two preceding categories (o). u g user (owner) group ----rwx rwx rwx 000 001 010 011 100 101 110 111 octal 0 1 2 3 4 5 6 7 o a (por defecto)

others all ----rwx rwx

sticky-bit: UID-bit: chmod rios umask

==> 775 = rwx rwx r-x +t (impide el acceso a directorios) +s (establece la identidad del usuario para ejecucin)

cambiar permisos de archivos: [ugoa]*([-+=]([rwxXst]* [ugo]))+ Ejemplos: chmod o+t # activa el "sticky bit" en los permisos de otros usua chmod o+rwx /root/datos1 chmod o-rwx -Rv /home/fred reducir permisos Ejemplos:

umask 002 archivos 666 -002 ----664 rwrwr--

directorios 777 -002 ---775 rwx rwx r-x

chgrp cambiar el grupo de un archivo newgrp cambiar el grupo durante una sesin chown cambiar de propietario ***********GESTIN DE USUARIOS.********************************************** #Practicar con la interfaz grfica de gestin de usuarios para evitar usar los coman dos de terminal: #useradd, passwd, userdel, groupdel, roupadd, usermod. su substitute user Ejemplo su root # substituir el usuario actualmente conectado por el usu ario root sudo ejecutar un comando como otro usuario (los usuarios deben estar registrados en el archivo /etc/sudoers) w averiguar qu usuarios estn conectados al servidor y qu estn haciendo who averiguar qu usuarios estn conectados al servidor who am i averiguar cul de esos usuarios conectados soy yo whoami averiguar con qu usuario estoy conectado al sistema last ltimos usuarios que han ingresado finger despliega informacin de los usuarios conectados Ejemplos finger -l finger -s finger root ********INSTALACIN DE SOFTWARE.************************************************ (Nota: ANTES DEBE HABER COMUNICACIN DNS PARA PORDER USAR rpm y yum) rpm instala paquetes de SW Ejemplos: rpm -aq rpm -i archivo.rpm # instala el paquete archivo.rpm rpm --test archivo.rpm # prueba la instalacin del paquete archiv o.rpm rpm -e archivo.rpm # desinstala el paquete archivo.rpm # 2 banderas muy comunes: # -v imprime mensajes que describen el progreso del comando # -h imprime 50 marcas hash mientras progresa una instalacin o upgrade rpm -qf archivo # consulta en qu paquete vino archivo rpm -ql archivo.rpm # lista los archivos que contiene el paquete rpm -Uhv archivo.rpm #hace Upgrade de un paquete rpm -ihv archivo.rpm #instala un paquete #instalacin del navegador chrome rpm -ivh google-chrome-stable_current_i386.rpm --nodeps #EL SIGUIENTE COMANDO INSTALA LA INFORMACIN NECESARIA PARA USAR EL DEPSITO (=REPOS ITORY) #MS USADO PARA DESCARGAR SOFTWARE E INSTALARLO EN RED HAT, FEDORA Y CENTOS: rpm -Uhv http://apt.sw.be/redhat/el5/en/i386/rpmforge/RPMS/rpmforge-release-0.3. 6-1.el5.rf.i386.rpm gzip comprimir gunzip descomprimir

tar copiar a cinta o copiar de cinta mkisofs crear una imagen ISO yum as instala paquetes al tiempo que compila ejecutables y resuelve dependenci Ejemplos: yum yum yum yum yum yum yum Yum YUM versin install update list info check-update remove upgrade clean all grfica (hay que instalarlo antes de usarlo: yum install yumex)

yumex

********COMUNICACIONES: CAPAS 2, 3 Y 4********************************** #Compilacin e Instalacin de drivers de NICs: ver archivo README incluido en archiv o .tar del driver #OJO: para compilar el driver, es necesario que el S.O. tenga instalados los com piladores y bibliotecas #para desarrollo. #configuracin de drivers de NICs con comandos y parmetros especficos #ejemplo para un driver Realtech rt61 ifconfig ra0 down ifconfig ra0 up iwpriv ra0 set ResetCounter=0 iwlist ra0 scanning #permite ver informacin de todas las redes fsicas acti vas y cercanas iwpriv ra0 set WirelessMode=0 iwpriv ra0 set PSMode=CAM iwpriv ra0 set IEEE80211H=0 iwpriv ra0 set NetworkType=Infra iwpriv ra0 set AuthMode=WEPAUTO iwpriv ra0 set EncrypType=WEP iwpriv ra0 set DefaultKeyID=1 iwpriv ra0 set Key1=1a3b5c7d9e iwpriv ra0 set BGProtection=2 iwpriv ra0 set Channel=5 iwpriv ra0 set TxRate=0 iwpriv ra0 set TxBurst=0 iwpriv ra0 set TurboRate=0 iwpriv ra0 set SSID="" #se conectar a la primera red que acepte los parmet ros antes configurados #iwpriv ra0 set SSID="Sala4_3Com5" #podra no funcionar si hay colisin just o en ese momento iwconfig ra0 #permite monitorizar el estado de la interface ra0 iwpriv ra0 get_site_survey #permite ver informacin de todas las redes fsic as activas y cercanas #con otros detalles diferentes a la salida de "iwlist ra0 scanning" ifconfig comando genrico para configurar drivers de NICs, su direccin IP, ms cara IP, monitorizar y cambiar su estado (UP, DOWN) (MENOS PRECISO QUE iwpriv!!!, pero prctico para configurar pocos p armetros rpido) Ejemplos ifconfig eth0 down ifconfig eth0 up

P pts/ifcfg-eth0

#configurar direccin IP ifconfig eth0 192.168.1.5 #configurar mscara IP ifconfig eth0 netmask 255.255.255.248 #Lo anterior pero junto: ifconfig eth0 192.168.1.5 netmask 255.255.255.248 #ver el archivo en el que se ha grabado la configuracin I cat /etc/sysconfig/network-scripts/ifcfg-eth0 #ver otros archivos-copia de /etc/sysconfig/network-scri cat /etc/sysconfig/networking/devices/ifcfg-eth0 cat /etc/sysconfig/networking/profiles/ifcfg-eth0

#Configuracin inicial de Pasarela por defecto (DEFAULT GATEWAY), ruta IP a red IP inmediata #y ruta a servidor DNS: #Aadir ruta a la red IP inmediata a travs de la interfaz ra0: ip route add 10.3.0.0/16 dev ra0 #Otra manera de hacer lo mismo: route add -net 10.3.0.0/16 dev ra0 #Aadir el default gateway: ip route add default via 10.3.0.1 #Otra forma de aadir el default gateway: route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.3.0.1 #Aadir ruta IP hacia la red IP donde est el servidor DNS: route add -net 10.20.0.0/16 gw 10.3.0.1 #Configuracin permanente de Pasarela por Defecto (DEFAULT GATEWAY) #Editar el archivo /etc/sysconfig/network vi /etc/sysconfig/network #Apendizar la siguiente lnea y grabar el archivo: GATEWAY=10.3.0.1 ping enviar paquetes de echo para diagnosticar la existencia de una conexin (= direccin ip + ruta ip) NOTA: EL FIREWALL EN EL ORIGEN Y EL FIREWALL EN EL DESTINO DEBEN PERMITI R EL COMANDO ping Ejemplos ping www.ubuntu.com ping 137.65.1.1 #enviar exactamente 4 paquetes de echo: ping -c 4 137.65.1.1 #registrar los saltos IP de ida y regreso seguida por los paquet es de echo ping -R -c 4 137.65.1.1 #NOTA: No siempre es posible registrar esta informacin pues algun os hosts y gateways #descartan o ignoran esta bandera. Adems, slo permite almacenar ha sta 9 saltos IP. #La alternativa es usar el comando "tracert". #hacer que el ping sea audible: ping -a -c 4 137.65.1.1 #no intentar buscar informacin simblica sobre la direccin ip destin ping -n 137.65.1.1 #todo lo anterior junto: ping -n -a -R -c 4 137.65.1.1 #inundar de paquetes de echo a un destinatario:

o:

DEFECTUOSAS)

ping -f 137.65.1.1 #cambiar el tamao de la carga til dentro del paquete de echo: #(ENVIAR PAQUETES "JUMBO" ES MUY TIL PARA DETECTAR PLACAS DE RED ping -s 6000 137.65.1.1 #Aumentar el tiempo de espera de una respuesta al echo #para el caso en que no haya respuesta pronta pero s conectividad

#(MUY TIL EN REDES CONGESTIONADAS O EN REDES CON LATENCIAS ALTAS) ping -A -W 800 137.65.1.1 #hacer ping a una direccin de broadcast: ping -b 10.3.255.255 #inundar toda la red de paquetes de echo: # CUIDADO !!! ping -f -b 10.3.255.255 #enviar un ping infinito audible a una direccin: #(MUY TIL EN DIAGNSTICOS DE CONECTIVIDAD. PARECIDO A UN MONITOR EL ECTROCARDIOGRFICO) ping -a 10.3.0.1 tracert rastrear la ruta IP que sigue un paquete en su viaje al destino NOTA: EL FIREWALL EN EL ORIGEN Y EL FIREWALL EN EL DESTINO DEBEN PERMITI R EL COMANDO tracert Ejemplos tracert 137.65.1.1 tracert www.ubuntu.com #muestra las rutas para llegar a microsoft.com, si el firewall d e Microsoft lo permite tracert www.microsoft.com tracert -n # slo indica direcciones, no el nombre DNS arp Address Resolution protocol: permite relacionar la direccin MAC con la di reccin IP, y viceversa -permite conocer la direccin MAC de una direccin IP -permite ver la tabla de direcciones MAC e IP Ejemplos: #ver toda la tabla ARP en formato Linux sin intentar consultar n ombres de hosts arp -n -e #ver toda la tabla ARP en formato Linux a la vez que intenta con sultar nombres de hosts #(SE DEMORA...) arp -e #ver toda la tabla ARP en formato reducido sin intentar consulta r nombres de hosts arp -n -a #ver toda la tabla ARP en formato reducido a la vez que intenta consultar nombres de hosts #(SE DEMORA...) arp -n -a #ver la direccin MAC de la dir. IP 10.3.0.1 arp -n 10.3.0.1 arping permite detectar direcciones IP duplicadas. Ejemplo arping -D -c 100 -I ra0 10.3.6.93 #terminar la bsqueda al primer xito arping -D -c 100 -f -I ra0 10.3.6.93 #ms comandos y ejemplos sobre configuracin IP:

route

gestionar rutas IP (aadir rutas, eliminarlas, cambiarlas) Ejemplos # muestra la tabla de rutas ip activas sin intentar consultar no mbres de hosts route -n # muestra la tabla de rutas ip activas a la vez que intenta cons ultar nombres de hosts #(SE DEMORA...) route #eliminar el default gateway actual route del default gw #cambiar el default gateway (LA RED DEBE SER ALCANZABLE) route add default gw 192.168.1.1 #aumentar una ruta determinada a travs de una pasarela especfica, #con mscara resumida (= NMERO DE BITS EN 1): route add -net 192.168.1.0/24 gw 192.168.1.1. #aumentar una ruta determinada a travs de una pasarela especfica c on mscara explcita: route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1 MSCARA, UMIDA. #NOTA: EL COMANDO "ip route" NO PERMITE INDICAR EXPLCITAMENTE LA #EL COMANDO "ip route" SLO PERMITE INDICAR LA MSCARA DE MANERA RES

