Servidor en OpenBSD 4 3

Instalacin de servicios bsicos en OpenBSD v. 4.3 - Astrid Eliana Snchez Corts! http://www.openbsdcolombia.
org
Instalacin de servicios bsicos en OpenBSD v. 4.3
Autor: Astrid Eliana Snchez Corts
Correo electrnico: astrid.eliana!"ail.co"
Fecha de creacin : #$%#&%#' Ultima modificacin:#(%#'%#'
ndice de contenido
&.)icencia *BSD+..................................................................................................................................,
,.Introd-ccin.......................................................................................................................................,
3.Con.i!-racin bsica del siste"a......................................................................................................,
3.&.Advertencia sobre la versin 4., de OpenBSD.........................................................................3
3.,.Con.i!-racin de la red .............................................................................................................3
a.Inter.aces de red...................................................................................................................3
b./ate0a1 *p-erta de enlace+ 1 dns........................................................................................2
4.Instalando pa3-etes...........................................................................................................................2
4.&.Con.i!-rando con los pa3-etes a la "ano.................................................................................'
4.,.A.terboot *desp-es de bootear la pri"era vez+..........................................................................$
a.Creacin de -s-arios............................................................................................................$
b.4o root en SS56 po0ero.. 1 reinicio en 7ernel panic........................................................&,
c.Deshabilitar los servicios b1 de.a-lt..................................................................................&3
8.Servidor D5C9................................................................................................................................&4
2.Co"probando rc.con..local.............................................................................................................&2
(.Servidor D4S..................................................................................................................................&(
(.&.Ase!-rando el servidor D4S...................................................................................................,&
'.Servidor :1S;) *Bases de Datos+.................................................................................................,3
'.&.Aspectos i"portantes con :1S;)..........................................................................................,2
$.Servidor <EB= Apache en Chroot..................................................................................................,(
$.&.959 v 8.#.................................................................................................................................,(
$.,.Apache v &.3.> *versin por o"isin+......................................................................................3&
$.3.Correos con 959 1 :iniSend"ail ..........................................................................................3,
$.4.E?e"plo con :1S;) 1 959....................................................................................................33
&#.4A@ 1 Aire0all *pac7et .ilter B 9A+..............................................................................................32
&&.Servidor 9ro>1 *S3-id+..................................................................................................................3'
&&.&.Ceportes con Sar!..................................................................................................................4&
&,.Enlaces relacionados.....................................................................................................................4,
DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD
"#4$
Instalacin de servicios bsicos en OpenBSD v. 4.3 - Astrid Eliana Snchez Corts! http://www.openbsdcolombia.org
1. Licencia (BSD)
Cop1ri!ht *c+ 2008, Astrid Eliana Snchez ,
All ri!hts reserved.
Cedistrib-tion and -se in so-rce and binar1 .or"s6 0ith or 0itho-t "odi.ication6 are per"itted provided that the .ollo0in! conditions
are "et=
Cedistrib-tions o. so-rce code "-st retain the above cop1ri!ht notice6 this list o. conditions and the .ollo0in! disclai"er.
Cedistrib-tions in binar1 .or" "-st reprod-ce the above cop1ri!ht notice6 this list o. conditions and the .ollo0in!
disclai"er in the doc-"entation and%or other "aterials provided 0ith the distrib-tion.
4either the na"e o. the OpenBS !olom"ia or the na"es o. its contrib-tors "a1 be -sed to endorse or pro"ote prod-cts
derived .ro" this so.t0are 0itho-t speci.ic prior 0ritten per"ission.
@5IS SOA@<ACE IS 9COEIDED BF @5E CO9FCI/5@ 5O)DECS A4D CO4@CIBG@OCS
HAS ISH A4D A4F EI9CESS OC I:9)IED <ACCA4@IES6 I4C)GDI4/6 BG@ 4O@
)I:I@ED @O6 @5E I:9)IED <ACCA4@IES OA :ECC5A4@ABI)I@F A4D AI@4ESS AOC
A 9AC@ICG)AC 9GC9OSE ACE DISC)AI:ED. I4 4O EEE4@ S5A)) @5E CO9FCI/5@ O<4EC OC
CO4@CIBG@OCS BE )IAB)E AOC A4F DICEC@6 I4DICEC@6 I4CIDE4@A)6 S9ECIA)6
EIE:9)ACF6 OC CO4SE;GE4@IA) DA:A/ES *I4C)GDI4/6 BG@ 4O@ )I:I@ED @O6
9COCGCE:E4@ OA SGBS@I@G@E /OODS OC SECEICESJ )OSS OA GSE6 DA@A6 OC
9COAI@SJ OC BGSI4ESS I4@ECCG9@IO4+ 5O<EEEC CAGSED A4D O4 A4F @5EOCF OA
)IABI)I@F6 <5E@5EC I4 CO4@CAC@6 S@CIC@ )IABI)I@F6 OC @OC@ *I4C)GDI4/
4E/)I/E4CE OC O@5EC<ISE+ ACISI4/ I4 A4F <AF OG@ OA @5E GSE OA @5IS
SOA@<ACE6 EEE4 IA ADEISED OA @5E 9OSSIBI)I@F OA SGC5 DA:A/E.
2. Introduccin
5ace al!Kn tie"po6 en la e"presa en la 3-e traba?aba decidi"os ca"biar el servidor6 la .-ncin de
este servidor serLa sencilla6 solo debe proveer Internet para -na red )A4 relativa"ente pe3-eMa6
con los servicios de D5C96 D4S6 <EB6 9COIF6 4A@ 1 AICE<A)).
)a instalacin en ese "o"ento se hizo con la versin 4., de OpenBSD6 1 de esta sali la pri"era
versin de este doc-"ento detallando todo6 o casi todo lo 3-e hice para de?arlo en .-nciona"iento.
Esta versin n-nca sali de "is "anos6 ahora se ve enri3-ecido por el traba?o de Aernando ;-intero
3-ien lo ha "e?orado 1 act-alizado a la versin 4.3. El pKblico ob?etivo de este doc-"ento son
personas 3-e estn dando s-s pri"eros pasos en OpenBSD6 1 3-e desp-s de instalarlo no saben
hacia donde ir6 co"o 1o "is"a c-ando "e p-se en esta tarea6 sin e"bar!o as-"o 3-e ha1 cierta
.a"iliaridad con el traba?o en siste"as tipo Unix, 1 3-e deben se sabe 3-e se 3-iere hacer6 de esa
.or"a podr -sarse esta !-La co"o re.erencia.
En este doc-"ento no se e>plicar para 3-e sirve cada servicio6 ni los co"ando bsicos 3-e se -sen6
ta"bin as-"o 3-e se tiene -na teorLa bsica de redes 1 de servicios de red. El doc-"ento inicia
desde 3-e el siste"a esta en s- instalacin base6 la instalacin propia de OpenBSD est bien
e>plicada en otros doc-"entos.
Espero le sea Ktil a al!-ien6 recibo co"entarios6 crLticas 1 s-!erencias en "i correo.
:entiras6 las criticas al %dev%n-ll J+
3. Configuracin bsica del sistea
Antes de co"enzar la con.i!-racin de los servicios es necesario tener -na con.i!-racin bsica en
n-estro siste"a. En este capLt-lo "ostrar -n poco de esto.
3.Con%i&'racin bsica del siste(a $#4$
3.1. !d"ertencia sobre la "ersin #.2 de $%enBSD
;-iero hacer re.erencia a -n proble"a especL.ico de la versin 4., de OpenBSD6 por si estas
si!-iendo la !-La -sando esa "is"a versin.
Ces-lta 3-e por -na de esas cosas de la vida a los a"i!os de OpenBSD les dio por poner la librerLa
libexpata dentro del pa3-ete xbase42.tgz6 dicha librerLa es a"plia"ente -sada6 estando en las
dependencias de -na !ran cantidad de pro!ra"as6 esto hace 3-e si no instala este pa3-ete por3-e no
se 3-iere traba?ar con el entorno !r.ico6 ha1a proble"as para instalar pro!ra"as "s adelante.
)a sol-cin a esto es instalar el pa3-ete >base4,.t!z6 lo c-al p-ede hacerse de dos "aneras6 en la
pri"era de ellas si"ple"ente se reinicia desde el "edio de instalacin6 1 se esco!e Gp!rade en
l-!ar de Install6 c-ando aparezcan los pa3-etes a instalar se esco!en los 3-e .altaron6 en este caso
xbase42.tgz.
)a otra "anera es -sar tar6 con las si!-ientes lLneas=
# tar xzvphf xbase42.tgz
#dconfg -m /usr/X11R6/b
4o se debe -sar p7!Dadd para esto6 ni olvidarse la opcion p. )a se!-nda lLnea es para car!ar las
librerLas co"partidas del >base6 o se p-ede reinciar.
Si ya estn en la versin 4.3 o en la versin current no habr problemas con esto, puesto ue !u"
#evuelta a su pauete original.
3.2. Configuracin de la red
Esta con.i!-racin p-ede hacerse desde la instalacin6 sin e"bar!o no est de "s revisarla6 1 saber
co"o .-nciona. Sie"pre 3-e se hace -n ca"bio en la con.i!-racin de la red se debe e?ec-tar el
script $etc$netstart para 3-e los ca"bios ten!an e.ecto6 o en s- de.ecto reiniciar el siste"a.
#sh /etc/netstart
o
#reboot
a. Interfaces de red
)a con.i!-racin de las tar?etas de red se enc-entra en los archivos $etc$hostname.inte!ace6 donde
inte!ace es el no"bre de la inter.az6 en OpenBSD dependen del .abricante de la tar?eta de red6 asL
3-e en cada e3-ipo es di.erente6 para veri.icar co"o se lla"an n-estras inter.aces solo tene"os 3-e
-sar el co"ando i!con!ig.
3.Con%i&'racin bsica del siste(a 3#4$
# fconfg -a
o0: flags=8049<UP,LOOPBACK,RUNNING,MULTI CAST> !" ##$08
g%o"&s: lo
'()! *$+,0,0,* ()!as- 0.ff000000
'()!/ ::* &%)f'.l)( *$8
'()!/ f)80::* 0lo0 &%)f'.l)( /4 s1o&)'2 0.4
3'10: flags=884#<UP,BROA4CAST,RUNNING,SIMPL56,MULTI CAST> !" *700
lla22% 00:01:$9:19:/+:27
)2'a: 5!8)%()! a"!os)l)1!
s!a!"s: a1!'3)
'()!/ f)80::$01:$9ff:f)19:/+27 03'10 &%)f'.l)( /4 s1o&)'2 0.*
'()! *9$,*/8,**0,*#$ ()!as- 0.ffffff00 9%oa21as! *9$,*/8,**0,$77
3'1*: flags=884#<UP,BROA4CAST,RUNNING,SIMPL56,MULTI CAST> !" *700
lla22% 00:01:$9:19:/+:2f
g%o"&s: )g%)ss
)2'a: 5!8)%()! a"!os)l)1!
s!a!"s: a1!'3)
'()!/ f)80::$01:$9ff:f)19:/+2f 03'1* &%)f'.l)( /4 s1o&)'2 0.$
'()! *9$,*/8,0,+ ()!as- 0.ffffff00 9%oa21as! *9$,*/8,0,$77
por e?e"plo 1o ten!o dos tar?etas de red6 c-1os no"bres son= vic% 1 vic&.
#ic0 esta en la red &'2.&().&&%.%$24 *+,-.
#ic$ esta en la red &$,.&2'.#.#%,4 */,-.
)os archivos de con.i!-racin respectivos son entonces $etc$hostname.vic% 1 $etc$hostname.vic%.
# s - /etc/hostname.*
:%;:%::%:: * %oo! ;8))l $* A"g # 08:#* <)!1<8os!(a),3'10
Si el archivo correspondiente a la inter.az no aparece6 si"ple"ente lo crea"os.
