Configuracion Servidores Linux 20110912 SEPTIEMBRE 02

Confi guraci n De Servi dores Con Confi guraci n De Servi dores Con
GNU/Li nux GNU/Li nux

Edi ci n Edi ci n Septi embre 20 Septi embre 20
2 De Septiembre De 20 2 De Septiembre De 20
!oe" #arri os Due$as !oe" #arri os Due$as
|oe Barros Dueas Confguracn de Servdores con GNU/Lnux
2
S este bro e ha sdo de utdad, puede contrbur a desarroo de ste a travs de suscrpcones
vountaras a nuestro porta. Sus aportacones nos ayudarn a crecer y desarroar ms y me|or
contendo en e sto de red y para me|orar este bro.
http://www.acancebre.org/statcpages/ndex.php/suscrpcones
Acance Lbre ofrece soporte tcnico gratuito excusvamente a travs de nuestros foros
ocazados en:
http://www.acancebre.org/forum/
Para cuaquer consuta a travs de otros medos, como correo eectrnco, tefono o mensa|era
nstantnea, ofrecemos un servicio comercial de consultora.
Acance Lbre ofrece os sguentes productos y servcos basados sobre Software Lbre, gracas a
os cuaes fnanca sus operacones. Para mayor nformacn, estamos dsponbes a travs de
nmero teefnco (52) (55) 5677-7130 de a cudad de Mxco, a travs de nuestro Formulario
de contacto o ben drectamente en nuestras ofcnas centraes en Aumnos #34, Coona San
Mgue Chaputepec, deegacn Mgue Hdago, Mxco, D.F., C.P. 11850, Mxco.
Capactacn (cursos)
Conferencas y ptcas
Consutora
Impementacones (Servdores)
Soporte Tcnco
Pubcdad en e porta
3
A mi difunto padre, a quien debo reconocer jams supe comprender y a quien jams le d la
oportunidad de entenderme.
Blanca, eres el amor de mi vida y gracias a ti inici mi gusto por escribir. Te agradezco el aberme
permitido escribirte todas esas cosas ace tantos a!os. "iempre tendrs un lugar muy especial en
mi coraz#n y mis pensamientos.
A mi ijo, $oel Alejandro Barrios %aullieres.
A
4
Conformacin.
Me encuentro de regreso en mis races,
reviso mis trabajos pasados,
entre risas y otros cursis versos
(sueos entonces de adolescente),
desde existenciales a lo absurdo,
ligerezas tan sentimentales
construyendo un carcter (mi mundo).
5
Acerca de Joel Barrios Dueas.
Hay poco que decr respecto de m. Soa ser mdco veternaro zootecnsta, dedcado
prncpamente a a atencn mdca de pequeas especes y otras mascotas (perros, gatos, peces
y tortugas) y a a venta de amentos y accesoros para mascotas. Traba|o actvamente con
computadoras personaes desde 1990, con as cuaes sempre he tendo gran facdad. M prmera
computadora, fue una Appe IIe que me prest un amgo, y que eventuamente me vend.
Curosamente, savo por una case que tom en tercero de secundara, durante a cua nos
mparteron una ntroduccn a a programacn en BASIC y e uso genera de computadoras
Comodore 16, |ams he tomado un curso o capactacn reaconada con a nformtca o
computacn. Sempre he sdo auto-ddctca.
Utzo GNU/Lnux desde Febrero de 1998, y desde |uno de 1999 como nca pataforma en m
traba|o daro. Creo que es ms que evdente que equvoque de carrera.
Gran parte de as razones de m ncursn en e mundo de a nformtca fueron verdaderamente
ncdentaes. En 1997, nunca hubera magnado que me estara ganado a vda en un mbto
competamente dstnto a que me dedcaba durante ese tempo. Yo ya tena un consutoro
veternaro y negoco pequeo de dstrbucn de amentos para mascotas, os cuaes me
aseguraban un ngreso reguar y constante. Lamentabemente as condcones de mercado
durante e sguente ao repercuteron de forma mportante en ms ngresos, y fue entonces que
empec a buscar aternatvas. Durante 1999 me estuve dedcando a a venta de equpo de
cmputo y ago de dseo de stos de red. Fueron agunos meses durante os cuaes pude
sobrevvr gracas a ms ahorros y a a suerte de contar un con taento poco comn con as
computadoras.
Cmo empec este proyecto?
A medados de 1999, mentras vstaba a un buen amgo mo, tuve un encuentro amstoso de unos
10 mnutos con quen fue, en agn momento, a persona ms mportante que ha habdo en m
vda, Banca.
Yo suba por un eevador, dvagando en ms pensamentos con sutezas y otros menesteres
reaconados con m profesn de veternaro. Sa de ascensor y me drg haca a puerta de m
amgo. Me detuve unos nstantes antes de pusar e botn de tmbre. Haba una extraa sensacn
que crcundaba m mente, como un aroma famar que no era posbe recordar. M amgo tena una
reunn con varas personas, agunas de as cuaes yo conoca desde haca agunos aos pero que
por dversas crcunstancas no frecuentaba, as que supuse que era soo a sensacn de vover a
ver a personas despus de mucho tempo. Toque e tmbre y un nstante despus m amgo abr
a puerta. Le saud con un apretn de manos y tras saudare de a acostumbrada forma corts,
qued mudo a ver que a chca de a que me haba enamorado durante ms aos de preparatora,
estaba presente. Frente a m, sonrendo y mrndome.
Haban pasado varos aos desde a tma vez que nos habamos vsto. Conversamos un poco
mentras ea cargaba a perro de m amgo, a cua me dspona a apcar una vacuna. Fue dfc
de|ar de mrare y o fue tambn e gusto de vover a vere de nuevo. Me desped, pues tena otro
compromso, pero en m mente qued un sentmento de aegra de ver que aquea persona que
haba tendo un gran mpacto en m vda, estaba ben, muy hermosa y, en aparenca, fez.
6
Fue ese breve encuentro e que me nspr agunos meses despus a crear ago que me
proporconara os medos para ograr hacer ago mportante en vda. Fue ese deseo de ser aguen
y tener ago que ofrecer s agn da, y s as crcunstancas o permtan, buscar una segunda
oportundad con a persona de a que me haba enamorado muchos aos atrs y que de aguna
forma |ams ovd. Fue as que tras pasar muchas semanas paneando y tratando de dar forma a
as deas, e proyecto de comundad que nc con Lnux Para Todos un 27 de agosto de 1999 y
que hoy en da contnuo con Alcance i!re. Surg como un sueo, se materaz, se desarroo y
crec ms a de o que hubera magnado.
Es rnco que aos despus, m reencuentro con Banca, quen es hoy en da m esposa y madre
de m h|o |oe Ae|andro, concdera con e fn de cco de Lnux Para Todos, aunque tambn
concde con e nco de otros proyectos y una nueva etapa con Alcance i!re.
Esta obra, que ahora comparto con os ectores, consttuye a cumnacn de traba|o de ms de
10 aos de nvestgacn y experencas. Mucho de matera que e compone fue escrto durante
dferentes etapas de m cco mentras fu propetaro y admnstrador de Lnux Para Todos. E fn de
dcho cco me da a oportundad de exporar otras reas de a nformtca desde un dferente
enfoque, msmo que se ver refe|ado en e matera actuazado que compone esta obra. Nunca
me ha nteresado ser famoso o un monaro.
Respecto de futuro, tengo una percepcn dstnta acerca de trascender ms a de os recuerdos
famares y trascender en a hstora. Ta vez agn da, ta vez cen aos despus de haya muerto,
se que de aguna forma m egado en a hstora ser a travs de todo o que escrb y as cosas que
pensaba y aqueas en as que crea.
7
Currculo.
Datos personales
Nombre: |oe Barros Dueas.
Ao y ugar de nacmento: 1970, Mxco, Dstrto Federa.
Sexo: mascuno.
Estado cv: Unn Lbre.
"scolaridad
Secundara: Coego Mxco (Acoxpa). 1982-1985
Preparatora: Insttuto Centro Unn. 1985-1988
Facutad de Medcna Veternara y Zootecna, U.N.A.M. 1989-1993
"mpleos en los #ue me $e desempeado.
1993-1999
M propa sub-dstrbudora de amentos y accesoros para mascotas. Dreccn
genera.
Vstador Mdco y asesor en nformtca. Dstrbudora de Amentos para Pequeas
Especes (Dape). |uno 1997 - Novembre 1997.
Consutor externo de Dape 1998 - 1999.
1999 a 2006:
Fu e creador, drector y admnstrador LnuxParaTodos.net. Dcho domno fue
tomado hostmente por m ex-soco quen se qued con todo y teramente me de|
en a cae. Dcha empresa contnua comercazando m traba|o voando a cenca
Creatve Commons Reconocmento-NoComerca-CompartrIgua 2.1, a cua
expctamente prohbe a expotacn comerca de matera sn a autorzacn de
autor.
Asesora y consutora en GNU/Lnux.
Capactacn en GNU/Lnux.
2002 - 2003:
Drector Operatvo Grupo MPR S.A. de C.V. (Actuamente Buytek Network Soutons)
2002 a 2006:
Drector de proyecto LPT Desktop.
2004 a 2006:
Drector Operatvo de a undad Lnux de Factor Evoucn S.A. de C.V.
2007 a a fecha:
Drector de proyecto AL Desktop (descartado).
Drector de proyecto AL Server.
Drector de proyecto ALDOS.
Fundador y drector de proyecto de AcanceLbre.org
Drector Genera Acance Empresara, S.A. De C.V.
Capacidades
Ings 97.5%
Ensambe, confguracn y mantenmento de computadoras personaes.
Lengua|e HTML 4.0
Lengua|e CSS 1.0
Programacn BASH
Instaacn, confguracn y admnstracn de Lnux y servcos que traba|an sobre
ste (Samba, Apache, Sendma, Postfx, CamAV, OpenLDAP, NFS, OpenSSH, VSFTPD,
Shorewa, SNMP, MRTG, Squd, etc.)
8
ndice de contenido
1.Oue es GNU/Lnux?............................................................................................34
1.1.Requermentos de sstema................................................................................................. 35
2.Estndar de |erarqua de Sstema de Archvos...................................................36
2.1.Introduccn.......................................................................................................................... 36
2.2.Estructura de drectoros...................................................................................................... 36
2.3.Partcones recomendadas para nstaar GNU/Lnux..............................................................38
3.Procedmento de nstaacn de CentOS 6.........................................................39
3.1.Procedmentos..................................................................................................................... 39
3.1.1.Paneacn.................................................................................................................................... 39
3.1.2.Obtencn de os medos.............................................................................................................. 39
3.1.3.Instaacn de sstema operatvo................................................................................................. 39
3.2.Posteror a a nstaacn....................................................................................................... 71
4.A|ustes posterores a a nstaacn de CentOS 6................................................72
4.1.Procedmentos..................................................................................................................... 72
4.1.1.Dspostvos de red....................................................................................................................... 72
4.1.2.Locazacn.................................................................................................................................. 73
5.Cmo ncar e modo de rescate en CentOS.......................................................75
5.1.Procedmentos..................................................................................................................... 75
6.Incando e sstema en nve de e|ecucn 1 (nve mono-usuaro).....................81
6.1.Introduccn.......................................................................................................................... 81
6.2.Procedmentos..................................................................................................................... 81
7.Cmo compar e nceo (kerne) de GNU/Lnux en CentOS...............................85
7.1.Introduccn.......................................................................................................................... 85
7.1.1.Un e|empo de porque convene recompar e nceo.................................................................85
7.2.Procedmentos..................................................................................................................... 86
7.2.1.Determnar e sustento fsco y controadores............................................................................... 86
7.2.2.Instaacn e equpamento gco necesaro............................................................................... 88
7.2.3.Obtener e cdgo fuente de nceo............................................................................................. 89
7.2.4.Confguracn de nceo.............................................................................................................. 92
8.Cmo gestonar espaco de memora de ntercambo (swap) en GNU/Lnux......99
8.1.Introduccn.......................................................................................................................... 99
8.1.1.Ago de hstora............................................................................................................................ 99
8.1.2.Ou es y como funcona e espaco de ntercambo?...................................................................99
8.1.3.Crcunstancas en as que se requere aumentar a cantdad de memora de ntercambo............99
Procedmentos......................................................................................................................... 100
8.1.4.Cambar e tamao de a partcn.............................................................................................. 100
8.1.5.Crear un archvo para memora de ntercambo......................................................................... 100
8.2.Procedmentos................................................................................................................... 100
8.2.1.Actvar una partcn de ntercambo adcona...........................................................................100
8.2.2.Utzar un archvo como memora de ntercambo...................................................................... 101
8.2.3.Optmzando e sstema cambando e vaor de /proc/sys/vm/swappness...................................102
9
9.Procedmentos de emergenca.........................................................................104
9.1.Introduccn........................................................................................................................ 104
9.2.Dsco de rescate................................................................................................................. 104
9.3.Verfcacn de a ntegrdad de dsco................................................................................105
9.4.Asgnacn de formato de as partcones...........................................................................106
10.Cmo optmzar os sstemas de archvos ext3 y ext4....................................108
10.1.Introduccn...................................................................................................................... 108
10.1.1.Acerca de Ext3......................................................................................................................... 108
10.1.2.Acerca de Ext4......................................................................................................................... 108
10.1.3.Acerca de regstro por daro (|ournang)................................................................................ 108
10.2.Procedmentos................................................................................................................. 109
10.2.1.Utzando e mandato e2fsck.................................................................................................... 109
10.2.2.Opcones de montado............................................................................................................... 110
10.2.3.Convrtendo partcones de Ext3 a Ext4................................................................................... 112
10.2.4.Emnando e regstro por daro (|ourna) de Ext4....................................................................114
11.Cmo confgurar y utzar Sudo......................................................................117
11.1.Introduccn...................................................................................................................... 117
11.1.1.Hstora..................................................................................................................................... 117
11.2.Equpamento gco necesaro.........................................................................................118
11.2.1.Instaacn a travs de yum...................................................................................................... 118
11.2.2.Instaacn a travs de Up2date............................................................................................... 118
11.3.Archvo /etc/sudoers......................................................................................................... 118
11.3.1.Cmnd_Aas............................................................................................................................... 118
11.3.2.User_Aas................................................................................................................................. 119
11.3.3.Host_Aas................................................................................................................................. 119
11.3.4.Runas_Aas.............................................................................................................................. 119
11.4.Candados de segurdad.................................................................................................... 119
11.5.Lo que no se recomenda.................................................................................................. 120
11.6.Factando a vda a travs de -/.bash_profe..................................................................120
12.Cmo crear cuentas de usuaro......................................................................122
12.1.Introduccn...................................................................................................................... 122
12.2.Procedmentos................................................................................................................. 122
12.2.1.Creando una cuenta en e modo de texto: useradd y passwd...................................................122
12.2.2.Emnar una cuenta de usuaro................................................................................................ 124
12.3.Mane|o de grupos............................................................................................................. 125
12.3.1.Ata de grupos.......................................................................................................................... 125
12.3.2.Ata de grupos de sstema........................................................................................................ 125
12.3.3.Ba|a de grupos......................................................................................................................... 125
12.3.4.Asgnacn de usuaros exstentes a grupos exstentes............................................................125
12.4.Comentaros fnaes acerca de a segurdad.....................................................................125
12.5.Apndce: Confgurando vaores predefndos para e ata de cuentas de usuaro............127
12.5.1.Archvo /etc/defaut/useradd para defnr varabes utzadas por e mandato useradd............127
12.5.2.Drectoro /etc/ske como mode para crear os drectoros de nco de os usuaros.................128
12.6.Apndce: E|ercco: Creando cuentas de usuaro.............................................................129
12.6.1.Introduccn............................................................................................................................. 129
12.6.2.Procedmentos......................................................................................................................... 129
13.Breve eccn de mandatos bscos................................................................131
13.1.Introduccn...................................................................................................................... 131
13.2.Procedmentos................................................................................................................. 131
13.2.1.Vsuazando contendo de archvos.......................................................................................... 135
13.2.2.Generacn de texto por buces................................................................................................ 136
13.2.3.Buces....................................................................................................................................... 137
13.2.4.Aases...................................................................................................................................... 138
10
13.2.5.Gestn de archvos zp, tar, tar.gz y tar.bz2............................................................................ 139
13.2.6.Apagado y renco de sstema.................................................................................................. 141
13.3.Resumen de mandatos bscos........................................................................................141
14.Funcones bscas de v..................................................................................142
14.1.Introduccn...................................................................................................................... 142
14.2.Procedmentos................................................................................................................. 142
14.2.1.Instaacn y paquetes adconaes........................................................................................... 142
14.3.Conocendo v................................................................................................................... 142
14.4.Otras combnacones de tecas.........................................................................................155
14.5.Ms a de as funcones bscas..................................................................................... 156
15.Introduccn a sed..........................................................................................157
15.1.Introduccn...................................................................................................................... 157
15.1.1.Acerca de sed........................................................................................................................... 157
15.2.Procedmentos................................................................................................................. 157
15.3.Bbografa....................................................................................................................... 161
16.Introduccn a AWK.........................................................................................162
16.1.Introduccn...................................................................................................................... 162
16.1.1.Acerca de AWK......................................................................................................................... 162
16.1.2.Estructura de os programas escrtos en AWK.......................................................................... 162
16.2.Procedmentos................................................................................................................. 163
17.Permsos de Sstema de Archvos..................................................................168
17.1.Introduccn...................................................................................................................... 168
17.2.Notacn smbca........................................................................................................... 168
17.3.Notacn octa................................................................................................................... 169
17.3.1.Permsos adconaes................................................................................................................ 169
17.4.E|empos........................................................................................................................... 170
17.4.1.E|empos de permsos reguares............................................................................................... 170
17.4.2.E|empos de permsos especaes............................................................................................. 171
17.5.Uso de chmod................................................................................................................... 171
17.5.1.Opcones de chmod.................................................................................................................. 172
17.5.2.E mandato chmod y os enaces smbcos............................................................................. 172
18.Cmo utzar e mandato chattr.....................................................................173
18.1.Introduccn...................................................................................................................... 173
18.1.1.Acerca de mandato chattr....................................................................................................... 173
18.2.Opcones........................................................................................................................... 173
18.3.Operadores....................................................................................................................... 174
18.4.Atrbutos........................................................................................................................... 174
18.5.Utzacn......................................................................................................................... 175
18.5.1.E|empos................................................................................................................................... 175
19.Creando depstos yum..................................................................................176
19.1.Introduccn...................................................................................................................... 176
19.2.Procedmentos................................................................................................................. 176
20.Uso de yum para nstaar y desnstaar paquetera y actuazar sstema........178
20.1.Introduccn...................................................................................................................... 178
20.2.Procedmentos................................................................................................................. 178
20.2.1.Actuazar sstema.................................................................................................................... 178
20.2.2.Bsquedas................................................................................................................................ 178
20.2.3.Consuta de nformacn........................................................................................................... 178
11
20.2.4.Instaacn de paquetes............................................................................................................ 179
20.2.5.Desnstaacn de paquetes...................................................................................................... 179
20.2.6.Lstado de paquetes................................................................................................................. 180
20.2.7.Lmpeza de sstema................................................................................................................ 180
21.Cmo utzar RPM...........................................................................................181
21.1.Introduccn...................................................................................................................... 181
21.1.1.Acerca de RPM.......................................................................................................................... 181
21.2.Procedmentos................................................................................................................. 181
21.2.1.Reconstruccn de a base de datos de RPM............................................................................. 181
21.2.2.Consuta de paquetera nstaada en e sstema.......................................................................182
21.2.3.Instaacn de paquetes............................................................................................................ 184
21.2.4.Desnstaacn de paquetes...................................................................................................... 190
22.Cmo crear paquetera con rpmbud.............................................................192
22.1.Introduccn...................................................................................................................... 192
22.2.Instaacn de equpamento gco necesaro.................................................................192
22.3.Procedmentos................................................................................................................. 193
22.3.1.Creacn de a cave GnuPG...................................................................................................... 193
22.3.2.Confguracn y creacn de una |aua para rpmbud...............................................................193
22.3.3.Creacn de os archvos*.spec................................................................................................. 195
22.3.4.Uso de mandato rpmbud....................................................................................................... 198
22.4.E|erccos.......................................................................................................................... 200
22.4.1.Paquete RPM bnaro y e paquete *.src.rpm correspondente creando e archvo *.spec necesaro
............................................................................................................................................................ 200
22.4.2.Paquete RPM bnaro y e paquete *.src.rpm correspondente reazando mpeza de drectoro,
frma dgta......................................................................................................................................... 201
23.Cmo nstaar y utzar CamAV en CentOS....................................................202
23.1.Introduccn...................................................................................................................... 202
23.1.1.Acerca de CamAV.................................................................................................................... 202
23.2.1.Creacn de usuaro para CamAV............................................................................................ 202
23.3.Procedmentos................................................................................................................. 203
23.3.1.SELnux y e servco camav-mter.......................................................................................... 203
23.3.2.Confguracn de Freshcam..................................................................................................... 203
23.3.3.Uso bsco de mandato camscan............................................................................................ 204
24.Cmo asgnar cuotas de dsco en GNU/Lnux..................................................206
24.1.Introduccn...................................................................................................................... 206
24.1.1.Acerca de as cuotas de dsco................................................................................................... 206
24.1.2.Acerca de Inodos...................................................................................................................... 206
24.1.3.Acerca de Boques.................................................................................................................... 206
24.3.Procedmentos................................................................................................................. 207
24.3.1.Edquota.................................................................................................................................... 208
24.4.Comprobacones............................................................................................................... 209
25.Introduccn a TCP/IP......................................................................................212
25.1.Introduccn...................................................................................................................... 212
25.2.Nvees de pa.................................................................................................................. 212
25.2.1.Modeo TCP/IP........................................................................................................................... 213
25.2.2.Modeo OSI............................................................................................................................... 218
26.Introduccn a IP versn 4..............................................................................220
12
26.1.Introduccn...................................................................................................................... 220
26.2.Dreccones....................................................................................................................... 220
26.2.1.Representacn de as dreccones............................................................................................ 220
26.3.Asgnacn........................................................................................................................ 221
26.3.1.Boques reservados.................................................................................................................. 221
26.4.Referenca de sub-redes de IP versn 4...........................................................................223
26.5.Referencas....................................................................................................................... 224
27.Cmo confgurar os parmetros de red en Lnux...........................................225
27.1.Introduccn...................................................................................................................... 225
27.2.Procedmentos................................................................................................................. 225
27.2.1.Deteccn y confguracn de sustento fsco (hardware).........................................................225
27.2.2.NetworkManager...................................................................................................................... 226
27.2.3.Asgnacn de parmetros de red............................................................................................. 227
27.2.4.Agregar rutas esttcos............................................................................................................ 228
27.2.5.Funcn de Reenvo de paquetes para IP versn 4...................................................................229
27.2.6.Comprobacones....................................................................................................................... 229
27.2.7.Ata de dreccones IP vrtuaes................................................................................................. 230
27.2.8.La funcn Zeroconf.................................................................................................................. 230
E|erccos.................................................................................................................................. 231
27.2.9.Rutas esttcas......................................................................................................................... 231
27.2.10.E|ercco: Dreccones IP vrtuaes........................................................................................... 234
28.Cmo confgurar VLANs en GNU/Lnux............................................................238
28.1.Introduccn...................................................................................................................... 238
28.3.Procedmentos................................................................................................................. 238
28.3.1.Admnstrando dreccones IP de as VLANs a travs de un servdor DHCP................................241
29.Cmo confgurar acopamento de tar|etas de red (bondng).........................243
29.1.Introduccn...................................................................................................................... 243
29.2.Procedmentos................................................................................................................. 243
29.2.1.Archvo de confguracn /etc/modprobe.conf........................................................................... 243
29.2.2.Archvo de confguracn /etc/sysconfg/network-scrpts/bond0................................................245
29.2.3.Incar, detener y rencar e servco network.......................................................................... 246
29.3.Comprobacones............................................................................................................... 246
29.4.Bbografa....................................................................................................................... 247
30.Cmo conectarse a una red Wf desde a termna........................................248
30.1.Introduccn...................................................................................................................... 248
30.1.1.Oue es WPA? Por qu debera usaro en ugar de WEP?........................................................248
30.2.2.Preparatvos............................................................................................................................. 249
30.2.3.Autentcando en e punto de acceso......................................................................................... 250
30.2.4.Asgnando parmetros de red a a nterfaz............................................................................... 251
30.3.Bbografa....................................................................................................................... 253
31.Cmo utzar sof............................................................................................254
31.1.Introduccn...................................................................................................................... 254
31.1.1.Acerca de sof........................................................................................................................... 254
31.2.Procedmentos................................................................................................................. 254
32.Cmo utzar Netcat (nc)................................................................................257
32.1.Introduccn...................................................................................................................... 257
32.1.1.Acerca de Netcat...................................................................................................................... 257
13
32.3.Procedmentos................................................................................................................. 257
32.3.1.Conexones smpes.................................................................................................................. 257
32.3.2.Revsn de puertos.................................................................................................................. 258
32.3.3.Creando un modeo cente servdor......................................................................................... 259
32.3.4.Transferenca de datos............................................................................................................. 259
33.Como utzar Netstat......................................................................................260
33.1.Introduccn...................................................................................................................... 260
33.1.1.Acerca de Netstat..................................................................................................................... 260
33.2.Procedmentos................................................................................................................. 260
34.Cmo utzar ARP...........................................................................................265
34.1.Introduccn...................................................................................................................... 265
34.1.1.Acerca de ARP.......................................................................................................................... 265
34.2.Procedmentos................................................................................................................. 265
35.Introduccn a IPTABLES.................................................................................268
35.1.Introduccn...................................................................................................................... 268
35.1.1.Acerca de Iptabes y Netfter.................................................................................................... 268
35.3.Procedmentos................................................................................................................. 268
35.3.1.Cadenas................................................................................................................................... 268
35.3.2.Regas de destno..................................................................................................................... 269
35.3.3.Potcas por defecto................................................................................................................. 269