#aumentar una ruta determinada a travs de una pasarela especfica y una NIC especfica route add -net 10.10.10.0 netmask 255.255.255.0 gw 192.168.1.1 d ev eth0 #aadir una ruta IP persistente (=permanente): editar los archivos de rutas IP permanentes vi /etc/sysconfig/network-scripts/route-eth0 vi /etc/sysconfig/network-scripts/route-ra0 ip muestra informacin IP, adems aadir, cambiar, eliminar rutas IP Ejemplos: (OJO: para que se aada la ruta IP, la red IP deseada debe ser A LCANZABLE) # muestra todas las direcciones ip configuradas ip a #muestra las rutas ip ip route # dem ip route show # dem ip route list #mostrar todas las tablas de rutas ip route show table all less #elimina la ruta por defecto a travs del default gateway ip route del default #aade la ruta por defecto a travs del default gateway ip route add default via 192.168.1.1 #aumentar una ruta determinada a travs de una pasarela especfica y una NIC especfica ip route add 10.10.10.0/24 via 192.168.1.1 dev eth0 #tambin funcionara el siguiente comando: ip route add 10.10.10.0/24 dev eth0 #vaciar las tablas de rutas en cache ip route flush all ip route flush main ip route flush local

ip route flush default ip route flush cache activar IP-forwarding entre 2 NICs instaladas en un mismo nudo de red sysctl -w net.ipv4.ip_forward=1 #NOTA: otras variables del kernel que se pueden modificar en tiempo de e jecucin #aparecen en el archivo /etc/sysctl.conf. archivo para resolver nombres y direcciones IP sin servidor DNS: vi /etc/hosts hostname nombre del ordenador que va a usar el servidor DNS service averiguar y controlar el estado de servicios activos Ejemplos service network restart netstat Ejemplos verificar estado de conexiones TCP

netstat #muestra todas las conexiones TCp activas netstat -platune #dem netstat -tulp # dem, pero informacin ms compacta netstat -platune grep 80 netstat -r #muestra las rutas ip netstat -platune rangos de puertos TCP 0 a 1023 reservados para el S.O. (RFC 1700: well known services) BSP: 23 telnet el resto se escoge aleatoriamente o arbitrariamente de: cat /proc/sys/net/ipv4/ip_local_port_range ver puertos TCP y UDP de servicios de red instalados cat /etc/services nmap permite ver servicios activos en otros equipos (instalar con yumex el nmap y el GUI de nmap) (slo funciona si est habilitado el ping en el firewall del equipo destino) Ejemplos nmap 127.0.0.1 nmap 137.65.1.1 nmap -sT -sU -O -P0 127.0.0.1 #explora TCP, UDP, el sistema oper ativo y evita el uso de ping #Usar el GUI de nmap, es muy intuitivo *********************CAPAS 5, 6 Y 7**************************** ********SESIN*************** telnet Sesin insegura de terminal remota. Usa el puerto TCP 23. Instalacin: 1)instalar demonio xinetd con yumex (se instalar tambin el servido r de telnet) 2)activar servicio de telnet en Sistema->Administracin->Configuracin de Servidores->Servicios->Ser vicios bajo Demanda 3)Permitir en el firewall el puerto de Telnet Demonio asociado: /etc/init.d/xinetd.d Archivos de configuracion: /etc/xinetd.d/telnet /etc/xinetd.conf /etc/securetty (Para iniciar automticamente el servidor telnet, poner en "no" la variabl e "disable" del archivo /etc/xinetd.d/telnet ) (para reiniciar el demonio xinetd: /etc/xinetd reload)

(Para permitir al usuario root hacer telnet, debe editar el archivo /etc /securetty y apendizar: pts/0 pts/1 pts/2 pts/3 Esto permite hasta 4 sesiones de telnet para el usuario root.) Nota1: pts significa "pseudo-terminal slave". Nota2: tty significa teletypewriter. ssh Secure Shell remote login program (programa de registro remoto y seguro en el shell del S.O.) Usa el puerto TCP 22. CONTIENE: Un demonio: sshd (Demonio: Programa que se ejecuta en modalidad desatendida y efecta funci ones continuadas o peridicas en todo el sistema.) Tres programas: ssh = sesin remota criptogrficamente segura entre host y cliente scp = copia de archivos criptogrficamente segura entre host y cli ente sftp = transferencia de archivos criptogrficamente segura entre h ost y cliente FUNCIONAMIENTO: Son verificados el nombre y la clave pblica del host a conectar, mediante la huella digital de la clave pblica del host, que es una suma de verificacin de la clave pbl ica. Si la verificacin es exitosa, se establece un canal seguro entre cliente y host, mediante una clave de sesin basada en las claves pblicas de cliente y host . Esta clave de sesin es una clave para cifrado de datos entre host y clien te, y es igual en ambos extremos. Las claves de sesin pueden usar los protoco los de cifrado 3DES, Blowfish o IDEA. Despus de establecer el canal seguro, el usuario en el cliente es pregunt ado por sus credenciales: username y password. PARES DE CLAVES PBLICA/PRIVADA RSA o DSA: criptografa ASIMTRICA, criptograf iar, autenticar y no repudiar (= confirmar que un mensaje no ha cambiado desde su creacin ). (RSA= Rivest-Shamir-Adleman) (DSA= Digital Signature Algorithm, ES MS FUERTE QUE RSA porque no trabaja con nmeros primos sino con logaritmos, el algoritmo es ms complejo!) El host debe conocer la clave pblica del cliente, el cliente produce una cadena (= string) cifrada a partir de su clave privada, si el host puede descifrar esa cad ena cifrada a partir de la clave pblica del cliente, la identidad del cliente es autenticada. El cliente escoge el algoritmo de cifrado que usar, RSA o DSA. La clave privada del cliente debe ser protegida con una frase de paso (= passphrase).

CONFIGURACIN: cualquier nudo puede ser cliente y host ssh a la vez Archivo de configuracin de host: /etc/ssh/sshd_config (MS FCIL) Archivo de configuracin de cliente: /etc/ssh/ssh_config (MS COMPLICADO) Un usuario puede ignorar este archivo y usar: /home/Mi_directori o/.ssh/ssh_config (PARA MS DETALLES SOBRE CONFIGURACIN Y FUNCIONAMIENTO DE SSH, VER: "Beginn ing the Linux Command line", Sander van Vugt, pp. 266-271) Ejemplos ssh -l root servidor.com #conexin segura al servidor servidor.com con el usuario root ssh root@servidor.com #dem ssh root@servidor.com ls /etc #conexin segura para listar el cont enido del dir. /etc (para cerrar la sesin, escribir exit o pulsar CTRL+D) ls -ahl ./.ssh ls -ahl /etc/ssh ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key # conocer la clave pbl ica RSA para ssh de un host #para registrar la propia clave pblica en un servidor y que no no s pida password: #en el cliente incorporar los siguientes comandos: (EJEMPLO PARA EL USUARIO root): ssh-keygen -t dsa -b 1024 # crear un par de claves DSA pblica/pri vada de 1024 bits scp /root/.ssh/id_dsa.pub root@host:/root/miclave.dsa.pub #en el host incorporar los siguientes comandos: mkdir -p /root/.ssh #slo si no existe este directorio cd /root ls -ahld .ssh #comprobar permisos, propietario y grupo de .ssh chmod 700 .ssh #asegurarse de que solamente el usuario, en este caso root, tenga permisos chown root .ssh chgrp root .ssh cat miclave.dsa.pub >> /root/.ssh/authorized_keys #Finalmente, desde el cliente, acceder a una sesin ssh, slo nos pe dir el "passphrase". #Para evitar incorporar la passphrase cada vez que establezcamos una sesin, se la puede incorporar una vez en la memoria RAM local antes de iniciar sesi ones ssh: ssh-agent /bin/bash ssh-add #Repetir el procedimiento con cada host con el que deseemos sesi ones seguras. ssh-keygen generar nuevas claves pblica/privada para ssh (como descrito anteri ormente) scp copia segura de archivos Usa el puerto TCP 22. Ejemplos: scp root@servidor.com:/etc/resolv.conf ./copia_de_seguridad/etc/ resolv.conf scp -r root@servidor.com:/etc ./copia_de_seguridad/etc #copia /e ct y subdirectorios sftp Transferencia segura de archivos (ver "Beginning the Linux Command line" , Sander van Vugt, p. 265) Usa el puerto TCP 22. (No confundir con Simple File Transfer Protocol, en el puerto TCP 115 y que ya no se usa.)

ftp

Transferencia insegura de archivos Usa el puerto TCP 21. Demonio asociado: /etc/init.d/xinetd.d (Para iniciar automticamente el servidor ftp, poner en "no" la variable "disable" del archivo /etc/xinetd.d/wu-ftpd ) Hacer control remoto completo de servidores y PCs. USA EL PROTOCOLO RFB. Usa el puerto TCP 5900, y en formato WEB el puerto TCP 5800. Pasos para el funcionamiento de VNC en Centos: -instalar servidor de VNC (vncserver) con yumex -activar el servicio-demonio de VNC en Sistema->Administracin->Configuracin de Servidores->Servic -instalar cliente visor (viewer) de VNC con yumex -permitir en el firewall el puerto 5900: hacerlo en Sistema->Administracin->Nivel de seguridad y cortafuegos-habilitar el acceso a escritorio remoto en el servidor el vncserver: ir a Sistema->Preferencias->Escritorio Rem

vncviewer

ios

>Otros puertos->Aadir donde est instalado oto

(Tiene versin para usarla desde el i-phone.) Ejemplos vncviewer 10.2.4.1:0 #el :0 indica el nmero de display