9ara "odi.icar los archivos de las inter.aces debe"os conocer las opciones disponibles6 si 3-ere"os
aprender todas las posibles opciones6 lo b-sca"os en el "an-al=
bash-3.2# man hostname.f
literalmente se usa la palabra i!.
Estos archivos tienen -na sola lLnea con la si!-iente in.or"acin separada por espacios=
3.Con%i&'racin bsica del siste(a 4#4$
Familia de direcciones: inet o inet2 dependiendo si -sa"os I9v4 o I9v2
%&: )a direccin I9 asi!nada a la tar?eta de red
Direccin de "roadcast6 o la palabra 'O'E6
O&!%O'ES: Estas p-eden cons-ltarse en man hostname.i!
Eea"os -n e?e"plo=
# cat /etc/hostname.vc0
281& NON5 NON5 NON5
Se p-ede ver 3-e la inter.az vic# se con.i!-ra por D5C9 co"pleta"ente6 asL 3-e nin!Kn otra
opcin es re3-erida.
Con.i!-re"os entonces la se!-nda inter.az=
# pco /etc/hostname.vc1
9as8: &'1o: 1oa(2 (o! fo"(2
;-e s-cediN
ahO6 aKn no tene"os el editor pico, OpenBSD trae co"o editor predeter"inado a vi, 3-e es el 3-e
-sare"os ahora, "s adelante les "-estro co"o se instala pico o c-al3-ier otro pro!ra"a.
#v /etc/hostname.vc1
net 192.168.0.7 255.255.255.0 192.168.0.255
Ahora recar!o la con.i!-racin de red=
# sh /etc/netstart
3'10: (o l'(- ,,, go! l'(-
4=CPR5>U5 ST o( 3'10 !o $77,$77,$77,$77 &o%! /+
4=CPACK f%o *9$,*/8,**0,$74
9o"(2 !o *9$,*/8,**0,*#$ :: %)();al '( 900 s)1o(2s,
1 con.ir"o la con.i!-racin de las inter.aces=
# fconfg -a
3.Con%i&'racin bsica del siste(a )#4$
/-ardando la con.i!-racin en estos archivos lo!ra"os 3-e los ca"bios perd-ren desp-s de
reiniciar. Ainal"ente=
# s -a /etc/hostname.*
:%;:%::%:: * %oo! ;8))l $* A"g # 08:#* <)!1<8os!(a),3'10
:%;:%::%:: * %oo! ;8))l 47 A"g # 09:*/ <)!1<8os!(a),3'1*
bash-3.2# cat /etc/hostname.vc0
281& NON5 NON5 NON5
# cat /etc/hostname.vc1
'()! *9$,*/8,0,+ $77,$77,$77,0 *9$,*/8,0,$77
b. &ate'a( (%uerta de enlace) ( dns
9ara con.i!-rar el !ate0a1 por de.ecto del siste"a se -sa el archivo $etc$mygate6 se pone solo s-
direccin I9. 9or e?e"plo=
# cat /etc/mygate
*9$,*/8,0,*
)a con.i!-racin de los D4S 3-e -sar el siste"a se hace en %etc%resolv.con.6 -sando la palabra
nameserver antes de cada direccin I9 correspondiente6 1 poniendo -no por lLnea6 por e?e"plo=
# cat /etc/resov.conf
s)a%18 ':'s&,()!,1o
(a)s)%3)% *9$,*/8,0,*
loo-"& f'l) 9'(2
Gna vez ter"ine de con.i!-rar el servidor ca"biar todos los valores para 3-e correspondan a la
n-eva "a3-ina 3-e esto1 con.i!-rando.
#. Instalando %a)uetes
En OpenBSD se "ane?an los pa3-etes binarios6 con la herra"ienta p0g6 3-e es el "todo
reco"endado. 9ara co"pilarlos se "antiene el siste"a de ports o portes6 sin e"bar!o se p-eden
co"pilar por el "todo tradicional ta"bin *con!igure, ma0e, ma0e install..
@anto si se va a instalar por p0g o por los ports debe "antenerse -na consistencia entre la ra"a de
OpenBSD 3-e se est traba?ando6 sea Stable, 1urrent, o Snapshot.
)a instalacin 3-e 1o ten!o es de stable6 la lista de pa3-etes disponibles se enc-entran en=
http=%%000.openbsd.or!%4.3Dpac7a!es%i3'2.ht"l
4.Instalando pa*'etes +#4$
Co"o de cost-"bre ha1 varias "aneras de hacer esto6 1 varias direcciones de "irrors donde
encontrar los pa3-etes6 1o lo ha!o asL=
# export PKG_PATH=ftp://ftp.openbsd.org/pub/OpenBSD/4.3/packages/386/
# pkg_add -v pco
&a%s'(g &'1o:4,98
4)&)(2)(1')s fo% &'1o:4,98 %)sol3) !o: g)!!).!:0,*/,*, l'9'1o(3:*,9,$&7, as&)ll:0,70,7&4
?!o2o: as&)ll:0,70,7&4@
&'1o:4,98:&a%s'(g as&)ll:0,70,7&4
fo"(2 l'9s&)1 1,4#,0 '( <"s%<l'9
fo"(2 l'9s&)1 1"%s)s,*0,0 '( <"s%<l'9
fo"(2 l'9s&)1 ,$,# '( <"s%<l'9
fo"(2 l'9s&)1 s!21AA,44,0 '( <"s%<l'9
&'1o:4,98:as&)ll:0,70,7&4: 1o&l)!)
fo"(2 l'9s&)1 1,4#,0 '( <"s%<l'9
fo"(2 l'9s&)1 '1o(3,4,0 '( &a1-ag) l'9'1o(3:*,9,$&7
fo"(2 l'9s&)1 '(!l,4,0 '( &a1-ag) g)!!).!:0,*/,*
fo"(2 l'9s&)1 (1"%s)s,*0,0 '( <"s%<l'9
fo"(2 l'9s&)1 &!8%)a2,9,0 '( <"s%<l'9
&'1o:4,98: 1o&l)!)
# pkg_add - wget
;g)!:*,*0,$&*: 1o&l)!)
9ri"ero veri.ico 3-e ten!a conectividad con el servidor .tp de OpenBSD 1 l-e!o e>porto la variable
&()*&A+, para 3-e ap-nte al repositorio de Internet.
Se p-ede ver en el e?e"plo la instalacin de los pa3-etes pico 1 2get.
9ara la instalacin por ports debe descar!arse pri"ero el archivo ports.tar.!z 1 desco"pri"irlo6 asL=
# pwd
<%oo!
# wget wget ftp://ftp.openbsd.org/pub/OpenBSD/4.3/ports.tar.gz
C-ando la descar!a est co"pleta se desco"pri"e en $usr, SI6 tiene 3-e ser allL6 de lo contrario el
siste"a de portes p-ede .allar.
4.Instalando pa*'etes ,#4$
# cd /usr
# pwd
<"s%
# tar xvzf /ruta/a/archvo/ports.tar.gz ,,,
De n-evo6 ha1 varias .or"as de hacerlo6 pero asL .-e 3-e lo hice6 el proceso de instalacin de los
ports es "-1 si"ple6 en res-"idas c-entas c-ando se desco"pri"e el archivo se crea -n arbol de
directorios en las 3-e se -bican todos los posibles pro!ra"as por cate!orLas6 si por e?e"plo 3-iero
instalar nano desde los ports ha!o lo si!-iente=
# s /usr/ports/edtors/nano/
CBS Ma-)f'l) 2's!'(fo &a!18)s &-g
# cd /usr/ports/edtors/nano/
# pwd
<"s%<&o%!s<)2'!o%s<(a(o
# make nsta
===> C8)1-'(g f'l)s fo% (a(o:$,0,+
,,,
Con esto p-edo instalar prctica"ente c-al3-ier pa3-ete6 ha1 opciones "s avanzadas pero salen
del alcance de este doc-"ento. E>iste -n doc-"ento donde se e>plica acerca de la di.erencia entre
ports 1 pa3-etes 1 otros .-nda"entos de OpenBSD6 ese doc-"ento lo p-eden encontrar en el sitio
de doc-"entos de OpenBSD Colo"bia
&
.
#.1. Configurando con los %a)uetes a la ano
Gna .or"a de acelerar el traba?o en la con.i!-racin del servidor es tener los pa3-etes re3-eridos a
la "ano6 para esto es reco"endable descar!ar todos los pa3-etes disponibles para la versin en la
3-e se est traba?ando6 o disponer de b-ena cone>in a Internet .
En "i caso he descar!ado todos los pa3-etes *2get+ 1 los he p-esto en -n servidor 0eb dentro de
red local6 de esta .or"a para acceder a ellos solo debo e>portar la variable &()*&A+, para 3-e
ap-nte a este repositorio 1 l-e!o -sar el co"ando p0g3a## para instalar los pa3-etes 3-e necesito.
& http=%%!ro-ps.!oo!le.co"%!ro-p%OpenBSDPColo"bia%.iles
4.Instalando pa*'etes -#4$
# export PKG_PATH=http://192.168.0.4/paquetes/
# pkg_add -v bash
&a%s'(g 9as8:#,$,##
4)&)(2)(1')s fo% 9as8:#,$,## %)sol3) !o: g)!!).!:0,*/,*, l'9'1o(3:*,9,$&7 ?!o2o:
l'9'1o(3:*,9,$&7,g)!!).!:0,*/,*@
9as8:#,$,##:&a%s'(g l'9'1o(3:*,9,$&7
fo"(2 l'9s&)1 1,4#,0 '( <"s%<l'9
9as8:#,$,##:l'9'1o(3:*,9,$&7: 1o&l)!)
9as8:#,$,##:&a%s'(g g)!!).!:0,*/,*
4)&)(2)(1')s fo% g)!!).!:0,*/,* %)sol3) !o: l'9'1o(3:*,9,$&7
fo"(2 l'9s&)1 1,4#,0 '( <"s%<l'9
fo"(2 l'9s&)1 ).&a!,9,0 '( <"s%<l'9
fo"(2 l'9s&)1 '1o(3,4,0 '( &a1-ag) l'9'1o(3:*,9,$&7
fo"(2 l'9s&)1 ,$,# '( <"s%<l'9
9as8:#,$,##:g)!!).!:0,*/,*: 1o&l)!)
fo"(2 l'9s&)1 1,4#,0 '( <"s%<l'9
fo"(2 l'9s&)1 '1o(3,4,0 '( &a1-ag) l'9'1o(3:*,9,$&7
fo"(2 l'9s&)1 '(!l,4,0 '( &a1-ag) g)!!).!:0,*/,*
fo"(2 l'9s&)1 !)%1a&,*0,0 '( <"s%<l'9
S8)ll <"s%<lo1al<9'(<9as8 a&&)(2)2 !o <)!1<s8)lls
bash-3.2.33: compete
# bash
5a1 3-e recordar 3-e sie"pre p-edo ir a Internet a descar!ar los pa3-etes6 pero es "s rpido si 1a
lo ten!o de .or"a local6 en n-estra intranet o en -n disco d-ro e>terno.
#.2. !fterboot (des%ues de bootear la %riera "e*)
)o si!-iente en la p-esta a p-nto del siste"a .-e leer el man a!terboot6 1 to"ar de allL al!-nas
ideas6 en "i caso=
a. Creacin de usuarios
Se hace con el 1a conocido co"ando a##user6 3-e co"o es pri"era vez 3-e se -sa nos pre!-nta
sobre las opciones por de.ecto6 1 l-e!o sL crea el -s-ario6 repitiendo las pre!-ntas por si acaso
3-ere"os 3-e al!o sea di.erente.
En la creacin del -s-ario ha1 3-e tener en c-enta 3-e para 3-e p-eda volverse root con el
co"ando s-6 debe pertenecer al !r-po 2heel.