35.3.4.Lmpeza de regas especfcas................................................................................................. 269
35.3.5.Regas especfcas.................................................................................................................... 269
E|empos de regas.............................................................................................................................. 270
35.3.6.Emnar regas.......................................................................................................................... 271
35.3.7.Mostrar a sta de cadenas y regas......................................................................................... 271
35.3.8.Incar, detener y rencar e servco ptabes........................................................................... 273
35.3.9.Agregar e servco ptabes a arranque de sstema................................................................273
35.4.Bbografa....................................................................................................................... 273
36.Cmo utzar CBO...........................................................................................274
36.1.Introduccn...................................................................................................................... 274
36.1.1.Acerca de cbq........................................................................................................................... 274
36.2.Comprendendo a veocdad bnara (bt rate)..................................................................274
36.3.2.Instaacn a travs de up2date................................................................................................ 275
36.4.Preparatvos..................................................................................................................... 275
36.4.1.Parmetro DEVICE.................................................................................................................... 275
36.4.2.Parmetro de case WEIGHT..................................................................................................... 276
36.4.3.Parmetro de case PRIO.......................................................................................................... 276
36.4.4.Parmetro de case PARENT..................................................................................................... 276
36.4.5.Parmetro de case LEAF.......................................................................................................... 277
36.4.6.Parmetro de case BOUNDED.................................................................................................. 278
36.4.7.Parmetro de case ISOLETED.................................................................................................. 278
36.4.8.Parmetros de ftracn........................................................................................................... 278
36.5.Procedmentos................................................................................................................. 280
36.5.1.CBO sn compartr ancho de banda entre cases.......................................................................281
36.5.2.CBO compartendo ancho de banda entre cases.....................................................................282
36.5.3.Incar, detener y rencar e servco cbq................................................................................. 282
36.5.4.Agregar e servco cbq a arranque de sstema....................................................................... 283
14
37.Introduccn a SELnux en CentOS 5 y Fedora................................................284
37.1.Introduccn...................................................................................................................... 284
37.2.Ou es SELnux?.............................................................................................................. 284
37.3.Mandato getseboo........................................................................................................... 284
37.4.Mandato setseboo........................................................................................................... 285
37.4.1.Servcos de FTP....................................................................................................................... 285
37.4.2.OpenVPN.................................................................................................................................. 286
37.4.3.Apache..................................................................................................................................... 286
37.4.4.Samba...................................................................................................................................... 286
37.4.5.Otros servcos.......................................................................................................................... 287
38.Cmo confgurar un servdor DHCP en una LAN.............................................289
38.1.Introduccn...................................................................................................................... 289
38.1.1.Acerca de protocoo DHCP....................................................................................................... 289
38.1.2.Acerca de dhcp por Internet Software Consortum, Inc.............................................................290
38.3.Modfcacones necesaras en e muro cortafuegos...........................................................290
38.4.Procedmentos................................................................................................................. 291
38.4.1.SELnux y e servco dhcpd...................................................................................................... 291
38.4.2.Archvo de confguracn /etc/dhcpd.conf o /etc/dhcp/dhcpd.conf............................................291
38.4.3.Archvo de confguracn /etc/sysconfg/dhcpd.........................................................................293
38.4.4.Incar, detener y rencar e servco dhcpd............................................................................. 293
38.4.5.Lmtar e acceso por dreccn MAC......................................................................................... 294
38.4.6.Agregar e servco dhcpd a arranque de sstema................................................................... 295
38.4.7.Confguracn para funconar con DNS dnmco......................................................................295
38.5.Comprobacones desde cente DHCP...............................................................................298
39.Cmo confgurar vsftpd (Very Secure FTP Daemon).......................................300
39.1.Introduccn...................................................................................................................... 300
39.1.1.Acerca de protocoo FTP.......................................................................................................... 300
39.1.2.Acerca de protocoo FTPS........................................................................................................ 300
39.1.3.Acerca de RSA.......................................................................................................................... 300
39.1.4.Acerca de OpenSSL.................................................................................................................. 301
39.1.5.Acerca de X.509....................................................................................................................... 301
39.1.6.Acerca de vsftpd....................................................................................................................... 301
39.3.Archvos de confguracn................................................................................................. 301
39.4.Procedmentos................................................................................................................. 302
39.4.1.SELnux, y e servco vsftpd..................................................................................................... 302
39.4.2.Archvo /etc/vsftpd/vsftpd.conf................................................................................................. 302
39.4.3.Parmetro anonymous_enabe................................................................................................. 302
39.4.4.Parmetro oca_enabe............................................................................................................ 303
39.4.5.Parmetro wrte_enabe............................................................................................................ 303
39.4.6.Parmetro anon_upoad_enabe............................................................................................... 303
39.4.7.Parmetro anon_mkdr_wrte_enabe........................................................................................ 303
39.4.8.Parmetro ftpd_banner............................................................................................................. 303
39.4.9.Estabecendo |auas para os usuaros: parmetros chroot_oca_user, y chroot_st_fe..........303
39.4.10.Contro de ancho de banda.................................................................................................... 304
39.4.11.Soporte SSL/TLS para VFSTPD................................................................................................ 304
39.4.12.Incar, detener, y rencar e servco vsftpd..........................................................................307
39.4.13.Agregar e servco a arranque de sstema............................................................................ 308
39.6.E|ercco VSFTPD............................................................................................................... 308
40.Cmo confgurar OpenSSH..............................................................................311
40.1.Introduccn...................................................................................................................... 311
15
40.1.1.Acerca de SSH.......................................................................................................................... 311
40.1.2.Acerca de SFTP......................................................................................................................... 311
40.1.3.Acerca de SCP.......................................................................................................................... 311
40.1.4.Acerca de OpenSSH.................................................................................................................. 311
40.3.Archvos de confguracn................................................................................................. 312
40.4.Procedmentos................................................................................................................. 312
40.4.1.Parmetro Port......................................................................................................................... 312
40.4.2.Parmetro LstenAddress.......................................................................................................... 312
40.4.3.Parmetro PermtRootLogn...................................................................................................... 312
40.4.4.Parmetro X11Forwardng........................................................................................................ 313
40.4.5.Parmetro AowUsers............................................................................................................... 313
40.5.Apcando os cambos...................................................................................................... 313
40.6.Probando OpenSSH........................................................................................................... 314
40.6.1.Acceso a travs de ntrprete de mandatos............................................................................. 314
40.6.2.Transferenca de archvos a travs de SFTP.............................................................................. 314
40.6.3.Transferenca de archvos a travs de SCP............................................................................... 315
41.Cmo utzar OpenSSH con autentcacn a travs de frma dgta...............317
41.1.Introduccn...................................................................................................................... 317
41.2.Procedmentos................................................................................................................. 317
41.2.1.Modfcacones en e Servdor remoto....................................................................................... 317
41.2.2.Modfcacones en e cente...................................................................................................... 317
41.2.3.Comprobacones....................................................................................................................... 318
42.Cmo confgurar NTP......................................................................................319
42.1.Introduccn...................................................................................................................... 319
42.1.1.Acerca de NTP.......................................................................................................................... 319
42.1.2.Acerca de UTC.......................................................................................................................... 320
42.3.Procedmentos................................................................................................................. 320
42.3.1.Herramenta ntpdate................................................................................................................ 320
42.3.2.Archvo de confguracn /etc/ntp.conf..................................................................................... 321
42.3.3.Incar, detener y rencar e servco ntpd................................................................................ 322
42.3.4.Agregar e servco ntpd a arranque de sstema...................................................................... 322
43.Cmo confgurar e sstema para sesones grfcas remotas..........................323
43.1.Introduccn...................................................................................................................... 323
43.2.Sesn grfca remota con GDM........................................................................................ 323
43.2.1.Procedmento.......................................................................................................................... 323
44.Cmo confgurar un servdor NFS...................................................................326
44.1.Introduccn...................................................................................................................... 326
44.2.Procedmentos................................................................................................................. 326
44.2.1.Instaacn de equpamento gco necesaro......................................................................... 326
44.3.Confgurando a segurdad................................................................................................ 326
44.3.1.Compartr un voumen NFS....................................................................................................... 327
44.3.2.Confgurando as mqunas centes......................................................................................... 328
44.4.Instaacn de GNU/Lnux a travs de un servdor NFS......................................................330
45.Cmo confgurar Samba bsco......................................................................331
45.1.Introduccn...................................................................................................................... 331
45.1.1.Acerca de protocoo SMB......................................................................................................... 331
16
45.1.2.Acerca de Samba...................................................................................................................... 331
45.3.Procedmentos................................................................................................................. 332
45.3.1.SELnux y e servco smb......................................................................................................... 332
45.3.2.Ata de cuentas de usuaro....................................................................................................... 333
45.3.3.E archvo mhosts.................................................................................................................... 333
45.3.4.Parmetros prncpaes de archvo smb.conf........................................................................... 334
45.3.5.Parmetro remote announce.................................................................................................... 335
45.3.6.Impresoras en Samba............................................................................................................... 335
45.3.7.Compartendo drectoros a travs de Samba...........................................................................335
45.4.Incar e servco y aadro a arranque de sstema........................................................338
45.5.Comprobacones............................................................................................................... 339
45.5.1.Modo texto............................................................................................................................... 339
45.5.2.Modo grfco............................................................................................................................. 340
46.Cmo confgurar Samba denegando acceso a certos archvos......................341
46.1.Introduccn...................................................................................................................... 341
46.2.Procedmentos................................................................................................................. 341
46.4.Comprobacones............................................................................................................... 342
47.Cmo confgurar Samba con Papeera de Recca|e........................................343
47.1.Introduccn...................................................................................................................... 343
47.2.Procedmentos................................................................................................................. 343
47.4.Comprobacones............................................................................................................... 345
48.Cmo nstaar y confgurar Samba-Vscan en CentOS 5..................................348
48.1.Introduccn...................................................................................................................... 348
48.2.Acerca de Samba-Vscan................................................................................................... 348
48.3.Instaacn de equpamento gco necesaro..................................................................348
48.4.Procedmentos................................................................................................................. 348
49.Cmo confgurar Samba como cente o servdor WINS..................................352
49.1.Introduccn...................................................................................................................... 352
49.2.Procedmentos................................................................................................................. 352
49.2.1.Parmetros wns server, y wns support................................................................................... 352
49.2.2.Parmetro name resove order................................................................................................. 353
49.2.3.Parmetro wns proxy............................................................................................................... 353
49.2.4.Parmetro dns proxy................................................................................................................ 353
49.2.5.Parmetro max tt..................................................................................................................... 353
49.2.6.Parmetros max wns tt y mn wns tt..................................................................................... 354
50.La ngenera soca y os |ncorrectos| hbtos de usuaro.............................355
50.1.Introduccn...................................................................................................................... 355
50.2.Recomendacones para evtar ser vctmas de a ngenera soca a travs de correo
eectrnco................................................................................................................................ 356
51.Cmo nstaar y confgurar Spamassassn......................................................357
51.1.Introduccn...................................................................................................................... 357
51.1.1.Acerca de SpamAssassn.......................................................................................................... 357
51.1.2.Acerca de Procma................................................................................................................... 357
17
51.3.SELnux y e servco spamasssassn.................................................................................358
51.3.1.Potcas de SEnux................................................................................................................... 358
51.3.2.Otros a|ustes de SELnux.......................................................................................................... 358
51.4.Procedmentos................................................................................................................. 360
51.4.1.Incar e servco y aadro a os servcos de arranque de sstema........................................360
51.4.2.Confguracn de Procma........................................................................................................ 361
51.4.3.Confguracn de archvo /etc/ma/spamassassn/oca.cf........................................................361
51.5.Conse|os para sacare me|or provecho a Spamassassn utzando sa-earn......................363
51.6.Incrementando as capacdades de ftrado de Spamassasn............................................364
51.6.1.Optmzando Spamassassn...................................................................................................... 365
51.6.2.Por qu Per-Ma-SPF, Per-Razor-Agent, Pyzor, Spamassassn-FuzzyOcr y popper-uts?.......365
52.Introduccn a os protocoos de correo eectrnco.......................................367
52.1.Introduccn...................................................................................................................... 367
52.1.1.Preparatvos............................................................................................................................. 367
52.1.2.Protocoos utzados................................................................................................................. 368
52.2.Referencas....................................................................................................................... 371
53.Confguracn bsca de Sendma..................................................................372
53.1.Introduccn...................................................................................................................... 372
53.1.1.Acerca de Sendma.................................................................................................................. 372
53.1.2.Acerca de Dovecot.................................................................................................................... 372
53.1.3.Acerca de SASL, y Cyrus SASL.................................................................................................. 372
53.3.Procedmentos................................................................................................................. 373
53.3.1.Defnendo Sendma como agente de transporte de correo predetermnado...........................373
53.3.2.Ata de cuentas de usuaro, y asgnacn de caves de acceso.................................................374
53.3.3.Domnos a admnstrar............................................................................................................ 374
53.3.4.Contro de acceso..................................................................................................................... 375
53.3.5.Aas de a cuenta de root......................................................................................................... 376
53.3.6.Confguracn de funcones de Sendma.................................................................................. 377
53.3.7.Contro de correo chatarra (Spam) a travs de DNSBLs...........................................................379
53.3.8.Confguracn de Dovecot........................................................................................................ 380
53.3.9.Aadr a arranque de sstema e ncar servcos dovecot, y sendma.....................................380
54.Cmo confgurar Sendma y Dovecot con soporte SSL/TLS............................382
54.1.Introduccn...................................................................................................................... 382
54.1.1.Acerca de DSA.......................................................................................................................... 382
54.1.2.Acerca de RSA.......................................................................................................................... 382
54.1.3.Acerca de X.509....................................................................................................................... 382
54.2.Procedmentos................................................................................................................. 383
54.2.1.Generando frma dgta y certfcado........................................................................................ 383
54.2.2.Confguracn de Sendma. ..................................................................................................... 385
54.2.3.Confguracn de Dovecot. ....................................................................................................... 387
54.3.Comprobacones............................................................................................................... 388
54.3.1.Confguracn de GNOME Evouton.......................................................................................... 388
54.3.2.Confguracn Moza Thunderbrd........................................................................................... 389
55.Confguracn avanzada de Sendma.............................................................391
55.1.Antes de contnuar........................................................................................................... 391
55.2.Usuaros Vrtuaes............................................................................................................. 391
55.3.Encamnamento de domnos........................................................................................... 392
55.3.1.Redundanca de servdor de correo......................................................................................... 392
55.3.2.Servdor de correo ntermedaro.............................................................................................. 393
55.4.Verfcando e servco....................................................................................................... 394
18
55.5.Pruebas de envo de correo.............................................................................................. 395
55.5.1.Utzando nc............................................................................................................................. 395
55.5.2.Utzando mutt......................................................................................................................... 397
56.Opcones avanzadas de segurdad para Sendma..........................................399
56.1.Introduccn...................................................................................................................... 399
56.2.Funcones......................................................................................................................... 399
56.2.1.confMAX_RCPTS_PER_MESSAGE............................................................................................... 399
56.2.2.confBAD_RCPT_THROTTLE........................................................................................................ 399
56.2.3.confPRIVACY_FLAGS................................................................................................................. 400
56.2.4.confMAX_HEADERS_LENGTH..................................................................................................... 400
56.2.5.confMAX_MESSAGE_SIZE.......................................................................................................... 400
56.2.6.confMAX_DAEMON_CHILDREN.................................................................................................. 400
56.2.7.confCONNECTION_RATE_THROTTLE.......................................................................................... 401
57.Cmo nstaar y confgurar Postfx y Dovecot con soporte para TLS y
autentcacn.......................................................................................................402
57.1.Introduccn...................................................................................................................... 402
57.1.1.Acerca de Postfx...................................................................................................................... 402
57.1.2.Acerca de Dovecot.................................................................................................................... 402
57.1.3.Acerca de SASL, y Cyrus SASL.................................................................................................. 402
57.1.4.Acerca de DSA.......................................................................................................................... 403
57.1.5.Acerca de RSA.......................................................................................................................... 403
57.1.6.Acerca de X.509....................................................................................................................... 403
57.3.Procedmentos................................................................................................................. 404
57.3.1.Defnendo Postfx como agente de transporte de correo predetermnado...............................404
57.3.2.SELnux, y Postfx..................................................................................................................... 404
57.3.3.Confguracn de Postfx........................................................................................................... 407
57.3.4.Confguracn de Dovecot en CentOS 5, y Red Hat Enterprse Lnux 5.....................................410
57.3.5.Confguracn de Dovecot en CentOS 6, y Red Hat Enterprse Lnux 6.....................................411
57.3.6.Incar servcos, y aadr stos a arranque de sstema...........................................................412
57.3.7.Soporte para LMTP................................................................................................................... 412
57.3.8.Modfcacones necesaras en e muro cortafuegos................................................................... 412
57.3.9.Requstos en a zona de reenvo en e servdor DNS................................................................413
57.4.Comprobacones............................................................................................................... 413
57.4.1.A travs de termna................................................................................................................. 413
57.4.2.A travs de centes de correo eectrnco................................................................................ 414
58.Cmo nstaar y confgurar Amavsd-new con Postfx en CentOS 5................419
58.1.Introduccn...................................................................................................................... 419
58.1.1.Acerca de Amavsd-new........................................................................................................... 419
58.2.Equpamento gco necesaro. ....................................................................................... 419
58.2.2.Confguracn de depstos YUM para CentOS 5 y Red Hat Enterprse Lnux 5.........................420
58.3.Procedmentos................................................................................................................. 420
58.3.1.Confguracn de SELnux......................................................................................................... 420
58.3.2.Confguracn de Amavsd-new................................................................................................ 421
58.3.4.Incar, detener y rencar e servco spamass-mter...............................................................422
58.3.5.Postfx con domnos vrtuaes y Amavsd-new..........................................................................423
59.Cmo confgurar Postfx en CentOS 5 para utzar domnos vrtuaes con
usuaros de sstema............................................................................................424
59.1.Introduccn...................................................................................................................... 424
59.2.Procedmentos................................................................................................................. 424
19
59.2.3.Rencar e servco postfx....................................................................................................... 428
60.Cmo confgurar Cyrus IMAP...........................................................................429
60.1.Introduccn...................................................................................................................... 429
60.3.Procedmentos................................................................................................................. 430
60.3.1.Ata de cuentas de usuaro y asgnacn de caves de acceso..................................................430
60.3.2.Incar, detener y rencar e servco cyrus-mapd....................................................................431
60.3.3.Agregar e servco cyrus-mapd a arranque de sstema.........................................................431
60.3.4.Integracn con Sendma......................................................................................................... 431
60.4.Comprobacones............................................................................................................... 431
61.Apndce: Envar correo a todos os usuaros de sstema..............................434
61.1.Procedmentos................................................................................................................. 434
61.2.Acerca de a segurdad..................................................................................................... 434
62.Cmo nstaar y confgurar e programa vacaton para responder avsos
automtcos en vacacones..................................................................................435
62.1.Intruccn......................................................................................................................... 435
62.3.Procedmentos................................................................................................................. 436
63.Cmo confgurar camav-mter......................................................................438
63.1.Introduccn...................................................................................................................... 438
63.1.1.Acerca de camav-mter........................................................................................................... 438
63.1.2.Acerca de CamAV.................................................................................................................... 438
63.3.Procedmentos................................................................................................................. 439
63.3.1.SELnux, y e servco camav-mter......................................................................................... 439
63.3.2.Requstos prevos.................................................................................................................... 441
63.3.3.Archvo /etc/ma/sendma.mc.................................................................................................. 441
63.3.4.Confguracn........................................................................................................................... 441
63.3.5.Incar, detener, y rencar e servco camav-mter................................................................442
64.Cmo confgurar spamass-mter....................................................................443
64.1.Introduccn...................................................................................................................... 443
64.1.1.Requstos prevos.................................................................................................................... 443
64.1.2.Acerca de spamass-mter........................................................................................................ 443
64.1.3.Acerca de SpamAssassn.......................................................................................................... 443
64.3.Procedmentos................................................................................................................. 444
64.3.1.SELnux y e servco spamass-mter........................................................................................ 444
64.3.2.Archvo /etc/ma/sendma.mc.................................................................................................. 446
64.3.3.Archvo /etc/sysconfg/spamass-mter...................................................................................... 447
64.3.4.Archvo /etc/procmarc............................................................................................................. 448
64.3.5.Archvo /etc/sysconfg/spamassassn........................................................................................ 449
64.3.6.Incar, detener y rencar e servco spamass-mter...............................................................449
20
65.Cmo confgurar un servdor NIS....................................................................451
65.1.Introduccn...................................................................................................................... 451
65.2.Procedmentos................................................................................................................. 451
Instaacn de equpamento gco necesaro en e servdor NIS........................................................451
65.2.2.Confguracn de servdor NIS.................................................................................................. 452
65.2.3.Instaacn de equpamento gco necesaro en e cente NIS...............................................454
65.2.4.Confguracn de cente NIS.................................................................................................... 454
66.Cmo confgurar OpenLDAP como servdor de autentcacn.........................457
66.1.Introduccn...................................................................................................................... 457
66.3.Procedmentos................................................................................................................. 458
66.3.1.SELnux y e servco dap......................................................................................................... 458
66.3.2.Creacn de drectoros............................................................................................................. 458
66.3.3.Generacn de caves de acceso para LDAP.............................................................................. 458
66.3.4.Archvo de confguracn /etc/opendap/sapd.conf................................................................... 458
66.3.5.Inco de servco dap.............................................................................................................. 459
66.3.6.Mgracn de cuentas exstentes en e sstema......................................................................... 459
66.4.Comprobacones............................................................................................................... 460
66.5.Confguracn de centes................................................................................................. 461
66.5.1.authconfg (modo-texto)........................................................................................................... 462