*************************** DNS ****************************** 1. Razones para usar DNS: Quin usa qu nombre de host? Qu nombres de host son apropiados? Cmo registramos todos los nombres de host de todas las redes? Manualmente? Cmo distribuimos una copia de los nombres a quien lo solicite? Cmo mantenemos actualizada la lista de nombres si hay cambios? Manualmente? SOLUCIONES: Microsoft Wins, SUN NIS, DNS 2. Conceptos importantes en DNS: -DNS Tree (= rbol DNS) Ejemplo: pg. 158 del libro de texto -ROOT (= raz del rbol DNS) -DOMAIN (=DOMINIO = conjunto de nudos asociados por vnculos comunes) -ZONE (= ZONA = entidad organizacional gestionada por un servidor DNS) Hay 2 tipos bsicos de zonas -de avance (FORWARD ZONE: bsqueda de direcciones IP a par tir de nombres DNS) -inversas (REVERSE ZONE: bsqueda de nombres DNS a partir de direcciones IP) -TLD (= top-level domains Ejemplos: Generic Top-Level Domains (gTLD): .com, .edu, .net, .org , .mil, etctera Country Code Top-Level Domains (ccTLD): .us, .ca, .tv, .uk, etctera. -SLD (= SUB LEVEL DOMAIN Ejemplos: ubuntu.com NOTA: Cada subdominio puede tener mximo 127 niveles de sub-subdom inios) -DELEGATION (= delegar el control de un nombre y sus subdominios a la au toridad correspondiente

tin no afecte a otros )

de una organizacin, siempre que esta garantice que su ges

nombres y sus subdominios) -LOOKUP (= buscar una direccin IP por su nombre DNS. Paralelismo con arp.

-DNS resolver (= programa en cada nudo conectado a Internet, que busca e n el rbol DNS un nombre DNS y su direccin IP, desde el nudo raz hacia bajo. El resultado sin error del lookup es la direccin IP buscada, que se pasa al programa que la solicit.) -DNS authoritative server (= servidor DNS responsable de un dominio y co n autoridad para encaminar la bsqueda de un nombre DNS y su direccin IP. Los servidores DNS autorizados del nudo raz del rbol DNS se llaman DNS root servers.) -NAME SERVER (= servidor DNS que contiene nombres DNS y direcciones IP d e una organizacin y sus subdominios. Es de este servidor que finalmente obtiene el RESOLVER la informacin que necesita para localizar un host: nombre DNS y direcc in IP) -DNS server (= servidor que cumple alguna funcin DNS en el sistema de ser vidores para DNS. En cada nudo del rbol DNS hay servidores DNS.) -DNS caching (= almacenamiento temporal de direcciones IP y nombres ms so licitados) -FQDN = Fully qualified domain name = nombre que indica el lugar exacto de un nudo en la jerarqua del rbol DNS Ejemplo: www.microsoft.com. #Note el punto y el espac io en blanco al final! -DNS usa el protocolo UDP en el puerto 53. Si la respuesta a la consulta DNS es mayor a 512 bytes, entonces usa protocolo TCP en el puerto 53. Para tareas como transferenc ias de datos DNS entre zonas, tambin usa TCP en el puerto 53. -El DNS resolver de algunos sistemas operativos, como HP-UX, slo usa TCP , aunque UDP sea suficiente. 3. CONFIGURACIONES PARA SER CLIENTE DE UN SERVIDOR DNS: Archivo hosts: AQU PUEDE INTRODUCIR MANUALMENTE NOMBRES DNS CON SUS DIRECCIONES I P cat /etc/hosts Archivo resolv.conf: AQU PONER LA DIRECCIN IP DEL SERVIDOR DNS QUE ESTE NUDO VA A C ONSULTAR! cat /etc/resolv.conf Archivo nsswitch.conf: INDICA EN QU ORDEN EL NUDO CONSULTA PARA BUSCAR NOMBRES DN S cat /etc/nsswitch.conf

nscd Name Service Caching Daemon (Si no est instalado por defecto, instalarlo con yum.) NOTA: ES TIL SI LA CONEXIN A INTERNET ES DE BAJA VELOCIDAD. NO ES TIL SI LA CONEXIN A INTERNET ES DE ALTA VELOCIDAD y ENTONCES CONVIENE DESHABILITARLO. Ejemplos yum install nscd #actualizar el nscd (similar a "ipconfig /flushdns" en Microsoft ) nscd i hosts #lo mismo que el comando anterior pero con otra sintaxis: nscd --invalidate=hosts #iniciar el demonio de ns caching service nscd start #detener el demonio de ns caching service nscd stop #reiniciar el demonio de ns caching service nscd restart #configurar el inicio automtico de nscd cada vez que inicie el S. O. chkconfig nscd on #editar el archivo de configuracin de nscd cat /etc/nscd.conf 4. CONFIGURACIN DE SERVIDOR DNS: BIND -Berkeley Internet Name Domain: servidor de nombres, es el estndar en Uni x. Usa el protocolo UDP en el puerto 53. Si la respuesta a la consulta DNS es superior a 512 bytes, usar protocolo TCP en el puerto 53. -Por SEGURIDAD TELEMTICA, usar siempre la ltima versin disponible de BIND. -Roles de servidores DNS: (un slo servidor DNS puede simultneamente desemp ear todos los roles) MASTER -PRIMARY NAME SERVER: servidor DNS que contiene la DOMAI N MASTER ZONE (= zona maestra del dominio = informacin verificada sobre el dominio). -Este servidor primario de nombres es responsable de un dominio y tiene autoridad para encaminar la bsqueda de un nombre DNS y su direccin IP. Sin embargo, no hay garanta de que sea siempre el primero en ser consultado por los usuarios. -Por lo anterior se llama tambin AUTHORITATIVE SERVER del dominio. -Mantiene registrada la informacin verificada del dominio en el archivo MASTER ZONE FILE -Si hay ms de 1 servidor DNS en un dominio, el primero en ser declarado debe ser el PRIMARY NAME SERVER. Slave -SECONDARY NAME SERVER: servidor DNS que contiene una co pia del MASTER ZONE FILE, que se llama SLAVE ZONE FILE. -El proceso de copia del MASTER ZONE FILE al SLAVE ZONE FILE se llama

mbin se Y NAME SERVER

ZONE TRANSFER. -Los cambios que se efectan en el PRIMARY NAME SERVER, ta registran en el SECONDARY NAME SERVER. -NO se debe efectuar cambios directamente en el SECONDAR CACHING

taques

Almacenamiento temporal de informacin DNS. FORWARDING Remisin de consultas DNS si no hay informacin local. -Ejemplos: #instalacin o actualizacin completa de BIND yum install bind bind-chroot bind-libs bind-utils #bind-chroot asegura el directorio de instalacin de BIND contra a #y accesos no autorizados #instalar interfaz grfica de gestin para BIND yum install system-config-bind #instalacin de bind-sdb: yum install bind-sdb #sdb significa Simplified Database Backend, es decir, #capacidad para soportar bases alternas de datos sobre ZONAS #almacenadas en servidores LDAP (ldapdb), bases postgreSQL (pgsq

ldb),

#bases sqlite (sqlitedb) o en el sistema de archivos (dirdb), ad ems de hacerlo por #defecto en memoria RAM en la base RBT (Red Black Tree) zone dat abase. #Tambin incluye soporte para DLZ (Dynamic Loadable Zones). #instalacin de caching-nameserver yum install caching-nameserver #La necesidad de un caching-nameserver se hace evidente al pensa

r en

#las miles de consultas en Internet por nombres como www.google. com or www.facebook.com. #As reducimos trfico en Internet por consultas de nombres frecuent emente consultados. #Navegar en Internet puede crear miles de consultas de nombres D NS por navegador. #Adems, distribuimos la carga por consultas de nombres entre vari os caching-nameserver. #En su configuracin es importante el parmetro TIME TO LIVE (TTL), #que indica cunto tiempo mantendr el caching-server informacin sobr e nombres #recientemente consultados. NOTA: ANTES DE MODIFICAR CUALQUIER ARCHIVO DE CONFIGURACIN, HACER UNA COPIA DE LA VE RSIN ANTERIOR DE DICHO ARCHIVO!!!

named

Demonio del servidor de nombres DNS Ejemplos: #iniciar el demonio servidor de nombres service named start

ameserver.

#OJO: le presentar un error si no ha instalado antes el caching-n #determinar la versin de BIND named -v

t: or

#pruebas del funcionamiento del demonio named con el comando hos #Buscar informacin DNS del nombre www.centosbook.com en el servid #DNS host host host llamado localhost: www.centosbook.com localhost www.ibm.com localhost www.microsoft.com localhost

host nf

#Si no indica el nombre del servidor DNS a consultar, el comando #consultar el servidor DNS declarado en el archivo /etc/resolv.co host www.microsoft.com #pruebas del funcionamiento del demonio named con el comando nsl #Buscar informacin DNS del nombre www.centosbook.com en el servid #DNS llamado localhost: nslookup www.centosbook.com localhost nslookup www.ibm.com localhost nslookup www.microsoft.com localhost #Pruebas del funcionamiento del demonio named con el #comando dig (=domain information groper = contador de informacin dig microsoft.com #Para ver otras opciones del comando dig: dig -h #El problema de este comando es que tiene demasiadas opciones.

ookup: or

de dominios):

USO DEL DNS CACHING-NAMESERVER: #Hacer que el servidor DNS escuche en todas sus direcciones IP, adems de la #direccin de loopback y tambin busque en otros servidores DNS: vi /etc/named.caching-nameserver.conf #dejar como comentarios las lneas: # listen-on-port 53 { 127.0.0.1 }; #despus guardar el archivo y finalmente reiniciar el servicio de BIND: service named restart #Comprobacin de funcionamiento: host www.google.com www.centosbook.com #indicar a BIND que acepte consultas desde cualquier lugar: vi /etc/named.caching-nameserver.conf #dejar como comentarios tambin las lneas: # allow-query { localhost; }; # match-clients { localhost;}; # match-destinations {localhost;};

BIND:

#despus guardar el archivo y finalmente reiniciar el servicio de service named restart #Comprobacin de funcionamiento: host www.google.com www.centosbook.com

CONFIGURACION DE BIND COMO HOST DE DOMINIOS: #Creacin de un archivo propio de configuracin vi /var/named/chroot/etc/named.conf #pegar como primeras configuraciones las que aparecen en el libro de tex to en la pgina 170: options { directory "/etc"; pid-file "/var/run/named/named.pid"; recursion no; }; #Con estas primeras configuraciones, el servidor DNS an no est listo para funcionar. #NOTA: en la eleccin de nombres DNS para los nudos, escoger nombres descr iptivos que faciliten #la inspeccin del archivo de configuracin de DNS. #Buenos ejemplos de nombres: dns1, dns2, ... mail1, mail2, ... srv_uio1, srv_uio2, srv_gye1, srv_cue1, ... pc_uio1, pc_gye23, pc_iba12, ... rtr_cisco_uio1, rtr_huawei_gye3, ... #Malos ejemplos de nombres: frodo, gandalf, bilbo, ... mercurio, saturno, marte, ... hercules, afrodita, zeus, .. neron, julio, herodes, ... bolivar, sucre, ... finanzas, inventario, marketing, ... #UN BUEN NOMBRE PERMITE ACCEDER RPIDAMENTE A INFORMACIN BSICA PERO TIL SOBRE UN NUDO!