4.Instalando pa*'etes .#4$
45emplo:
bash-3.2# adduser
Co"l2(C! f'(2 <)!1<a22"s)%,1o(f: 1%)a!'(g a (); a22"s)% 1o(f'g"%a!'o( f'l)
R)a2'(g <)!1<s8)lls
5(!)% Do"% 2)fa"l! s8)ll: 9as8 1s8 -s8 (olog'( s8 E-s8F: 9as8
Go"% 2)fa"l! s8)ll 's: 9as8 :> <"s%<lo1al<9'(<9as8
4)fa"l! log'( 1lass: a"!8&f 2a)o( 2)fa"l! s!aff E2)fa"l!F:
5(!)% Do"% 2)fa"l! =OM5 &a%!'!'o(: E<8o)F:
Co&D 2o!f'l)s f%o: <)!1<s-)l (o E<)!1<s-)lF:
S)(2 )ssag) f%o f'l): <)!1<a22"s)%,)ssag) (o E(oF:
4o (o! s)(2 )ssag)
P%o&! fo% &ass;o%2s 9D 2)fa"l! ?D<(@ EDF: D
4)fa"l! )(1%D&!'o( )!8o2 fo% &ass;o%2s: a"!o 9lo;f's8 2)s 27 ol2
Ea"!oF:
Us) o&!'o( HH:s'l)(!CC 'f Do" 2o(C! ;a(! !o s)) all ;a%('(gs a(2 I")s!'o(s,
R)a2'(g <)!1<s8)lls
C8)1- <)!1<as!)%,&ass;2
C8)1- <)!1<g%o"&
O-, l)!Cs go,
4o(C! ;o%%D a9o"! 's!a-)s, T8)%) ;'ll 9) a 18a(1) la!)% !o 1o%%)1! a(D '(&"!,
5(!)% "s)%(a) EF: (a(2o
5(!)% f"ll (a) EF: f)%(a(2o I"'(!)%o
5(!)% s8)ll 9as8 1s8 -s8 (olog'( s8 E9as8F:
U'2 E*000F:
Log'( g%o"& (a(2o E(a(2oF:
Log'( g%o"& 's HH(a(2oCC, I(3'!) (a(2o '(!o o!8)% g%o"&s: g")s! (o
E(oF:
Log'( 1lass a"!8&f 2a)o( 2)fa"l! s!aff E2)fa"l!F:
5(!)% &ass;o%2 EF:
5(!)% &ass;o%2 aga'( EF:
Na): (a(2o
Pass;o%2: JJJJ
K"ll(a): f)%(a(2o I"'(!)%o
U'2: *000
4.Instalando pa*'etes "/#4$
G'2: *000 ?(a(2o@
G%o"&s: (a(2o
Log'( Class: 2)fa"l!
=OM5: <8o)<(a(2o
S8)ll: <"s%<lo1al<9'(<9as8
OKL ?D<(@ EDF: D
A22)2 "s)% HH(a(2oCC
Co&D f'l)s f%o <)!1<s-)l !o <8o)<(a(2o
A22 a(o!8)% "s)%L ?D<(@ EDF: D
5(!)% "s)%(a) EF: as!%'2
5(!)% f"ll (a) EF: As!%'2 Sa(18)M
5(!)% s8)ll 9as8 1s8 -s8 (olog'( s8 E9as8F:
U'2 E*00*F:
Log'( g%o"& as!%'2 Eas!%'2F:
Log'( g%o"& 's HHas!%'2CC, I(3'!) as!%'2 '(!o o!8)% g%o"&s: g")s! (o
E(oF:
Log'( 1lass a"!8&f 2a)o( 2)fa"l! s!aff E2)fa"l!F:
5(!)% &ass;o%2 EF:
5(!)% &ass;o%2 aga'( EF:
Na): as!%'2
Pass;o%2: JJJJ
K"ll(a): As!%'2 Sa(18)M
U'2: *00*
G'2: *00* ?as!%'2@
G%o"&s: as!%'2
Log'( Class: 2)fa"l!
=OM5: <8o)<as!%'2
S8)ll: <"s%<lo1al<9'(<9as8
OKL ?D<(@ EDF: D
A22)2 "s)% HHas!%'2CC
Co&D f'l)s f%o <)!1<s-)l !o <8o)<as!%'2
A22 a(o!8)% "s)%L ?D<(@ EDF: (
Goo29D)N
Co"o p-eden ver a!re!- dos -s-arios6 -no lla"ado nan#o 1 otro astri#.
Si uiero ue estos #os usuarios pue#an traba5ar con su o su#o, entonces #ebo agregarlos al grupo
2heel, usan#o el coman#o usermo#.
4.Instalando pa*'etes ""#4$
bash-3.2# d nando
"'2=*000?(a(2o@ g'2=*000?(a(2o@ g%o"&s=*000?(a(2o@
bash-3.2# d astrd
"'2=*00*?as!%'2@ g'2=*00*?as!%'2@ g%o"&s=*00*?as!%'2@
bash-3.2# usermod -G whee nando
bash-3.2# usermod -G whee astrd
bash-3.2# d nando
"'2=*000?(a(2o@ g'2=*000?(a(2o@ g%o"&s=*000?(a(2o@, 0?;8))l@
bash-3.2# d astrd
"'2=*00*?as!%'2@ g'2=*00*?as!%'2@ g%o"&s=*00*?as!%'2@, 0?;8))l@
b. +o root en SS,- %o'eroff ( reinicio en .ernel %anic
Co"o "edida de se!-ridad vo1 a deshabilitar la cone>in a travs de ssh con la c-enta de root6 para
hacer esto se edita el archivo %etc$ssh$ssh#3con!ig * no con.-ndir con $etc$ssh$ssh3con!ig+ en este
b-sco la lLnea =
#PermtRootLogng yes
Se desco"enta 1 ca"bia el yes por no 3-edando asL=
PermtRootLogn no
Sin hacer "s ca"bios !rabo el archivo de con.i!-racin.
)-e!o6 1 por razones de co"odidad vo1 a habilitar el apa!ado .Lsico del e3-ipo a travs de la lLnea
de co"andos6 el co"porta"iento por de.ecto es ba?ar el siste"a6 pero no apa!ar el e3-ipo. 9ara
habilitar esto 1 poder por e?e"plo reiniciar el siste"a re"ota"ente6 se edita el archivo
$etc$rc.shut#o2n6 3-e es donde se enc-entran las opciones de apa!ado del e3-ipo6 1 ase!-rarse 3-e
la si!-iente lLnea aparezca asL=
powerdown=YES
Ahora para 3-e al reiniciarse el e3-ipo no entre en el "odo deb-!!-er c-ando s-ceda -n 7ernel
panic o al!o no va1a bien en el booteo6 activa"os en el archivo $etc$sysctl.con! la si!-iente lLnea
3-e se enc-entra co"entada=
#ddb.panc=0 # 0=Do not drop nto ddb on a kerne panc
4.Instalando pa*'etes "$#4$
3-edando asL=
ddb.panc=0 # 0=Do not drop nto ddb on a kerne panc
c. Des/abilitar los ser"icios b( default
El le"a de solo #os agu5eros en la instalacin por omisin tiene -na razn de ser6 1 es 3-e c-ando
el siste"a operativo se instala son "-1 pocos servicios los 3-e corren sin 3-e se les ha1a dicho 3-e
lo ha!an6 pero para los 3-e so"os -n poco "as paranoicos todavLa se p-ede hacer al!o "as 1
deshabilitar los servicios 3-e a-n3-e no son "-1 co"Kn verlos .-ncionando6 estn allL=
bash-3.2# netstat -an | more
A1!'3) I(!)%()! 1o(()1!'o(s ?'(1l"2'(g s)%3)%s@
P%o!o R)13:> S)(2:> Lo1al A22%)ss Ko%)'g( A22%)ss ?s!a!)@
'& 0 0 J,J J,J *+
A1!'3) I(!)%()! 1o(()1!'o(s ?'(1l"2'(g s)%3)%s@
!1& 0 0 *9$,*/8,0,+,$$ *9$,*/8,0,4,4949* 5 STABLI S=54
!1& 0 0 *$+,0,0,*,78+ J,J LI ST5N
!1& 0 0 *$+,0,0,*,$7 J,J LI ST5N
!1& 0 0 J,$$ J,J LI ST5N
!1& 0 0 J,#+ J,J LI ST5N
!1& 0 0 J,*# J,J LI ST5N
!1& 0 0 J,**# J,J LI ST5N
@odo p-erto 3-e aparezca con el )IS@E46 3-iere decir 3-e esta esc-chando o esperando peticiones.
Se p-ede 3-e la inter.az <A4 esta esc-chando en el p-erto ,,6 lo 3-e 3-iere decir 3-e esta
habilitado el servicio SS5.
En la inter.az loopbac7 *&,(.#.#.&+ estn los p-ertos ,8 1 8'( a"bos pertenecen al servidor de
correo SE4D:AI)6 si no los necesito los p-edo deshabilitar6 a-n3-e al estar corriendo en la
inter.az loopbac7 no ha1 ries!o de 3-e -n atacante e>terno se p-eda aprovechar de el.
9ero6 Q3- s-cede con el restoN6el asterisco *R+ representa todas las inter.aces6 asL 3-e en todas las
inter.aces se est esc-chando en los p-ertos 3(6 &3 1 &&3.
Esos servicios son=
#aytime &3$tcp
#aytime &3$u#p
time 36$tcp timserver
time 36$u#p timserver
auth &&3$tcp authentication tap i#ent
4.Instalando pa*'etes "3#4$
Si no sabes 3-e son estos servicios6 entonces no los necesitas6 para deshabilitarlos del arran3-e
pode"os editar el archivo $etc$services , b-scar cada -na de estas lLneas 1 co"entarlas.
9ara hacer e.ectivo estos ca"bios p-edo "atar el proceso inetd 1 l-e!o recar!arlo=
bash-3.2# ps aux | grep netd
%oo! #0+9+ 0,0 0,# $84 +00 L L Is 8:7$AM 0:00,04 '()!2
%oo! 47*9 0,0 0,# 400 ++$ &0 S A **:$#AM 0:00,0$ g%)& '()!2
9as8:#,$O &-'ll '()!2
9as8:#,$O &s a". Pg%)& '()!2
9as8:#,$O '()!2
9as8:#,$O &s a". Pg%)& '()!2
%oo! *7#7+ 0,0 0,# #9$ +9$ L L S s **:$#AM 0:00,0* '()!2
%oo! *9+98 0,0 0,# #$4 ++$ &0 SA **:$4AM 0:00,0$ g%)& '()!2
Eeri.icando...
bash-3.2# netstat -an
A1!'3) I(!)%()! 1o(()1!'o(s ?'(1l"2'(g s)%3)%s@
'& 0 0 J,J J,J *+
A1!'3) I(!)%()! 1o(()1!'o(s ?'(1l"2'(g s)%3)%s@
!1& 0 0 *9$,*/8,0,+,$$ *9$,*/8,0,4,4949* 5 STABLI S=54
!1& 0 0 *$+,0,0,*,78+ J,J LI ST5N
!1& 0 0 *$+,0,0,*,$7 J,J LI ST5N
!1& 0 0 J,$$ J,J LI ST5N
Co"o se ve los servicios no deseados 1a no s-ben. =+
0. Ser"idor D,C1
4ecesito -n servidor bsico de D5C96 asL 3-e las "odi.icaciones 3-e debo hacer a la con.i!-racin
b1 de.a-lt son "Lni"as6 1 "i red .-nciona per.ecta"ente6 los pasos .-eron=
9ri"ero habilitar el servidor D5C9 con el arran3-e del siste"a6 a!re!ando la lLnea si!-iente en el
archivo $etc$rc.con!.local.
4ste archivo no existe by #e!ault en la versin 4.3, as7 ue ten#rs ue crearlo, simplemente es un
archivo en texto plano, #on#e agregaremos las variables ue necesitemos para habilitar los
servicios.