66.5.2.authconfg-tu (modo texto)...................................................................................................... 462
66.5.3.authconfg-gtk (modo grfco).................................................................................................. 463
66.6.Admnstracn.................................................................................................................. 464
66.7.Respado de datos............................................................................................................ 464
66.8.Restauracn de datos...................................................................................................... 465
67.Cmo confgurar OpenLDAP como breta de dreccones...............................466
67.1.Introduccn...................................................................................................................... 466
67.3.Procedmentos................................................................................................................. 467
67.3.1.SELnux y e servco dap......................................................................................................... 467
67.3.2.Creacn de drectoros............................................................................................................. 467
67.3.3.Generacn de caves de acceso para LDAP.............................................................................. 467
67.3.4.Archvo de esquemas............................................................................................................... 467
67.3.5.Archvo de confguracn /etc/opendap/sapd.conf................................................................... 468
67.3.6.Inco de servco dap.............................................................................................................. 468
67.3.7.Aadr datos a drectoro......................................................................................................... 468
67.4.Confguracn de centes................................................................................................. 470
67.4.1.Nove Evouton........................................................................................................................ 470
67.4.2.Moza Thunderbrd.................................................................................................................. 472
67.4.3.Squrrema.............................................................................................................................. 473
67.5.Admnstracn.................................................................................................................. 474
67.6.Respado de datos............................................................................................................ 474
67.7.Restauracn de datos...................................................................................................... 474
68.Cmo confgurar OpenLDAP con soporte SSL/TLS..........................................476
68.1.Introduccn...................................................................................................................... 476
68.1.1.Acerca de LDAP en modo SSL/TLS............................................................................................ 476
68.1.2.Acerca de RSA.......................................................................................................................... 476
68.1.3.Acerca de X.509....................................................................................................................... 477
21
68.2.Procedmentos................................................................................................................. 477
68.2.1.Generando cave y certfcado.................................................................................................. 477
68.2.2.Parmetros de /etc/opendap/sapd.conf................................................................................... 478
68.2.3.Comprobacn.......................................................................................................................... 478
68.2.4.Confguracn de GNOME Evouton.......................................................................................... 479
68.2.5.Confguracn de Moza Thunderbrd...................................................................................... 479
68.2.6.Confguracn LDAP Browser.................................................................................................... 480
68.2.7.Confguracn LDAP Admnstraton Too................................................................................... 480
69.Cmo nstaar y confgurar MySOL...............................................................482
69.1.Introduccn...................................................................................................................... 482
69.1.1.Acerca de MySOL................................................................................................................... 482
69.3.Procedmentos................................................................................................................. 483
69.3.1.SELnux y e servco mysqd..................................................................................................... 483
69.3.2.Incar, detener y rencar e servco mysqd............................................................................ 483
69.3.3.Agregar e servco mysqd a arranque de sstema................................................................. 483
69.3.4.Asgnacn de cave de acceso a usuaro root..........................................................................483
69.4.Creando y destruyendo bases de datos............................................................................485
69.5.Otorgando permsos a os usuaros...................................................................................485
70.Confguracn bsca de Apache.....................................................................488
70.1.Introduccn...................................................................................................................... 488
70.1.1.Acerca de protocoo HTTP........................................................................................................ 488
70.1.2.Acerca de Apache..................................................................................................................... 488
70.3.Incar servco y aadr e servco a arranque de sstema..............................................489
70.4.Procedmentos................................................................................................................. 490
70.4.1.SELnux y Apache..................................................................................................................... 490
70.4.2.UTF-8 y codfcacn de documentos........................................................................................ 491
70.4.3.Archvos de confguracn........................................................................................................ 492
70.4.4.Drectoros vrtuaes................................................................................................................. 492
70.4.5.Redreccn de drectoros........................................................................................................ 493
70.4.6.Tpos de MIME.......................................................................................................................... 493
70.4.7.Soporte para CGI con extensn *.cg....................................................................................... 493
70.4.8.Robo de mgenes.................................................................................................................... 495
70.6.Apndce: Confguracn de Stos de Red vrtuaes en Apache.........................................496
71.Cmo habtar os archvos .htaccess y SSI )Server Sde Incudes) en Apache
2.x........................................................................................................................498
71.1.Introduccn...................................................................................................................... 498
71.2.Procedmentos................................................................................................................. 498
71.2.1.Autentcacn de drectoros..................................................................................................... 498
71.2.2.Asgnacn de drectvas para PHP............................................................................................ 500
72.Cmo confgurar Apache con soporte SSL/TLS. .............................................502
72.1.Introduccn...................................................................................................................... 502
72.1.1.Acerca de HTTPS...................................................................................................................... 502
72.1.2.Acerca de RSA.......................................................................................................................... 502
72.1.3.Acerca de Trpe DES................................................................................................................ 502
22
72.1.4.Acerca de X.509....................................................................................................................... 503
72.1.6.Acerca de mod_ss.................................................................................................................... 503
72.2.Requstos......................................................................................................................... 503
72.4.Procedmentos................................................................................................................. 504
72.4.1.Generando frma dgta y certfcado........................................................................................ 504
72.4.2.Confguracn de Apache.......................................................................................................... 505
72.4.3.Comprobacn.......................................................................................................................... 506
72.4.4.Modfcacones necesaras en e muro cortafuegos................................................................... 506
73.Cmo confgurar un servdor de nombres de domno (DNS)..........................508
73.1.Introduccn...................................................................................................................... 508
73.1.1.Bnd (Berkeey Internet Name Doman).................................................................................... 508
73.1.2.DNS (Doman Name System).................................................................................................... 508
73.1.3.NIC (Network Informaton Center)............................................................................................. 509
73.1.4.FODN (Fuy Ouafed Doman Name)....................................................................................... 509
73.1.5.Componentes de un DNS.......................................................................................................... 509
73.1.6.Herramentas de bsqueda y consuta..................................................................................... 511
73.3.Procedmentos................................................................................................................. 514
73.3.1.SELnux y e servco named..................................................................................................... 514
73.3.2.Preparatvos............................................................................................................................. 515
73.3.3.Creacn de os archvos de zona............................................................................................. 518
73.3.4.Segurdad adcona en DNS para uso pbco.......................................................................... 522
73.3.5.Segurdad adcona en DNS para uso excusvo en red oca....................................................528
73.3.6.Las zonas escavas................................................................................................................... 530
73.3.7.Segurdad adcona para transferencas de zona..................................................................... 531
73.3.8.Rencar servco y depuracn de confguracn...................................................................... 534
74.Cmo confgurar Squd: Parmetros bscos para Servdor Intermedaro
(Proxy).................................................................................................................536
74.1.Introduccn...................................................................................................................... 536
74.1.1.Ou es Servdor Intermedaro (Proxy)?................................................................................... 536
74.1.2.Acerca de Squd........................................................................................................................ 537
74.2.3.Otros componentes necesaros................................................................................................. 539
74.3.SELnux y e servco squd................................................................................................ 539
74.4.Antes de contnuar........................................................................................................... 539
74.5.Confguracn bsca........................................................................................................ 540
74.5.1.Parmetro http_port: Oue puerto utzar para Squd?.............................................................540
74.5.2.Parmetro cache_mem............................................................................................................. 541
74.5.3.Parmetro cache_dr: Cuanto desea amacenar de Internet en e dsco duro?........................541
74.5.4.Parmetro ftp_user................................................................................................................... 542
74.5.5.Controes de acceso................................................................................................................. 542
74.5.6.Apcando Lstas y Regas de contro de acceso........................................................................543
74.5.7.Parmetro chache_mgr............................................................................................................. 545
74.5.8.Parmetro cache_peer: caches padres y hermanos..................................................................545
74.6.Cach con aceeracn...................................................................................................... 546
74.6.1.Proxy Aceerado: Opcones para Servdor Intermedaro (Proxy) en modo convencona...........546
74.6.2.Proxy Aceerado: Opcones para Servdor Intermedaro (Proxy) Transparente.........................547
74.6.3.Proxy Aceerado: Opcones para Servdor Intermedaro (Proxy) Transparente para redes con
Internet Exorer 5.5 y versones anterores.......................................................................................... 547
74.7.Estabecendo e doma de os mensa|es mostrados por de Squd haca e usuaro..........548
74.8.Incando, rencando y aadendo e servco a arranque de sstema.............................548
23
74.9.Depuracn de errores...................................................................................................... 548
74.10.A|ustes para e muro corta-fuegos..................................................................................549
74.10.1.Re-drecconamento de petcones a travs de ptabes y Frestarter.....................................549
74.10.2.Re-drecconamento de petcones a travs de a opcn REDIRECT en Shorewa..................549
75.Cmo confgurar Squd: Acceso por autentcacn..........................................551
75.1.Introduccn...................................................................................................................... 551
75.2.Software requerdo........................................................................................................... 551
Egendo e mduo de autentcacn.......................................................................................551
75.2.1.Autentcacn a travs de mduo LDAP.................................................................................. 551
75.2.2.Autentcacn a travs de mduo NCSA.................................................................................. 552
75.3.Lstas y regas de contro de acceso.................................................................................553
75.3.1.Fnazando procedmento........................................................................................................ 554
76.Cmo confgurar Squd: Restrccn de acceso a Stos de Red......................555
76.1.Introduccn...................................................................................................................... 555
76.3.Defnendo patrones comunes..........................................................................................555
76.4.Parmetros en /etc/squd/squd.conf.................................................................................556
76.4.1.Permtendo acceso a stos nocentes ncdentamente boqueados.........................................556
77.Cmo confgurar Squd: Restrccn de acceso a contendo por extensn.....558
77.1.Introduccn...................................................................................................................... 558
77.2.Software requerdo........................................................................................................... 558
77.3.Defnendo eementos de a Lsta de Contro de Acceso....................................................558
77.4.Parmetros en /etc/squd/squd.conf.................................................................................559
78.Cmo confgurar Squd: Restrccn de acceso por horaros...........................561
78.1.Introduccn...................................................................................................................... 561
78.3.Procedmentos................................................................................................................. 561
78.3.1.Ms e|empos............................................................................................................................ 562
79.Cmo confgurar squd con soporte para dreccones MAC.............................564
79.1.Introduccn...................................................................................................................... 564
79.1.1.Acerca de Squd........................................................................................................................ 564
79.3.Procedmentos................................................................................................................. 564
Archvo /etc/squd/stas/macsredoca................................................................................................. 565
79.3.1.Archvo /etc/squd/squd.conf.................................................................................................... 565
79.4.Incar, detener y rencar e servco squd.......................................................................566
80.Cmo nstaar y confgurar a herramenta de reportes Sarg..........................567
80.1.Introduccn...................................................................................................................... 567
80.3.Procedmentos................................................................................................................. 567
81.Apndce: Lstas y regas de contro de acceso para Squd............................571
81.0.1.Regas apcadas....................................................................................................................... 571
24
82.Cmo confgurar un muro cortafuegos con Shorewa y tres nterfaces de red....
573
82.1.Introduccn...................................................................................................................... 573
82.1.1.Acerca de Shorewa................................................................................................................. 573
82.1.2.Acerca de Iptabes y Netfter.................................................................................................... 573
82.1.3.Acerca de Iproute..................................................................................................................... 573
82.1.4.Requstos................................................................................................................................. 574
82.2.Conceptos requerdos....................................................................................................... 574
82.2.1.Ou es una zona desmtarzada?........................................................................................... 574
82.2.2.Oue es una Red Prvada?........................................................................................................ 575
82.2.3.Ou es un NAT?...................................................................................................................... 575
82.2.4.Ou es un DNAT?.................................................................................................................... 575
82.4.Procedmentos................................................................................................................. 576
82.4.2.Archvo de confguracn /etc/shorewa/shorewa.conf............................................................577
82.4.3.Archvo de confguracn /etc/shorewa/zones......................................................................... 577
82.4.4.Archvo de confguracn /etc/shorewa/nterfaces................................................................... 577
82.4.5.Archvo de confguracn /etc/shorewa/pocy......................................................................... 578
82.4.6.Archvo de confguracn /etc/shorewa/masq.......................................................................... 579
82.4.7.Archvo de confguracn /etc/shorewa/rues........................................................................... 579
82.5.Incar e cortafuegos y aadro a os servcos de arranque de sstema..........................582
83.Cmo confgurar un servdor de OpenVPN......................................................584
83.1.Introduccn...................................................................................................................... 584
83.1.1.Acerca de OpenVPN.................................................................................................................. 584
83.1.2.Breve expcacn de o que se ograr con este documento....................................................584
83.2.1.Instaacn en CentOS 5........................................................................................................... 585
83.3.Procedmentos................................................................................................................. 586
83.3.1.Confguracn de muro cortafuegos con Shorewa................................................................... 590
83.3.2.Confguracn de centes Wndows.......................................................................................... 591
83.3.3.Centes GNU/Lnux................................................................................................................... 594
83.4.Bbografa....................................................................................................................... 600
84.Cmo confgurar SNMP...................................................................................601
84.1.Introduccn...................................................................................................................... 601
84.1.1.Acerca de SNMP....................................................................................................................... 601
84.1.2.Acerca de Net-SNMP................................................................................................................. 601
84.3.Procedmentos................................................................................................................. 602
Archvo de confguracn /etc/snmp/snmpd.conf................................................................................. 602
84.3.2.Un e|empo funcona de confguracn..................................................................................... 604
84.3.3.Incar, detener y rencar e servco snmpd............................................................................ 604
84.3.4.Agregar e servco snmpd a arranque de sstema..................................................................605
84.4.Comprobacones............................................................................................................... 605
85.Cmo confgurar MRTG...................................................................................606
85.1.Introduccn...................................................................................................................... 606
85.1.1.Acerca de MRTG....................................................................................................................... 606
85.3.Procedmentos................................................................................................................. 606
85.4.Comprobacones............................................................................................................... 607
25
86.Cmo confgurar Freeradus con MySOL en CentOS 5....................................609
86.1.Introduccn...................................................................................................................... 609
86.1.1.Acerca de RADIUS.................................................................................................................... 609
86.1.2.Acerca de Freeradus................................................................................................................ 609
86.1.3.Acerca de Daoradus................................................................................................................ 610
86.2.Procedmentos................................................................................................................. 610
86.2.1.Instaar Daoradus para admnstracn a travs de HTTP........................................................614
86.3.Bbografa....................................................................................................................... 615
87.Cmo nstaar |ava 1.6 en CentOS 5...............................................................616
87.1.Introduccn...................................................................................................................... 616
87.3.Procedmentos................................................................................................................. 616
87.3.1.Creacn de usuaro para utzar rpmbud............................................................................... 616
87.3.2.Creacn de estructura de drectoros para rpmbud................................................................616
88.Cmo confgurar escner en red.....................................................................620
88.1.Introduccn...................................................................................................................... 620
88.1.1.Acerca de SANE........................................................................................................................ 620
88.1.2.Acerca de Xsane....................................................................................................................... 620
88.2.1.Instaacn de servco saned................................................................................................... 621
88.2.2.Instaacn de cente Xsane.................................................................................................... 621
88.3.Procedmentos................................................................................................................. 621
88.3.1.Confguracn de servco saned.............................................................................................. 621
88.3.2.Confguracn de cente Xsane................................................................................................ 623
89.Cmo confgurar un servdor de respados con BackupPC..............................624
89.1.Introduccn...................................................................................................................... 624
89.2.1.Instaacn en CentOS 5........................................................................................................... 624
89.3.Procedmentos................................................................................................................. 625
89.3.1.Confguracn de Apache.......................................................................................................... 625
89.3.2.Confguracn de BackupPC...................................................................................................... 626
89.3.3.Confguracn de os sstemas GNU/Lnux a respadar..............................................................627
89.3.4.Confguracn de os sstemas Wndows a respadar.................................................................629
90.Cmo confgurar un racmo (custer) de ata dsponbdad con Heartbeat en
CentOS 5..............................................................................................................634
90.1.Introduccn...................................................................................................................... 634
90.1.1.Acerca de Heartbeat................................................................................................................. 634
90.2.Procedmentos................................................................................................................. 635
90.2.1.Servcos que deben desactvarse............................................................................................. 635
90.2.2.SELnux y Heartbeat................................................................................................................. 635
90.2.3.Confguracn de Nodo 1......................................................................................................... 638
90.2.4.Confguracn de Nodo 2......................................................................................................... 642
90.2.5.Verfcando e agrupamento (custer)....................................................................................... 645
91.Usando Smartd para antcpar os desastres de dsco duro............................647
91.1.Introduccn...................................................................................................................... 647
91.2.Procedmentos................................................................................................................. 647
92.Cmo crear un dsco con nstaacn personazada de CentOS 5...................649
92.1.Instaacn de equpamento gco necesaro..................................................................649
92.2.Procedmentos................................................................................................................. 649
26
92.2.1.Creacn de archvo de confguracn de nstaacn personazada.........................................649
92.2.2.Creacn de drectoro de traba|o y contendo de msmo........................................................650
92.2.3.Aadr equpamento gco adcona....................................................................................... 652
92.2.4.Creacn de a magen ISO....................................................................................................... 653
93.E|erccos.........................................................................................................655
93.1.E|ercco NFS..................................................................................................................... 655
93.1.1.Introduccn............................................................................................................................. 655
93.1.2.Procedmentos......................................................................................................................... 655
93.2.E|ercco SAMBA................................................................................................................ 657
93.2.1.Procedmentos......................................................................................................................... 657
93.3.E|ercco Apache y VSFTPD............................................................................................660
93.3.1.Procedmentos......................................................................................................................... 660
93.3.2.Comprobacones....................................................................................................................... 661
93.4.E|ercco: Cuotas de dsco, Apache, VSFTPD y DNS...........................................................663
93.4.1.Procedmentos......................................................................................................................... 663
93.4.2.Comprobacones....................................................................................................................... 666
93.5.E|ercco: Servdor Intermedaro (Proxy)...........................................................................668
93.5.1.Introduccn............................................................................................................................. 668
Procedmentos.................................................................................................................................... 668
94.E|ercco: Servdor DNS Dnmco y Servdor DHCP........................................674
94.1.Introduccn...................................................................................................................... 674
94.3.Procedmentos................................................................................................................. 674
94.3.1.Modfcacn de a nterfaz de acceso haca Internet.................................................................674
Confguracn de servdor DNS............................................................................................................ 675
Confguracn de servdor DHCP.......................................................................................................... 679
95.E|ercco: Servdor Intermedaro (Proxy) y cortafuegos con Shorewa...........681
95.1.Introduccn...................................................................................................................... 681
95.1.1.Potca: cerrar todo y abrr soo o necesaro............................................................................ 681
95.3.Procedmentos................................................................................................................. 682
95.3.1.Confguracn de Squd............................................................................................................. 682
Confguracn de Shorewa................................................................................................................. 688
Instaar y confgurar a herramenta de reportes Sarg......................................................................... 691
96.E|ercco: confguracn de sstema para Lnux, Apache, PHP y MySOL.........692
97.E|ercco: Confguracn de sstema como estacn de traba|o......................695
Notas....................................................................................................................698
27
%n&ormacin de Derec$os reservados
de esta pu!licacin.
'econocimiento()oComercial(Compartir%gual *.+
,sted es li!re de-
copar, dstrbur y comuncar pbcamente a obra
hacer obras dervadas
Ba.o las condiciones siguientes-
'econocimiento. Debe reconocer y ctar a autor orgna.
)o comercial. No puede utzar esta obra para fnes comercaes.
Compartir !a.o la misma licencia. S atera o transforma esta obra, o
genera una obra dervada, so puede dstrbur a obra generada ba|o una
cenca dntca a sta.
A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta
obra.
Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os
derechos de autor
os derec$os derivados de usos legtimos u otras limitaciones no se ven a&ectados por
lo anterior.
'econocimiento()oComercial(Compartir%gual *.+
CREATIVE COMMONS CORPORATION NO ES UN DESPACHO DE ABOGADOS Y NO PROPORCIONA SERVICIOS |URDICOS. LA DISTRIBUCION DE
ESTA LICENCIA NO CREA UNA RELACION ABOGADO-CLIENTE. CREATIVE COMMONS PROPORCIONA ESTA INFORMACION TAL CUAL (ON AN "AS-
IS" BASIS). CREATIVE COMMONS NO OFRECE GARANTA ALGUNA RESPECTO DE LA INFORMACION PROPORCIONADA, NI ASUME
RESPONSABILIDAD ALGUNA POR DANOS PRODUCIDOS A CONSECUENCIA DE SU USO.
&icencia
LA OBRA (SEGN SE DEFINE MAS ADELANTE) SE PROPORCIONA BA|O TRMINOS DE ESTA LICENCIA PBLICA DE CREATIVE COMMONS ("CCPL"
O "LICENCIA"). LA OBRA SE ENCUENTRA PROTEGIDA POR LA LEY ESPANOLA DE PROPIEDAD INTELECTUAL Y/O CUALESOUIERA OTRAS NORMAS
RESULTEN DE APLICACION. OUEDA PROHIBIDO CUALOUIER USO DE LA OBRA DIFERENTE A LO AUTORIZADO BA|O ESTA LICENCIA O LO
DISPUESTO EN LAS LEYES DE PROPIEDAD INTELECTUAL.
28
MEDIANTE EL E|ERCICIO DE CUALOUIER DERECHO SOBRE LA OBRA, USTED ACEPTA Y CONSIENTE LAS LIMITACIONES Y OBLIGACIONES DE
ESTA LICENCIA. EL LICENCIADOR LE CEDE LOS DERECHOS CONTENIDOS EN ESTA LICENCIA, SIEMPRE OUE USTED ACEPTE LOS PRESENTES
TRMINOS Y CONDICIONES.
+. De&iniciones
a. La /o!ra/ es a creacn terara, artstca o centfca ofrecda ba|o os trmnos de esta cenca.
b. E /autor/ es a persona o a entdad que cre a obra.
c. Se consderar /o!ra con.unta/ aquea susceptbe de ser ncuda en aguna de as sguentes categoras:
. /0!ra en cola!oracin/, entendendo por ta aquea que sea resutado untaro de a coaboracn de varos autores.
d. /0!ra colectiva/, entendendo por ta a creada por a ncatva y ba|o a coordnacn de una persona natura o |urdca que a
modfque y dvugue ba|o su nombre y que est consttuda por a reunn de aportacones de dferentes autores cuya contrbucn
persona se funde en una creacn nca y autnoma, para a cua haya sdo concebda sn que sea posbe atrbur separadamente
a cuaquera de eos un derecho sobre e con|unto de a obra reazada.
e. /0!ra compuesta e independiente/, entendendo por ta a obra nueva que ncorpore una obra preexstente sn a coaboracn
de autor de esta tma.
f. Se consderarn /o!ras derivadas/ aqueas que se encuentren basadas en una obra o en una obra y otras preexstentes, taes
como: as traduccones y adaptacones; as revsones, actuazacones y anotacones; os compendos, resmenes y extractos; os
arregos muscaes y, en genera, cuaesquera transformacones de una obra terara, artstca o centfca, savo que a obra
resutante tenga e carcter de obra con|unta en cuyo caso no ser consderada como una obra dervada a os efectos de esta
cenca. Para evtar a duda, s a obra consste en una composcn musca o grabacn de sondos, a sncronzacn tempora de
a obra con una magen en movmento ("synchng") ser consderada como una obra dervada a os efectos de esta cenca.
g. Tendrn a consderacn de /o!ras audiovisuales/ as creacones expresadas medante una sere de mgenes asocadas, con o
sn sonorzacn ncorporada, as como as composcones muscaes, que estn destnadas esencamente a ser mostradas a travs
de aparatos de proyeccn o por cuaquer otro medo de comuncacn pbca de a magen y de sondo, con ndependenca de a
naturaeza de os soportes materaes de dchas obras.
h. E /licenciador/ es a persona o a entdad que ofrece a obra ba|o os trmnos de esta cenca y e cede os derechos de
expotacn de a msma conforme a o dspuesto en ea.
. /,sted/ es a persona o a entdad que e|ercta os derechos ceddos medante esta cenca y que no ha voado prevamente os
trmnos de a msma con respecto a a obra, o que ha recbdo e permso expreso de cencador de e|erctar os derechos ceddos
medante esta cenca a pesar de una voacn anteror.
|. La /trans&ormacin/ de una obra comprende su traduccn, adaptacn y cuaquer otra modfcacn en su forma de a que se
derve una obra dferente. Cuando se trate de una base de datos segn se defne ms adeante, se consderar tambn
transformacn a reordenacn de a msma. La creacn resutante de a transformacn de una obra tendr a consderacn de
obra dervada.
k. Se entende por /reproduccin/ a f|acn de a obra en un medo que permta su comuncacn y a obtencn de copas de toda o
parte de ea.
. Se entende por /distri!ucin/ a puesta a dsposcn de pbco de orgna o copas de a obra medante su venta, aquer,
prstamo o de cuaquer otra forma.
m. Se entender por /comunicacin p1!lica/ todo acto por e cua una puradad de personas pueda tener acceso a a obra sn
preva dstrbucn de e|empares a cada una de eas. No se consderar pbca a comuncacn cuando se ceebre dentro de un
mbto estrctamente domstco que no est ntegrado o conectado a una red de dfusn de cuaquer tpo. A efectos de esta
cenca se consderar comuncacn pbca a puesta a dsposcn de pbco de a obra por procedmentos ambrcos o
nambrcos, ncuda a puesta a dsposcn de pbco de a obra de ta forma que cuaquer persona pueda acceder a ea desde
e ugar y en e momento que e|a.
n. La /e2plotacin/ de a obra comprende su reproduccn, dstrbucn, comuncacn pbca y transformacn.