#CREACIN DE UN MASTER ZONE FILE: #Para conocer con exhaustividad la sintaxis de un ZONE File, debe hacer la lectura completa de #las pgs. 23-39 y 483-551 de Aitchison, R. (2011). Pro DNS and BIND. New York: Apress #$TTL directive: Directriz TTL (Time to Live), indica el valor por defec to del tiempo mximo que un registro puede almacenarse temporalmente o guardarse en otro servidor DNS. #Esta directriz es obligatoria. #Puede valer entre 0 y 2147483647 (= 2^31) segundos (ms de 68 aos). #Un TTL de 12 horas (= 43200s) es un valor promedio. #Un TTL de 2 das es razonable para zonas muy estables. #Si un registro necesita un valor TTL diferente al valor defecto $TTL, #simplemente lo indica en su configuracin de registro. # Ejemplos: $TTL 2d $TTL 48h

$TTL 2880m $TTL 1d24h #Ms informacin ver pgs. 27-28 y 487 de Aitchison, R. (2011). Pro DNS and BI ND. New York: Apress ona que #$ORIGIN directive: Directriz que indica el nombre del dominio para la z

#se est definiendo. Esta directriz es opcional. #Ejemplos: $ORIGIN example.com. $ORIGIN us.example.com. $ORIGIN uio.miservidor.com.ec. #Ms informacin ver pgs. 28-29 y 484-486 de Aitchison, R. (2011). Pro DNS an d BIND. New York: Apress

ad)

#SOA record (= start of authority record = registro de inicio de autorid

#Est estandarizado en el RFC 1035. #Es el registro que primero debe aparecer en un zone file. #Describe las caractersticas globales de la zona o dominio. #Slo puede haber 1 SOA record en un archivo de zona. #Este registro es obligatorio. #La sintaxis para declarar este registro es: name ttl class record-type name-server e-mail ( sn; nmero serial refresh; refresh time retry; update retry expiry; min; minimum ) #Ejemplo1: ver pgs. 30-32 de Aitchison, R. (2011). Pro DNS and BIND. New York: Apress #Ejemplo2: ver pgs. 540-543 de Aitchison, R. (2011). Pro DNS and BIND. Ne w York: Apress

#A Record (= Address record = registro de direccin) #Est estandarizado en el RFC 1035. #Hace corresponder la direccin IPv4 de un host con su nombre dentro del d ominio o #zona del dominio. #El equivalente en IPv6 es el AAAA Resource Record. #Ms informacin: # -ver pgs. 170 y 171 del libro de texto # -ms informacin ver pgs. 35-36 y 500-503 de # Aitchison, R. (2011). Pro DNS and BIND. New York: Apress #Sintaxis: # name ttl class rr ipv4 #Ejemplo: # ns1 IN A 192.168.254.2 # mail IN A 192.168.254.4 # joe IN A 192.168.254.6 # www IN A 192.168.254.7 # www.example.org. IN A 192.168.1.1 #Las clases posibles de los registros son IN (Internet), HS (Hesiod), CH (Chaos) y ANY.

#Sus usos se encuentran descritos en las pgs. 214, 219, 230, 251, 259, 49 7 y 597 de #Aitchison, R. (2011). Pro DNS and BIND. New York: Apress #NS record (= name server record = registro de servidor de nombres) #Est estandarizado en el RFC 1035. #Define los servidores de nombres que son responsables de un dominio y c

on

#autoridad (= AUTHORITATIVE) para encaminar la bsqueda de un nombre DNS y su direccin IP. #Debe haber al menos 2 NS record en un zone file. #Los 2 NS record mnimos son obligatorios. #Los NS record pueden citar servidores dentro del dominio, fuera de l o e n otro dominio. #Ejemplo1: example.org. IN NS dns0.example.com. ; esta declaracin es incorrecta pues causa una situacin catch-22 (p or qu?) #Ejemplo2: 2 servidores DNS internos y 1 externo example.org. IN NS dns0.example.com. example.org. IN NS dns1.example.com. example.org. IN NS dns3.example.net. dns0.example.com. IN A 10.20.1.5 dns1.example.com. IN A 10.20.1.50 #Ms informacin ver pgs. 33 y 527-530 de Aitchison, R. (2011). Pro DNS and B IND. New York: Apress

al.

#CNAME Record (= Canonical name record = registro de nombre cannico) #Nombre cannico en este contexto quiere decir nombre esperado o nombre re

#Est estandarizado en el RFC 1035. #Hace corresponder un alias de un host (o servicio en un host) #con su nombre real previamente definido en un A Record. #Ms informacin: # -ver pgs. 171 y 172 del libro de texto # -ms informacin ver pgs. 36-38 y 507-508 de # Aitchison, R. (2011). Pro DNS and BIND. New York: Apress #Sintaxis: # name ttl class rr canonical-name #Ejemplo1: #En vez de estos A records en la configuracin del servidor DNS: www IN A 192.168.1.1 ftp IN A 192.168.1.1 #Podemos simplificar con un alias mediante CNAME: www IN A 192.168.1.1 ftp IN CNAME www #As, si cambiamos la direccin IP de la mquina, no tendremos que cam biar cada registro A. #Ejemplo2: # ftp IN CNAME bill # www IN CNAME bill # bill IN A 192.168.254.21 #Ejemplo3: ftp IN CNAME ftp.example.net. #Los dos nicos casos en que es OBLIGATORIO usar un CNAME record son: # 1. Cuando el host real se encuentra fuera del dominio o en un do minio externo.

o.org plo.com mplo.org ejemplo.com # s direcciones a configuracin

; si el dominio que estamos configurando se llama ejempl ; y queremos usar el servidor de correo del dominio ejem mail IN CNAME mail.example.com NOTA: tambin funciona si creamos un A record en el dominio eje con la direccin IP del servidor de correo en el dominio 2. Cuando el usuario desea poner a un sitio web simultneamente la http://www.ejemplo.com y http://ejemplo.com, en cuyo caso l correcta en DNS es: ; definir una IP que se resuelva como ejemplo.com ejemplo.com. IN A 192.168.0.3 ; ahora el alias www.ejemplo.com de ejemplo.com www IN CNAME ejemplo.com. NOTA: el servidor http tambin debe adaptar su configuracin. Ver ejemplo completo en las pgs. 177-179 de Aitchison, R. (2011). Pro DNS and BIND. New York: Apres

#NO ABUSAR DE LOS ALIAS QUE PERMITEN LOS CNAME Records #PORQUE REDUCEN EL RENDIMIENTO DEL DNS SERVER (= el DNS debe hacer consu ltas de las consultas, y adems puede verse forzado a cambiar de protocolo UDP a TCP debido al ta mao mayor a 512 bytes de las respuestas.)

eo)

#MX record (= mail exchanger record = registro de intercambiador de corr #Est estandarizado en el RFC 1035. #Define los servidores de mail para la zona. #Es un registro opcional, depende de la existencia de servidores de corr #Si no hay servidores de correo, no hay ningn MX record. #Por cada servidor de correo debe haber un MX record. #Un registro MX tambin puede citar a un servidor de mail fuera del domini #o en otro dominio. #NO FUNCIONA DECLARAR UN SERVIDOR DE MAIL CON UN A RECORD O UN CNAME REC

eo.

o ORD.

#El MX record indica a los clientes qu servidores deben usar para entrega r correo #y en qu orden deben hacerlo. #Por cada MX record debe existir un A record asociado! #Ejemplo1: 1 SERVIDOR DE CORREO mailserver.example.org. IN A 192.168.1.1 example.org. IN MX 10 mailserver ; 10 indica la MEJOR prioridad del servidor de mail. ; Las prioridades se incrementan de 10 en 10 para los siguientes ; servidores de correo, Y SON INFERIORES EN PRIORIDAD A LA PRIOR IDAD 10. #Ejemplo2: 2 SERVIDORES DE CORREO mailserver.example.org. IN A 192.168.1.1 mailserver2.example.org. IN A 192.168.1.2 example.org. IN MX 10 mailserver example.org. IN MX 20 mailserver2

#Ejemplo3: 2 SERVIDORES DE CORREO con igual prioridad # (til en grandes redes con muchos usuarios) mailserver.example.org. IN A 192.168.1.1 mailserver2.example.org. IN A 192.168.1.2 example.org. IN MX 10 mailserver example.org. IN MX 10 mailserver2 #Ejemplo4: 1 SERVIDOR DE CORREO fuera del dominio mailserver.example.org. IN A 192.168.1.1 example.org. IN MX 10 mailserver example.org. IN MX 20 backup-email.example.com. ; No aumentamos un A record para backup-email.example.com. ; para evitarnos tener que actualizar su direccin IP ; si esta es cambiada por el administrador del otro dominio. #De esta forma, es el cliente (no el servidor DNS) el que decide a cul se rvidor contactar. #NOTA: el registro MX slo proporciona la informacin para encontrar a un se rvidor #de correo. El registro MX no recibe, procesa o enva correos electrnicos. #Ms informacin ver pgs. 34-35 y 521-524 de Aitchison, R. (2011). Pro DNS an d BIND. New York: Apress