).Servidor D0C1 "4#4$
bash-3.2# cat /etc/rc.conf.oca
dhcpd_fags=""
)-e!o en $etc$#hcp#.inter!aces se listan las inter.aces en las 3-e va a esc-char el dhcp6 -na inte.az
por lLnea6 en "i caso6 1 en la "a1orLa6 solo nos interesa 3-e esc-che en la inter.aces interna.
bash-3.2# cat /etc/dhcpd.nterfaces
O QO&)(BS4: 281&2,'(!)%fa1)s,3 *,* *998<08<*9 04:$7:47 fo% 5.& Q
O
O L's! of ()!;o%- '(!)%fa1)s s)%3)2 9D 281&2?8@,
O
3'10
Ahora "odi.ica"os el archivo $etc$#hcp#.con!6 esta con.i!-racin es estandar para la con.i!-racin
de este de"onio de D5C96 asL 3-e p-edo basar"e en con.i!-raciones de )in-> - otros siste"as
operativos.
opton doman-name "empresa.com";
opton doman-name-servers 192.168.0.1;
subnet 192.168.0.0 netmask 255.255.255.0 {
opton routers 192.168.0.1;
range 192.168.0.32 192.168.0.127;
}
5e realizado la con.i!-racin "Lni"a posible6 estableciendo -n ran!o de direcciones desde 3, a &,(
"a3-inas en "i red local. Si 3-isiera a!re!ar "as opciones p-edo se!-ir la e>celente
doc-"entacin de= man #hcp#.con!
).Servidor D0C1 ")#4$
2. Co%robando rc.conf.local
En c-al3-ier "o"ento pode"os probar n-estra con.i!-racin de servidores6 para esto recar!a"os
los servicios e?ec-tando lo si!-iente=
bash-3.2# sh /etc/rc
s)!!'(g !!D flags
-92: -)D9oa%2 a&&'(g s)! !o )s
a182)&,allo;a&)%!"%): $ :> $
s!a%!'(g ()!;o%-
3'10: (o l'(- ,,, go! l'(-
4=CPR5>U5 ST o( 3'10 !o $77,$77,$77,$77 &o%! /+
4=CPACK f%o *9$,*/8,**0,$74
9o"(2 !o *9$,*/8,**0,*#$ :: %)();al '( 900 s)1o(2s,
s!a%!'(g sDs!) logg)%
sDslog2: 9'(2: A22%)ss al%)a2D '( "s)
%(21:1o(fg)(: g)()%a!'(g (); s8a%)2 s)1%)!,,, 2o(),
s!a%!'(g '('!'al 2a)o(s:,
sa3)1o%): (o 1o%) 2"&
18)1-'(g I"o!as: 2o(),
9"'l2'(g &s 2a!a9as)s: -3 2)3,
1l)a%'(g <!&
s!a%!'(g &%):s)1"%)l)3)l 2a)o(s:,
s)!!'(g -)%()l s)1"%'!D l)3)l: -)%(,s)1"%)l)3)l: * :> *
1%)a!'(g %"(!') l'(- )2'!o% 2'%)1!o%D 1a18),
&%)s)%3'(g )2'!o% f'l)s
s!a%!'(g ()!;o%- 2a)o(s: 281&2
s!a%!'(g lo1al 2a)o(s:,
s!a(2a%2 2a)o(s: 1%o(,
S"( A"g # **:48:79 COT $008
Esto nos evita el tener 3-e reiniciar6 en los lo!s de este script pode"os veri.icar 3-e los servicios
han s-bido correcta"ente=
s!a%!'(g ()!;o%- 2a)o(s: 281&2
+.Co(probando rc.con%.local "+#4$
3. Ser"idor D+S
Solo para resolver al!-nas I9s internas6 1 para hacer cache de las 1a res-eltas6 de "odo 3-e ha1a
"e?or resp-esta hacia los -s-arios=
Este servicio viene inte!rado con OpenBSD6 por tanto solo con.i!-ro el archivo prePe>istente
$var$name#$etc$name#.con!6 co"o p-ede verse de esta r-ta6 este servicio viene listo para .-ncionar
dentro de -n chroot.
Edita"os este archivo 1 hace"os 3-e el na"ed esc-che solo en la inter.az interna= vic#
bash-3.2# pco /var/named/etc/named.conf
o&!'o(s R
3)%s'o( SST <<%)o3) !8's !o allo; 3)%s'o( I")%')s
l's!)(:o( R *9$,*/8,**0,*#$T UT
l's!)(:o(:3/ R (o()T UT
)&!D:Mo()s:)(a9l) D)sT
allo;:%)1"%s'o( R 1l')(!sT UT
};
@a"bin deshabilita"os la esc-cha para I9v26 a "enos 3-e ten!a"os i"ple"entado tKneles o -na
red en I9E2 dentro de la )A4.
B1 de.a-lt el na"ed trae -nas con.i!-raciones 3-e pode"os aprovechar6 pero no trae archivos de
zonas con.i!-rados6 asL 3-e tendre"os 3-e crearlos.
bash-3.2# pwd
<3a%<(a)2<)!1
bash-3.2# s -a
!o!al $8
2%;.%:.::: $ %oo! (a)2 7*$ A"g # 08:#$ ,
2%;.%:.%:. 8 %oo! ;8))l 7*$ A"g # 08:#$ ,,
:%;:%::::: * %oo! (a)2 */4/ Ma% *$ **:$8 (a)2:2"al,1o(f
:%;:%::::: * %oo! (a)2 *4$8 Ma% *$ **:$8 (a)2:s'&l),1o(f
:%;:%::::: * %oo! (a)2 *4$9 A"g # *0:#/ (a)2,1o(f
:%;:%::%:: * %oo! ;8))l $940 Ma% *$ **:$8 %oo!,8'(!
,.Servidor D2S ",#4$
Co"o va"os a con.i!-rar dos zonas6 -na directa 1 -na inversa6 entonces a!re!a"os esto al
name#.con! :
zone "empresa.com" {
type master;
fe "master/empresa.com.drecta";
};

zone "0.168.192.n-addr.arpa" {
type master;
fe "master/empresa.com.nversa";
};
1 crea"os los archivo correspondientes=
bash-3.2# cat /var/named/master/empresa.com.drecta
QORI GIN )&%)sa,1o,
QTTL #8
V IN S OA (s,)&%)sa,1o, as!%'2,sa(18)M,ga'l,1o, ?
/// T S)%'al DDDD22((
#8 T R)f%)s8 Af!)% # 8o"%s
*8 T R)!%D R)!%D af!)% * 8o"%
*; T 5.&'%) af!)% * ;))-
*8@ T M'('" ()ga!'3) 1a18'(g of * 8o"%
T Ag%)go 's 8os!s
V 8/400 IN NS (s,)&%)sa,1o,
V 8/400 IN M6 *0 a'l,)&%)sa,1o,
(s IN A *9$,*/8,0,+
2(s IN CNAM5 (s
f; IN CNAM5 (s
281& IN CNAM5 (s
&%o.D IN CNAM5 (s
)s!a1'o(* IN A *9$,*/8,0,9
)s!a1'o($ IN A *9$,*/8,0,*0
%)&os'!o%'o IN A *9$,*/8,0,4
a'l IN A *9$,*/8,0,8
,.Servidor D2S "-#4$
Che3-eando la zona=
bash-3.2# named-checkzone empresa.com
/var/named/master/empresa.com.drecta
Mo() )&%)sa,1o<IN: loa2)2 s)%'al ///
OK
)a zona directa esta OS.
9robe"os la zona inversa=
bash-3.2# cat /var/named/master/empresa.com.nversa
QORI GIN 0,*/8,*9$,'(:a22%,a%&a,
QTTL #8
V IN S OA (s,)&%)sa,1o, as!%'2,sa(18)M,ga'l,1o, ?
### T S)%'al DDDD22((
#8 T R)f%)s8 Af!)% # 8o"%s
*8 T R)!%D R)!%D af!)% * 8o"%
*; T 5.&'%) af!)% * ;))-
*8@ T M'('" ()ga!'3) 1a18'(g of * 8o"%
T Ag%)go 's 8os!s
V 8/400 IN NS (s,)&%)sa,1o,
+ IN PTR (s,)&%)sa,1o,
9 IN PTR )s!a1'o(*,)&%)sa,1o,
*0 IN PTR )s!a1'o($,)&%)sa,1o,
4 IN PTR %)&os'!o%'o,)&%)sa,1o,
8 IN PTR a'l,)&%)sa,1o,
Che3-eando la zona inversa=
bash-3.2# named-checkzone 0.168.192.n-addr.arpa
/var/named/master/empresa.com.nversa
Mo() 0,*/8,*9$,'(:a22%,a%&a<IN: loa2)2 s)%'al ###
OK
,.Servidor D2S ".#4$
Gna vez listas las dos zonas6 proba"os todo el D4S con el si!-iente co"ando=
#named -g
Este nos a1-dar a identi.icar errores antes de 3-e el servicio s-ba de .or"a nor"al.
C-ando el servicio D4S est listo se habilita para 3-e se inicie con el siste"a6 para esto solo basta
a!re!ar la si!-iente lLnea en el archivo $etc$rc.con!.local
named_fags="";
Si se 3-iere veri.icar 3-e el servidor D4S res-elva estas zonas6 se p-ede -sar la -tilidad nsloo7-p=
bash-3.2# nsookup
> s)%3)% *9$,*/8,**0,*#$
4)fa"l! s)%3)%: *9$,*/8,**0,*#$
A22%)ss: *9$,*/8,**0,*#$O7#
> (s,)&%)sa,1o
S)%3)%: *9$,*/8,**0,*#$
A22%)ss: *9$,*/8,**0,*#$O7#
Na): (s,)&%)sa,1o
A22%)ss: *9$,*/8,0,+
> )s!a1'o(*,)&%)sa,1o
S)%3)%: *9$,*/8,**0,*#$
A22%)ss: *9$,*/8,**0,*#$O7#
Na): )s!a1'o(*,)&%)sa,1o
A22%)ss: *9$,*/8,0,9
> *9$,*/8,0,9
S)%3)%: *9$,*/8,**0,*#$
A22%)ss: *9$,*/8,**0,*#$O7#
9,0,*/8,*9$,'(:a22%,a%&a (a) = )s!a1'o(*,)&%)sa,1o,
> *9$,*/8,0,+
S)%3)%: *9$,*/8,**0,*#$
A22%)ss: *9$,*/8,**0,*#$O7#
,.Servidor D2S $/#4$
+,0,*/8,*9$,'(:a22%,a%&a (a) = (s,)&%)sa,1o,
> WC
Co"o p-eden ver el servidor D4S .-nciona per.ecta"ente6 le pre!-nta"os por dos hosts en la zona
directa 1 dos en la inversa6 antes de pre!-ntarle a -n D4S le de.ini"os 3-ien ser n-estro servidor
-sando el co"ando server dentro de la -tilidad nsloo0up.
3.1. !segurando el ser"idor D+S
5ace al!-nas se"anas .-e reportado -n proble"a de se!-ridad en las i"ple"entaciones de los
servidores D4S considerado bastante !rave al p-nto de ser -na a"enaza "-ndial por3-e podrLa
haber acabado con el Internet. Co"o no s-cedi6 entonces ahora n-estra responsabilidad es parchar
el a!-?ero de se!-ridad con el parche o.recido por OpenBSD
,
.