29
o. Tendrn a consderacn de /!ases de datos/ as coeccones de obras a|enas, de datos o de otros eementos ndependentes
como as antoogas y as bases de datos propamente dchas que por a seeccn o dsposcn de sus contendos consttuyan
creacones nteectuaes, sn per|uco, en su caso, de os derechos que puderan subsstr sobre dchos contendos.
p. Los /elementos de la licencia/ son as caracterstcas prncpaes de a cenca segn a seeccn efectuada por e cencador e
ndcadas en e ttuo de esta cenca: Reconocmento de autora (Reconocmento), Sn uso comerca (NoComerca), Compartr de
manera gua (CompartrIgua).
*. mites y uso legtimo de los derec$os. Nada en esta cenca pretende reducr o restrngr cuaesquera mtes egaes de os derechos
excusvos de ttuar de os derechos de propedad nteectua de acuerdo con a Ley de Propedad Inteectua o cuaesquera otras eyes
apcabes, ya sean dervados de usos egtmos, taes como e derecho de copa prvada o e derecho a cta, u otras mtacones como a
dervada de a prmera venta de e|empares.
3. Concesin de licencia. Conforme a os trmnos y a as condcones de esta cenca, e cencador concede (durante toda a vgenca de
os derechos de propedad nteectua) una cenca de mbto munda, sn derecho de remuneracn, no excusva e ndefnda que ncuye a
cesn de os sguentes derechos:
a. Derecho de reproduccn, dstrbucn y comuncacn pbca sobre a obra;
b. Derecho a ncorporara en una o ms obras con|untas o bases de datos y para su reproduccn en tanto que ncorporada a dchas
obras con|untas o bases de datos;
c. Derecho para efectuar cuaquer transformacn sobre a obra y crear y reproducr obras dervadas;
d. Derecho de dstrbucn y comuncacn pbca de copas o grabacones de a obra, como ncorporada a obras con|untas o bases de
datos;
e. Derecho de dstrbucn y comuncacn pbca de copas o grabacones de a obra, por medo de una obra dervada.
Los anterores derechos se pueden e|erctar en todos os medos y formatos, tangbes o ntangbes, conocdos o por conocer. Los derechos
menconados ncuyen e derecho a efectuar as modfcacones que sean precsas tcncamente para e e|ercco de os derechos en otros
medos y formatos. Todos os derechos no ceddos expresamente por e cencador quedan reservados, ncuyendo, a ttuo enuncatvo pero
no mtatvo, os estabecdos en a seccn 4(e).
4. 'estricciones. La cesn de derechos que supone esta cenca se encuentra su|eta y mtada a as restrccones sguentes:
a. Usted puede reproducr, dstrbur o comuncar pbcamente a obra soamente ba|o trmnos de esta cenca y debe ncur una
copa de a msma, o su Identfcador Unforme de Recurso (URI), con cada copa o grabacn de a obra que usted reproduzca,
dstrbuya o comunque pbcamente. Usted no puede ofrecer o mponer nngn trmno sobre a obra que atere o restrn|a os
trmnos de esta cenca o e e|ercco de sus derechos por parte de os cesonaros de a msma. Usted no puede subcencar a
obra. Usted debe mantener ntactos todos os avsos que se referan a esta cenca y a a ausenca de garantas. Usted no puede
reproducr, dstrbur o comuncar pbcamente a obra con meddas tecnogcas que controen e acceso o uso de a obra de una
manera contrara a os trmnos de esta cenca. Lo anteror se apca a una obra en tanto que ncorporada a una obra con|unta o
base de datos, pero no mpca que stas, a margen de a obra ob|eto de esta cenca, tengan que estar su|etas a os trmnos de
a msma. S usted crea una obra con|unta o base de datos, preva comuncacn de cencador, usted deber qutar de a obra
con|unta o base de datos cuaquer referenca a dcho cencador o a autor orgna, segn o que se e requera y en a medda de
o posbe. S usted crea una obra dervada, preva comuncacn de cencador, usted deber qutar de a obra dervada cuaquer
referenca a dcho cencador o a autor orgna, o que se e requera y en a medda de o posbe.
b. Usted puede reproducr, dstrbur o comuncar pbcamente una obra dervada soamente ba|o os trmnos de esta cenca, o de
una versn posteror de esta cenca con sus msmos eementos prncpaes, o de una cenca Commons de Creatve Commons
que contenga os msmos eementos prncpaes que esta cenca (e|empo: Reconocmento-NoComerca-Compartr 2.0 |apn).
Usted debe ncur una copa de a esta cenca o de a menconada anterormente, o ben su Identfcador Unforme de Recurso
(URI), con cada copa o grabacn de a obra que usted reproduzca, dstrbuya o comunque pbcamente. Usted no puede ofrecer o
mponer nngn trmno respecto de as obras dervadas o sus transformacones que ateren o restrn|an os trmnos de esta
cenca o e e|ercco de sus derechos por parte de os cesonaros de a msma, Usted debe mantener ntactos todos os avsos que
se referan a esta cenca y a a ausenca de garantas. Usted no puede reproducr, dstrbur o comuncar pbcamente a obra
dervada con meddas tecnogcas que controen e acceso o uso de a obra de una manera contrara a os trmnos de esta
cenca. Lo anteror se apca a una obra dervada en tanto que ncorporada a una obra con|unta o base de datos, pero no mpca
que stas, a margen de a obra ob|eto de esta cenca, tengan que estar su|etas a os trmnos de esta cenca.
c. Usted no puede e|erctar nnguno de os derechos ceddos en a seccn 3 anteror de manera que pretenda prncpamente o se
encuentre drgda haca a obtencn de un benefco mercant o a remuneracn monetara prvada. E ntercambo de a obra por
otras obras protegdas por a propedad nteectua medante sstemas de compartr archvos no se consderar como una manera
que pretenda prncpamente o se encuentre drgda haca a obtencn de un benefco mercant o a remuneracn monetara
prvada, sempre que no haya nngn pago de cuaquer remuneracn monetara en reacn con e ntercambo de as obras
protegdas.
30
d. S usted reproduce, dstrbuye o comunca pbcamente a obra o cuaquer obra dervada, con|unta o base datos que a ncorpore,
usted debe mantener ntactos todos os avsos sobre a propedad nteectua de a obra y reconocer a autor orgna, de manera
razonabe conforme a medo o a os medos que usted est utzando, ndcando e nombre (o e seudnmo, en su caso) de autor
orgna s es factado; e ttuo de a obra s es factado; de manera razonabe, e Identfcador Unforme de Recurso (URI), s
exste, que e cencador especfca para ser vncuado a a obra, a menos que ta URI no se refera a avso sobre propedad
nteectua o a a nformacn sobre a cenca de a obra; y en e caso de una obra dervada, un avso que dentfque e uso de a
obra en a obra dervada (e.g., "traduccn francesa de a obra de Autor Orgna," o "gun basado en obra orgna de Autor
Orgna"). Ta avso se puede desarroar de cuaquer manera razonabe; con ta de que, sn embargo, en e caso de una obra
dervada, con|unta o base datos, aparezca como mnmo este avso a donde aparezcan os avsos correspondentes a otros
autores y de forma comparabe a os msmos.
e. Para evtar a duda, sn per|uco de a preceptva autorzacn de cencador, y especamente cuando a obra se trate de una obra
audovsua, e cencador se reserva e derecho excusvo a percbr, tanto ndvduamente como medante una entdad de gestn
de derechos, o varas, (por e|empo: SGAE, Dama, VEGAP), os derechos de expotacn de a obra, as como os dervados de obras
dervadas, con|untas o bases de datos, s dcha expotacn pretende prncpamente o se encuentra drgda haca a obtencn de
un benefco mercant o a remuneracn monetara prvada.
f. En e caso de a ncusn de a obra en aguna base de datos o recopacn, e propetaro o e gestor de a base de datos deber
renuncar a cuaquer derecho reaconado con esta ncusn y concernente a os usos de a obra una vez extrada de as bases de
datos, ya sea de manera ndvdua o con|untamente con otros materaes.
5. "2oneracin de responsa!ilidad
A MENOS OUE SE ACUERDE MUTUAMENTE ENTRE LAS PARTES, EL LICENCIADOR OFRECE LA OBRA TAL CUAL (ON AN "AS-IS" BASIS) Y NO
CONFIERE NINGUNA GARANTA DE CUALOUIER TIPO RESPECTO DE LA OBRA O DE LA PRESENCIA O AUSENCIA DE ERRORES OUE PUEDAN O
NO SER DESCUBIERTOS. ALGUNAS |URISDICCIONES NO PERMITEN LA EXCLUSION DE TALES GARANTAS, POR LO OUE TAL EXCLUSION PUEDE
NO SER DE APLICACION A USTED.
6. imitacin de responsa!ilidad.
SALVO OUE LO DISPONGA EXPRESA E IMPERATIVAMENTE LA LEY APLICABLE, EN NINGN CASO EL LICENCIADOR SERA RESPONSABLE ANTE
USTED POR CUALOUIER TEORA LEGAL DE CUALESOUIERA DANOS RESULTANTES, GENERALES O ESPECIALES (INCLUIDO EL DANO
EMERGENTE Y EL LUCRO CESANTE), FORTUITOS O CAUSALES, DIRECTOS O INDIRECTOS, PRODUCIDOS EN CONEXION CON ESTA LICENCIA O
EL USO DE LA OBRA, INCLUSO SI EL LICENCIADOR HUBIERA SIDO INFORMADO DE LA POSIBILIDAD DE TALES DANOS.
7. Finali8acin de la licencia
a. Esta cenca y a cesn de os derechos que contene termnarn automtcamente en caso de cuaquer ncumpmento de os
trmnos de a msma. Las personas o entdades que hayan recbdo obras dervadas, con|untas o bases de datos de usted ba|o esta
cenca, sn embargo, no vern sus cencas fnazadas, sempre que taes personas o entdades se mantengan en e cumpmento
ntegro de esta cenca. Las seccones 1, 2, 5, 6, 7 y 8 permanecern vgentes pese a cuaquer fnazacn de esta cenca.
b. Conforme a as condcones y trmnos anterores, a cesn de derechos de esta cenca es perpetua (durante toda a vgenca de
os derechos de propedad nteectua apcabes a a obra). A pesar de o anteror, e cencador se reserva e derecho a dvugar o
pubcar a obra en condcones dstntas a as presentes, o de retrar a obra en cuaquer momento. No obstante, eo no supondr
dar por concuda esta cenca (o cuaquer otra cenca que haya sdo concedda, o sea necesaro ser concedda, ba|o os trmnos
de esta cenca), que contnuar vgente y con efectos competos a no ser que haya fnazado conforme a o estabecdo
anterormente.
9. :iscel;nea
a. Cada vez que usted expote de aguna forma a obra, o una obra con|unta o una base datos que a ncorpore, e cencador orgna
ofrece a os terceros y sucesvos cencataros a cesn de derechos sobre a obra en as msmas condcones y trmnos que a
cenca concedda a usted.
b. Cada vez que usted expote de aguna forma una obra dervada, e cencador orgna ofrece a os terceros y sucesvos
cencataros a cesn de derechos sobre a obra orgna en as msmas condcones y trmnos que a cenca concedda a usted.
c. S aguna dsposcn de esta cenca resuta nvda o napcabe segn a Ley vgente, eo no afectar a vadez o apcabdad
de resto de os trmnos de esta cenca y, sn nnguna accn adcona por cuaquera as partes de este acuerdo, ta dsposcn
se entender reformada en o estrctamente necesaro para hacer que ta dsposcn sea vda y e|ecutva.
d. No se entender que exste renunca respecto de agn trmno o dsposcn de esta cenca, n que se consente voacn aguna
de a msma, a menos que ta renunca o consentmento fgure por escrto y eve a frma de a parte que renunce o consenta.
e. Esta cenca consttuye e acuerdo peno entre as partes con respecto a a obra ob|eto de a cenca. No caben nterpretacones,
acuerdos o trmnos con respecto a a obra que no se encuentren expresamente especfcados en a presente cenca. E
cencador no estar obgado por nnguna dsposcn compementara que pueda aparecer en cuaquer comuncacn de usted.
Esta cenca no se puede modfcar sn e mutuo acuerdo por escrto entre e cencador y usted.
31
Creatve Commons no es parte de esta cenca, y no ofrece nnguna garanta en reacn con a obra. Creatve Commons no ser responsabe
frente a usted o a cuaquer parte, por cuaquer teora ega de cuaesquera daos resutantes, ncuyendo, pero no mtado, daos generaes
o especaes (ncudo e dao emergente y e ucro cesante), fortutos o causaes, en conexn con esta cenca. A pesar de as dos (2)
oracones anterores, s Creatve Commons se ha dentfcado expresamente como e cencador, tendr todos os derechos y obgacones de
cencador.
Savo para e propsto mtado de ndcar a pbco que a obra est cencada ba|o a CCPL, nnguna parte utzar a marca regstrada
"Creatve Commons" o cuaquer marca regstrada o nsgna reaconada con "Creatve Commons" sn su consentmento por escrto.
Cuaquer uso permtdo se har de conformdad con as pautas vgentes en cada momento sobre e uso de a marca regstrada por "Creatve
Commons", en tanto que sean pubcadas su pgna web (webste) o sean proporconadas a petcn preva.
<uede contactar con Creative Commons en- $ttp-==creativecommons.org=.
32
0tras notas acerca de esta pu!licacin.
La nformacn contenda en este manua se dstrbuye con a esperanza de que sea de utdad, y se proporcona ta cua es pero >%)
?A'A)@AA A?,)A, an sn a garanta mpcta de comercazacn o adecuamento para un propsto en partcuar, y e autor o autores
no asumrn responsabdad aguna s e usuaro o ector hace ma uso de esta.
Lnux es una marca regstrada de Lnus Torvads, Red Hat Lnux, RPM y GLINT son marcas regstradas de Red Hat Software, Unx es
marca regstrada de X/Open. MS-DOS, MS-Offce y Wndows son marcas regstradas de Mcrosoft Corporaton. X Wndow System es
marca regstrada de X Consortum, Inc., TrueType es una marca regstrada de Appe Computer, WordPerfect es una marca regstrada de
Core Corporaton, StarOffce es una marca regstrada de Sun Mycrosystems. Apache es una marca regstrada de The Apache Group.
Fetchma es una marca regstrada de Erc S. Raymond. Sendma es una marca regstrada de Sendma, Inc. Darkshram es 1987 y
marca regstrada de |oe Barros Dueas.
33
+. Bue es ?),=inu2?
Autor: $oel Barrios 'ue!as
Correo electrnico: dar(sram en gmail punto com
Sitio de Red: http://www.alcancelibre.org/
Creative Commons 'econocimiento()oComercial(Compartir%gual *.+
1999-2011 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as
condcones sguentes: a) Debe reconocer y ctar a autor orgna. b) No puede utzar esta obra para fnes comercaes. c) S atera o
transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o
dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se
obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o
anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn
responsabdad aguna s e usuaro o ector hace ma uso de stos.
?), es un acrnmo recursvo que sgnfca ?), )o es ,ni2 (?NU s )ot ,nx). Este proyecto fue
ncado por 'ic$ard >tallman, y anuncado e 27 de septembre de 1983, con e ob|etvo de crear
un sstema operatvo competamente bre.
?),=inu2C es un poderoso y sumamente verst sstema operatvo con cenca bre y que
mpemente e estndar <0>%D (acrnmo de <ortabe 0peratng >ystem %nterface, que se traduce
como Interfaz de Sstema Operatvo Portabe). Fue creado en 1991 por inus @orvalds, sendo
entonces un estudante de a Unversdad de Hesnsk, Fnanda. En 1992, e nceo inu2> fue
combnado con e sstema ?),. E Sstema Operatvo formado por esta combnacn se conoce
como ?),=inu2.
GNU/Lnux es e#uipamiento lgico li!re o "oft)are &ibre. Esto sgnfca que e usuaro tene a
bertad de redstrbur y modfcar a de acuerdo a necesdades especfcas, sempre que se ncuya
e cdgo fuente, como o ndca a Lcenca Pbca Genera GNU (acrnmo de ?NU s )ot ,nx),
que es e modo que ha dspuesto a Free Software Foundaton (Fundacn de equpamento gco
bre). Esto tambn ncuye e derecho a poder nstaar e nceo de ?),=inu2C en cuaquer
nmero de ordenadores o equpos de cmputo que e usuaro desee.
GNU/Lnux no es e#uipamiento lgico gratuito (comnmente denomnado como Freeware),
se trata de e#uipamiento lgico li!re o "oft)are &ibre. Cuando nos referrnos a libre, o
hacemos en reacn a a bertad y no a preco. La ?< (acrnmo de ?enera <ubc cence, que
se traduce como Lcenca Pbca Genera), a a cua Lnus Torvads ncorpor a Lnux, est
dseada para asegurar que e usuaro tenga sempre a bertad de dstrbur copas de
equpamento gco (y cobrar por e servco s as o desea). La ?< tene como ob|etvo
garantzar a usuaro a bertad de compartr y cambar e#uipamiento lgico li!re, es decr,
asegurarse de que e equpamento gco sempre permanezca bre para todos os usuaros. La
?< es apcabe a a mayora de equpamento gco de a Free Software Foundaton as como a
cuaquer otro programa cuyos autores se comprometan a usaro.
GNU/Lnux es tambn de a me|or aternatva de sgo XXI para os usuaros que no soo desean
bertad, sno que tambn desean un sstema operatvo estabe, robusto y confabe. Es un sstema
operatvo dneo para utzar en Redes, como es e caso de servdores, estacones de traba|o y
tam!in para computadoras personaes.
Las caracterstcas de GNU/Lnux e permten desempear mtpes tareas en forma smutnea
de forma segura y confabe. Los dstntos servcos servcos se pueden detener, ncar o rencar
ndependentemente sn afectar a resto de sstema permtendo operar as 24 horas de da os
365 das de ao.
34
Ta ha sdo e mpacto acanzado por GNU/Lnux en os tmos aos, que muchas de as
empresas de Software ms mportantes de mundo, entre as cuaes estn IBM, Orace, y Sun
Mcrosystems, han encontrado en GNU/Lnux una pataforma con un muy ampo mercado, y se
han vocado a desarroo de versones para Lnux de sus ms mportantes apcacones. Grandes
corporacones, como Compaq, De, Hewett Packard, IBM y muchos ms, evan varos aos
dstrbuyendo equpos con GNU/Lnux como sstema operatvo.
Gracas a sus caracterstcas, a constante evoucn de os ambentes grfcos para X Wndow,
que cada vez son de ms fc uso, como es e caso de GNOME y KDE, a traba|o de centos de
programadores y usuaros fees arededor de mundo, Lnux ha de|ado de ser un sstema operatvo
poco atractvo y compcado de utzar para convertrse en una aternatva rea para quenes
buscan un sstema operatvo confabe y poderoso, ya sea para una servdor, estacn de traba|o o
a computadora persona de un usuaro ntrpdo.
+.+. 'e#uerimientos del sistema
Se debe contar con a sufcente cantdad de memora y un mcroprocesador en buen estado. Con
cas cuaquer dstrbucn comerca de Lnux, e ambente grfco necestar a menos 192 MB
RAM, y 650-800 MB de espaco en dsco duro para a nstaacn mnma. Para contar con a menor
cantdad de apcacones prctcas, se requeren a menos 800 MB adconaes de espaco en dsco
duro, repartdo en a menos 2 partcones. Se recomenda un mcroprocesador 80586 (pentum o
equvaente) a 200 MHz. Sn ambente grfco, como es e caso de un servdor, o ben soamente
apcacones para modo de texto, 64MB RAM y un mcroprocesador 80586 a 100 MHz sern
sufcentes.
E servdor de vdeo puede funconar con so 64 MB RAM; pero su desempeo ser muc$o muy
lento. Agunas apcacones para modo grfco pueden necestar escaar 64 MB, 128 MB o 256 MB
de RAM adcona. E mnmo recomendado para utzar GNOME 2.x es de 192 MB RAM; se
recomendan 256 MB. E ptmo es de 512 MB RAM.
S desea nstaar Lnux en una computadora persona con as sufcentes apcacones para ser
totamente funcona y productvo y contar con e espaco necesaro para nstaar herramentas de
ofcna (OpenOffce.org), se recomienda contar con a menos 2 GB de espaco, a menos 256 MB
RAM y un mcroprocesador AMD K6, K6-II, K6-III, Athon, Duron, Pentum, Pentum MMX, Pentum II,
Pentum III, Pentum 4, o Cyrx MII a cuando menos 300 Mhz o ms.
35
*. "st;ndar de Jerar#ua de >istema de Arc$ivos
Sitio de Red: ttp*++))).alcancelibre.org+
Artculo basado sobre el publicado en ingls por ,i(ipedia, -nciclopedia &ibre, en ttp*++en.)i(ipedia.org+)i(i+./".
*.+. %ntroduccin.
E estndar de |erarqua de archvos (FE> o Fesystem Eerarchy >tandard) defne os prncpaes
drectoros y sus contendos en GNU/Lnux y otros sstemas operatvos smares a Unx.
E procesos de desarroar un estndar de sstema de archvos |errquco nc en Agosto de 1993
con un esfuerzo para reestructurar a estructuras de archvos y drectoros de GNU/Lnux. E 14 de
Febrero de 1994 se pubc e F>>@)D (Fesystem >tandard), un estndar de |erarqua de
archvos especfco para GNU/Lnux. Revsones de ste se pubcaron e 9 de Octubre de 1994 y e
28 de Marzo de 1995.
A prncpos de 1996, con a ayuda de membros de a comundad de desarroadores de BSD, se
f| como ob|etvo e desarroar una versn de F>>@)D ms detaada y drgda no soo haca
Lnux sno tambn haca otros sstemas operatvos smares a Unx. Como uno de os resutados e
estndar camb de nombre a FE> o Fesystem Eerarchy >tandard.
E FE> es mantendo por Free >tandards ?roup, una organzacn sn fnes de ucro consttuda
por compaas que manufacturan equpamento fsco (Hardware) y gco (Software) como
Hewett Packard, De, IBM y Red Hat. La mayora de as dstrbucones de Lnux, ncusve as que
forman parte de Free Software Standards, no apcan de forma estrcta e estndar. La versn
actua de FHS es a 2.3, anuncada en 29 de Enero de 2004.
*.*. "structura de directorios.
Todos os archvos y drectoros aparecen deba|o de drectoro raz /, an s estn amacenados
en dspostvos fscamente dferentes.
Directorio. Descripcin
/bin/ Mandatos bnaros esencaes (cp, mv, s, rm, etc.),
/boot/ Archvos utzados durante e arranque de sstema (nceo y dscos RAM),
/dev/ Dspostvos esencaes,
/etc/ Archvos de confguracn utzados en todo e sstema y que son especfcos de
anftrn.
/etc/opt/ Archvos de confguracn utzados por programas ao|ados dentro de /opt/
/etc/X11/ (opcional) Archvos de confguracn para e sstema X Wndow.
36
Directorio. Descripcin
/etc/sgml/ (opcional) Archvos de confguracn para SGML.
/etc/xml/ (opcional) Archvos de confguracn para XML.
/home/ (opcional) Drectoros de ncos de os usuaros.
/lib/ Bbotecas compartdas esencaes para os bnaros de /bn/, /sbn/ y e nceo de
sstema.
/mnt/ Sstemas de archvos montados temporamente.
/media/ Puntos de monta|e para dspostvos de medos como undades ectoras de dscos
compactos.
/opt/ Paquetes de apcacones esttcas.
/proc/ Sstema de archvos vrtua que documenta sucesos y estados de nceo. Contene
prncpamente archvos de texto.
/root/ (opcional) Drectoro de nco de usuaro root (super-usuaro).
/sbin/ Bnaros de admnstracn de sstema.
/tmp/ Archvos temporaes
/srv/ Datos especfcos de sto servdos por e sstema.