#EJEMPLO CONJUNTO DE UN MASTER ZONE FILE: #editar el archivo /var/named/chroot/etc/named.conf vi /var/named/chroot/etc/named.conf #Introducir las siguientes declaraciones (es el ejemplo del libro de tex to, pgs. 175-176): options { directory "/etc"; pid-file "/var/run/named/named.pid"; recursion no; }; zone "example.org" { type master; file "/var/named/chroot/var/named/example.org.hosts"; }; #editar el archivo /var/named/chroot/var/named/example.org.hosts vi /var/named/chroot/var/named/example.org.hosts #introducir (es el ejemplo del libro de texto, pgs. 175-176): $ttl 38400 example.org. IN SOA dns0.example.com. pmembrey.example.org. ( 1187790697 ; serial number 10800 ; refresh 3600 ; retry 604800 ; expiry 38400 ) ; minimum www.example.org. IN A 192.168.1.1 ftp.example.org. IN CNAME www mail.example.org. IN A 192.168.1.2 mail2.example.org. IN A 10.0.0.1 example.org. IN NS dns0.example.com. example.org. IN NS ns1.example.net. example.org. IN MX 10 mail example.org. IN MX 20 mail2 dns0.example.com. IN A 10.20.1.5 #(Re)iniciar el servidor DNS: service named restart #Probar el servidor DNS:

host www.example.org localhost #SEGUNDO EJEMPLO CONJUNTO DE MASTER ZONE FILE: #CONTENIDO DEL ARCHIVO /var/named/chroot/etc/named.conf options { directory "/etc"; pid-file "/var/run/named/named.pid"; recursion no; }; zone "dominioesc.org.ec" { type master; file "/var/named/dominioesc.org.ec.hosts }; zone "." IN { type hint; file "named.root"; }; #CONTENIDO DEL ARCHIVO /var/named/chroot/var/named/dominioesc.org.hosts $TTL 38400 $ORIGIN dominioesc.org.ec. @ IN SOA dns1.dominioesc.org.ec. hostmaster.dominioesc.org.ec. ( 2010112801 10800 3600 604800 38400 ) dominioesc.org.ec. IN NS dns1.dominioesc.org.ec. dominioesc.org.ec. IN NS dns2.dominioesc.org.ec. dns1.dominioesc.org.ec. IN A 192.168.1.4 dns2.dominioesc.org.ec. IN A 192.168.1.3 www.dominioesc.org.ec. IN A 192.168.1.4 ftp.dominioesc.org.ec. IN CNAME www dominioesc.org.ec. IN MX 10 mail1 dominioesc.org.ec. IN MX 20 mail2 mail1.dominioesc.org.ec. IN A 192.168.1.4 mail2 IN CNAME mail1.dominioesc.com.

";

#NOTA: para ejemplos ms complejo ver pgs. 483-551 de #Aitchison, R. (2011). Pro DNS and BIND. New York: Apress

#CREACIN DE UNA SLAVE ZONE: (CREA REDUNDANCIA Y DISTRIBUYE CARGA Y TRFICO) #editar el archivo /var/named/chroot/etc/named.conf #en el servidor DNS slave: vi /var/named/chroot/etc/named.conf #Introducir: zone "example.org" { type slave; file "/var/named/example.org.hosts"; masters { 192.168.1.1; esta es la dir IP del Maste

r server };

};

#Guardar. #(Re)iniciar el servicio DNS: service named restart

#HABILITACIN DE ZONE TRANSFERS: #Aumentar "allow-transfer" en el archivo "named.conf" del MASTER server. #Ejemplo: vi /var/named/chroot/var/named/example.org.hosts #Introducir: allow-transfer {192.168.1.5;}; esta es la dir IP del SLAVE serve #Grabar. #Reiniciar el servicio named en servidores MASTER y SLAVE.

#Finalmente, editar el archivo /etc/hosts para que registre el nuevo nom bre dominio. #Ejemplo: # Do not remove the following line, or various programs # that require network functionality will fail. #127.0.0.1 centos1 localhost.localdomain localhost 127.0.0.1 centos1 centos1.midominio.org localhost #CONSEJOS PRCTICOS: # a. Incrementar el nmero serial despus de cada cambio al servidor m aster de DNS. El nmero serial es un nmero entre 0 y 4294967295 (2^32 - 1). Es arbitrario, pero se recomienda poner los nmeros de serie as: YYYYMMDDSS donde YYYY = ao MM = mes DD = da del mes SS = nmero de cambio hecho en el da Ejemplo: 2011052302 Para resolver problemas con nmeros seriales fuera de secuencia , vea pgs. 196-197 de Aitchison, R. (2011). Pro DNS and BIND. New York: Apress # b. Usar la declaracin "recursion no;" para evitar el ataque al se rvidor DNS # llamado "Envenenamiento del cache de DNS". # c. No olvidar los puntos al final en los nombres cannicos declara dos en # los RECORD de DNS. # d. Una gua de referencia completa sobre todas las declaraciones D NS posibles en un ZONE FILE se encuentra en las pgs. 483-551 de Aitchison, R. (2011). Pro DNS and BIND. New York: Apress e. Si usted va a trabajar como administrador de una red grande y compleja que usa BIND como su software de servidor DNS, debe leer completamente la siguiente documentacin;

ress stem-config-bind):

-Aitchison, R. (2011). Pro DNS and BIND 10. New York: Ap -Manuales del men de ayuda del BIND configuration GUI (sy -BIND Administrator Reference Manual -System-config-bind User Guide and Manual

**************** SMTP ************************* #Instalacin del MTA (Mail Tranfer Agent) postfix: yum install postfix system-switch-mail #Escoger Postfix como MTA por defecto con system-switch-mail: system-switch-mail #Permitir en el firewall el puerto 25. #Confirmar que el puerto 25 acepta conexiones SMTP: iptables -L grep smtp #Configurar postfix para que inicie cuando arranque el servidor Centos chkconfig postfix on #Confirmar lo anterior, que el servicio Postfix arranque en los RUNLEVEL 3 y 5: chkconfig postfix --list #Arrancar el servicio postfix: service postfix start #Probar el funcionamiento bsico del servicio de mail. #Envo de un mensaje de correo. echo "hello" mail -s "asunto_prueba" root #Ver el log del servidor de correo. cat /var/log/maillog #ver el buzn de entrada del usuario actual (root): mail

ix

#CONFIGURACION DE POSTFIX: #Confirmar que postfix est instalado: rpm -q postfix #El directorio ms importante para la configuracin de postfix es /etc/postf ls /etc/postfix

#CONFIGURACIN PARA ENVIAR CORREO: #(NOTA: Postfix no enva mensajes de correo al usuario root por seguridad. #Para ello usa los alias creados en el archivo /etc/aliases.) #En el siguiente directorio almacena postfix los archivos para gestionar el sistema de correo. ls /var/spool/postfix #En el siguiente directorio almacena postfix los buzones de correo de lo s usuarios. ls /var/spool/mail/ #Editar con el usuario root el archivo principal de configuracin de postf ix: vi /etc/postfix/main.cf #Modificar las siguientes lneas. #Ejemplo: myhostname = mail1.dominioesc.org.ec mydomain = dominioesc.org.ec myorigin = $mydomain #La direccin del servidor "repetidor" de mail, que en este caso e

ain.cf

#la de mail.andinanet.net relayhost = 200.107.10.14 #permitir que postfix escuche mail en todas sus direcciones ip inet_interfaces = all #permitir que todos los clientes del servidor le enven mail mynetworks = 192.168.1.0/29,127.0.0.1/8 #NOTA: la direccin del relayhost del laboratorio de la UCE es 10.3.0.9 #Para ver un resumen de los cambios realizados al archivo /etc/postfix/m

postconf -n #Para ver todos los parmetros por defecto de postconf: postconf -d #Para ver el valor actual de parmetros especficos, por ejemplo: postconf myhostname #Para editar un parmetro en lnea y que su cambio entre en efecto de inmedi ato, por ejemplo: postconf -e "myorigin = midominio.org" #NOTA: para ver todas las opciones de configuracin de este archivo, ejecu tar el comando: man 5 postconf #Enviar un mensaje de correo a una cuenta en cualquier servicio de corre o externo. #Ejemplo: #Recuerde que no se puede usar la cuenta de root para enviar-rec ibir mails. su huesped echo "prueba desde centos hacia yahoo" mail -s "centos a yahoo " eduardosuarez_cruz@yahoo.es #despus de pulsar enter, introducir el cuerpo del mensaje, finali zarlo con CTRL+D y #pulsar enter en el campo de CC: exit #Ver el estado del log del servicio de correo. cat /var/log/maillog #Informacin sobre cmo funciona el gestor de colas de mensajes se puede ver en: man 8 qmgr

#Configuracin para cifrar el envo de mails por la conexin SMTP: #Ejemplo con el relay host de la cnt.com.ec #Instalacin de bibliotecas para cifrado SASL (=Simple Authentication and Security Layer): yum install cyrus-sasl cyrus-sasl-lib cyrus-sasl-plain #Comprobar que el servidor mail.andinanet.net soporta cifrado TLS telnet 200.107.10.14 25 help ehlo 200.107.10.14 starttls quit #Aadir las siguientes entradas al archivo /etc/postfix/main.cf: vi /etc/postfix/main.cf smtp_sasl_auth_enable = yes smtp_sasl_security_options = noanonymous smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_tls_security_level = may tls_random_source = /dev/urandom

#Aadir la contrasea para que postfix se identifique: vi /etc/postfix/sasl_passwd mail.andinanet.net usuario:contrasea #Transformar la informacin anterior en archivo .db postmap /etc/postfix/sasl_passwd #Usar el archivo .db creado: service postfix reload