Co"o 1a todos saben parchar -n OpenBSD e3-ivale a reco"pilar .-entes de -serland 1 el 7ernel6
entonces b-sca"os -na alternativa 3-e es -sar parches binarios. /racias a n-estro a"i!o "i7e6
pode"os instalar estos parches de -na .or"a "-1 sencilla6 para descar!arlos ha1 3-e entrar a=
http=%%erdel1net.co"%binpatch% 6 o al "irror = http=%%000.openbsdcolo"bia.or!%parches% 1 descar!ar
todos los parches6 p-esto 3-e deben ser instalados en orden=
# mkdr /root/parches
# cd /root/parches/
# wget http://erdeynet.com/downoads/4.3/bnpatch-4.3-386-001.tgz
-:*$:09:*8:: 8!!&:<<)%2)lD()!,1o<2o;(loa2s<4,#<9'(&a!18:4,#:'#8/:00*,!gM
=> H9'(&a!18:4,#:'#8/:00*,!gMC
R)sol3'(g )%2)lD()!,1o,,, +*,$4*,$#0,$0$
Co(()1!'(g !o )%2)lD()!,1oP+*,$4*,$#0,$0$P:80,,, 1o(()1!)2,
=TTP %)I")s! s)(!, a;a'!'(g %)s&o(s),,, $00 OK
L)(g!8: #80,9+7 ?#+$K@ Ea&&l'1a!'o(<.:!a%F
*00 0
E===================================================================
===================================================================
=====>F #80,9+7 #8,##K<s 5TA 00:00
*$:09:$+ ?47,*0 KB<s@ : H9'(&a!18:4,#:'#8/:00*,!gMC sa3)2 E#809+7<#809+7F
, http=%%000.openbsd.or!%errata43.ht"l
,.Servidor D2S $"#4$
| .....|
| .....|
| .....|
# s -a
!o!al $$97$
2%;.%:.%:. $ %oo! ;8))l 7*$ A"g # *$:*4 ,
2%;.:::::: # %oo! ;8))l 7*$ A"g # *$:09 ,,
:%;:%::%:: * %oo! ;8))l #809+7 MaD + **:$# 9'(&a!18:4,#:'#8/:00*,!gM
:%;:%::%:: * %oo! ;8))l #809*0 MaD + **:$# 9'(&a!18:4,#:'#8/:00$,!gM
:%;:%::%:: * %oo! ;8))l 478$8/* X"l $4 *0:#9 9'(&a!18:4,#:'#8/:004,!gM
:%;:%::%:: * %oo! ;8))l /#0/04/ X"l #0 *$:74 9'(&a!18:4,#:'#8/:007,!gM
)a instalacin=
# tar zfvx bnpatch-4.3-386-002.tgz -C /
,<"s%<9'(<slog'(
,<"s%<9'(<ss8
,<"s%<9'(<ss8:-)Ds1a(
,<"s%<l'92a!a<ss8<Ss8,9'(
,<"s%<l'9).)1<ss8:-)Ds'g(
,<"s%<s9'(<ss82
,<3a%<29<9'(&a!18<00$Yo&)(ss8$
9ara el del D4S=
bash-3.2# tar zfvx bnpatch-4.3-386-004.tgz -C /
,<"s%<s9'(<2'g
,<"s%<s9'(<2(ss)1:-)Dg)(
,<"s%<s9'(<2(ss)1:s'g(Mo()
,<"s%<s9'(<8os!
,<"s%<s9'(<(a)2
,<"s%<s9'(<(a)2:18)1-1o(f
,<"s%<s9'(<(a)2:18)1-Mo()
,<"s%<s9'(<(sloo-"&
,.Servidor D2S $$#4$
,<"s%<s9'(<(s"&2a!)
,<"s%<s9'(<%(21
,<"s%<s9'(<%(21:1o(fg)(
,<"s%<s8a%)<2o1<8!l<9'(2<B39ARM,180/,8!l
,<3a%<29<9'(&a!18<004Y9'(2
Se hace lo "is"o para cada parche. Cec-erden 3-e instalar o no -n parche depende del entorno en
el 3-e este"os 1 depende de lo 3-e b-s3-e"os6 por e?e"plo este parche del D4S se!Kn
co"entarios en las listas de correo hace 3-e OpenBSD va1a "as lento en la resol-cin de no"bres6
a.ort-nada"ente es notorio c-ando las peticiones por se!-ndo son de varios "iles. Si no es
absol-ta"ente necesario 3-e -sted parche s- siste"a6 es pre.erible esperar hasta la pr>i"a release
c-ando el parche ha1a sido "e?orado 1 testeado 1 se ha1a sincronizado co"pleta"ente con el resto
de pa3-etes. 9ero n-eva"ente6 es -na decisin personal. )as reco"endaciones de este doc-"ento
no deberLan in.l-ir de"asiado en esa to"a de decisiones.
4. Ser"idor 5(S6L (Bases de Datos)
Co"o se ha visto hasta ahora la p-esta en "archa de todos los servicios en OpenBSD es al!o "-1
sencillo6 1 si!-e -n procedi"iento estndar6 va"os a se!-irlo6 pri"ero6 instalacin desde los
pa3-etes *procedi"iento reco"endado sie"pre+=
bash-3.2# pkg_add -v mysq-server
&a%s'(g DsIl:s)%3)%:7,0,7*a
4)&)(2)(1')s fo% DsIl:s)%3)%:7,0,7*a %)sol3) !o: &7:4B4:DsIl:4,007, DsIl:
1l')(!:7,0,7*a ?!o2o: &7:4B4:DsIl:4,007@
DsIl:s)%3)%:7,0,7*a:&a%s'(g &7:4B4:DsIl:4,007
4)&)(2)(1')s fo% &7:4B4:DsIl:4,007 %)sol3) !o: &7:4BI:*,79, DsIl:1l')(!:7,0,7*a
?!o2o: &7:4BI:*,79@
DsIl:s)%3)%:7,0,7*a:&a%s'(g &7:4BI:*,79
4)&)(2)(1')s fo% &7:4BI:*,79 %)sol3) !o: &7:PlRPC:0,$0*8&0 ?!o2o: &7:
PlRPC:0,$0*8&0@
DsIl:s)%3)%:7,0,7*a:&a%s'(g &7:PlRPC:0,$0*8&0
4)&)(2)(1')s fo% &7:Pl RPC:0,$0*8&0 %)sol3) !o: &7:N)!:4a)o(:0,4# ?!o2o: &7:N)!:
4a)o(:0,4#@
DsIl:s)%3)%:7,0,7*a:&a%s'(g &7:N)!:4a)o(:0,4#
DsIl:s)%3)%:7,0,7*a:&7:N)!:4a)o(:0,4#: 1o&l)!)
DsIl:s)%3)%:7,0,7*a:&7:PlRPC:0,$0*8&0: 1o&l)!)
DsIl:s)%3)%:7,0,7*a:&7:4BI:*,79: 1o&l)!)
fo"(2 l'9s&)1 1%D&!o,*#,0 '( <"s%<l'9
fo"(2 l'9s&)1 l'9<DsIl<DsIl1l')(!,*8,0 '( &a1-ag) DsIl:1l')(!:7,0,7*a
-.Servidor 34S56 7Bases de Datos8 $3#4$
fo"(2 l'9s&)1 ,$,# '( <"s%<l'9
fo"(2 l'9s&)1 ssl,**,0 '( <"s%<l'9
fo"(2 l'9s&)1 M,4,* '( <"s%<l'9
DsIl:s)%3)%:7,0,7*a:&7:4B4:DsIl:4,007: 1o&l)!)
fo"(2 l'9s&)1 1,4#,0 '( <"s%<l'9
fo"(2 l'9s&)1 1%D&!o,*#,0 '( <"s%<l'9
fo"(2 l'9s&)1 ,$,# '( <"s%<l'9
fo"(2 l'9s&)1 DsIl1l')(!,*8,0 '( &a1-ag) DsIl:1l')(!:7,0,7*a
fo"(2 l'9s&)1 &!8%)a2,9,0 '( <"s%<l'9
fo"(2 l'9s&)1 ssl,**,0 '( <"s%<l'9
fo"(2 l'9s&)1 ;%a&,4,0 '( <"s%<l'9
fo"(2 l'9s&)1 M,4,* '( <"s%<l'9
a22'(g g%o"& YDsIl
a22'(g "s)% YDsIl
'(s!all)2 <)!1<D,1(f f%o <"s%<lo1al<s8a%)<DsIl<D:
)2'",1(fJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ
JJJJJJJJJJJJJJJJJ P9/ 0
DsIl:s)%3)%:7,0,7*a: 1o&l)!)
::: DsIl:s)%3)%:7,0,7*a :::::::::::::::::::
Go" 1a( f'(2 2)!a'l)2 '(s!%"1!'o(s o( 8o; !o '(s!all a 2a!a9as)
'( <"s%<lo1al<s8a%)<2o1<DsIl<R5A4M5,O&)(BS4,
bash-3.2#
En esta ocasin el "ensa?e 3-e aparece nos advierte de la i"portancia de leer el archivo
$usr$local$share$#oc$mysl$84,9:4.;pen<S9 donde se enc-entran los pasos a se!-ir para 3-e el
servidor .-ncione a la per.eccin6 sin e"bar!o 1 co"o "is re3-eri"ientos son "-1 pocos *slo
tendr -na pe3-eMa car!a+6 p-edo con.or"ar"e con la con.i!-racin 3-e viene por de.ecto.
)o pri"ero 3-e se hace es crear la pri"era base de datos6 sin la c-al no .-nciona6 esto se hace con el
script 3-e se enc-entra en la direccin= $usr$local$bin$mysl3install3#b
bash-3.2# sh /usr/oca/bn/mysq_nsta_db
I(s!all'(g MDS>L sDs!) !a9l)s,,,
OK
K'll'(g 8)l& !a9l)s,,,
OK
PL5AS 5 R5M5MB5R TO S 5T A PAS S ZOR4 KOR T=5 MDS>L %oo! US 5R N
To 2o so, s!a%! !8) s)%3)%, !8)( 'ss") !8) follo;'(g 1oa(2s:
<"s%<lo1al<9'(<DsIla2'( :" %oo! &ass;o%2 C();:&ass;o%2C
-.Servidor 34S56 7Bases de Datos8 $4#4$
<"s%<lo1al<9'(<DsIla2'( :" %oo! :8 s)%3)%,)&%)sa,1o &ass;o%2 C();:&ass;o%2C
Al!)%(a!'3)lD Do" 1a( %"(:
<"s%<lo1al<9'(<DsIlYs)1"%)Y'(s!alla!'o(
;8'18 ;'ll also g'3) Do" !8) o&!'o( of %)o3'(g !8) !)s!
2a!a9as)s a(2 a(o(Do"s "s)% 1%)a!)2 9D 2)fa"l!, T8's 's
s!%o(glD %)1o)(2)2 fo% &%o2"1!'o( s)%3)%s,
S)) !8) a("al fo% o%) '(s!%"1!'o(s,
Pl)as) %)&o%! a(D &%o9l)s ;'!8 !8) <"s%<lo1al<9'(<DsIl9"g s1%'&!N
T8) la!)s! '(fo%a!'o( a9o"! MDS>L 's a3a'la9l) o( !8) ;)9 a!
8!!&:<<;;;,DsIl,1o
S"&&o%! MDS>L 9D 9"D'(g s"&&o%!<l'1)(s)s a! 8!!&:<<s8o&,DsIl,1o
9ara tener acceso a este servicio desde el servidor <eb Apache6 b1 de.a-lt en -n chroot6 debe
hacerse -n enlace entre el soc7et real de :1S;)6 1 -n l-!ar donde el Apache p-eda verlo6 asL=
bash-3.2# mysqd_safe &
bash-3.2# mkdr -p /var/www/var/run/mysq/
bash-3.2# n -f /var/run/mysq/mysq.sock /var/www/var/run/mysq/mysq.sock
Co"o este -lti"o co"ando ha1 3-e e?ec-tarlo cada vez 3-e s-be el de"onio :1S;)6 entonces lo
a!re!a"os en el $etc$rc.local
#Arranque de MySOL
f | -x /usr/oca/bn/mysqd_safe |; then
su root -c '/usr/oca/bn/mysqd_safe >/dev/nu' & echo -n 'mysq'
seep 5
n -f /var/run/mysq/mysq.sock /var/www/var/run/mysq/mysq.sock
f
Este script co"pr-eba 3-e e>ista el de"onio :1S;) 1 l-e!o lo e?ec-ta6 co"o el de"onio p-ede
tardar -n "o"ento car!andonse6 entonces le da"os 8 se!-ndos de tie"po 1 l-e!o intenta"os
lin7ear el soc7et al soc7et dentro del chroot. Si el :1S;) no enc-entra el soc7et dentro del chroot
del apache6 no .-ncionar dentro de las aplicaciones <eb.