/usr/ |erarqua secundara para datos compartdos de soo ectura (,nx system
resources). Este drectoro debe poder ser compartdo para mtpes anftrones y
no debe contener datos especfcos de anftrn que os comparte.
/usr/bin/ Mandatos bnaros.
/usr/include/ Archvos de ncusn estndar (cabeceras de cabecera utzados para desarroo).
/usr/lib/ Bbotecas compartdas.
/usr/share/ Datos compartdos ndependentes de a arqutectura de sstema. Imgenes,
archvos de texto, etc.
/usr/src/ (opcional) Cdgos fuente.
/usr/X11R6/ (opcional) Sstema X Wndow, versn 11, anzamento 6.
/usr/local/ |erarqua tercara para datos compartdos de soo ectura especfcos de anftrn.
/var/ Archvos varabes, como son btcoras, bases de datos, drectoro raz de
servdores HTTP y FTP, coas de correo, archvos temporaes, etc.
/var/account/ (opcional) Procesa btcoras de cuentas de usuaros.
/var/cache/ Cache da datos de apcacones.
/var/crash/ (opcional) Depsto de nformacn referente a estreamentos de de sstema.
/var/games/ (opional) Datos varabes de apcacones para |uegos.
/var/lib/ Informacn de estado varabe. Agunos servdores como MySOL y PostgreSOL
amacenan sus bases de datos en drectoros subordnados de ste.
/var/lock/ Archvos de boqueo.
/var/log/ Archvos y drectoros de btcoras.
/var/mail/ (opcional) Buzones de correo de usuaros.
/var/opt/ Datos varabes de /opt/.
/var/spool/ Coas y carretes de datos de apcacones.
/var/tmp/ Archvos temporaes preservados entre rencos.
37
Ms detaes acerca de FE> en http://www.pathname.com/fhs/.
*.3. <articiones recomendadas para instalar ?),=inu2.
Como mnmo se requeren tres partcones:
/boot Requere a menos 75 MB. Asgnar ms espaco puede consderarse desperdco.
/ Requere de 512 a 1024 MB.
Swap Debe asgnarse e do!le del tamao del 'A: &sico, esta ser sempre a tma
partcn de dsco duro y no se e asgna punto de monta|e.
Otras partcones que se recomenda asgnar, son:
/usr Requere a menos 1.5 GB en nstaacones bscas. Debe consderarse e
equpamento gco a utzar a futuro. Para uso genera, se recomendan no menos
de 5 GB y, de ser posbe, consdere un tamao ptmo de hasta 8 GB en
nstaacones promedo.
/tmp Requere a menos 350 MB y puede asgnarse hasta 2 GB o ms dependendo de a
carga de traba|o y tpo de apcacones. S por e|empo e sstema cuenta con un
grabador de DVD, ser necesaro asgnar a /tmp e espaco sufcente para
amacenar una magen de dsco DVD, es decr, a menos 4.2 GB.
/var Requere al menos 512 MB en estacones de traba|o sin servicios. En servdores
reguarmente se e asgna al menos la mitad del disco duro.
/home En estacones de traba|o se asgna a menos a mtad de dsco duro a esta
partcn.
38
3. <rocedimiento de instalacin de Cent0> 6.
3.+. <rocedimientos.
3.+.+. <laneacin.
Antes de comenzar, determne prmero os sguentes puntos:
Finalidad productiva. Va ser un servdor, estacn de traba|o, o escrtoro? Ou uso va tener e
equpo? Oue servcos va a requerr? Ideamente, o que se estabezca en este punto debe
prevaecer, sn modfcacones, a o argo de su cco productvo.
Ciclo de produccin. Cunto tempo consdera que estar en operacn e equpo? Ses meses,
un ao, dos aos, cnco aos?
Capacidad del e#uipo. A cuantos usuaros dar servco? Tene e equpo a cantdad sufcente
de RAM, y poder de procesamento sufcente?
<articiones del disco duro. Determne como admnstrar e espaco dsponbe de
amacenamento. Para ms detaes a respecto, consute e documento ttuado "st;ndar de
Jerar#ua de >istema de Arc$ivos.
imitaciones. Tenga caro que Cent0>, a gua que sucede con 'ed Eat "nterprise inu2, es un
sstema operatvo dseado, y enfocado especfcamente, para ser utzado como sstema operatvo
en servdores, desarroo de programas, y estacones de traba|o. Savo que, posterormente, se
aada agn amacn YUM como EPEL, Rem, AL Server o RPMFuson, este sstema operatvo
carecer de soporte para medos de audo, y vdeo, en formatos prvatvos (como ocurre son e
soporte para MP3, DvX, H.264, MPEG, etc.), y que soo ncuye "oft)are &ibre que se encuentre
exento de probemas de patentes.
3.+.*. 0!tencin de los medios.
Descargue a magen ISO de DVD de Cent0> 6, para arqutectura 386, o ben arqutectura x86-
64 (soo es necesaro e DVD 1, savo que requera soporte para agn doma extco), desde
agunos de os stos espe|o que encontrar en e sguente URL:
http://mrror.centos.org/centos/6/sos/
S descarga a magen para arqutectura 386, grabe sta en un dsco vrgen DFD(' (capacdad de
4,707,319,808 bytes). La magen de DVD para 386 (4,705,456,128 bytes) es demasado grande
para poder ser grabada en un DFDG' (capacdad de 4,700,372,992 bytes). Las mgenes de os
dos DVD para arqutectura x86-64, 4,238,800,896 bytes, y 1,182,699,520 bytes, respectvamente,
caben perfectamente en dscos DFDG' y DFD('.
3.+.3. %nstalacin del sistema operativo.
Inserte e disco DFD de nstaacn de Cent0> 6, espere 60 segundos para e nco automtco, o
ben puse a teca ")@"', o ben puse a teca para ngrese as opcones de nstaacn deseadas.
39
La prmer pantaa que aparecer, e preguntar s desea verfcar a ntegrdad de medo de
nstaacn. Es buena dea verfcar medos de nstaacn s descarg una magen ISO desde
Internet. S est hacendo a nstaacn desde una mquna vrtua con una magen ISO, descarte
verfcar.
S desea verfcar a ntegrdad de medo de nstaacn (DVD o con|unto de dscos compactos), a
partr de cua se reazar a nstaacn, seeccone H0IJ y puse a teca ")@"', consdere que
esto puede demorar varos mnutos. S est seguro de que e dsco o dscos a partr de os cuaes
se reazar a nstaacn estn en buen estado, puse a teca H@a!J para seecconar H>KipJ y
puse a teca ")@"'.
40
Haga cc sobre e botn H)e2tJ, o ben H>iguienteJ, en cuanto aparezca a pantaa de
benvenda de CentOS.
Seeccone H>panis$J, o ben H"spaolJ, como doma para ser utzado durante a nstaacn.
41
A partr de este punto, todos os textos debern aparecer a espao. Seeccone e mapa de
tecado que corresponda a dspostvo utzado. E mapa de tecado a H"spaolJ o ben e mapa
de tecado HatinoamericanoJ de acuerdo a o que corresponda. A termnar, haga cc sobre e
botn denomnado H>iguiente.J
42
CentOS 6 ncuye soporte para reazar una nstaacn sobre dspostvos de amacenamento
especazados, como Redes de Area de Amacenamento (SAN), como FCoE, SCSI, y zFCP.
Requere dsponer de un SAN en a red de rea oca para poder hacer uso de este tpo de
dspostvos de amacenamento. S soo dspone de uno o ms dscos duros en e equpo donde se
reazar a nstaacn, e|a a opcn predetermnada, HDispositivos de almacenamiento
!;sicosJ y haga cc sobre e botn denomnado H>iguiente.J
S se trata de un dsco duro nuevo, sn taba de partcones, recbr una advertenca respecto de
que e dsco duro deber ser ncazado antes de guardar a taba de partcones que ser creada
posterormente. S est seguro de que se trata de un dsco duro nuevo, o ben uno a que e fue
borrada a taba de partcones, haga cc sobre e botn H'einiciali8ar todo.J
43
Defna e nombre de sstema sguente e formato nom!re(corto.dominio. Procure que e
nombre corto de equpo sea de hasta a 12 caracteres. S est ndecso a respecto, de|e e vaor
predetermnado como local$ost.localdomain y haga cc sobre e botn denomnado
H>iguiente.J
44
Seeccone a zona horara que corresponda a su ocadad, hacendo cc sobre cuaquer punto en
e mapamund. Se recomenda seecconar a casa H"l relo. del sistema utili8a ,@C.J sto
tmo sgnfca que e reo| de sstema utzar ,@C (@empo ,nversa Coordnado), que es e
sucesor de ?:@ (b>Greenwch :ean @me, que sgnfca Tempo Promedo de Greenwch), y es a
zona horara de referenca respecto a a cua se cacuan todas as otras zonas horaras de mundo.
A termnar, haga cc sobre e botn denomnado H>iguiente.J
Defna y confrme a cave de acceso para e usuaro root, e cua ser e utzando para a
admnstracn de sstema. A termnar, haga cc sobre e botn denomnado H>iguiente.J
)ota.
Evte utzar paabras de dcconaro, datos personaes, procurando utzar a menos 8 caracteres en
combnacones de nmeros, etras mayscuas, etras mnscuas, y otros caracteres.
45
La sguente pantaa e dar a eegr as opcones para crear as partcones en e dsco duro. Savo
que e|a HCrear un diseo personali8adoLJ nvarabemente se apcar un dseo
predetermnado, e cua consstr en:
Una partcn estndar de 200 MB para =!oot
Un voumen gco para =, que utzar a mayor parte de espaco dsponbe, y que posterormente
permtr hacer crecer e sstema aadendo otro dsco duro, con undades fscas que se aadrn a
voumen gco.
Un voumen gco para a particin de memoria de intercam!io (s)ap), que en equpos con
menos de 1 GM RAM, utzar un espaco ser equvaente a dobe de RAM fsco de sstema, o
ben, en equpos con ms de 1 GB RAM, utzar un espaco equvaente a a suma de RAM fsco de
sstema, ms 2 GB.
)ota.
Este dseo predetermnado funconar ben para cuaquer servdor, con cuaquer propsto, sempre
que se trate de un equpo que permta aadr fcmente ms undades de amacenamento, para as
aprovechar os vomenes gcos. S se trata de una computadora portt, o sstema de escrtoro, que
carezca de aguna forma senca de aadr otro dsco duro, este dseo predetermnado resutar
totamente nadecuado, pues se estar utzando una funcn (vomenes gcos) que |ams se podr
aprovechar.
Las opcones en pantaa hacen o sguente:
H,sar todo el espacioJ, emnar cuaquer partcn de cuaquer otro sstema operatvo
presente, y crear de forma automtca as partcones necesaras.
H'eempla8ar sistemaMsN inu2 e2istenteMsNJ, soo emnar todas as partcones Lnux
exstentes, y crear de forma automtca as partcones necesaras.
HAc$icar el sistema actualJ, cambar e tamao de as partcones exstentes de otros sstemas
operatvos, como Wndows, hacendo e espaco necesaro para poder nstaar un dseo
predetermnado de partcones Lnux.
H,sar espacio li!reJ, crear de forma automtca as partcones necesaras en e espaco
dsponbe, basndose sobre un dseo predetermnado.
HCrear un diseo personali8adoJ, permtr eegr as partcones estndar, o vomenes gcos,
que uno requera.
46
Seeccone HCrear un diseo personali8adoJ, y haga cc sobre e botn denomnado
H>iguiente.J
Se mostrar a taba de partcones actua, mostrando e espaco bre dsponbe para crear nuevas
partcones. Haga cc sobre e botn HCrear.J
47
Se abrr una ventana donde podr defnr e tpo de partcn a crear. E|a crear una H<articin
est;ndar.J A termnar, haga cc sobre e botn HCrear.J
En a ventana que aparece sobre a taba de partcones, defna =!oot como punto de monta|e,
mantenga e formato ext4, mantenga e tamao de 200 MB, y actve a casa de opcn
denomnada HFor8ar a particin primaria.J A termnar, haga cc sobre e botn HAceptar.J
48
Se deber mostrar a taba de partcones, donde deber aparecer a partcn recn creada. Para
aadr a sguente partcn, vueva a hacer cc sobre e botn HCrear.J
49
En a ventana que aparece sobre a taba de partcones, defna = como punto de monta|e,
mantenga e formato ext4, y defna un tamao de 3O7* :B, y actve a casa de opcn
denomnada HFor8ar a particin primaria.J A termnar, haga cc sobre e botn HAceptar.J
50
)ota.
Soo se recomenda defnr como particiones primarias a as correspondentes a =!oot y =, con a
fnadad de que stas sean creadas entre os prmeros sectores de dsco duro, o undad de
amacenamento, y para evtare que ncdentamente queden ncudas dentro de a particin
e2tendida. Esta tma se crear de manera automtca despus como a cuarta partcn de dsco
duro, dentro de a cua se crearn cuantas particiones lgicas como sean necesaras.
Los sstemas modernos, basados sobre arqutectura Inte, tenen un mte mxmo de cuatro
partcones. Se puede utzar un dseo de $asta cuatro particiones primarias, o ben un dseo de
tres particiones primarias y una particin e2tendida, dentro de a cua se pueden crear un
nmero mtado de particiones lgicas, as cuaes en readad son sub-partcones de a particin
e2tendida.
51
En a ventana que aparece sobre a taba de partcones, defna =usr como punto de monta|e,
mantenga e formato ext4, y defna un tamao de +O*4O :B, o ms, s consdera que ocupar
ms espaco para aguna apcacn, o con|unto de apcacones, en partcuar. A termnar, haga
cc sobre e botn HAceptar.J
52
En a ventana que aparece sobre a taba de partcones, defna =tmp como punto de monta|e,
mantenga e formato ext4, y defna un tamao de 5+*O :B. A termnar, haga cc sobre e botn
HAceptar.J
53
)ota.
E tamao de a partcn para =tmp depender de tpo de apcacones que se utzarn posteror a a
nstaacn. Consute a documentacn de programa o apcacn que tenga paneado utzar. Para a
mayora de os casos, ser ms que sufcente con asgnar 5+*O :B.
54
En a ventana que aparece sobre a taba de partcones, defna =$ome como punto de monta|e,
mantenga e formato ext4, y e|a a casa de opcn denomnada HCompletar $asta el tamao
m;2imo acepta!le.J A termnar, haga cc sobre e botn HAceptar.J
55
Se deber mostrar a taba de partcones, donde deber aparecer a partcn recn creada.
@emporalmente notar que =$ome tene asgnado todo e espaco de amacenamento que
anterormente estaba bre. En cuanto haya creado a partcn =var, ambas se repartrn
nuevamente e espaco, cas equtatvamente. Para aadr a sguente partcn, vueva a hacer
cc sobre e botn HCrear.J
56
En a ventana que aparece sobre a taba de partcones, defna =var como punto de monta|e,
mantenga e formato ext4, y e|a a casa de opcn denomnada HCompletar $asta el tamao
m;2imo acepta!le.J A termnar, haga cc sobre e botn HAceptar.J
57
Se deber mostrar a taba de partcones, donde deber aparecer a partcn recn creada.
@emporalmente notar que =$ome y =var se han repartdo e espaco dsponbe. Para aadr a
tma partcn, a correspondente a a de a memora de ntercambo, vueva a hacer cc sobre e
botn HCrear.J
58
Para e tamao de a partcn de memora de ntercambo (s)ap), sga as sguentes regas:
>i el sistema tiene menos de + ?B 'A:- Defna una cantdad equvaente a dos veces a
cantdad de RAM fsco. E|empos:
S e sstema tene 512 MB RAM, defna 1024 MB para a partcn de memora de
ntercambo.
S e sstema tene 768 MB RAM, defna 1536 de memora de ntercambo.
S e sstema tene 1 GB RAM, defna 2048 MB para a partcn de memora de ntercambo.
>i el sistema tiene m;s de + ?B 'A:- Defna una cantdad equvaente a a suma de a cantdad
de RAM fsco, ms 2 GB. E|empos:
S e sstema tene 1.5 GB RAM, defna 3584 MB para a partcn de memora de
ntercambo.
S e sstema tene 8 GB RAM, defna 10240 MB para a partcn de memora de
ntercambo.
Se mostrar a taba de partcones. Notar que a partcn de ntercambo ha tomado a mtad de
su espaco asgnado de =$ome y a otra mtad de =var. Examne a detae, y verfque que estn
presentes todas as partcones que paneo, asegurndose que tengan os tamaos aproxmados a
o que se especfc en os pasos anterores. S est conforme con e dseo, haga cc sobre e
botn denomnado H>iguiente.J
59
)ota.
Otras partcones recomendadas pueden ser =var=li!, y =var=PPP. Asgnar como partcones a estos
drectoros permtr posterormente una optmzar cambando e formato de regstro por daro
(journal). Para ms detaes consute e documento ttuado Como optimi8ar el sistema de arc$ivos
e2t3 y e2t4, con a fnadad de conocer os procedmentos necesaros para optmzar e sstema de
archvos despus de termnar a nstaacn, y una vez que nce e sstema operatvo por prmera vez.
Puede asgnar a cada una de estas partcones cuanto espaco como consdere necesaro para
necesdades partcuares.
Sendo que =var=li! suee utzarse prncpamente para amacenar bases de datos, servdores
drectoros, como LDAP, y otros tpos de datos, sobre os cuaes se reaza ectura y escrtura
smutnea, convene optmzar e regstro por daro de esta partcn, utzando e formato .ournal,
obtenendo como resutado un me|or rendmento para as bases de datos y servdores de drectoros,
como LDAP.
S =var=PPP va a contener os archvos de un porta de Internet, y stos sufrrn pocos cambos, o ben
sufrrn cambos poco frecuentes, convene optmzar e regstro por daro de esta partcn, utzando
e formato Prite!acK, obtenendo como resutado una me|or veocdad de ectura.
Se soctar que confrme de manera expcta que se proceder a emnar o dar formato a
partcones exstentes en e medo de amacenamento. S desea proceder, haga cc sobre e botn
HFormato.J
60
Se soctar confrme que desea escrbr os cambos a dsco duro. S desea proceder, haga cc
sobre e botn H"scri!ir cam!ios al disco.J
Espere agunos mnutos mentras de guarda a taba de partcones, y se da formato a todas as
partcones defndas en os pasos anterores.
61
Por segurdad, convene asgnar una cave de acceso a gestor de arranque. sto tene como
fnadad e de evtar que cuaquera que tenga acceso fsco a sstema, pueda modfcar os
parmetros de arranque de gestor de arranque, e ncar en modo mono-usuaro (nve de
e|ecucn 1). S desea proceder, haga cc sobre a casa de opcn denomnada H,sar la
contrasea del gestor de arran#ue.J
Asgne y confrme una cave de acceso para e gestor de arranque.
62
A termnar, haga cc en e botn H>iguiente.J
E|a e tpo de nstaacn.
63
)ota.
Es una buena prctca de segurdad e reazar una instalacin mnima (casa de opcn H:inimalJ),
y posterormente r nstaando soo os paquetes que reamente se requeran. Mentras menos paquetes
estn nstaada, habr menos servcos por os cuaes preocuparse, adems de que sern menores as
descargas de paquetes durante as actuazacones y parches de segurdad. La instalacin mnima
bscamente consste en e nceo de sstema, un con|unto de mandatos bscos, o necesaro para
confgurar as nterfaces de red, herramentas bscas para admnstrar e sstema de archvos, un
con|unto bsco de potcas para SELnux, e mandato yum, y o mnmo necesaro para tener un
sstema operatvo funcona en modo texto.
Tras fnazar a nstaacn, y una vez que nce por prmera vez e sstema operatvo, probabemente
querr nstaar, a travs de mandato yum, os paquetes system(con&ig(&irePall(tui, system(con&ig(
netPorK(tui, policycoreutils(pyt$on, selinu2(policy(targeted, selinu2(policy(mls, vim(
en$anced, Pget, !ind(utils, y openss$(clients.
yum y install systemcon!ig!irewalltui opensshclients
yum y install systemcon!ignetworktui bindutils
yum y install policycoreutilspython
yum y install selinuxpolicytargeted selinuxpolicymls
yum y install vimenhanced wget
S desea apcar de una vez as actuazacones, y parches de segurdad, que estn dsponbes, o
cua sera una exceente prctca de segurdad, haga cc sobre e botn denomnado HG Agregar
repositorios de so&tPare adicional.J sto abrr una ventana donde podr ngresar a dreccn
de cuaquer sto de Internet que haga espe|o de as actuazacones de CentOS 6. S desconoce
que dreccn defnr, utce http://mrror.centos.og/centos/6/updates/386/, s est nstaando a
edcn 386, o ben http://mrror.centos.og/centos/6/updates/386/, s est nstaando a edcn
x86-64. A termnar, haga cc sobre e botn HAceptar.J
64
S dspone de a menos una tar|eta de red, e programa de nstaacn e soctar seeccone que
dspostvo utzar para confgurar una conexn de red que permta conectarse haca e URL que
especfc en e paso anteror. Una vez seecconado e dspostvo de red, haga cc sobre e botn
denomnado HAceptar.J
Lo anteror abrr a ventana HCone2iones de redJ de NetworkManager. Seeccone a nterfaz de
red deseada, y haga cc sobre e botn denomnado H"ditar.J
65
Abrr a ventana de edcn de a nterfaz. Haga cc sobre a pestaa denomnada HA.ustes de
%<v4.J
Confgure os parmetros necesaros para poder estabecer una conexn de red. A termnar, haga
cc sobre e botn denomnado HAplicar.J
66
Regresar a a ventana de HCone2iones de redJ. Haga cc sobre e botn denomnado
HCerrar.J
Deber regresar a a pantaa prncpa, donde deber aparecer e amacn YUM que acaba de
confgurar.
67
Para eegr grupos especfcos de paquetes, haga cc sobre a casa de opcn denomnada
H<ersonali8ar a$ora.J A termnar, haga cc sobre e botn denomnado H>iguiente.J
Podr seecconar cuaquer grupo de paquetes que srva a necesdades partcuares. Prefera
conservar e dseo de instalacin mnima, y, cuando mucho, aadr e grupo de paquetes
denomnado HBase.J
68
)ota.
Una vez nstaado e sstema, s decde que necestar utzar e entorno grfco, soo requerr
e|ecutar:
yum y groupinstall x11 basicdesktop generaldesktop
yum y install systemcon!igservices systemcon!ig!irewall
yum y install systemcon!igusers systemcon!igdate
yum y install systemcon!igprinter systemcon!iglvm
yum y install systemcon!iglanguage systemcon!igkeyboard
yum y install cupspkhelper policycoreutilsgui
Luego, hay que edtar e archvo =etc=initta!.
vim /etc/inittab
A fna de archvo, ocace a sguente nea:
id"3"initde!ault"
Y reempazar en sta e 3 por un 5:
id"5"initde!ault"
Guarde e archvo, saga de edtor de texto, y rence e sstema para que nce en modo grfco.
S desea personazar a sta de paquetes que se nstaar en un grupo en partcuar, haga cc
sobre e botn denomnado H<a#uetes opcionales.J abrr una ventana desde a cua podr
seecconar o que requera, y de-seecconar o que se quera omtr. A termnar, haga cc sobre e
botn denomnado HCerrar.J
69
S est conforme, y consdera que ha termnado de seecconar os grupos de paquetes, haga cc
sobre e botn denomnado H>iguiente.J
Incar e proceso de nstaacn de paquetes. E tempo que demore e proceso depender de a
cantdad de grupos, y paquetes, que se hayan seecconado.
70
Una vez competada a nstaacn, haga cc sobre e botn H'einciarLJ y retre e DVD o dsco
compacto de a undad ptca.
3.*. <osterior a la instalacin.
Revse e documento ttuado A.ustes posteriores a la instalacin de Cent0> 6.
71
4. A.ustes posteriores a la instalacin de
Cent0> 6.
Hay agunos a|ustes que se recomenda reazar, una vez termnada a nstaacn de Cent0> 6.
4.+.+. Dispositivos de red.
S reaz a nstaacn mnma, sn agregar grupos de paquetes a dseo predetermnado,
descubrr que probabemente os dspostvos de red estn desactvados.