#CONFIGURACIN PARA RECIBIR CORREO: #Primero comprobar que el servidor DNS cuenta con registros MX #Ejemplo: host -t MX dominioesc.org.ec centos1 #Aadir las siguientes entradas al archivo /etc/postfix/main.cf: vi /etc/postfix/main.cf #Si es que los mensajes son rechazados, que sea rechazo temporal y haya reintento: soft_bounce = yes unknown_local_recipient_reject_code = 450 #Indicar a postfix que es el ltimo salto hacia user@dominioesc.or g.ec, # user@mail1.dominioesc.org.ec, user@centos1.example.com #y user@centos1: mydestination = $mydomain, $myhostname, localhost.$mydomain, loc alhost #Confirmar que los usuarios que van a recibir mail realmente existan en el servidor getent passwd huesped getent passwd eduardo ... #NOTA: tan pronto como se crea un usuario, ya est listo para recibir mail . #Para crear alias para los usuarios, determinar primero el archivo de al ias: postconf alias_maps #Luego, vi /etc/aliases #Quitar el smbolo de comentario y cambiar el nombre del usuario #que va a recibir los mails dirigidos a root: root: eduardo #Luego, introducir los alias que sean necesarios. #Ejemplos: mama: lourdes.suarez@andinanet.net support: eduardo,huesped,cecilia #Despus, obtener un archivo .db del anterior: newaliases #Reiniciar postfix. service postfix restart #Recuperacin del mail como cliente: #DOVECOT: Servidor de IMAP4 y POP3 yum install dovecot service dovecot start #Comprobar el funcionamiento de DOVECOT POP3: #(Este es un protocolo menos complejo que IMAP4, pues solamente controla la descarga #del buzn de correo desde el servidor hacia el cliente.) telnet localhost 110

user eduardo pass <password> stat list 1 retr 1 quit #Comprobar el funcionamiento de DOVECOT IMAP4: #(Este es un protocolo ms complejo que POP3, pues debe gestionar todo des de el servidor.) telnet localhost 143 login eduardo <password> select Inbox fetch 1 body[text] logout #Permitir en el firewall los puertos TCP 993 (IMAP4S) y 995 (POP3S). #(Usar para ello Sistema->Administracin->Nivel de seguridad y Cortafuegos ) #Comprobacin de que aquellos puertos estn abiertos: iptables -L -v grep -E "pop3 imap" #NO HAY NECESIDAD DE ABRIR LOS PUERTOS 110 y 143 SI TODOS LOS ACCESOS VAN A #SER UNICAMENTE CIFRADOS! #Instalar cliente grfico de correo electrnico: yum install thunderbird #El cliente de correo Novell Evolution es mejor, pues le permite compro bar los algoritmos de cifrado #configurados en el servidor de correo. #Para comprobar el funcionamiento pleno del cliente grfico de correo elec trnico, #crear 3 cuentas de correo: i)Una para enviar y recibir correo de un servidor pblico de correo como yahoo, gmail, hotmail, etc: -en el caso de servidores pblicos de correo es mu y posible que el puerto para enviar correo no sea 25 sino 587 de correo ya instalado: ii)Otra para enviar y recibir correo del propio servidor -el protocolo del cliente para enviar correo sie a menos que lo haya configurado de otra forma -el protocolo del cliente para recibir correo pu -NOTA: si va acceder a su correo desde otro equi est instalado el servidor de correo, debe ser cap dicho servidor. Si el nombre de dominio no est re correspondiente al servidor DNS respectivo en /e entrada correspondiente al servidor de mail en / Haga lo mismo para otros servidores de mail cuyo

mpre es SMTP en el puerto 25, ede ser POP, IMAP o spool po que no sea aquel en el que az de localizar va DNS a gistrado, aada una entrada tc/resolv.conf, o aada una etc/hosts. nombre no est registrado. rreo de otro grupo de

iii)Otra para enviar y recibir correo del servidor de co

compaeros en el laboratorio lo haya activado en la NOTA1: EN TODOS LOS CASOS, NO USAR CIFRADO (a menos que configuracin de su servidor) NOTA2: EN TODOS LOS CASOS, SELECCIONAR EL ALGORITMO DE A caso contrario el servidor de correo no podr leer la cont

UTENTICACIN CORRECTO, rasea del usuario.

#Configurar certificados de seguridad en dovecot: ver pgs. 139 a 151 del libro de texto : #Si tiene instalado nmap, puede comprobar los puertos activados con nmap nmap localhost -p 110,143,993,995 #Comprobar el cifrado: openssl s_client -connect localhost:995 openssl s_client -connect localhost:993

#Para filtrar spam: Instalar SpamAssassin #Para filtrar virus: Instalar ClamAV #Para integrar SpamAssassin y ClamAV con el servidor de mail: Instalar M ailScanner **************** HTTP ************************* 1. INTRODUCCIN -Historia del HTTP, el HTML y la WWW: ver hiperenlaces relacionados en l a pgina del grupo UCE_TIC en yahoo -HTTP y HTTPS -puerto TCP por defecto para HTTP: 80 -puerto TCP por defecto para HTTPS: 443 -URL = uniform resource locator = hiperenlace -Virtual Hosting: -Alojamiento virtual de sitios web -Un nico servidor web puede manejar muchos diferentes sitios web simultneamente -Funcionamiento bsico de HTTP -El usuario introduce un URL. -A partir del URL, el cliente HTTP (= el navegador) pide al DNS la traduccin del nombre del servidor HTTP en direccin IP. -El cliente HTTP establece la conexin IP con el servidor HTTP. -El navegador del cliente enva una peticin GET con el URL como parm etro al servidor. Ejemplo: GET http://www.apress.com/book/catalog/ -El servidor HTTP enva un cdigo de respuesta y el resultado de la peticin del cliente (= del navegador). -OJO: todos los cdigos de respuesta (= Reply codes) se encuentran explicados en el RFC 2616. -El navegador sigue el mismo procedimiento para descargar grficos ,

Cascading Style Sheets (=CSS) y JavaScripts: -Fcilmente puede haber ms de 50 peticiones para descargar una pgina completa. -En HTTP hay mucho caching de archivos para mejorar los tiempos de descarga. -Por qu instalar un servidor web propio en vez de alquilar uno? Por la fle xibilidad y libertad para hacer cambios. La mayora de empresas de WEB HOSTING restrin gen lo que uno puede hacer en su servidor web. -APACHE HTTP: es el servidor HTTP ms usado del mundo, hay abundante sopor te y documentacin. -ESTADSTICAS DE USO DE WEB SERVERS Y WEB BROWSERS: ver hiperenlac es en la pgina de yahoo para el grupo UCE_TIC. -Historia -NCSA Mosaic=>Netscape Navigator=>Internet Explorer, Ope ra=>Mozilla=>Chrome, RockMelt -El proyecto Mozilla empez a consolidarse con el desarrol lo de Phoenix (hoy Firefox) y Minotaur (hoy Thunderbird) -TAXONOMA -TUX Linux in-kernel web server -APACHE HTTP SERVER / APACHE TOMCAT /Java software platf orm (Apache ya tiene ms de 15 aos de desarrollo) -NGINX ("Mr. Jinks", a.k.a. Jinksy) -lighttpd -IBM HTTP/WEBSPHERE -Microsoft Internet Information Services /MICROSOFT ASP. NET /MS .NET FRAMEWORK -Algo sobre los 3 marcos de desarrollo de SW ms importantes: -PILA .NET (ver http://en.wikipedia.org/wiki/File:DotNet .svg) -PILA JAVA (ver http://en.wikipedia.org/wiki/Java_(softw are_platform) ) -PILA IBM Websphere (ver http://en.wikipedia.org/wiki/IB M_WebSphere) -CUL ES MEJOR? MICROSOFT VS. ORACLE VS. IBM = TRIOPOLIO! http://en.wikipedia.org/wiki/Comparison_of_the_Java_and_ .NET_platforms http://en.wikipedia.org/wiki/Comparison_of_C_Sharp_and_J ava -NOTA: Antes de probar servidores web ms exticos, aprenda a usar bi en Apache! -NOTA: Sobre los navegadores, pruebe y compare OBJETIVAMENTE los siguientes -Google Chrome -Rockmelt -Opera -Mozilla Firefox -MS Internet Explorer

2. Secure Sockets Layer (SSL) -Fue desarrollado por Netscape (Javascript tambin fue desarrollado por Ne tscape).

-SITIOS WEB SEGUROS -CORREO SEGURO -DOS servicios: -conexin segura mediante cifrado del transporte entre las capas s imtricas participantes -las capas simtricas negocian (acuerdan) el ms alto algori tmo mutuo de cifrado -certificados para que el cliente pueda identificar al servidor -al conectarse, el servidor presenta sus certificados al cliente -el cliente tiene una base de datos de autoridades de ce rtificacin (= CA = certificate authorities) en las cuales confa -el cliente verifica con estas autoridades para ver si a lguna a firmado el certificado presentado por el servidor -si el certificado ha sido firmado, si no ha expirado y si el nombre de host coincide, el cliente mostrar la pgina web sin pedir ms cred enciales -Caso contrario, WARNING: ver ejemplo de pgina de notas de la EDC-UCE 3. Instalacin de Apache yum install httpd #Habilitar HTTP y HTTPS en el firewall #Asegurarse de httpd arranque siempre que arranque el sistema operativo: chkconfig httpd on #Confirmar lo anterior: chkconfig --list httpd #Iniciar el demonio httpd: service httpd start #Confirmar el estado del demonio: note los varios procesos que necesita httpd para funcionar... service httpd status #Los nmeros de los procesos (PIDs) son tiles cuando se hace depuracin del k ernel. #Arranque el navegador y pruebe navegar en # http://<su direccin IP> #El comando elinks tambin es til para verificar el buen funcionamiento del servidor http: yum install elinks elinks http://localhost #Pulsar Q para salir. #Para ver la versin de Apache que ha instalado, puede introducir en su na vegador lo siguiente: http://<su direccin IP>/xyz #O en la lnea de comandos de una venta de terminal: httpd -v 4. Configuracin de Apache #NOTA: La documentacin completa y oficial de Apache se encuentra en http: //httpd.apache.org/docs/ n en: #Todos los archivos de configuracin de Apache en el servidor se encuentra cd /etc/httpd/ #El siguiente directorio contiene el archivo central de configuracin de A

pache (httpd.conf): ls /etc/httpd/conf #El siguiente directorio contiene los archivos de configuracin de softwar e complementario de Apache: ls /etc/httpd/conf.d #Primeros cambios necesarios en el archivo de configuracin: vi /etc/httpd/conf/httpd.conf #Buscar la variable ServerAdmin y modificarla con la direccin de correo e lectrnico #con la cual ponerse en contacto en caso de errores del servidor web: ServerAdmin admin@su-dominio.com #Nombre del servidor y puerto TCP: ServerName www.su-dominio.com:80 #NOTA: si el nombre de dominio no est registrado, aada una entrada corresp ondiente al servidor DNS respectivo en /etc/resolv.conf, o aada una entrada correspondiente al servidor web en /etc/hosts. Haga lo mismo para otros servidores web cuyo nombre no est registrado. #Verifique la correctitud actual de la sintaxis en el archivo de configu racin de Apache: service httpd configtest #El anterior comando es muy til para determinar errores en las declaracio nes sintcticas #para configurar Apache, si tomamos en cuenta que es un archivo con 1000 lneas de #configuracin en promedio. #Compruebe que el servicio httpd arranca correctamente con los cambios e fectuados a la configuracin: service httpd restart