-.Servidor 34S56 7Bases de Datos8 $)#4$
Desp-es de hacer -n sh $etc$rc n-eva"ente6 co"proba"os 3-e el soc7et este en el l-!ar correcto 1
3-e se este haciendo el drop de privile!ios con el de"onio S;)6 esto es 3-e 3-ien corre la
aplicacin es real"ente el -s-ario D"1s3l 1 no el root.
bash-3.2# s -a /var/www/var/run/mysq/mysq.sock
s%;.%;.%;. $ YDsIl YDsIl 0 A"g # *#:$9 <3a%<;;;<3a%<%"(<DsIl<DsIl,so1-
9as8:#,$O &s a". Pg%)& DsIl
%oo! 4#$* 0,0 0,$ 4/0 7#$ &0 I *:$9PM 0:00,0# <9'(<s8
<"s%<lo1al<9'(<DsIl2Ysaf)
YDsIl $44/# 0,0 /,9 40/+/ *+9/0 &0 S *:$9PM 0:00,$+
<"s%<lo1al<l'9).)1<DsIl2 ::9as)2'%=<"s%<lo1al ::2a!a2'%=<3a%<DsIl ::"s)%=YDsIl ::&'2:
f'l)=<3a%<DsIl<s)%3)%,)&%)
%oo! /+$/ 0,0 0,# #48 +/8 &0 S A *:#*PM 0:00,0$ g%)& DsIl
9ara a!re!arle -n poco "as de se!-ridad a la 1a e>istente6 entonces deshabilta"os el soc7et de red
3-e crea el de"onio :1S;)6 1a 3-e todas las peticiones vendran desde n-estro e3-ipo local 1 lo
harn por el soc7et tipo archivo. 9ara esto en el archivo %etc%"1.cn. 6 desco"enta"os la lLnea =
skp-networkng
con esto saltara la car!a del soc7et de red 1 nin!Kn p-erto se abrir.
4.1. !s%ectos i%ortantes con 5(S6L
En este p-nto el servidor de bases de datos debe estar habilitado 1 listo para instalar las aplicaciones
3-e necesite"os.6 a3-L de?o tres aspectos i"portantes 3-e se deben tener en c-enta=
9ara activar el servidor sin reiniciar el siste"a=
#/usr/oca/bn/mysqd_safe &
9ara ca"biar la contraseMa del -s-ario root de :1S;)6 lo c-al debe hacerse p-es
inicial"ente no tiene nin!-na6 rec-erde ca"biar T"icontraseMaT por el valor real de la
contraseMa 3-e tendr el -s-ario=
# /usr/oca/bn/mysqadmn -u root password 'mcontrasea'
9ara tener acceso a este servicio desde el servidor <eb Apache en OpenBSD6 debe hacerse
-n enlace entre el soc7et real de :1S;)6 1 -n l-!ar donde el Apache si p-eda verlo6 asL=
-.Servidor 34S56 7Bases de Datos8 $+#4$
# mkdr -p /var/www/var/run/mysq
# n -f /var/run/mysq/mysq.sock /var/www/var/run/mysq/mysq.sock
*Se hizo la aclaracin 3-e esto se debe hacer cada vez 3-e s-ba el servicio6 por lo tanto se introd-?o
en el script para car!ar el servicio :1S;) en $etc$rc.local+
7. Ser"idor 89B: !%ac/e en C/root

En este capLt-lo se e>plicar co"o activar el servidor Apache 3-e viene por de.ecto dentro del
chroot6 de "odo 3-e ten!a soporte para 9596 inte!rado con :1S;)6 1 3-e se p-edan enviar
correos desde -na aplicacin 3-e -se 9596 por e?e"plo -n C:S co"o dr-pal6 0ordpress o ?oo"la.
7.1. 1,1 " 0.;
9ara co"enzar este proceso ha!o la instalacin de 9596
bash-3.2# pkg_add -v php5-core
| .....|
&8&7:1o%):7,$,7&$: 1o&l)!)
::: &8&7:1o%):7,$,7&$ :::::::::::::::::::
To )(a9l) !8) &8&7 o2"l) &l)as) 1%)a!) a sD9ol'1
l'(- f%o <3a%<;;;<1o(f<o2"l)s,sa&l)<&8&7,1o(f
!o <3a%<;;;<1o(f<o2"l)s<&8&7,1o(f,
l( :s <3a%<;;;<1o(f<o2"l)s,sa&l)<&8&7,1o(f [
<3a%<;;;<1o(f<o2"l)s
T8) %)1o)(2)2 &8& 1o(f'g"%a!'o( 8as 9))( '(s!all)2
!o <3a%<;;;<1o(f<&8&,'(',

4o(C! fo%g)! !8a! !8) 2)fa"l! O&)(BS 4 8!!&2 's 18%oo!)2
'(!o <3a%<;;; 9D 2)fa"l!, so Do" aD ())2 !o 1%)a!) s"&&o%!
2'%)1!o%')s s"18 as <3a%<;;;<!& fo% P=P !o ;o%- 1o%%)1!lD,
Este "ensa?e aparaece en OpenBS -./, si lee"os con "as atencin las reco"endaciones6 nos dice
3-e co"o el apache esta en -n chroot6 entonces debe"os crear ciertos directorios 1 hacer ciertos
enlaces para 3-e el 959 .-ncione de .or"a correcta6 entonces lo hace"os=
..Servidor 9EB: Apache en Chroot $,#4$
bash-3.2# n -s /var/www/conf/modues.sampe/php5.conf
/var/www/conf/modues
Esto per"ite instalar el "od-lo de con.i!-racin del php para 3-e el servidor 0eb lo p-eda
encontrar.
Si esta"os traba?ando en OpenBS -.2 el procedi"iento es -n poco di.erente6 al ter"inar la
instalacin del pa3-ete aparece el "ensa?e si!-iente.
To fnsh the nsta, enabe the php5 modue wth:
/usr/oca/sbn/phpxs -s
To enabe parsng of PHP scrpts, add the foowng to
/var/www/conf/httpd.conf:

AddType appcaton/x-httpd-php .php
Copy the confg fe beow nto /var/www/conf/php.n
/usr/oca/share/exampes/php5/php.n-recommended
Don't forget that the defaut OpenBSD httpd s chrooted
nto /var/www by defaut, so you may need to create support
drectores such as /var/www/tmp for PHP to work correcty.
AsL 3-e ha1 3-e activar 959 con el si!-iente co"ando.
|actvatng modue `php5' n /var/www/conf/httpd.conf|
cp /usr/oca/b/php/bphp5.so /usr/b/apache/modues/bphp5.so
chmod 755 /usr/b/apache/modues/bphp5.so
cp /var/www/conf/httpd.conf /var/www/conf/httpd.conf.bak
rm /var/www/conf/httpd.conf.new
You shoud copy the sampe confguraton fes from
/usr/oca/share/exampes/php5 to /var/www/conf/php.n
..Servidor 9EB: Apache en Chroot $-#4$
En este "ensa?e se detalla el proceso de activacin del "odKlo en el Apache6 1 "e pide 3-e copie el
php.ini apropiado al directorio de con.i!-racin del Apache. En ese directorio se enc-entran dos
posibles con.i!-raciones6 1o -se la reco"endada para entornos de prod-ccin asL=
#cp /usr/oca/share/exampes/php5/php.n-recommended /var/www/conf/php.n
Ahora6 tanto en OpenBS -.26 co"o en OpenBS -./6 si!-iendo la reco"endacin creo la carpeta
$tmp dentro del Chroot=
#mkdr /var/www/tmp
Ahora contin-o con la instalacin de php8P"1s3l6 evidente"ente para soportar :1S;) desde 959=
bash-3.2# pkg_add -v php5-mysq
&a%s'(g &8&7:DsIl:7,$,7
4)&)(2)(1')s fo% &8&7:DsIl:7,$,7 %)sol3) !o: DsIl:1l')(!:7,0,7*a, &8&7:1o%):7,$,7&$
?!o2o: DsIl:1l')(!:7,0,7*a@
E,,,,,F
&8&7:DsIl:7,$,7: 1o&l)!)
::: &8&7:DsIl:7,$,7 :::::::::::::::::::
Go" 1a( )(a9l) !8's o2"l) 9D 1%)a!'(g a sD9ol'1
l'(- f%o <3a%<;;;<1o(f<&8&7,sa&l)<DsIl,'(' !o
<3a%<;;;<1o(f<&8&7<DsIl,'(',
l( :fs <3a%<;;;<1o(f<&8&7,sa&l)<DsIl,'(' [
<3a%<;;;<1o(f<&8&7<DsIl,'('
bash-3.2# n -fs /var/www/conf/php5.sampe/mysq.n
/var/www/conf/php5/mysq.n
@a"bin ha!o el enlace si"blico s-!erido6 1 eso es todo J+
Sobre OpenBS -.2 ta"bin en este caso es di.erente el procedi"iento6 asL=
# pkg_add php5-mysq
..Servidor 9EB: Apache en Chroot $.#4$
El "ensa?e 3-e sale nos indica 3-e ha1 3-e activarlo6 lo c-al hace"os asL=
# /usr/oca/sbn/phpxs -a mysq
Actvatng extenson : mysq
Otros "d-los de 959 3-e estn disponibles co"o pa3-etes son=
bash-3.2# wget http://192.168.0.4/paquetes/ndex.txt
::**:44:70:: 8!!&:<<*9$,*/8,0,4<&aI")!)s<'(2).,!.!
=> H'(2).,!.!C
Co(()1!'(g !o *9$,*/8,0,4:80,,, 1o(()1!)2,
=TTP %)I")s! s)(!, a;a'!'(g %)s&o(s),,, $00 OK
L)(g!8: *08,$8$ ?*0/K@ E!).!<&la'(F
*00 0
E===================================================================
===================================================================
=====>F *08,$8$ ::,::K<s
**:44:70 ?+,/$ MB<s@ : H'(2).,!.!C sa3)2 E*08$8$<*08$8$F
bash-3.2# grep php ndex.txt
as&$&8&:0,+/,*#&0:(oY.**,!gM
as&$&8&:0,+/,*#&0,!gM
g&s2:&8&:$,#/,!gM
&8&7:9M$:7,$,7,!gM
&8&7:1o%):7,$,7&$,!gM
&8&7:1"%l:7,$,7,!gM
&8&7:29a:7,$,7,!gM
&8&7:29as):7,$,7,!gM
&8&7:).!)(s'o(s:7,$,7,!gM
&8&7:fas!1g':7,$,7&0,!gM
&8&7:g2:7,$,7:(oY.**,!gM
&8&7:g2:7,$,7,!gM
&8&7:g&:7,$,7,!gM
&8&7:'a&:7,$,7,!gM
&8&7:l2a&:7,$,7,!gM
&8&7:9s!%'(g:7,$,7,!gM
..Servidor 9EB: Apache en Chroot 3/#4$
&8&7:1%D&!:7,$,7,!gM
&8&7:8as8:7,$,7,!gM
&8&7:DsIl:7,$,7,!gM
&8&7:DsIl':7,$,7,!gM
&8&7:(1"%s)s:7,$,7,!gM
&8&7:o291:7,$,7,!gM
&8&7:&2oYDsIl:7,$,7,!gM
&8&7:&2oY&gsIl:7,$,7,!gM
&8&7:&2oYsIl'!):7,$,7,!gM
&8&7:&gsIl:7,$,7,!gM
&8&7:s8o&:7,$,7,!gM
&8&7:s(&:7,$,7,!gM
&8&7:soa&:7,$,7,!gM
&8&7:sIl'!):7,$,7,!gM
&8&7:sD9as)Y1!:7,$,7,!gM
&8&7:.l%&1:7,$,7,!gM
&8&7:.sl:7,$,7,!gM
&8&MDA2'(:$,**,*,*,!gM
&8&PgA2'(:#,7,7&0,!gM
&8&'1al)(2a%:$,*&0,!gM
&8&l2a&a2'(:*,*,0,#,!gM
&8&l's!:$,*0,7,!gM
7.2. !%ac/e " 1.3.< ("ersin %or oisin)
)o Knico 3-e .alta ahora es s-bir el servidor con el arran3-e del siste"a6 para esto a!re!ar en el
$etc$rc.con!.local:
httpd_fags=""
;-edando el archivo asL=
bash-3.2# cat /etc/rc.conf.oca
281&2Yflags=SS
(a)2Yflags=SS
8!!&2Yflags=SS
..Servidor 9EB: Apache en Chroot 3"#4$
Ahora veri.ica"os el .-nciona"iento de apache U php6 crea"os -n archivo in#ex.php 1 pone"os
-na .-ncin de in.or"acin de php
bash-3.2# pwd
<3a%<;;;<8!2o1s
9as8:#,$O &'1o '(2).,&8&
C8a%a1!)% s)! S/4/S 's "(s"&&o%!)2, "s'(g US:AS CII
9as8:#,$O 1a! '(2).,&8&
<L&8&
&8&'(fo?@T
L >
)-e!o al nave!ar al sitio 0eb de n-estro n-evo servidor 1 debe"os obtener al!o si"ilar a esto=
7.3. Correos con 1,1 ( 5iniSendail
5asta ahora .-nciona per.ecto6 para "is propsitos solo .alta poder enviar correos desde al!-nas
aplicaciones 0eb con 9596 va"os a hacerlo con solo -nas pocas lineas de shell=
bash-3.2# pkg_add -v mn_sendma-chroot
&a%s'(g '('Ys)(2a'l:18%oo!:*,#,/&0
'('Ys)(2a'l:18%oo!:*,#,/&0: 1o&l)!)