Edte os archvos de nterfaz de sus dspostvos de red:
vi /etc/syscon!ig/networkscripts/i!c!geth#
Asegrese que a menos una de as nterfaces de red tenga e parmetro H0)B00@J con e vaor
HyesJ:
$%&'(%)*eth#*
+,-(.+/R.00%$)*yes*
ONBOOT="yes"
123$$R)#4"##"56"47"18"9%
/:;%)%thernet
9../;R./.)dhcp
$%<R.=/%)yes
;%%R$+S)yes
;%%RR.=/%S)yes
$1(;-(0'%+/-'$)pruebascentos6
';&>-<3'0=R%-<3/30)yes
';&6'+'/)no
+3,%)*System eth#*
=='$)8!b#6bd##bb#6!!b>8!1d6edd68!?e#?
S e equpo se va a utzar como servdor, convene desactvar que a gestn de as nterfaces de
red se haga a travs de servco )etPorK:anager, y de|ar que se encargue de sta e servco
netPorK. Cambe ):QC0)@'0"DR/yes/, por ):QC0)@'0"DR/yes/:
72
$%&'(%)*eth#*
NM_CONTROLLED="no"
.+9../)*yes*
123$$R)#4"##"56"47"18"9%
/:;%)%thernet
9../;R./.)dhcp
$%<R.=/%)yes
;%%R$+S)yes
;%%RR.=/%S)yes
$1(;-(0'%+/-'$)pruebascentos6
';&>-<3'0=R%-<3/30)yes
';&6'+'/)no
+3,%)*System eth#*
=='$)8!b#6bd##bb#6!!b>8!1d6edd68!?e#?
Para apcar os cambos, rence e servco netPorK:
service network restart
4.+.*. ocali8acin.
S durante a nstaacn estabec Espao como doma predetermnado, se estabecer a
varabe de entorno HA)?J con e vaor HesQ">.,@F(9LJ o cua resutar convenente para os
usuaros que radcan en Espaa. Sn embargo, sto har que en os nmeros as dvsones de
mes se hagan con un punto, y que a dvsn para decmaes se haga con una coma..
Edte e archvo =etc=syscon&ig=i+9n:
vi /etc/syscon!ig/i14n
Locace A)?R/esQ">.,@F(9/:
LANG="es_ES.UTF-8"
S:S<.+/)*latarcyrhebsun16*
Cambe por A)?R/esQ:D.,@F(9/ (espao de Mxco), o ben a ocazacn que corresponda a
su pas:
LANG="es_MX.UTF-8"
S:S<.+/)*latarcyrhebsun16*
Edte e archvo =etc=gru!.con&:
vi /etc/grub@con!
Locace A)?ResQ">.,@F(9 (sn comas):
73
A grub@con! generated by anaconda
A
A +ote that you do not have to rerun grub a!ter making changes to this !ile
A +./'(%" :ou have a /boot partition@ /his means that
A all kernel and initrd paths are relative to /boot/B eg@
A root (hd#B#)
A kernel /vmlinuCversion ro root)/dev/sda5
A initrd /initrdDgenericEversion@img
Aboot)/dev/sda
de!ault)#
timeout)8
splashimage)(hd#B#)/grub/splash@xpm@gC
hiddenmenu
password md8 F1Fx=@ti3boF8a44'G5yH;vtd:I8ld3mi/
title centos (5@6@?561@57@1@el6@i646)
root (hd#B#)
kernel /vmlinuC5@6@?561@57@1@el6@i646 ro root)=='$)#7c6dc?7a65b>#7e4?#68?>>6>#cd1#> r
d-0&,-0&)Swap/0og&ol## rd-+.-0=HS rd-+.-,$ rd-+.-$, LANG=es_ES.UTF-8 S:S<.+/)latarcyrhebsun16 H%:9
.3R$/:;%)pc H%:/390%)lalatin1 crashkernel)auto rhgb Juiet
initrd /initram!s5@6@?561@57@1@el6@i646@img
Cambe por A)?ResQ:D.,@F(9 (espao de Mxco, sn comas), o ben a ocazacn que
corresponda a su pas:
A
A root (hd#B#)
A kernel /vmlinuCversion ro root)/dev/sda5
A initrd /initrdDgenericEversion@img
Aboot)/dev/sda
de!ault)#
timeout)8
hiddenmenu
password md8 F1Fx=@ti3boF8a44'G5yH;vtd:I8ld3mi/
title centos (5@6@?561@57@1@el6@i646)
root (hd#B#)
kernel /vmlinuC5@6@?561@57@1@el6@i646 ro root)=='$)#7c6dc?7a65b>#7e4?#68?>>6>#cd1#> r
d-0&,-0&)Swap/0og&ol## rd-+.-0=HS rd-+.-,$ rd-+.-$, LANG=es_MX.UTF-8 S:S<.+/)latarcyrhebsun16 H%:9
.3R$/:;%)pc H%:/390%)lalatin1 crashkernel)auto rhgb Juiet
initrd /initram!s5@6@?561@57@1@el6@i646@img
Rence e sstema para que surtan efecto os cambos.
reboot
74
5. Cmo iniciar el modo de rescate en Cent0>.
Inserte e dsco de nstaacn de CentOS y en cuanto aparezca e dogo de nco (boot:), ngrese
linu2 rescue para dar comenzo a modo de rescate.
En cuanto nce e programa, e|a H>panis$J (espao) como e doma a utzar.
75
Seeccone e mapa de tecado que corresponda a dspostvo utzado. E mapa HesJ corresponde
a a dsposcn de tecado Espao Espaa. E mapa Hlatin(+J corresponde a a dsposcn de
tecado Espao Latno Amercano.
E programa preguntar s desea actvar as tar|etas de red presentes en e sstema. Responda que
si. Resuta muy convenente, para agunas tareas de mantenmento y reparacones, contar con
conectvdad.
76
Defna a dreccn %< y mscara de subred que utzar en adeante e sstema. Confrme con e
admnstrador de a red donde se ocace que estos datos sean correctos antes de contnuar. A
termnar, puse a teca ")@"' para satar a a sguente pantaa.
Defna a dreccn %< de a puerta de enace y as dreccones IP de os servdores D)> de os que
dsponga. A termnar, puse a teca ")@"' para satar a a sguente pantaa.
77
Puede eegr Continuar para montar e sstema en modo de ectura y escrtura, para reazar
tareas admnstratvas y modfcacones en confguracones, o ben en modo de >olo ectura,
para reazar verfcacn y reparacn de sstema de archvos.
Una vez hecha a eeccn, e sstema e ndcar que e sstema se ha montado ba|o
=mnt=sysimage y que s desea que ste sstema de archvos sea e entorno de root, soo deber
utzar c$root =mnt=sysimage. Soo puse a teca ")@"' para sar a ntrprete de mandatos.
78
Desde e ntrprete de mandatos se pueden reazar tareas admnstratvas y correctvas,
dependendo de a stuacn y as condcones. Utce c$root =mnt=sysimage para cambar e
entorno de root haca e sstema de archvos en dsco duro, o ben utce herramentas, como &scK,
para reazar otras operacones.
79
80
6. %niciando el sistema en nivel de e.ecucin +
Mnivel mono(usuarioN.
6.+. %ntroduccin.
Exsten stuacones en as cuaes se puede requerr e nco de sstema en nve de e|ecucn 1 o
nve mono-usuaro a fn de reazar tareas de mantenmento o, en su defecto, reparacones.
6.*. <rocedimientos.
A ncar e sstema, ste o har presentando a pantaa de gestor de arranque conocdo como
Grub presentando una pantaa smar a a sguente:
Gr! "ers#on $.%3 &'3%( )o*er + ,'-$5'( ..er /e/ory0
_________________________________________________________________
1Cen2OS 5.3 &,.'.-8--,8.,.-.e)50 1
1 1
1 1
1 1
1 1
1 1
1 1
1 1
1 1
1 1
1 1
1________________________________________________________________1
Use 23e K 4n5 23e L 2o se)e62 *3#63 en2ry #s 3#73)#732e5.
8ress en2er 2o !oo2 23e se)e62e5 OS or 9.9 2o en2er 4
.4ss*or5 2o n)o6: 23e ne;2 se2 o< <e42res.
81
Puse a teca 'p' e ngrese a cave de acceso defnda desde e programa de nstaacn de
sstema operatvo:
_________________________________________________________________
1Cen2OS 5.3 &,.'.-8--,8.,.-.e)50 1
1 1
1 1
1 1
1 1
1 1
1 1
1 1
1 1
1 1
1 1
1________________________________________________________________1
Use 23e = 4n5 23e > 2o se)e62 *3#63 en2ry #s 3#73)#732e5.
84ss*or5?@@@@@@
E texto de opcones cambar despus de ngresar a cave de acceso correcta:
_________________________________________________________________
1Cen2OS 5.3 &,.'.-8--,8.,.-.e)50 1
1 1
1 1
1 1
1 1
1 1
1 1
1 1
1 1
1 1
1 1
1________________________________________________________________1
8ress en2er 2o !oo2 23e se)e62e5 OSA 9e9 2o e5#2 23e
6o//4n5s !e<ore !oo2#n7A 949 2o /o5#<y 23e :erne) 4r7/en2s
!e<ore !oo2#n7A or 969 <or 4 6o//4n5 )#ne.
82
Puse a teca 'e' para modfcar as opcones de arranque de nceo seecconado:
_________________________________________________________________
1roo2 &35$A$0 1
1:erne) +"/)#nB-,.'.-8--,8.,.-.e)5 ro roo2=LABEL=+ 1
1#n#2r5 +#n#2r5-,.'.-8--,8.,.-.e)5.#/7 1
1 1
1 1
1 1
1 1
1 1
1 1
1 1
1 1
1________________________________________________________________1
8ress 9!9 2o !oo2A 9e9 2oe5#2 23e se)e62e5 6o//4n5 #n 23e
!oo2 seCen6eA 969 <or 4 6o//4n5 )#neA 9o9 2o o.en 4 ne* )#ne
4<2er &9$9 <or !e<ore0 23e se)e62e5 )#neA 959 2o re/o"e 23e
se)e62e5 )#neA or es64.e 2o 7o !46: 2o 23e /4#n /en.
Seeccone a nea referente a nceo y vueva a pusar a teca 'e' a fn de modfcar dcha nea:
_________________________________________________________________
1roo2 &35$A$0 1
1:erne) +"/)#nB-,.'.-8--,8.,.-.e)5 ro roo2=LABEL=+ 1
1#n#2r5 +#n#2r5-,.'.-8--,8.,.-.e)5.#/7 1
1 1
1 1
1 1
1 1
1 1
1 1
1 1
1 1
1________________________________________________________________1
83
Agregue un espaco y un nmero 1 a fna de a nea y puse a teca ENTER
D M#n#/4) BASE-)#:e )#ne e5#2#n7 #s s..or2e5. For 23e <#rs2 *or5A TAB
)#s2 .oss#!)e 6o//4n5 6o/.)e2#2#ons. Any*3ere e)se TAB )#s2s 23e
.oss#!)e 6o/.)e2#2#ons o< 4 5e"#6e+<#)en4/e. ESC 42 4ny 64n6e)s.
ENTER 42 4ny 2#/e 466e.2s yor 634n7es F
7r! e5#2G :erne) +"/)#nB-,.'.-8--,8.,.-.e)5 ro roo2=LABEL=+ -
Regresar a a pantaa anteror. Smpemente puse a teca 'b' para ncar e sstema en nve de
e|ecucn 1:
_________________________________________________________________
1roo2 &35$A$0 1
1:erne) +"/)#nB-,.'.-8--,8.,.-.e)5 ro roo2=LABEL=+ - 1
1#n#2r5 +#n#2r5-,.'.-8--,8.,.-.e)5.#/7 1
1 1
1 1
1 1
1 1
1 1
1 1
1 1
1 1
1________________________________________________________________1
84
7. Cmo compilar el n1cleo MKernelN de
?),=inu2 en Cent0>.
condcones sguentes: a) Debe reconocer y ctar a autor orgna. b) No puede utzar esta obra para fnes comercaes Mincluyendo su
pu!licacinL a travs de cual#uier medioL por entidades con &ines de lucroN. c) S atera o transforma esta obra, o genera una obra
dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os
trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de
autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. Lcenca competa en casteano. La
nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna
s e usuaro o ector hace ma uso de stos.
7.+. %ntroduccin.
Una de as grandes venta|as de que e nceo ((ernel) ?),=inu2 sea equpamento gco bre
("oft)are &ibre) es e poder descargar e cdgo fuente de nceo, confgurar ste para compar
especfcamente con opcones adecuadas a necesdades partcuares o con controadores
especfcos para un sustento fsco (ard)are) en partcuar, comparo y obtener como resutado
me|oras en e desempeo.
La gran varedad de dstrbucones de ?),=inu2 nstaan un nceo ((ernel) que fue confgurado
y compado con opcones genrcas y que permten utzar ste en una gran varedad de
dspostvos y computadoras. Esto facta a vda a os desarroadores y empaquetadores que
traba|an para cada dstrbucn pues de esta forma con cuatro o cnco versones de paquete de
nceo abarcan a mayora de os sustentos fscos en e mercado. sto emna a necesdad de os
usuaros por compar e nceo.
Por menconar un e|empo, e paquete de nceo de Cent0> 5 y 'ed Eat "nteprise inu2 5 que
se dstrbuye para arqutecturas i696 ncuye opcones y optmzacones genrcas que permten
utzar un msmo paquete '<: de nceo para una ampa varedad de sstemas. ste ncuye e
soporte para ser utzado con mcroprocesadores como <entium <ro, <entium %%, <entium %%%,
<entium 4, <entium :, Celeron, At$lon, Duron, Cyri2 i696, etc. Evdentemente este soporte
genrco mpde poder expotar todo e potenca e nstruccones de un modeo de mcroprocesador
en partcuar.
7.+.+. ,n e.emplo del por#ue conviene recompilar el n1cleo.
S, por e|empo, se dspone una computadora portt (&aptop) Compa# Armada :3OO con
mcroprocesador <entium %%% (Coppermine) de 500 MHz, con 3*O :B 'A:, crcutos ntegrados
%ntel <%%D4, tar|eta de audo ">> @ec$nology ">+S79, tar|eta de red "t$ernet <ro +OO y otros
certos dspostvos en partcuar, e nceo genrco ncudo en a nstaacn funconar ben, pero
se tendr un desempeo nferor. Confgurar y compar e nceo especfcamente para as
caracterstcas de este modeo de computadora portt, excuyendo de a confguracn funcones
que |ams se utzarn en este sstema, me|orar su desempeo sgnfcatvamente.
En sstemas caseros y computadoras porttes con certa antgedad, pueden excurse funcones
como e soporte para ms de 4 GB de RAM, soporte genrco para arqutectura i296, soporte para
otros modeos de computadoras porttes, soporte para ms de un mcroprocesador, soporte para
%<v6 y otras opcones que soo seran tes en otro tpo de sstemas como servdores.
85
Puede agregarse soporte para ms perfrcos, como por e|empo ms dspostvos ,>B, y compar
agunos controadores (cmo e soporte para F:) dentro de nceo en ugar de hacero como
mduos a fn de me|orar e desempeo durante e arranque de sstema.
En un servdor se puede me|orar mucho e desempeo confgurando y compando excusvamente
as opcones y mduos especfcos para a confguracn de sustento fsco (ard)are) y funcones
requerdas para os servcos a brndar.
7.*.+. Determinar el sustento &sico y controladores.
Este procedmento es compcado e mpca contar con un certa experenca y conocmentos
generaes acerca de sustento fsco (ard)are).
7.*.+.+. :dulos utili8ados por el sistema.
Utzando e mandato lsmod es posbe determnar que controadores se estn utzando en e
sstema. Esta sta de controadores debe tomarse muy en cuenta a fn de evtar excur aguno de
stos. Utce e mandato de a sguente forma:
/sbin/lsmod
Lo anteror puede devover una sada smar a a sguente, que depender de sustento fsco de
sstema:
,odule SiCe =sed by
nls-ut!4 1444 1
v!at 15664 1
!at 8#564 1 v!at
sg ?88?6 #
sd-mod 54115 5
usb-storage >64>4 1
scsi-mod 1>4#>> ? sgBsd-modBusb-storage
i5c-dev 6>75 #
dm-multipath 14486 #
backlight 855# #
snd-es1764 54175 1
gameport 1?6#4 1 snd-es1764
snd-ac76-codec 7666# 1 snd-es1764
ac76-bus 1654 1 snd-ac76-codec
snd-seJ-dummy ?886 #
snd-seJ-oss ?#766 #
snd-seJ-midi-event 6##4 1 snd-seJ-oss
snd-seJ >6486 8 snd-seJ-dummyBsnd-seJ-ossBsnd-seJ-midi-event
snd-pcm-oss >114> #
snd-mixer-oss 16175 1 snd-pcm-oss
battery 157?5 #
ac 8676 #
snd-pcm 65164 ? snd-es1764Bsnd-ac76-codecBsnd-pcm-oss
button 674> #
parport-pc 5685> #
snd-timer 551>4 5 snd-seJBsnd-pcm
snd-page-alloc 1#516 5 snd-es1764Bsnd-pcm
parport ?8>## 1 parport-pc
snd-mpu>#1-uart 6465 1 snd-es1764
86
snd-rawmidi 5??75 1 snd-mpu>#1-uart
Moydev 115?5 #
snd-seJ-device 4#>> > snd-seJ-dummyBsnd-seJ-ossBsnd-seJBsnd-rawmidi
snd 85#64 1? snd-es1764Bsnd-ac76-codecBsnd-seJ-ossBsnd-seJB
snd-pcm-ossBsnd-mixer-ossBsnd-pcmBsnd-timerB
snd-mpu>#1-uartBsnd-rawmidiBsnd-seJ-device
e1## ?>55# #
soundcore 656> 1 snd
mii 8>># 1 e1##
i5c-piix> 464# #
pcspkr 565> #
i5c-core 5>>?5 5 i5c-devBi5c-piix>
serio-raw 68## #
!loppy 88685 #
dm-snapshot 16>65 #
dm-Cero 175# #
dm-mirror 58864 #
ext? 1?5>44 5
Mbd >51## 1 ext?
uhci-hcd 5?676 #
ohci-hcd 55716 #
ehci-hcd ??6># #
7.*.+.*. @ipo de microprocesador.
La nformacn de mcroprocesador se puede consutar eyendo e contendo de archvo vrtua
=proc=cpuin&o utzando e mandato less de sguente modo:
less /proc/cpuin!o
Lo anteror puede devover una sada smar a a sguente, que depender de tpo de
mcroprocesador de que se dsponga:
processor " #
vendor-id " Ienuine'ntel
cpu !amily " 6
model " 4
model name " ;entium ''' ((oppermine)
stepping " ?
cpu ,1C " >74@16>
cache siCe " 586 H9
!div-bug " no
hlt-bug " no
!##!-bug " no
coma-bug " no
!pu " yes
!pu-exception " yes
cpuid level " 5
wp " yes
!lags " !pu vme de pse tsc msr pae mce cx4 sep
mtrr pge mca cmov pat pse?6 mmx !xsr sse
bogomips " 776@46
cl!lush siCe " ?5
87
7.*.+.3. Dispositivos <C%.
E mandato lspci permte determnar os dspostvos <C% (<erphera Component %nterconnect o
Interconexn de Componentes Perfrcos) presentes en e sstema.
/sbin/lspci
Lo anteror puede devover una sada smar a a sguente, que depender de os dspostvos <C%
de os que que se dsponga:
##"##@# 1ost bridge" 'ntel (orporation >>#9X/GX/$X 45>>?9X/GX/$X 1ost bridge
(3I; disabled) (rev #?)
##"#>@# (ard9us bridge" /exas 'nstruments ;('1511
##"#8@# &I3 compatible controller" 3/' /echnologies 'nc ?$ Rage 0/ ;ro (rev dc)
##"#6@# 9ridge" 'ntel (orporation 45?6139/%9/,9 ;''X> 'S3 (rev #5)
##"#6@1 '$% inter!ace" 'ntel (orporation 45?6139/%9/,9 ;''X> '$% (rev #1)
##"#6@5 =S9 (ontroller" 'ntel (orporation 45?6139/%9/,9 ;''X> =S9 (rev #1)
##"#6@? 9ridge" 'ntel (orporation 45?6139/%9/,9 ;''X> 3(;' (rev #?)
##"#4@# ,ultimedia audio controller" %SS /echnology %S1764 ,aestro 5% (rev 1#)
##"#7@# %thernet controller" 'ntel (orporation 45886/4/7/#/1 %thernet ;ro 1## (rev #7)
##"#7@1 Serial controller" 3gere Systems 0/ 2in,odem
#1"##@# %thernet controller" ?(om (orporation ?(R;3I168 2ireless ;( (ard (rev #1)
7.*.+.4. Dispositivos ,>B.
De manera smar a mandato lspci, e mandato lsus! permte determnar os dspostvos ,>B
(,nversa >era Bus o Transporte Unversa en Sere) presentes en e sstema. Conecte a as
ranuras ,>B de sstema os dspostvos ,>B ms frecuentemente utzados y utce e mandato
lsus!.
/sbin/lsusb
Lo anteror puede devover una sada smar a a sguente, que depender de tpo de dspostvos
,>B de os que se dsponga:
9us ##1 $evice ##8" '$ #>86"#181 Silicon 'ntegrated Systems (orp@ Super <lash
1I9 / IX/ 6>,9 <lash $rive
9us ##1 $evice ##>" '$ #8ac"#5#1 3ppleB 'nc@ =S9 Heyboard D3lps or 0ogitechB
,5>85E
9us ##1 $evice ##?" '$ #8ac"1##1 3ppleB 'nc@ Heyboard 1ub D30;SE
9us ##1 $evice ##1" '$ 1d6b"###1 0inux <oundation 1@1 root hub
7.*.*. %nstalacin el e#uipamiento lgico necesario.
Para Cent0>, a fn de dsponer de os paquetes '<: de fuentes, se debe confgurar prmero os
depstos yum de os paquetes '<: fuentes (.src.rpm) como e nuevo archvo
=etc=yum.repos.d=Cent0>(>ources.repo, con e sguente contendo:
Asource packages
DsourcesE
name)(ent.SFreleasever Sources
baseurl)http"//mirror@centos@org/centos/Freleasever/os/SR;,S/
gpgcheck)1
enabled)1
gpgkey)http"//mirror@centos@org/centos/R;,I;IH%:(ent.S8
Asource packages
88
DsourcesupdatesE
name)(ent.SFreleasever Sources =pdates
baseurl)http"//mirror@centos@org/centos/8/updates/SR;,S/
gpgcheck)1
enabled)1
gpgkey)http"//mirror@centos@org/centos/R;,I;IH%:(ent.S8
A termnar se contna con a nstaacn de os paquetes '<: bnaros de e compador gcc,
cabeceras de desarroo para e engua|e de programacn C, paquete de desarroo de ncurses,
para construr a herramenta de confguracn de nceo, y e paquete para creacn de
paquetera '<::
yum y install gcc glibcdevel ncursesdevel rpmbuild
S se va a utzar a herramenta de confguracn grfcos, hay que nstaar adems os paquetes
#t(devel y gcc(cGG de sguente modo:
yum y install Jtdevel gcccNN
7.*.3. 0!tener el cdigo &uente del n1cleo.
7.*.3.+. A partir de los depsitos de la distri!ucin utili8ada.
Utzar e paquete fuente de a dstrbucn de ?),=inu2 utzada garantza que se utzar a
msma versn ofca de nceo para produccn de dstrbudor, a cua seguramente ncuye
parches especfcos para funconar con a nstaacn de esa dstrbucn de ?),=inu2. Esto
garantza que se mantendr a compatbdad de os A<% (Appcaton <rogrammng %nterface o
Interfaz de Programacn de Apcacones) requerdos por apcacones de terceros.
Prmero se nstaa e paquete yum(utils de a sguente forma:
yum y install yumutils
E paquete yum(utils ncuye a herramenta yumdoPnloader, msma que se utzar para
descargar e paquete fuente de paquete '<: de kerne, de sguente modo:
yumdownloader source kernel
Suponendo que se tene nstaado e paquete de nceo denomnado Kernel(*.6.+9(S*.+.6.el5,
o anteror descargara desde os depstos de equpamento gco en Internet e paquete Kernel(
*.6.+9(S*.+.6.el5.src.rpm dentro de drectoro de traba|o actua.