#HABILITAR .htaccess (permite controlar permisos sobre contenidos web y usuarios autorizados #para navegar en su sitio web): vi /etc/httpd/conf/httpd.conf #Cambiar el valor de la variable AllowOverride None a AllowOverride All #Reiniciar httpd service httpd restart #PROTEGER DIRECTORIOS DE CONTENIDOS WEB MEDIANTE CONTRASEA: #Por ejemplo, proteger el directorio principal de contenidos web de Apac vi /var/www/html/.htaccess #Introducir lo siguiente: <Files .htaccess> order allow,deny deny from all </Files> <Files .htpasswd> order allow,deny deny from all </Files>

he:

os

AuthUserFile /etc/httpd/htpasswd AuthName "Secret Secure Area" AuthType Basic require valid-user #La primera y segunda partes impedirn que los usuarios puedan descargar l

#archivos .htaccess o .htpasswd #NOTA: Es mejor situar los archivos .htpasswd en /etc/httpd para evitar problemas en el control de acceso a dichos archivos. #La tercera parte: #AuthUserFile apunta al archivo .htpasswd que contiene informacin #de login (= apertura de la sesin) de los usuarios en el servidor web. #AuthName es el texto que aparecer en la ventana de login. #AuthType es el tipo de autenticacin, casi siempre es de tipo bsic o (= Basic). #Hay otros modos de autenticacin, pero este es el ms usado. El tip o Basic #consiste en el intercambio de nombre de usuario y contrasea. n el #require valid-user indica a Apache que cualquier usuario vlido e #archivo .htpasswd tendr acceso al sitio web. #Si lo desea, puede especificar los usuarios que tendrn acceso as: require user <username> #Ejemplo: require user admin

#CREAR CUENTAS DE USUARIO EN EL SITIO WEB: #Debe usar el comando htpasswd. Ejemplo: htpasswd -c /etc/httpd/htpasswd admin #La opcin -c crea el archivo si no exista. Por ello, en futuros usos ya no ser necesaria. #Ejemplo: htpasswd /etc/httpd/htpasswd huesped #El algoritmo de cifrado de contraseas que usa Apache por defecto es cryp t(). #Otros algoritmos disponibles para cifrar contraseas en Apache son MD5 y SHA. #Adems, es posible no cifrarlas si escoge el mtodo PLAINTEXT. #Para ver todas opciones del comando: man htpasswd #Reinicie el servidor http: service httpd restart #Compruebe con su navegador que ahora su sitio web le pide autenticarse (= identificarse).

#INSTALACIN DE SSL: yum install mod_ssl service httpd restart #Comprobar la instalacin con el navegador y la siguiente pgina web: https://<su direccin IP> #Ahora ya puede usar https, pero con un certificado SSL auto-firmado, po r eso la advertencia. #Acptela y conctese.

#Si usa Firefox, note el candado (= padlock) en la parte inferior del na vegador. in . addy. #Para obtener un certificado SSL firmado por una autoridad de certificac #(= Certificate Authority, CA), por ejemplo Verisign o Thawte, #debe pagar por aquel certificado. Cuesta aproximadamente US$1.000 por ao #Certificados SSL relativamente ms baratos son ofrecidos por DynDNS y GoD

#Antes de obtener un certificado de una CA, debe genera una CSR (certifi cate-signing request). #Antes de generar la CSR, debe crear una clave: mkdir /etc/certs/ #NOTA: el directorio /etc contiene mucha informacin importante, p or ello... #... HAGA UNA COPIA DE SEGURIDAD DE L!!! cd /etc/certs/ #DEBE CREAR UNA CLAVE PARA CADA SITIO WEB. Ejemplo: openssl genrsa -des3 -out www_sudominio_com.key 1024 #Note que el nombre del archivo en el que se guarda la clave alude al no mbre de su dominio. #Durante la creacin de la clave RSA le pedir una frase de paso (= passphra se). #El archivo contendr la clave privada RSA de su servidor Apache. NO PERMITA A NADIE ACCEDER A ESTE ARCHIVO! (Si hace pblico dicho archivo, algn hacker podra usar el siguiente comando para descargarse el archivo: wget https://sudominio.com/www_sudominio.key Note lo til que podra ser el comando wget.) #Cree la peticin CSR: openssl req -new -key www_sudominio_com.key -out www_sudominio_com.csr #Cumplimente la informacin que le solicitan con cuidado. #En especial, cuando le pidan "common name", introduzca el nombre FQDN d e su servidor web #pero sin el punto final. #Compruebe la creacin de la CSR: cat www_sudominio_com.csr #El contenido de este archivo le ser solicitado por la CA para crear su c ertificado digital. #La CA generar su certificado a partir de su CSR, la clave pblica de su se rvidor Apache y #la firma digital de la CA. #Copie ABSOULTAMENTE TODA LA SALIDA de "cat www_sudominio_com.csr" en la pgina de la CA, #cuando esta la solicite, SIN BLANCOS NI LNEAS EN BLANCO ANTES O DESPUS. #NOTA: debido al precio que cobran las CA por los certificados digitales , y para finalizar este #ejercicio de SSL, firme usted mismo su certificado. Ejemplo: openssl x509 -req -days 365 -in www_sudominio_com.csr -signkey \ www_sudominio_com.key -out www_sudominio_com.crt #Le pedir una frase de paso. #En criptografa, X509 es el estndar ITU (= International Telecommunication Union) #para infraestructuras de claves pblicas. #Especifica los formatos de los certificados de clave pblica y algoritmos para validacin #de la ruta de certificacin. #Compruebe el contenido del directorio /etc/certs: ls -ahl /etc/certs

#Modificar la variable SSLCertificateFile vi /etc/httpd/conf.d/ssl.conf SSLCertificateFile /etc/certs/www_sudominio_com.crt #Modificar la variable SSLCertificateKeyFile vi /etc/httpd/conf.d/ssl.conf SSLCertificateKeyFile /etc/certs/www_sudominio_com.key #Otros variables importantes en ssl.conf: #intermediary certificate: Son generalmente certificados ms barat os ofrecidos por CAs ms pequeas. Los archivos correspondientes le son entregado s por dichas CA. #certificate bundle: si tiene ms de un certificado, puede agrupar los todos en un slo archivo (= bundle). Debe cifrarlo con algoritmo PEM. Puede pedirlo a su CA. #certificate chain: archivo con informacin para validar la ruta d e certificacin. Lo debe proveer su CA. #Reinice el demonio httpd: service httpd restart #Ahora su servidor http le pide clave para arrancar. #Si no desea que aquello suceda: openssl rsa -in www_sudominio_com.key -out www_sudominio_com.key #Pruebe su certificado con su navegador, preferentemente desde otro equi po distinto al que #alberga su servidor http.

#VIRTUAL HOSTING para albergar varios sitios web en el mismo servidor: (ver pgs. 100-104 del libro de texto.) #UN PAR DE TRUCOS PARA MEJORAR EL RENDIMIENTO (= PERFORMANCE) DE APACHE: (ver pgs. 97-100 del libro de texto.) #EJERCICIO1: instalar WEBMAIL (pgs. 152-154 del libro de texto)

************************** SNMP ************************* 1. INTRODUCCIN -ES NECESARIO UN PROTOCOLO PARA GESTIONAR LA INFRAESTRUCUTURA DE RED EN SUS 7 CAPAS: -MONITORIZAR EL ESTADO ACTUAL DE TODOS! SUS COMPONENTES, FORMALME NTE LLAMADOS DISPOSITIVOS GESTIONADOS (= MANAGED DEVICES = MD) EN TERMINOLOGA SNMP, O ELEMENTOS DE CONFIGURACIN (= CONFIGURATION ITEMS = CI) EN TERMI NOLOGA ITIL. -EJEMPLOS DE MDs: -NUDOS DE RED: SERVIDORES, PCs, ROUTERS, SWITCHE S, IMPRESORAS, ETC. -HARDWARE DE HOSTS: PROCESADORES, DISCOS, MEMORI AS, NICs, MOTHERBOARDs, TEMPERATURAS, VENTILADORES, VOLTAJES, HUMEDAD, E TC. -SERVICIOS Y DEMONIOS EN HOSTS: SMTP, POP, HTTP, DNS, ETC. -LOGs (=ARCHIVOS DE REGISTRO DE EVENTOS EN HOSTS )

PERO HAY ANOMALAS IENTO D

-EL ESTADO DE UN MD PUEDE SER DE 4 TIPOS: VERDE: EN BUEN ESTADO, FUNCIONANDO CORRECTAMENTE AMARILLO: ADVERTENCIA, PUEDE SEGUIR FUNCIONANDO ROJO: ALERTA, PELIGRO INMINENTE DE MAL FUNCIONAM

NEGRO: NO HAY COMUNICACIN SNMP CON EL MD -MANTENER EL INVENTARIO CENTRALIZADO DE LA CONFIGURACIN DE CADA M -CONTROLAR CENTRALIZADAMENTE CADA MD -APAGAR -REINICIAR -DESACTIVAR/ACTIVAR PUERTOS -DETERMINAR LA VERSIN ACTUAL DE SW, DISTRIBUIR SOFTWARE,

INSTALARLO.