Ahora crea"os -nos directorios 1 archivos necesarios para el .-nciona"iento de "iniPsend"ail
dentro del chroot=
..Servidor 9EB: Apache en Chroot 3$#4$
bash-3.2# mkdr -p /var/www/usr/sbn/
bash-3.2# n /var/www/bn/mn_sendma /var/www/usr/sbn/sendma
bash-3.2# cp /bn/sh /var/www/bn
bash-3.2# cp /usr/oca/bn/bash /var/www/bn
bash-3.2# mkdr /var/www/etc/
bash-3.2# cp /etc/passwd /var/www/etc/
bash-3.2# pco /var/www/etc/passwd
Con el pri"er co"ando a!re!a"os el pa3-ete "iniDsend"ail6 en s- versin para traba?ar en el
chroot del Apache6 l-e!o lo -bica"os con -n enlace si"blico en el l-!ar en el 3-e 959 espera
encontrar el binario de Send"ail6 1 l-e!o a!re!a"os al!-nas cosas del siste"a co"pleto 3-e
"iniDsend"ail necesita para traba?ar6 co"o son -na shell6 1 el archivo $etc$pass2# sin e"bar!o
edita"os .-erte"ente este6 de "odo 3-e solo de?a"os -nos pocos -s-arios sin i"portancia6 ade"s
a-n3-e al darle acceso a -na shell dentro de la chroot a la 3-e tiene acceso el Apache se
co"pro"ete -n poco la se!-ridad6 esto si!-e co"pro"etiendo solo a la chroot 1 no a todo el
siste"a.
Si en este "o"ento p-edo co"probar de n-evo la con.i!-racin de los servidores con el si!-iente
co"ando=
bash-3.2# sh /etc/rc
7.#. 9=e%lo con 5(S6L ( 1,1
Eo1 a dar -n e?e"plo de la instalacin de -na aplicacin OA:9 *OpenBSD6 Apache6 :1S;)6
959+. instalare"os la plata.or"a ePlearnin! "oodle
3
.
&asos para la instalacin de moodle:
Instalo el so.t0are re3-erido=
bash-3.2# pkg_add -v moode-1.6.3p0.tgz moode-1.6.3p0-mysq.tgz
&a%s'(g oo2l):*,/,#&0,!gM
4)&)(2)(1')s fo% oo2l):*,/,#&0 %)sol3) !o: &8&7:9s!%'(g:7,$,7, &8&7:g2:7,$,7 ?!o2o:
&8&7:g2:7,$,7,&8&7:9s!%'(g:7,$,7@
oo2l):*,/,#&0:&a%s'(g &8&7:g2:7,$,7
4)&)(2)(1')s fo% &8&7:g2:7,$,7 %)sol3) !o: \&)g:/9&#, !*l'9:7,*,0&*, &(g:*,$,$$, &8&7:
1o%):7,$,7&$ ?!o2o: !*l'9:7,*,0&*,\&)g:/9&#,&(g:*,$,$$@
oo2l):*,/,#&0:&a%s'(g !*l'9:7,*,0&*
fo"(2 l'9s&)1 1,4#,0 '( <"s%<l'9
,,,
3 http=%%000."oodle.or!%
..Servidor 9EB: Apache en Chroot 33#4$
:oodle re3-iere dos "od-los adicionales de 959 3-e sern instalados co"o dependencias6 solo
3-eda enlazarlos para 3-e el apache los p-eda ver dentro del chroot=
# n -fs /var/www/conf/php5.sampe/gd.n /var/www/conf/php5/gd.n
#n -fs /var/www/conf/php5.sampe/mbstrng.n /var/www/conf/php5/mbstrng.n
Enlazo el directorio de contenido para 3-e 3-ede dentro del chroot
bash-3.2# cd /var/www/htdocs/
bash-3.2# pwd
<3a%<;;;<8!2o1s
bash-3.2# n -s ../moode /var/www/htdocs/moode
Creo la base de datos para "oodle=
bash-3.2# mysqadmn -u root -p create moode
5(!)% &ass;o%2:
4l pass2or# #e la <9 es el ue cambiamos en el item anterior.
Creo -n -s-ario dentro de :1S;) para la aplicacin 3-e vo1 a instalar
Esto no es necesario pero le aMade -n .actor de se!-ridad p-esto 3-e si se presenta -n proble"a de
se!-ridad en la aplicacin6 el atacante solo tendr acceso a la aplicacin en c-estin 1 no podr
atacar otras bases de datos disponibles en el siste"a.
bash-3.2# mysq
Z)l1o) !o !8) MDS>L o('!o%, Coa(2s )(2 ;'!8 T o% [g,
Go"% MDS>L 1o(()1!'o( '2 's 4
S)%3)% 3)%s'o(: 7,0,7*a:log O&)(BS 4 &o%!: DsIl:s)%3)%:7,0,7*a
TD&) C8)l&TC o% C[8C fo% 8)l&, TD&) C[1C !o 1l)a% !8) 9"ff)%,
mysq> grant a on moode.* to moode_user@ocahost dentfed by
'cavemoode';
>")%D OK, 0 %o;s aff)1!)2 ?0,0* s)1@
mysq> fush prveges;
>")%D OK, 0 %o;s aff)1!)2 ?0,00 s)1@
mysq>
4n este caso he crea#o un usuario moo#le3user con contrase=a clavemoo#le. ;bviamente esta no
es una contrase=a a#ecua#a, es responsabili#a# #e uste#es con!igurarla, esto es solo un e5emplo.
..Servidor 9EB: Apache en Chroot 34#4$
9or -lti"o con.i!-ro el archivo $var$222$moo#le$con!ig>#ist.php 1 lo reno"bro a
$var$222$moo#le$con!ig.php
)os ca"bios son los si!-ientes=
Ca"bios relacionados con el acceso a la base de datos.
$CFG->dbtype = 'mysq'; // mysq or postgres7 (for now)
$CFG->dbhost = 'ocahost'; // eg ocahost or db.sp.com
$CFG->dbname = 'moode'; // database name, eg moode
$CFG->dbuser = 'moode_user'; // your database username
$CFG->dbpass = 'cavemoode'; // your database password
$CFG->prefx = 'md_'; // Prefx to use for a tabe names
)-e!o ca"bio la r-ta a la 3-e ap-ntar el "oodle6 p-edo -sar ta"bin no"bres6 esto es solo -n
e?e"plo.
$CFG->wwwroot = 'http://192.168.0.7/moode';
$CFG->drroot = '/htdocs/moode';
Debe e>istir -n directorio donde "oodle al"acenar la in.or"acin.
$CFG->dataroot = '/var/run/moodedata';
5asta a3-L los ca"bios en el archivo con!ig.php
Ahora re!reso a la consola 1 creo el directorio 3-e .alta=
bash-3.2# mkdr moodedata
bash-3.2# chown www:www moodedata/
bash-3.2# chmod 777 moodedata/
bash-3.2# pwd
<3a%<;;;<3a%<%"(
bash-3.2#
9ara e"pezar a instalar el so.t0are "oodle6 in!reso con -n bro0ser a la r-ta de.inida
http://192.168.0.7/moode/
9e ah7 en a#elante el proce#imiento es intuitivo, solo basta hacer clic0, clic0 y leer el manual #e
como usar moo#le. #e esta !orma ten#remos una aplicacin ;,:? !uncional y segura en poco
tiempo.
'O+A: !0al10ier aplicacin OA2& se instala con el mismo procedimiento.
..Servidor 9EB: Apache en Chroot 3)#4$
1;. +!> ( ?ire'all (%ac.et filter @ 1?)
Fa ter"inada la con.i!-racin bsica del siste"a pode"os -sar el 9A para darle otro !rado "as de
se!-ridad *c-antos vanN+. 9ri"ero hace"os -n par de "odi.icaciones en -nos archivos del siste"a
para activar el 9A 1 el .or0ardin! para el 4A@.
9ara 3-e se active al arrancar el siste"a se debe a!re!ar los si!-iente al archivo $etc$rc.con!.local
pf=YES
Ahora para activar el .or0ardin! necesario para el 4A@6 ha1 3-e "odi.icar el %etc$sysctl.con! 6
co"o no vo1 a -sar ipv26 solo re3-iero "odi.icar -na lLnea 3-itando el co"entario 3-e viene por
o"isin.
net.net.p.forwardng=1
)a con.i!-racin de 9A6 el r-leset 1 la con.i!-racion de 4A@6 se hace en $etc$p!.con!6 allL se
enc-entra -n archivo de e?e"plo6 3-e se p-ede -sar co"o !-La6 se enc-entra co"pleta"ente
co"entado. )a estr-ct-ra de este archivo es rL!ida6 por lo 3-e se debe se!-ir el si!-iente orden=
32acros
3+a"las
3Opciones
3Scr0" 4normalizacin5
360e0ein7 4control de ancho de "anda 8 priorizacin de pa10etes5
3'A+
39e7las del filtro

En "i caso el archivo de con.i!-racin 3-edo asL6 la e>plicacin en los co"entarios.
"/.2A; 4 <ire=all 7pac>et %ilter ? 1<8 3+#4$
#MACROS
#Interfaz externa
wan="vc1"
#Intefaz nterna
an="vc0"
#Red nterna
red_an="192.168.0.0/24"
#OPCIONES
#No ftrar en as nterfaces de oopback
set skp on o0
#SCRUB
#Normazacn de os paquetes, que entran y saen en todas as nterfaces
scrub n a
#NAT, enmascaramento
nat on $wan from $red_an to any -> $wan
#REGLAS DEL FILTRO
#Potcas por defecto, boquear todo o que entra, de|ar pasar todo o que #sae
bock n on $wan
pass out a
#Antspoof en a LAN
#Para que no fasfquen nuestras drecccones IP en a LAN
antspoof quck for $an net
#Permtr conexones ssh y web desde afuera, ogueando e prmer paquete para un
anass posteror
pass n og on $wan proto tcp from any to any port ssh
pass n og on $wan proto tcp from any to any port 80
Co"o se ve .altan al!-nas partes6 co"o el 3-e-ein!6 pero no todas las partes son necesarias6 1 solo
se pone lo 3-e necesite"os6 en c-anto a la sinta>is del 9A "e parece "-1 sencillo6 1 es 3-e se
entiende casi co"o le1endo en len!-a?e nat-ral6 en la AA;
4
o.icial de OpenBSD se p-ede encontrar
4 http=%%000.openbsd.or!%.a3%p.%
"/.2A; 4 <ire=all 7pac>et %ilter ? 1<8 3,#4$
"s in.or"acin.