Se procede a nstaar e paquete fuente Kernel(*.6.+9(S*.+.6.el5.src.rpm de a sguente forma:
rpm ivh kernelO@src@rpm
Esto nstaar os fuentes y parches para e nceo en e drectoro =usr=src=red$at=>0,'C">= y e
archvo de especfcacn para construr e paquete bnaro '<: como
=usr=src=red$at=><"C>=Kernel(*.6.spec.
89
Para poder utzar e cdgo fuente, hay que descomprmr y apcar os parches ncudos por e
dstrbudor. Esto se consgue utzando e mandato rpm!uild con as opcones -!p y
((targetRTar#uitecturaU, donde Tar#uitecturaUrepresenta a arqutectura genrca de
mcroprocesador. En e caso de Cent0> 5, estn dsponbes as confguracones genrcas para
i596, i696, 296Q64, ia64, ppc, ppc64, s3SO y s3SO2, y as varantes i696(<A", para equpos ,
i696(2en, ia64(2en y 296Q64(2en, para utzar as funcones de Den que permten utzar
paravrtuazacn.
Las opcones (!p ncan parcamente e a construccn de paquete (build) pero soo hasta a
seccn Vprep (preparatvos) de archvo de especfcacn, o que sgnfca que se descomprmr
e fuente de nceo y se apcarn os parches.
Se debe acceder a drectoro =usr=src=red$at=><"C>=.
cd /usr/src/redhat/S;%(S/
Posterormente se procede a descomprmr fuentes y apcar parches. La opcn ((targetRi696 se
utzar en e|empo a contnuacn para que se nstae un archvo prevamente confgurado con
opciones genricas para a arqutectura i696.
rpmbuild bp target)i646 kernel5@6@spec
Consderando en e e|empo que se nsta e paquete fuente '<: Kernel(*.6.+9(
S*.+.6.el5.src.rpm, soo resta es acceder a drectoro =usr=src=red$at=B,%D=Kernel(
*.6.+9=linu2(*.6.+9.i696= para confgurar as opcones que se utzarn.
cd @@/9='0$/kernel5@6@14/linux5@6@14@i646/
Dentro de paquete '<: se ncuyen varos archvos con confguracones genrcas de acuerdo a
a arqutectura, os cuaes se nstaan dentro de drectoro =usr=src=red$at=>0,'C">=. Uno de
estos archvos se seeccona y copa automtcamente dentro de drectoro
=usr=src=red$at=B,%D=Kernel(*.6.+9=linu2(*.6.+9.i696= cuando se defne a arqutectura con
a opcn ((target de mandato rpm!uild.
kerne-2.6.18-
586.confg
Confguracn genrca para arqutectura i596 (Pentum, Pentum MMX, AMD
K5, AMD K6, AMD K6 II, AMD K6 III).
kerne-2.6.18-
686.confg
Confguracn genrca para arqutectura i696 (Pentum Pro, Pentum II,
Pentum III, Pentum 4, Pentum M, Xeon, Ceeron, AMD K7, AMD Athon XP,
AMD Duron).
kerne-2.6.18-686-
debug.confg
Confguracn genrca para arqutectura i696, con opcones de depuracn.
Soo recomendado para desarroadores y escenaros donde se requere
dagnstco.
kerne-2.6.18-686-
PAE.confg
Confguracn genrca para arqutectura i696, con soporte <A" (<hysca
Address "xtenson) que aade capacdades para utzar mayor espaco de
ntercambo (s)apspace). Utzado en sstemas con ms de 4 GB de RAM.
kerne-2.6.18-686-
xen.confg
Confguracn genrca para arqutectura ia64 (Inte Itanum), con soporte
para Xen. Permte utzar paravrtuazacn a travs de Xen.
kerne-2.6.18-
a64.confg
Confguracn genrca para arqutectura ia64.
kerne-2.6.18-a64- Confguracn genrca para arqutectura ia64, con opcones de depuracn.
90
debug.confg Soo recomendado para desarroadores y escenaros donde se requere
dagnstco.
kerne-2.6.18-a64-
xen.confg
Confguracn genrca para arqutectura ia64, con soporte para Xen.
Permte utzar paravrtuazacn a travs de Xen.
kerne-2.6.18-
ppc64.confg
Confguracn genrca para arqutectura <<C de 64 bt (G5).
kerne-2.6.18-ppc64-
debug.confg
Confguracn genrca para arqutectura <<C de 64 bt, con opcones de
depuracn. Soo recomendado para desarroadores y escenaros donde se
requere dagnstco.
kerne-2.6.18-
ppc.confg
Confguracn genrca para arqutectura <<C de 32 bt (G3 y G4).
kerne-2.6.18-ppc-
smp.confg
Confguracn genrca para arqutectura <<C de 32 bt, con soporte de
Mut-Procesamento Smtrco (>:<).
kerne-2.6.18-
s390.confg
Confguracn genrca para arqutectura s3SO.
kerne-2.6.18-
s390x.confg
Confguracn genrca para arqutectura s3SO2.
kerne-2.6.18-s390x-
debug.confg
Confguracn genrca para arqutectura s3SO, con opcones de depuracn.
Soo recomendado para desarroadores y escenaros donde se requere
dagnstco.
kerne-2.6.18-
x86_64.confg
Confguracn genrca para arqutectura 296Q64 (AMD K8, AMD Athon 64,
AMD Opteron).
kerne-2.6.18-
x86_64-debug.confg
Confguracn genrca para arqutectura 296Q64, con opcones de
depuracn. Soo recomendado para desarroadores y escenaros donde se
requere dagnstco.
kerne-2.6.18-
x86_64-xen.confg
Confguracn genrca para arqutectura 296Q64, con soporte para Xen.
Permte utzar paravrtuazacn a travs de Xen.
7.*.3.*. Descargar desde Kernel.org
La prncpa venta|a de descargar e nceo desde Kernel.org es que se contar con a ms
recente versn, me|oras y ms dspostvos soportados. E nconvenente es que puede perderse
a estandarzacn con a dstrbucn utzada o ben a compatbdad con agunas apcacones
de terceros que dependen drecta o ndrectamente de una versn en partcuar de nceo, o un
A<% ncudo en aguna versn en partcuar de nceo.
Se accede haca $ttp-==PPP.Kernel.org= y se descarga, desde a parte nferor de a portada de
sto, a versn ms recente de nceo.
wget P
http"//www@kernel@org/pub/linux/kernel/v5@6/linux5@6@58@1#@tar@bC5
Lo anteror descargar e paquete linu2(*.6.*5.+O.tar.!8*.
Se procede a descomprmr linu2(*.6.*5.+O.tar.!8* utzando o sguente:
tar Mxv! linux5@6@58@1#@tar@bC5
91
Lo anteror descomprmr e contendo en un drectoro denomnado linu2(*.6.*5.+O. Soo resta
es acceder haca este drectoro para confgurar as opcones que se utzarn.
cd linux5@6@58@1#
7.*.4. Con&iguracin del n1cleo.
Se puede utzar e mandato maKe con a opcn con&ig de a sguente forma:
make con!ig
E nconvenente de sto es que se tendr que responder una a una cada una de as opcones de
nceo. Soo se recomenda para usuaro muy expermentados.
Se puede utzar e mandato maKe con a opcn menucon&ig de a sguente forma:
make menucon!ig
Lo anteror compar y e|ecutar una nterfaz hecha en ncurses que permtr examnar e rbo
de opcones y habtar y deshabtar de una forma ms amstosa, pues cada opcn ncuye una
ayuda que expca para que srve y s es seguro ncura, compara como mduo o excura.
92
En genera, se puede empezar excuyendo as optmzacones genrcas y funcones que nunca se
utzarn en e sstema como e mutprocesamento smtrco y soporte para ms de 4 GB de RAM.
93
Y uego seecconado e tpo exacto de mcroprocesador y excur as funcones genrcas.
94
Pueden habtarse o excurse funcones y mduos, de acuerdo a as necesdades y e sustento
fsco determnado prevamente con os mandatos lsmod, lspci y lsus!, en e resto de as
opcones de rbo de confguracn de menucon&ig.
En genera se puede compar dentro de nceo o sguente:
Controadores para dspostvos ntegrados en a tar|eta madre que sean de uso contnuo.
Controadores de dspostvos de uso contnuo, como controadores de dsco y transportes
(buses) >C>% (>ma Computers >ystem %nterface o Sstema de Interfaz para Pequeas
Computadoras), A@A (Advanced @echnoogy Attachment), <A@A (<arae Advanced
@echnoogy Attachment), >A@A (>era Advanced @echnoogy Attachment), 'A%D
('edundant Array of %nexpensve Dsks o con|unto redundante de dscos ndependentes),
etc.
Soporte de F: (ogca Foume :anager o Gestor de Vomenes Lgcos).
Controadores para sstemas de archvos (e2t3).
En genera se debe evtar ncur dentro de kerne y soo compar como mduo o sguente:
95
Controadores de dspostvos perfrcos (como os controadores para cmaras dgtaes).
Controadores para cuaquer dspostvo que se pueda remover de sstema (es decr
dspostvos ,>B, FirePire, Bluetotoot$, etc.).
Controadores de dspostvos que se ntercamben con frecuenca.
La rega genera es mantener el n1cleo lo m;s pe#ueo posi!le y evtar ncur dentro de ste
demasados controadores. S se compa un controador dentro de nceo y e dspostvo es
retrado de sstema o ste sufre agn tpo de dao que afecte su funconamento, e nceo puede
sufrr confctos con e resto de os controadores, o ben sufrr un fao. Es preferbe compar como
mduos os controadores de todo aqueo que se pueda remover de sstema, ncuyendo os
dspostvos que utcen ranuras <C%.
A termnar de confgurar o anteror, smpemente se sae de menucon&ig para guardar os
cambos.
7.*.4.+. Compilacin del n1cleo.
La compacn se nca utzando e mandato maKe.
96
make
7.*.4.*. %nstalacin del n1cleo.
Despus de varos mnutos, dependendo de a capacdad de sstema, se procede a nstaar
prmero os mduos:
make modules-install
A concur e procedmento, se nstaa e nceo.
make install
Lo anteror nstaar e nceo en e drectoro =!oot, crear e archvo system.map
correspondente, crear a magen de dsco RAM correspondente y aadr una entrada en e
archvo =!oot=gru!=gru!.con&, respetando os nceos prevamente nstaados a coocarse como
opcn de arranque secundara.
Smpemente rence y pruebe e nuevo nceo. S todo parece funconar correctamente, puede
edtar e archvo =!oot=gru!=gru!.con& y coocar e nuevo nceo como predetermnado.
A
A root (hd#B#)
A kernel /vmlinuCversion ro root)/dev/&olIroup##/0og&ol##
A initrd /initrdversion@img
Aboot)/dev/hda
5e<4)2=$
timeout)8
hiddenmenu
2#2)e Cen2OS &,.'.,5.-$0
roo2 &35$A$0
:erne) +"/)#nB-,.'.,5.-$ ro roo2=+5e"+Ho)Gro.$$+Lo7Ho)$$
#n#2r5 +#n#2r5-,.'.,5.-$.#/7
title (ent.S (5@6@1475@1@6@el8)
root (hd#B#)
kernel /vmlinuC5@6@1475@1@6@el8 ro root)/dev/&olIroup##/0og&ol##
initrd /initrd5@6@1475@1@6@el8@img
)0@A- Es muy mportante sempre conservar una copa de nceo que vene con a dstrbucn
utzada en caso de presentarse probemas.
7.*.4.3. Creando pa#uete '<:.
Se puede crear un paquete '<: a partr de os bnaros recn compados. Acceda de nuevo haca
e drectoro de nceo recn compado y utce e mandato maKe con a opcn !inrpm(pKg de
a sguente forma:
make binrpmpkg
97
S desea crear un paquete '<: compando todo de nuevo, puede utzar e mandato maKe con a
opcn rpm(pKg de a sguente forma:
make rpmpkg
La nstaacn de paquete resutante se reaza utzando e mandato rpm con as opcones (iv$
(nstaar, descrptvo y mostrar barra de progreso), a fn de que se mantengan nstaados os
paquetes de nceo exstentes en e sstema y estos coexstan, permtendo eegr con cua ncar
e sstema desde e arranque con ?ru!.
rpm ivh /usr/src/redhat/R;,S/i?46/kernel5@58@1#5@i?46@rpm
Lo anteror nstaar e paquete '<: de nceo recn creado, sn afectar a otras versones de
paquetes de nceo que estn prevamente nstaadas. A termnar, soo ser necesaro egr
desde ?ru! e nceo con e cua se ncar e sstema.
Gr! "ers#on $.%I &'3%( )o*er + ,'-$5'( ..er /e/ory0
_________________________________________________________________
1Cen2OS &,.'.,5.-$0 1
1Cen2OS &,.'.-8-%,.-.'.e)50 1
1Cen2OS &,.'.-8-%,.-.-.e)50 1
1 1
1 1
1 1
1 1
1 1
1 1
1 1
1 1
1________________________________________________________________1
Use 23e K 4n5 23e L 2o se)e62 *3#63 en2ry #s 3#73)#732e5.

98
9. Cmo gestionar espacio de memoria de
intercam!io MsPapN en ?),=inu2.
condcones sguentes: a) Debe reconocer y ctar a autor orgna. b) No puede utzar esta obra para fnes comercaes Mincluyendo su
9.+. %ntroduccin.
9.+.+. Algo de $istoria.
Hace muchos aos, ?),=inu2, en os tempos de nceo versn 2.0, se encontraba mtado a
utzar una soa partcn de memora de ntercambo de un mxmo de 128 MB, sendo esto una
de os prncpaes argumentos utzados por sus detractores. Por fortuna as cosas han cambado, y
hoy en da ya no exste dcho mte, y es posbe adems utzar cuanta memora de ntercambo
sea requerda para satsfacer as necesdades de cuaquer sstema.
9.+.*. Bu es y como &unciona el espacio de intercam!io?
E espaco de memora de ntercambo o >Pap, es o que se conoce como memoria virtual. La
dferenca entre a memora rea y a vrtua es que est tma utza espaco en e dsco duro en
ugar de un mduo de memora. Cuando a memora rea se agota, e sstema copa parte de
contendo de esta drectamente en este espaco de memora de ntercambo a fn de poder reazar
otras tareas.
Utzar memora vrtua tene como venta|a e proporconar a memora adcona necesara cuando
a memora rea se ha agotado y se tene que reazar un proceso. E nconvenente radca en que,
como consecuenca de utzar espaco en e dsco duro, a utzacn de esta es mucho muy enta.
Uno puede percatarse de esto cuando e dsco duro empeza a traba|ar repentnamente hasta por
varos mnutos despus de abrr varas apcacones.
Cuanto espaco para memora de ntercambo se debe asgnar a sstema?
Menos de 1 GB de RAM Msma cantdad de memora RAM tota
2-4 GB de RAM 50% de memora RAM tota
Ms de 4 Gbytes de RAM 2 GB
9.+.3. Circunstancias en las #ue se re#uiere aumentar la cantidad de
memoria de intercam!io.
Contar con mayor espaco para utzar memora vrtua puede ser prctco en os sguentes casos:
Sstemas en donde adqurr memora adcona est fuera de toda dscusn.
99
En equpos con traba|o ntensvo que consume mucha memora (dseo grfco, por
e|empo).
Servdores de ato desempeo en donde se desea contar con un ampo margen de
espaco Swap para satsfacer as demandas de servcos.
Sstemas que actuazaron desde una versn de nceo 2.2 a una versn de nceo
2.4 o 2.6.
Sstemas donde se aument a cantdad de memora RAM y se encuentran con a
probemtca de cubrr a cuota mnma de espaco de memora de ntercambo.
<rocedimientos.
Todos os procedmentos stados a contnuacn requeren hacerse como e usuaro root o ben
utzando e mandato sudo.
9.+.4. Cam!iar el tamao de la particin.
Cambar e tamao de as partcones e dsco duro y cambar as dmensones una partcn de
memora de ntercambo adcona es e mtodo ms efectvo.Sn embargo,sto representa un
resgo, debdo que podra ocurrr un error durante e procesos de repartcn que podra
desencadenar en prdda de datos en un dsco duro. S se utza este mtodo, es mportante
dsponer de un respado de todos os datos mportantes antes de comenzar e proceso.
9.+.5. Crear un arc$ivo para memoria de intercam!io.
Otro mtodo ms senco y sn resgo aguno, consste en utzar un archvo de ntercambo de
forma smar a como se hace en otros sstemas operatvos.
Ante todo, a me|or soucn sempre ser adqurr ms RAM.
9.*.+. Activar una particin de intercam!io adicional.
S se cambo a taba de partcones de dsco duro y se ha creado una nueva partcn de memora
de ntercambo, se e da formato de a sguente forma con e mandato mKsPap, donde a opcn
(c ndca se verfquen sectores de dsco duro buscando boques daados a fn de marcar estos y
evtar utzaros:
/sbin/mkswap c DdispositivoE
En e sguente e|empo se dar formato como partcn de memora de ntercambo a a partcn
=dev=$da9 de 256 MB, verfcando sectores en busca de boques daados:
/sbin/mkswap c /dev/hda4
Lo anteror puede devover una sada smar a a sguente:
Settting up Swapspace version #B siCe)5651>> bytes
100
Para actvar a partcn y que sea utzada nmedatamente por e sstema operatvo, se utza e
mandato sPapon de a sguente forma:
swapon DdispositivoE
En e sguente e|empo se actva como partcn de memora de ntercambo a a partcn
=dev=$da9:
/sbin/swapon /dev/hda4
Para corroborar que a nueva partcn de memora de ntercambo est sendo utzada por e
sstema operatvo, se utza e e mandato &ree, que puede devover una sada smar a a
sguente:
total used !ree shared bu!!ers cached
,em" ?51?6> ?15866 4644 # 7># 6?>54
/N bu!!ers/cache" 5>45#4 6?186
S*4.? '3%%8J -$5IJ$ 53J,JJ
Para que esta partcn se utce como memora de ntercambo automtcamente en e sguente
arranque de sstema, debe agregarse a nea correspondente en e archvo =etc=&sta! de
sguente modo:
DparticiQnE swap swap de!aults # #
En e sguente e|empo se defnr como partcn de memora de ntercambo a a partcn
=dev=$da9 en e archvo =etc=&sta!:
/dev/hda4 swap swap de!aults # #
9.*.*. ,tili8ar un arc$ivo como memoria de intercam!io.
Este mtodo no requere hacer cambos en a taba de partcones de dsco duro. Es dneo para
usuaros poco expermentados, para quenes desean evtar tomar resgos a cambar a taba de
partcones e dsco duro, o ben para quenes requeren ms de memora de ntercambo ocasona
o crcunstancamente.
Consderando que e archvo de memora de ntercambo puede ser coocado en cuaquer
drectoro de dsco duro, se utza e mandato dd, especfcando que se escrbrn ceros
(i&R=dev=8ero) para crear e archvo =sPap (o&R=sPap), en boques de 1024 bytes hasta
competar una cantdad en bytes determnada (countRTcantidad en !ytesU). En e sguente
e|empo se reaza o anteror hasta competar *6*+44 !ytes (countR*6*+44), que equvaen a
*56 :B:
dd i!)/dev/Cero o!)/swap bs)1#5> count)5651>>
Se requere dare formato de memora de ntercambo a archvo creado con e mandato mKsPap.
En e sguente e|empo se dar formato archvo =sPap para ser utzado como memora de
ntercambo especfcando que ste ser de *6*+44 !ytes:
101
/sbin/mkswap /swap 5651>>
Settting up Swapspace version #B siCe)5651>> bytes
p>Para actvar a partcn y que sea utzada nmedatamente por e sstema operatvo, se utza
e mandato sPapon. En e sguente e|empo se actva como partcn de memora de ntercambo
a e archvo =sPap:
/sbin/swapon /swap
Para corroborar que nuevo archvo de memora de ntercambo est sendo utzada por e sstema
operatvo, se utza e e mandato &ree, que puede devover una sada smar a a sguente:
total used !ree shared bu!!ers cached
,em" ?51?6> ?15866 4644 # 7># 6?>54
/N bu!!ers/cache" 5>45#4 6?186
S*4.? '3%%8J -$5IJ$ 53J,JJ
Para que este archvo se utce como memora de ntercambo automtcamente en e sguente
arranque de sstema, debe agregarse a nea correspondente en e archvo =etc=&sta! de
sguente modo:
/swap swap swap de!aults # #
9.*.3. 0ptimi8ando el sistema cam!iando el valor de
=proc=sys=vm=sPappiness
E nceo de ?),=inu2 permte cambar con que frecuenca as apcacones y programas son
movdas de a memora fsca haca a memora de ntercambo. E vaor predetermnado es 60,
como puede observarse a mrar e contendo de =proc=sys=vm=sPappiness de a sguente forma:
cat /proc/sys/vm/swappiness
Pueden estabecerse vaores entre 0 y 100, donde e vaor ms ba|o estabece que se utce menos
a memora de ntercambo, o cua sgnfca que se recamar en su ugar e cach de a memora.
E vaor predetermnado de 60 fue estabecdo tenendo en mente a os desarroadores de nceo
de GNU/Lnux a fn de permtr reazar pruebas y dagnstcos.
Para a mayora de os casos, convene cambar este vaor por uno ms ba|o a fn de que e sstema
utce menos a memora de ntercambo y utce ms a memoria cac$e. sta es una case de
memora RAM esttca de acceso aeatoro (>'A: o >tatc 'andom Access :emory). Se sta
entre a ,nidad Central de <rocesamiento (C<,) y a memora RAM y se presenta de forma
tempora y automtca para e usuaro proporconado acceso rpdo a os datos de uso ms
frecuente.
Un vaor apropado y que funconar para a mayora de os sstemas en produccn es +O. En e
sguente e|empo se apca e vaor +O para e archvo =proc=sys=vm=sPappiness.
102
echo 1# R /proc/sys/vm/swappiness
Para o anteror, tambn se puede utzar e mandato sysctl de a sguente forma:
sysctl w vm@swappiness)1#
Lo anteror devueve una sada smar a a sguente, confrmando que se ha apcado e cambo:
DrootSmlocalhost TEA sudo w sysctl vm@swappiness)1#
vm@swappiness ) 1#
Este cambo en as varabes de sstema de forma apca nmedata hasta e sguente renco de
sstema. Para hacer que e cambo sea permanente, se edta e archvo =etc=sysctl.con& y se
aade a sguente nea:
vm@swappiness ) 1#
103
S. <rocedimientos de emergencia
S.+. %ntroduccin
En ocasones suee ser necesaro reazar tareas de mantenmento y de reparacn en e sstema
de archvos. Estas stuacones requeren que e admnstrador conozca a menos as herramentas
correspondentes.
S.*. Disco de rescate
E prmer dsco de nstaacn de Red Hat Enterprse Lnux 3 y Whte Box Enterprse Lnux 3
ncuye a opcn de ncar e sstema en modo de rescate desde ste. Soo bastar dgtar nux
rescue en e avso de nco (prompt) que aparece a arrancar e sstema con e dsco 1:
boot" linux rescue
Despus de ncar, confgurar e tecado y, de forma opcona, a conectvdad a travs de
dspostvos de red, se ngresar a un nterprete de mandatos (BASH) con un con|unto bsco de
herramentas que permtrn reazar tareas de mantenmento y reparacn.
Dgte o sguente a fn de mostrar en pantaa as partcones de sstema:
d! h
Lo anteror deber mostrar ago parecdo a o sguente:
S@archivos /amaUo =sado $isp =soV ,ontado en
/dev/sda5 18I >@4I 7@5I ?>V /
/dev/sda1 66, 4@1, 6>, 15V /boot
none 8#6, # 8#6, #V /dev/shm
/dev/hda8 >#I ?8I 5@6I 7>V /home
/dev/sdb? 5@#I ?6, 1@7I 5V /tmp
/dev/sdb1 6@>I >@#I 5@5I 66V /usr/local
/dev/sdb8 6@>I >@?I 1@4I 61V /usr/src
/dev/sdb5 5@#I 86#, 1@>I ?#V /var
/dev/hda6 17I 16I 774, 78V /var/!tp
/dev/hda5 6@#I 586, 8@>I 8V /var/lib
/dev/hda1 6@7I 675, 8@4I 15V /var/www
104
S.3. Feri&icacin de la integridad del disco
La verfcacn de cuaquer partcn de dsco duro requere, necesaramente, desmontar antes
sta. Utzar e mandato &scK en una partcn montada, puede ocasonar a prdda o corrupcn
de datos. Una vez desmontada a partcn a verfcar, es posbe reazar una verfcacn y/o
reparacn utzando cuaquera de os sguentes e|empos de uso de mandato &scK.