-SOLUCIN DE TCP/IP: SNMP = SIMPLE NETWORK MANAGEMENT PROTOCOL -EL SNMP ES UN PROTOCOLO DE CAPA 7 QUE USA COMO PROTOCOLO DE TRANSPORTE (= CAPA 4) AL UDP EN LOS PUERTOS 161 (PARA ENVIAR) Y 162 (PARA RECIBIR). -ARQUITECTURA DE SNMP: -UN SISTEMA CENTRAL PARA GESTIN DE RED VA SNMP (= NETWORK MANAGEME NT SYSTEM = NMS) -UN AGENTE SNMP (= SNMP AGENT) EN CADA MD, ES DECIR, UN PROGRAMA EN CADA NUDO DE RED QUE EJECUTE INSTRUCCIONES EN REPRESENTACIN DEL NMS. -UNA BASE DE INFORMACIN PARA GESTION DE RED (= MANAGEMENT INFORMA TION BASE = MIB), ES DECIR, UN ARCHIVO LOCALIZADO EN CADA NUDO DE RED, EN EL QUE E L AGENTE SNMP RESPECTIVO GUARDA INFORMACIN SOBRE DICHO NUDO PARA USO POSTERIOR EN EL NMS. -AQUELLA INFORMACIN ES GUARDADA POR EL AGENTE SNMP EN VARI ABLES SNMP! (= SNMP VARIABLES) DENTRO DEL ARCHIVO MIB DEL NUDO CORRE SPONDIENTE. -HAY UNA VARIBLE SNMP POR CADA OBJETO GESTIONADO (= MANA GED OBJECT = MO). -UN OBJETO GESTIONADO (= MO) ES UN SUBCOMPONENTE DE UN M D. EJEMPLO: -EL MD SERVIDOR TIENE AL MENOS UN MO PROCESADOR, UN MO MEMORIA, UN MO DISCO DURO Y UN MO NIC. -EL ARCHIVO MIB GUARDA LAS VARIABLES SNMP EN UNA ESTRUCT URA DE RBOL JERRQUICO. -UNA BASE DE DATOS CENTRAL EN EL NMS, EN LA CUAL SE ALMACENAN LO S MIBs DE TODOS LOS MDs QUE COMPONEN EL SISTEMA DE INFORMACIN GESTIONADO POR EL NMS. S AGENTES SNMP. -UN PROTOCOLO DE COMUNICACIONES PARA INTERCONECTAR AL NMS CON LO

-ESTE ES EL PROTOCOLO SNMP PROPIAMENTE DICHO (= SIMPLE N ETWORK MANAGEMENT PROTOCOL) -LOS PDUs DE SNMP PUEDEN SER DE 7 TIPOS:

EL VALOR DE UNA VO. ENVE EL VALOR DE EL MD RESPECTIVO. ENVE LOS VALORES MD RESPECTIVO. QUE MODIFIQUE

-GET: PARA ORDENAR EL NMS AL AGENTE SNMP QUE ENVE VARIABLE SNMP GUARDADA EN EL MIB DEL MD RESPECTI -GETNEXT: PARA ORDENAR EL NMS AL AGENTE SNMP QUE LA SIGUIENTE VARIABLE SNMP GUARDADA EN EL MIB D -GETBULK: PARA ORDENAR EL NMS AL AGENTE SNMP QUE DE VARIAS VARIABLES SNMP GUARDADAS EN EL MIB DEL -SET: PDU QUE EL NMS ENVA PARA ORDENAR AL AGENTE EL VALOR DE ALGUNA VARIABLE EN EL MIB DEL MD. -TRAP: PDU ENVIADO POR UN AGENTE AL NMS, SIN QUE HAYA SOLICITADO, PARA NOTIFICAR ALGUNA NOVEDAD E -RESPONSE: RESPUESTA A ALGUNO DE LOS PDUs ANTERI -INFORMREQUEST: PARA ENVIAR UN RECONOCIMIENTO (= ENTRE 2 NMS, O UN RECONOCIMIENTO DE UN NMS A UN UN AGENTE. -NOTA: EL SNMP USA UDP. A SU VEZ, EL PRO PROTOCOLO NO ORIENTADO A CONEXIN QUE NO N ERRORES EN EL TRANSPORTE DE DATOS. DE AH LA NECESIDAD DEL PDU INFORMREQUEST. -EJEMPLO DE TRAP E INFORMREQUEST: -EL ADMINISTRADOR DE UNA RED HA AUMENTAD EN LA i-sima PC (= "PC-i") DE UN SISTEMA -EL AGENTE SNMP DEL MD "PC-i" NOTIFICA A QUE LA CONFIGURACIN DEL MD "PC-i" HA CAMB -EL NMS RESPONDE (= RESPONSE) AL AGENTE ACTUALICE (= SET) TODAS LAS VARIABLES E -EL AGENTE SNMP ENVA AL NMS UNA RESPUESTA EN LA QUE INDICA QUE LA ACTUALIZACIN DEL SE HA EFECTUADO CON XITO. -EL NMS ENVA UN INFORMREQUEST PARA INDICA SATISFACTORIAMENTE LA RESPUESTA DEL AGEN

ESTE LTIMO LO N EL MD. ORES ACKNOWLEDGEMENT = ACK) TRAP ENVIADO POR TOCOLO UDP ES UN OTIFICA NI CORRIGE

O MEMORIA RAM DE INFORMACIN. L NMS MEDIANTE UN TRAP IADO. SNMP, ORDENNDOLE QUE N EL MIB DEL MD "PC-i". (= RESPONSE) MIB DEL MD R QUE HA RECIBIDO

TE SNMP. -DESCUBRIMIENTO (= DISCOVERY): PROCEDIMIENTO MEDIANTE EL CUAL EL NMS DETECTA AGENTES SNMP Y SUS RESPECTIVOS MIBs EN LAS REDES IP A LAS QUE TIENE ACCESO. -AUTODESCUBRIMIENTO (= AUTODISCOVERY): PROCEDIMIENTO AUTOMTICO (S IN INICIACIN DELIBERADA POR EL INGENIERO RESPONSABLE DE GESTIONAR EL NMS), MEDIANTE EL C UAL EL NMS DETECTA AGENTES SNMP Y SUS RESPECTIVOS MIBs EN LAS REDES IP A LAS QUE TI ENE ACCESO. -COMUNIDAD SNMP (= SNMP COMMUNITY): -CONJUNTO DE MDs QUE SON GESTIONADOS QUE COMPARTEN UNA CLAVE DE SEGURIDAD QUE LES AUTENTICA E CONJUNTO SNMP. -SI LA CLAVE DE LA COMUNIDAD SNMP ES SE LLAMA PBLICA (= PUBLIC). CASO CONTRARIO SE LLAMAR PRIVADA (= -EL NMS SLO PUEDE GESTIONAR MDs SIN MP, O MDs DE LOS CULES CONOZCA SU CLAVE POR UN NMS VA SNMP Y COMO MIEMBROS DE ES NULA, LA COMUNIDAD PRIVATE). CLAVE DE COMUNIDAD SN DE COMUNIDAD SNMP.

-EJEMPLOS DE NMS: -MICROSOFT SYSTEM CENTER CONFIGURATION MANAGER (MS SCCM) -IBM TIVOLI -HP OPENVIEW -HP Systems Insight Manager (Originalmente COMPAQ Insight Manager, actualmente versin muy reducida y limitada de HP Openview -BMC PATROL -CISCO WORKS -OPEN SOURCE -PRTG -ZENOSS -NAGIOS

-NOTA: El protocolo SNMP, la norma ISO/IEC 7498-4 para Gestin de Redes de Comunicaciones, la norma ISO/IEC 20000 para Gestin de Servicios de Tecnologa de la Informa cin y las metodologas de-facto ITIL y COBIT son los pilares tecnolgico y metod olgicos para la GESTIN DE LAS TIC en los actuales sistemas de informacin y comunic aciones empresariales. (Ver pginas web correspondientes en http://es.groups.yahoo.com/group/UCE_ TIC ) 2. CONFIGURACIN DE NAGIOS #Instalacin de nagios y nagios plug-ins: yum install nagios nagios-plugins #Al final de la instalacin, todos los archivos de configuracin de Nagios #se encontrarn en /etc/nagios

#El principal archivo de configuracin es nagios.cfg #Las definiciones para objetos gestionados (=Managed Objects = MO) #se encuentran en /etc/nagios/objects #Managed objects en Nagios: host object, service object, contact object. #El archivo /etc/httpd/conf.d/nagios.conf contiene la configuracin #de Nagios para el Apache web server. #El archivo /usr/lib/nagios/cgi contiene scripts CGI de configuracin #para la interface web de Nagios. #El archivo /usr/lib/nagios/plugins contiene scripts para leer MIBs #y enviar alertas al administrador. #El archivo /usr/share/nagios contiene la parte esttica de la interface w eb de Nagios. #Los logs de Nagios se encuentran en /var/log/nagios #En el directorio /var/nagios se registra la informacin sobre el estado d e los MDs. #CONFIGURACIN INICIAL: #Cambiar la direccin de contacto del administrador, a la cual Nagios envi ar alertas: vi /etc/nagios/objects/contacts.cfg cambie la direccin nagios@localhost por su direccin de correo elec trnico #Crear la clave de administrador de Nagios: htpasswd -c /etc/nagios/htpasswd.users nagiosadmin #El archivo /etc/nagios/htpasswd.users contiene los nombres y contraseas (cifradas) #de los usuarios creados en Nagios y es usado por el servidor web Apache para autenticarlos. #Configurar el demonio de Nagios para arrancar siempre que arranque el S O del servidor: chkconfig nagios on #Arrancar el demonio de Nagios: service nagios start ie: #Asegrese de que el servidor HTTP Apache tambin arranque cuando el SO inic chkconfig httpd on #Asegrese de que el demonio de Apache arranque: service httpd start #Abra la interfaz web de nagios con su navegador en la siguiente direccin

#http://<su_servidorweb.su_dominio>/nagios/ #O tambin: #http://<su_direccin_IP>/nagios/ #Le pedir nombre de usuario y contrasea. Introduzca el nombre "nagiosadmin " y la contrasea #que cre para esta cuenta de usuario.

#CONFIGURACIN BSICA DE NAGIOS: #Ver el libro de texto, pgs. 303-311. vi /etc/nagios/nagios.cfg #CONFIGURACIN AVANZADA DE NAGIOS: #Ver pautas bibliogrficas en el libro de texto, pg. 312. #Leer la documentacin de Nagios en http://www.nagios.org/documentation #Instalacin de NSClient++ para gestionar desde Nagios clientes Windows. #Ver los detalles de la instalacin en http://nsclient.org/nscp/