)a Knica re!la VraraW 3-e ten!o es la de antispoo.in!6 la c-al es -na opcin 3-e trae el 9A6 en este
caso evita"os 3-e al!-ien desde la inter.az X0an se ha!a pasar por -na I9 de la red interna.
4tese ta"bin 3-e al .inal se pone en l-!ar del nK"ero de p-erto el no"bre del servicio al 3-e
est nor"al"ente asi!nado6 esto es posible por3-e se tienen en c-enta los no"bres de.inidos en
$etc$services
11. Ser"idor 1ro<( (S)uid)
S3-id viene en varios sabores6 con soporte sn"p6 transparente6 los dos6 o nin!-no6 en este caso
evidente"ente esco!L solo con soporte para pro>1 transparente 3-e es lo 3-e necesito6 asL "is
-s-arios no notarn nin!-na di.erencia6 1 la con.i!-racin en s-s e3-ipos ser "-cho "s si"ple.
)a instalacin la hace"os con p0g=
bash-3.2# grep squd ndex.txt
sI"'2:$,/,STABL5*8&0:s(&,!gM
sI"'2:$,/,STABL5*8&0:!%a(s&a%)(!:s(&,!gM
sI"'2:$,/,STABL5*8&0:!%a(s&a%)(!,!gM
sI"'2:$,/,STABL5*8&0,!gM
sI"'2G"a%2:*,$,*&0:l2a&,!gM
sI"'2G"a%2:*,$,*&0,!gM
bash-3.2# pkg_add -v squd-2.6.STABLE18p0-transparent.tgz
Al ter"inar la instalacin de s3-id6 aparece al!o co"o=
E,,,,F
You can aso edt /etc/rc.oca so that Squd s started automatcay:
f | -x /usr/oca/sbn/squd |; then
echo -n ' squd'; /usr/oca/sbn/squd
f
Esto nos in.or"a las di.erencias locales de S3-id en OpenBSD6 nos c-enta 3-e los archivos de
con.i!-racin estn en %etc$sui#6 e?e"plos en $usr$local$share$examples$sui#6 "ensa?es de error
en $usr$local$share$sui#$errors6 e?e"plos de error en $usr$local$share$examples$sui#$errors6 los
iconos estan en $usr$local$share$sui#$icons6 los e?e"plos de iconos
"".Servidor 1ro@4 7S*'id8 3-#4$
$usr$local$share$examples$sui#$icons6 la cache est en $var$sui#$cache6 los lo!s se !-ardan en
$var$sui#$logs6 el -s-ario 1 el !r-po son respectiva"ente Ds3-id=Ds3-id
@a"bin nos rec-erda inicializar la cache con Hsui# >zH antes de tratar de correr s3-id por pri"era
vez6 1 las Klti"as lLneas nos "-estra 3-e poner en el archivo $etc$rc.local para inicializarlo
a-to"tica"ente con el siste"a.
Se con.i!-ra el $etc$sui#$sui#.con! se!Kn las opciones 3-e se deseen6 este tiene ta"bin la "is"a
estr-ct-ra 1 contenido 3-e en c-al3-ier otro siste"a operativo6 a3-L vo1 a co"entar solo las cosas
especL.icas para tener en c-enta.
9ri"ero 3-e todo6 la instalacin por de.ecto solo ad"ite el siste"a de archivos u!s6 1 la polLtica de
ree"plazo lru *1o intent -sar otras opciones 1 no "e lo per"iti6 diciendo 3-e eran opciones
e3-ivocadas6 o desconocidas+6 esto se debe a las opciones con las 3-e se co"pilo el pa3-ete6 si se
desea 3-e ten!a otras opciones6 debe instalarse desde los ports especi.icandolo.
9ara pro>1 transparente se debe recordar poner en la directiva httpDport la opcin transparente6 asL=
http_port 3128 transparent
donde 3&,' es el p-erto por de.ecto en el 3-e esc-cha
9ara 3-e este pro>1 transparente .-ncione correcta"ente6 es necesario a!re!ar la si!-iente lLnea en
el archivo $etc$p!.con! antes de la lLnea de nat.
rdr on $an net proto tcp from any to any port www -> 127.0.0.1 port 3128
Con esta lLnea se redirecciona todo el tr.ico saliente diri!ido a 0eb *p-erto '#+ al p-erto local en el
3-e esc-cha el S3-id6 asL 3-e este ser el 3-e atienda la peticin.
9ara 3-e S3-id lo!-ee s-s actividades es necesario de.inir ade"s de la r-ta de los archivos en los
3-e se !-ardarn los lo!s6 el .or"ato de estos. 9ensando en "s adelante -sar Sar! para analizar los
lo!s6 1 !enerar reportes6 -so -n .or"ato 3-e este p-eda entender6 en el sui#.con! ha1 varios tipos
de .or"atos de.inidos 1 co"entados6 en "i caso no .-ncion con la pri"era lLnea6 pero sL con la
se!-nda6 por si acaso la pon!o a3-L=
ogformat squdmme %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt
|%>h| |%<h|
)-e!o se e?ec-ta el si!-iente co"ando para crear las carpetas de la cache=
bash-3.2# squd -z
2008/08/03 12:40:47| Creatng Swap Drectores
A3-L p-eden verse ade"s los errores de sinta>is 3-e p-edan haber en el sui#.con!6 -na vez 3-e se
"".Servidor 1ro@4 7S*'id8 3.#4$
e?ec-ta sin error6 se p-ede iniciar el servicio6 con el si!-iente co"ando=
#/usr/oca/sbn/squd
9ara 3-e sie"pre se inicie con el siste"a se debe a!re!ar las lLneas 3-e nos "ostr desp-s de la
instalacin en el archivo $etc$rc.local6 son las si!-ientes=
# Cargar e demono SOUID
f | -x /usr/oca/sbn/squd |; then
echo -n ' squd'; /usr/oca/sbn/squd
f
C-ando se 3-iera hacer -n ca"bio en la con.i!-racin del S3-id sin pararlo6 basta ca"biar los
archivos de con.i!-racin 1 l-e!o -sar el co"ando si!-iente=
#/usr/oca/sbn/squd -k reconfgure
En caso de necesitar li"piar la cache6 p-ede hacerse el si!-iente procedi"iento=
#/usr/oca/sbn/squd -k shutdown
#rm -rf /var/squd/cache
#squd -z
#/usr/oca/sbn/squd
De esta "anera se para6 l-e!o se borra la cache e>istente6 se reconstr-1e6 1 se inicia n-eva"ente el
servicio.
Si 3-ere"os veri.icar el .-nciona"iento del s3-id6 pode"os -sar el co"ando tail para "onitorear el
archivo de lo!=
bash-3.2# ta -f /var/squd/ogs/access.og
*$*++8778#,$80 #47 *9$,*/8,**0,* TCPYMI S S<#0$ 77$ G5T 8!!&:<<;;;,googl),1o< :
4I R5CT</4,$##,*/+,*4+ !).!<8!l
*$*++8778#,//0 #+9 *9$,*/8,**0,* TCPYMI S S<$00 #*$7 G5T 8!!&:<<;;;,googl),1o,1o< :
4I R5CT</4,$##,*/+,*04 !).!<8!l
...
"".Servidor 1ro@4 7S*'id8 4/#4$
11.1. Ae%ortes con Sarg
9ara !enerar los reportes basados en los lo!s del S3-id6 de "odo 3-e 1o p-eda ver en 3-e se estn
!astando "is -s-arios el ancho de banda6 1 saber si ten!o 3-e hacer al!Kn tipo de control sobre
estos6 p-edo i"ple"entar la herra"ienta sar!6 lo pri"ero 3-e ha!o es instalar el so.t0are=
bash-3.2# pkg_add -v sarg
&a%s'(g sa%g:$,$,#,*&0
fo"(2 l'9s&)1 1,4#,0 '( <"s%<l'9
'(s!all)2 <)!1<sa%g<1ss,!&l f%o <"s%<lo1al<s8a%)<).a&l)s<sa%g<1ss,!&lJJJJJJJJ
P40 0
'(s!all)2 <)!1<sa%g<).1l"2)Y1o2)s f%o <"s%<lo1al<s8a%)<).a&l)s<sa%g<).1l"2)Y1o2)s
,,,
El archivo de con.i!-racin se enc-entra en $etc$sarg$sarg.con!6 en este ha!o las si!-ientes
"odi.icaciones =
#Oue e reporte me saga en espao:
la(g"ag) S&a('s8
#Lugar donde se encuentra e access.og de squd
a11)ssYlog <3a%<sI"'2<logs<a11)ss,log
#Drectoro de traba|o tempora
!)&o%a%DY2'% <!&
#Drectoro de sada, yo cree a carpeta manuamente con mkdr.
o"!&"!Y2'% <3a%<<;;;<8!2o1s<sa%g
#Formato de fecha decente dd/mm/yyyy
2a!)Yfo%a! )
#Haga todos os reportes dsponbes:
%)&o%!Y!D&) !o&"s)%s !o&s'!)s s'!)sY"s)%s "s)%sYs'!)s 2a!)Y!') 2)(')2 a"!8Yfa'l"%)s
s'!)Y"s)%Y!')Y2a!) 2o;(loa2s
# Ubque apropadamente m servdor web:
;;;Y2o1")(!Y%oo! <3a%<;;;< 8!2o1s
AcilO6 asi co"o lo es todo en OpenBSD J+
5a1 "-chas otras opciones en este archivo6 pero est bien doc-"entado6 en el "is"o .or"ato del
s3-id.con.6 con estas ser "s 3-e s-.iciente.
"".Servidor 1ro@4 7S*'id8 4"#4$
9ara !enerar el reporte basta con e?ec-tar el co"ando sarg.
bash-3.2# sarg
S ARG: R)1o%2s '( f'l): $#+, %)a2'(g: *00,00 0
S ARG: R)&o%!) g)()%a2o sa!'sfa1!o%'a)(!) )(
<3a%<;;;<8!2o1s<sa%g<0#A"g$008:0#A"g$008
bash-3.2#
De esta "anera se crea en el directorio 3-e p-si"os co"o de salida el reporte co"pleto6 1 para
accederlo se hace a travs del servidor 0eb6 en "i caso en la direccin de la )A46
http=%%&$,.&2'.&&#.&3,%sar!%
Es posible con.i!-rar otros siste"as de reportes de -na "anera rpida 1 se!-ra. E>peri"entaO
12. 9nlaces relacionados
A contin-acin las direcciones de las p!inas 3-e -se co"o !-La en este proceso=
Obvia"ente la re.erencia de al!-nos doc-"entos bsicos de=
http=%%!ro-ps.!oo!le.co"%!ro-p%OpenBSDPColo"bia%.iles
F otros doc-"entos de=
http=%%openbsd.or!%.a3%.a34.ht"lYAddAileSet
http=%%000.openbsd.or!%ports.ht"l
http=%%000.openbsd.or!%.a3%p.%inde>.ht"l
http=%%000.openbsd.or!%.a3%.a32.ht"lYD5C9
http=%%000.7ernelPpanic.it%openbsd%pro>1%inde>.ht"l
http=%%000.openbsds-pport.or!%"1s3l.ht"
http=%%000.7ernelPpanic.it%openbsd%dns%dns3.ht"l
http=%%str-ctio.so-rce.or!e.net%!-ias%
:::.O&E'BS!O;O2B%A.O9)
&iensa en ;i"ertad, &iensa BS.
"$.Enlaces relacionados 4$#4$

Servidor en OpenBSD 4 3

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Servidor en OpenBSD 4 3

Diunggah oleh

Hak Cipta:

Format Tersedia

Instalacin de servicios bsicos en OpenBSD v. 4.3 - Astrid Eliana Snchez Corts! http://www.openbsdcolombia.

Anda mungkin juga menyukai