Forzar a verfcacn de sstema de archvos, responder automtcamente con 0"i1 (opcn (y) a
a reparacn de cuaquer probema que requera ntervencn humana (opcn (y) y mostrando
una barra de progreso (opcn (C).
!sck !y( /dev/sdXX
Forzar a verfcacn de sstema de archvos y responder automtcamente con 0"i1 (opcn (y) a
a reparacn de cuaquer probema que requera ntervencn humana (opcn (y).
!sck !y /dev/sdXX
Lo msmo que e mandato anteror, pero adems con verfcacn de soo-ectura para buscar
boques daados (opcn (c), preservando a sta de boques daados exstente donde se aadrn
nuevos boques daados a sta (opcn (K).
!sck !ykc /dev/sdXX
Lo msmo que e mandato anteror, pero con verfcacn de lectura(escritura no(destructiva
para buscar boques daados (opcn (cc), preservando a sta de boques daados exstente
donde se aadrn nuevos boques daados a sta (opcn (K). S se encuentra un boque daado,
este se aade a nodo de boques daados.
!sck !ykcc /dev/sdXX
Forzar a verfcacn de sstema de archvos, reparar automtcamente cuaquer probema que
pueda ser resueto sin ntervencn humana (opcn (p) y mostrando una barra de progreso
(opcn (C).
!sck !p( /dev/sdXX
Forzar a verfcacn de sstema de archvos y reparar automtcamente cuaquer probema que
pueda ser resueto sin ntervencn humana (opcn (p).
!sck !p /dev/sdXX
Lo msmo que e mandato anteror, pero adems con verfcacn de soo-ectura para buscar
boques daados (opcn (c), preservando a sta de boques daados exstente donde se aadrn
nuevos boques daados a sta (opcn (K).
!sck !pkc /dev/sdXX
105
Lo msmo que e mandato anteror, pero con verfcacn de lectura(escritura no(destructiva
para buscar boques daados (opcn (cc), preservando a sta de boques daados exstente
donde se aadrn nuevos boques daados a sta (opcn (K). S se encuentra un boque daado,
este se aade a nodo de boques daados.
!sck !pkcc /dev/sdXX
Verfcar e sstema de archvos, reparando automtcamente cuaquer probema que pueda ser
resueto sn ntervencn humana y tratando de optmzar os drectoros de sstema de archvos
(opcn (D).
!sck !p$ /dev/sdXX
La optmzacn de drectoros se reaza vovendo a crear un ndce de stos s e sstema de
archvos ncuye soporte para ndces (como es e caso de Ext4), o ben re-ordenando y
comprmendo drectoros en os casos de drectoros pequeos o ben sstemas de archvos que
utcen drectoros neaes tradconaes.
Lo msmo que e mandato anteror, pero con verfcacn de ectura-escrtura no-destructva para
buscar boques daados (opcn (cc), preservando a sta de boques daados exstente donde se
aadrn nuevos boques daados a sta (opcn (K). S se encuentra un boque daado, este se
aade a inodo (nodo ndce) de boques daados.
!sck !p$kcc /dev/sdXX
S.4. Asignacin de &ormato de las particiones
Cuando a stuacn o amerte, ser posbe dar formato a una partcn en partcuar con formato
EXT3 de a sguente forma:
mk!s@ext? /dev/hda1
Cuando a stuacn o amerte, y est nstaado e paquete e4&sprogs, ser posbe dar formato a
una partcn en partcuar con formato EXT4 de a sguente forma:
mk!s@ext> /dev/hda1
Se encuentran tambn dsponbes as sguentes herramentas para asgnacn de formato:
mkfs.ext2
mkfs.vfat (fat32)
mkfs.msdos (fat16)
mkswap
S se necesta dar un formato de ba|o nve a fn de emnar toda a nformacn de dsco duro,
puede utzarse o sguente, consderando en e e|empo que se ntenta dar formato de ba|o nve
a dsco duro =dev=$da, para escrbr 0 (ceros) en cada sector de dsco duro.
dd i!)/dev/Cero o!)/dev/hda
106
S se requere, tambn es posbe dar formato de ba|o nve escrbendo nmeros aeatoros en
todos os sectores de dsco duro:
dd i!)/dev/urandom o!)/dev/hda
107
+O. Cmo optimi8ar los sistemas de arc$ivos
e2t3 y e2t4.
condcones sguentes: a) Debe reconocer y ctar a autor orgna. b) No puede utzar esta obra para fnes comercaes (ncuyendo su
pubcacn, a travs de cuaquer medo, por entdades con fnes de ucro). c) S atera o transforma esta obra, o genera una obra dervada, so
puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a
cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos
dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. Lcenca competa en casteano. La nformacn contenda
en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector
hace ma uso de stos.
+O.+. %ntroduccin.
Cuando se traba|a con servdores y estacones de traba|o con nstaacones de ,!untu, Cent0>,
'ed Eat o Fedora, y se busca optmzar e uso de dsco duro de sstemas de archvos en formato
Ext3 o Ext4, hay a|ustes que pueden me|orar e desempeo de manera sgnfcatva.
+O.+.+. Acerca de "2t3.
"2t3 (thrd extended fesystem o tercer sstema de archvos extenddo) es e sstema de archvos
ms utzado por as dstrbucones de ?),=inu2 y. Se dferenca de e2t* en que traba|a con
regstro por daro (|ournang) y porque utza un rbo bnaro baanceado (rbo AF, creado por
os matemtcos rusos Georg Adeson-Fesk y Yevgeny ands) y tambn por ncorporar e
mtodo 0rlov de asgnacn para boques de dsco (e msmo que se gestona a travs de os
mandatos lsattr y c$attr). Adems e2t3 permte ser montado y utzado como s fuera e2t* y
actuazar desde e2t* haca e2t3 sn necesdad de formatear a partcn y, por tanto, sn perder
os datos amacenados en sta.
+O.+.*. Acerca de "2t4.
"2t4 (fourth extended fesystem. o cuarto sstema de archvos extenddo) es un sstema de
archvos con regstro por daro, pubcado por por Andrew Morton e 10 de octubre de 2006, como
una me|ora compatbe con e formato Ext3. E 25 de dcembre de 2008 se pubc a versn
2.6.28 de nceo de Lnux, a cua emn a etqueta expermenta de cdgo de Ext4. Las me|oras
respecto de Ext3 ncuyen, entre otras cosas, e soporte de vomenes de hasta 1024 PB, soporte
aaddo de extents (con|unto de boques fscos contguos), menor uso de recursos de sstema,
me|oras sustancaes en a veocdad de ectura y escrtura, y verfcacn ms rpda con &scK.
+O.+.3. Acerca del registro por diario M.ournalingN.
E regstro por daro (|ournang) es un mecansmo por e cua un sstema de archvos mpementa
transaccones. Consste en un regstro en e que se amacena a nformacn necesara para
restabecer os datos daados por una transaccn en caso de que sta fae, como puede ocurrr
durante una nterrupcn de energa.
108
+O.*. <rocedimientos
Para determnar que dspostvos corresponden a as partcones en e dsco duro, se utza e
mandato d&. E|empo:
DrootSservidor TEA d!
S@archivos 9loJues de 1H =sado $ispon =soV ,ontado en
/dev/hda5 1754?#5> 1656756# 15#684> 7>V /
/dev/sda1 666>7 517#8 814?# ?#V /boot
/dev/sdb1 16>7664> 1#61474# 8744715 6>V /home
/dev/hda8 8>1844>> >154>8>> 1155?65> 67V /var/!tp
/dev/sda5 18?85?>4 >46>5?5 767416> ?>V /home/rpmbuild
tmp!s 6666?5 # 6666?5 #V /dev/shm
Una vez determnados que dspostvos corresponden a as dferentes partcones, pueden
apcarse varos mtodos de optmzacn.
+O.*.+. ,tili8ando el mandato e*&scK.
E mandato e*&scK se utza reguarmente para revsar y reparar partcones con formato e2t* y
e2t3. Incuye a opcn (D que reaza a optmzacn de drectoros en e sstema de archvos. La
optmzacn de todos os drectoros de una partcn consste en vover a posconar (rendexng)
os drectoros, cuando e sstema de archvos ncuye soporte para ta, o vovendo a acomodar y
comprmendo drectoros. La opcn (D se debe utzar |unto con a opcn (& para forzar a
verfcacn de a partcn de dsco duro.
Para optmzar una partcn en formato e2t3, es ndspensabe que sta est desmontada. Para
poder desmontar una partcn es ndspensabe que e sstema funcone sn procesos hacendo
uso de contendos en dcha partcn. Puede utzarse e mandato lso& para determnar esto y as
defnr que es o que se debe detener momentneamente. S e sstema funcona sn procesos
hacendo uso de contendos en a partcn, se puede segur e procedmento e|empfcado a
contnuacn con e dspostvo =dev=sda3 que en este partcuar e|empo corresponde a a
partcn para =$ome:
umount /home
e5!sck ! $ /dev/sda?
La sada puede devover ago smar a o sguente:
DrootSm1## S;%(SEA e5!sck $ ! /dev/sda?
e5!sck 1@?7 (57,ay5##6)
;ass 1" (hecking inodesB blocksB and siCes
;ass 5" (hecking directory structure
;ass ?" (hecking directory connectivity
84ss 3A? O.2#/#B#n7 5#re62or#es
;ass >" (hecking re!erence counts
;ass 8" (hecking group summary in!ormation
/home" OOOOO <'0% S:S/%, 23S ,.$'<'%$ OOOOO
/home" 1?/85>>6?6 !iles (6@6V noncontiguous)B 5#4?17/85>?51> blocks
Una vez termnado e procedmento, se pueden vover a montar as partcones optmzadas.
109
En e caso de tratarse de partcones que sea mposbe desmontar por encontrarse en uso, puede
utzarse e dsco de nstaacn de CentOS, Fedora o Red Hat en modo de rescate (!oot- linu2
rescue), o un Dsco Vvo (LveCD), en e caso de ,!untu, y desmontando as partcones que se
quera optmzar antes de utzar e mandato e*&scK (& (D.
+O.*.*. 0pciones de montado.
Los sstemas de archvos ext3 permten tres opcones que partcuarmente son tes. Todas se
especfcan en a coumna de opcones de os dspostvos en e archvo =etc=&sta!.
+O.*.*.+. 0pcin noatime Mno tiempos de accesoN.
Es a forma ms rpda y fc de ograr me|oras en e desempeo. Esta opcn mpde se actuace
os tempos de acceso de os nodos (nodos ndce), os cuaes reamente son poco utzados por a
mayora de os usuaros. Esto permte me|or desempeo en servdores de notcas y E@@< pues
permte un ms rpdo acceso haca e sstema de archvos. Es partcuarmente t en
computadoras porttes pues reduce consderabemente a cantdad de procesos de "=> o "ntrada
y >ada (%=0 o %nput/0utput) de dsco duro. Equvae a utzar c$attr GA, pero apcado a todos
os datos de a partcn.
En e sguente e|empo, se confgurar a opcn noatime para a partcn =var=PPP en e
archvo =etc=&sta! de un servdor HTTP.
039%0)/var/www /var/www ext? de!aultsBnoatime 1 5
+O.*.*.*. 0pcin commit Mconsignacin de cam!iosN.
Esta opcn controa e tempo que se utzar entra cada operacn sncronzacn (sync) de datos
y metadatos en una partcn. E tiempo predeterminado es de 5 segundos. Puede
ncrementarse geramente para me|orar e desempeo, tomando en cuenta que s se especfca
demasado tempo y ocurre una nterrupcn de energa antes de hacer una operacn de
sncronzacn (sync), se perdern os datos ms recentes con os que se haya traba|ado. Esta
opcn solo se recomienda si se dispone de un sistema de respaldo de energa con&ia!le.
En e sguente e|empo, se confgurar a opcn commit con e vaor equvaente a 9 segundos
para a partcn =var=PPP en e archvo =etc=&sta! de un servdor HTTP.
039%0)/var/www /var/www ext? de!aultsBcommit)4 1 5
+O.*.*.3. 0pcin data MdatosN.
)ota- Debdo a que se debe desmontar y vover a montar, as modfcacones de esta opcn
requeren que a partcn est sn utzar. Por o cua se recomenda reazar este procedmento
desde un dsco de rescate o ben ncando e sstema en nve de e|ecucn 1 (monousuaro).
Esta opcn permte tres posbes vaores:
ordered: Es e vaor predetermnado. Escrbe os datos asocados a os metadatos prmero en e

sstema de archvos antes de hacero en e regstro por daro. S a prordad es garantzar a
ntegrdad de datos o ben se carece de un sstema de respado de energa confabe, es a opcn
que debe utzarse.
.ournal: Es o opuesto a ordered. Obga a escrbr prmero os datos en e regstro por daro y
110
uego en e sstema de archvos, por o cua utza un regstro por daro ms grande, y e cua, por
o tanto, demora ms tempo en recuperarse en caso de una faa de sstema o nterrupcn de
energa. ste es, evdentemente, e mtodo ms ento en a mayora de os casos, savo que se
reacen operacones de ectura y escrtura a msmo tempo, como ocurre con as bases de datos.
Prite!acK: Hace que e sstema de archvos se comporte de manera smar a DF>. Sn preservar e
ordenamento a escrbr en e dsco, de modo que as consignaciones de cam!ios (commts) en
e regstro por daro puede ocurrr antes de a escrtura en e sstema de archvos. Este mtodo es
el m;s r;pido porque soo os metadatos se amacenan en e regstro por daro, pero puede hacer
que se muestren datos ve|os despus de una faa de sstema o nterrupcn de energa.
Write!acK solo se recomienda si se dispone de un sistema de respaldo de energa
con&ia!le, o ben s en a partcn confgurada con este formato de regstro por daro $ay
cam!ios poco &recuentes en los datos (como e caso de =!oot, =, =usr, =opt, =usr=local y en
agunos escenaros para =var=PPP), o ben partcones para temporaes o caches (como =tmp,
=var=tmp y =var=cac$e. Poco recomendado para partcones donde hay cambos frecuentes en os
datos amacenados, como ocurre con =$ome o =var, =var=li! o =var=spool.
En e sguente e|empo se confgurar en e archvo =etc=&sta! de un servdor E@@< y !ase de
datos a partcn =var=PPP con a opcn data con e vaor Prite!acK y a partcn =var=li! con
a opcn data y e vaor .ournal:
039%0)/var/www /var/www ext? de!aultsB5424=*r#2e!46: 1 5
039%0)/var/lib /var/lib ext? de!aultsB5424=Korn4) 1 5
Antes de desmontar y vover a montar o rencar e sstema, hay que convertr os regstros de
daros a Prite!acK o ben .ournal, dependendo e caso. Para ta fn se utza e mandato
tune*&s de sguente modo, en e caso donde se desea cambar a modo Prite!acK e regstro
por daro de a partcn AB"R=var=PPP:
tune5!s o Mournal-data-writeback 039%0)/var/www
En e caso donde se desea cambar a modo .ournal e regstro por daro de a partcn
AB"R=var=li!, se utza o sguente:
tune5!s o Mournal-data 039%0)/var/lib
Para revertr e cambo y vover a utzar e modo ordered, se puede utzar e mandato tune*&s
con a opcn (o .ournalQdata.
Para apcar os cambos, sn correr e resgo de rencar con errores de sntaxs en e archvo
=etc=&sta! que mpedran montar as partcones confguradas, se puede utzar e mandato
umount para desmontar a partcn a modfcar, y posterormente e mandato mount para vover
a desmontaras. E|empos:
umount /var/www
umount /var/lib
mount /var/www
mount /var/lib
Utzar e mandato mount con a opcn (o remount sempre devover un error de opcn
ncorrecta. Esta es a razn por a cua se desmontan y montan as partcones para cambar e tpo
de regstro por daro de as partcones.
111
S o anteror devueve e smboo de sstema sn errores, sgnfca que as opcones se aplicaron
correctamente y que e sstema puede ser rencado con toda segurdad en e momento que se
consdere apropado.
Para regresar todo a como estaba orgnamente, se edta e archvo =etc=&sta! y se qutando as
opcones dataRvalor prevamente confguradas:
039%0)/var/www /var/www ext? de!aults 1 5
039%0)/var/lib /var/lib ext? de!aults 1 5
Se desmontan as partcones:
umount /var/lib
umount /var/www
Y con e mandato tune*&s se defne nuevamente e formato ordered:
tune5!s o Mournal-data-ordered 039%0)/var/lib
tune5!s o Mournal-data-ordered 039%0)/var/www
Y fnamente se vueven a montar as partcones:
mount /var/lib
mount /var/www
S o anteror devueve e smboo de sstema sn errores, sgnfca que as opcones &ueron
revertidas y aplicadas correctamente y que e sstema puede ser rencado con toda
segurdad en e momento que se consdere apropado.
+O.*.3. Convirtiendo particiones de "2t3 a "2t4.
En Cent0> 6 o 'ed Eat "nterprise inu2 6, e formato predetermnado en as partcones es
Ext4, por o cua es nnecesaro convertr de Ext3 a Ext4.
Ext4 ha demostrado ser un sstema de archvos con mucho me|or desempeo que su predecesor,
Ext3. S uno soo necesta hacer pruebas, es posbe montar una partcn Ext3 como Ext4
modfcando e archvo =etc=&sta!, pero carecer de muchas funcones propas de Ext4.
Instaando os paquetes correspondentes, CentOS 5.5, y versones posterores, ncuye e soporte
necesaro para convertr a formato Ext4 as partcones Ext3, preservando os datos orgnaes en
e sstema de archvos, con a nca restrccn de que |ams se deber convertr a Ext4 as
partcones que correspondan =!oot y =, debdo a que en CentOS 5 y Red Hat Enterprse Lnux 5 a
versn de Grub, e gestor de arranque, carece de soporte para ncar desde partcones Ext4.
"s muy importante reali8ar un respaldo de in&ormacin importante antes de procederL
por si acaso algo saliese mal.. Nuevamente, s se utza Cent0> 5 o 'ed Eat "nterprise
inu2 5, |ams se deben convertr a Ext4 as partcones que correspondan a =!oot o =.
En Cent0> 5 o 'ed Eat "nterprise inu2 5, para poder utzar e formato Ext4 en cuaquer otra
partcn, se requere que e sstema tenga nstaado e paquete e4&sprogs:
112
yum y install e>!sprogs
Este paquete ncuye as herramentas necesaras para gestonar partcones Ext4, como son
e4&scK, e4la!el, mKe4&s, mK&s.e2t4 y dumpe4&s, entre otras herramentas.
A partr de este punto, y con e ob|etvo de reazar pruebas, soo ser necesaro edtar e archvo
=etc=&sta! y modfcar a confguracn de cuaquer partcn (e2cepto las #ue correspondan
a =!oot y =) y cambar e2t3 por e2t4. Hasta aqu, es posbe revertr e cambo vovendo a edtar
e archvo =etc=&sta! y vovendo a defnr e2t3 como formato de a partcn modfcada.
Para convertr una partcn por competo a Ext4, lo cual $ara #ue de modo irreversi!le
.am;s se pueda volver a montar como "2t3, debe desmontarse prmero a partcn a
convertr y posterormente utzar e mandato tune4fs con as opcones (0
e2tentsLuninitQ!gLdirQinde2. En e sguente e|empo se apca e mandato tune4&s a a partcn
=dev=sda7, que correspondera a =tmp, para convertra a Ext4.
umount /tmp
tune>!s . extentsBuninit-bgBdir-index /dev/sda6
Lo anteror soo requere utzar en seguda e mandato &scK.e2t4 para verfcar a partcn, y
competar as os cambos necesaros en e sstema de archvos. E mandato &scK.e2t4 debe
utzarse con as opcones (&yD (forzar verfcacn, contestar s a todas as modfcacones
necesaras y optmzar drectoros).
!sck@ext> !y$ /dev/sda6
S a partcn est en uso, como sera e caso de as correspondentes a =usr y/o =var, ser
necesaro hacer o anteror desde un dsco vvo de Fedora, versn 13 en adeante. E modo de
rescate de dsco de nstaacn de CentOS, versn 5.5 en adeante, ncuye tambn soporte
bsco para Ext4, aunque carece de soporte para convertr partcones de Ext3 a Ext4 a travs de
mandato tune*&s, y carece de mandato tune4&s. Por tanto, e ntrprete de mandatos de modo
de rescate de dsco de nstaacn de CentOS 5.5 soo permtr verfcar y reparar partcones Ext4
a travs de mandato &scK.e2t4.
En e archvo =etc=&sta! se reempaza AB"R=tmp por e nombre rea de dspostvo, y e2t3 por
e2t4.
039%0)/ / ext? de!aults 1 1
039%0)/boot /boot ext? de!aults 1 5
+5e"+s54I +2/. e;2J 5e<4)2s - ,
tmp!s /dev/shm tmp!s de!aults # #
devpts /dev/pts devpts gid)8Bmode)65# # #
sys!s /sys sys!s de!aults # #
proc /proc proc de!aults # #
039%0)S23;hda? swap swap de!aults # #
Un punto mportante a consderar es que Ext4 utza ,,%D (Unversay Unque Identfer, o
Identfcador Unversamente nco) en ugar de etquetas. E ,,%D se puede determnar utzando
e mandato !lKid de sguente modo:
blkid /dev/sda6
113
Lo cua devovera ago smar a o sguente:
/dev/sda6" 039%0)*/tmp* =='$)*5?4e8?5b58#c>a4#46a??aecc7618678* /:;%)*ext>*
Con esta nformacn, e archvo =etc=&sta! quedara de sguente modo:
039%0)/ / ext? de!aults 1 1
UULD=,38e53,!-,5$6-J48$-8I43-34e66%I-5I%5 +2/. e;2J 5e<4)2s - ,
+O.*.4. "liminando el registro por diario M.ournalN de "2t4.
+O.*.4.+. Advertencias.
Este procedmento apca excusvamente a as partcones con formato Ext4. "l &ormato "2t3
carece de soporte para &uncionar sin registro por diario.
Antes de comenzar, es mportante acarar que emnar por competo e regstro por daro mpca
perder una mportante funcn que garantza a ntegrdad de os datos de una partcn en caso de
una nterrupcn de energa o una faa genera de sstema. Soo se recomenda emnar e regstro
por daro en os casos donde se dspone de un buen respado de energa (utra-porttes, por
e|empo), un sstema operatvo estabe y/o se tenen partcones asgnadas a drectoros donde a
nformacn es poco reevante (como /tmp, /var/tmp o /var/cache). Este procedmento est
absoutamente contrandcado en servdores o donde se requera una garanta absouta de
ntegrdad de datos.
Hay que consderar adems que a me|ora obtenda puede ser apenas perceptbe y muy
probabemente soo amerte emnar e regstro por daro en partcones en undades de estado
sdo (SSD).
"s importante tam!in reali8ar un respaldo de in&ormacin importante antes de
procederL por si acaso algo saliese mal..
+O.*.4.*. <rocedimientos.
Asumendo que se dspone de una partcn /dev/sda7, que en e e|empo corresponde a =tmp, que
fue prevamente convertda a Ext4, utzando e mtodo descrto en este msmo documento, o
formateada en Ext4, se debe desmontar a partcn:
umount /tmp
Para emnar e regstro por daro de a partcn =dev=sda7 en Cent0> 5 o 'ed Eat "nterprise
inu2 5, se requere e|ecutar e mandato tune4&s, de a sguente forma:
tune>!s . Whas-Mournal /dev/sda6
114
Para emnar e regstro por daro de a partcn =dev=sda7 en Cent0> 6 o 'ed Eat "nterprise
inu2 6, se requere e|ecutar e mandato tune*&s, de a sguente forma:
tune5!s . Whas-Mournal /dev/sda6
E smboo X (acento crcunfe|o) sgnfca que se emna una opcn. En este caso a opcn
emnada fue $asQ.ournal, que es as responsabe de regstro por daro.
sn mportar a versn de sstema operatvo, o anteror requere utzar en seguda e mandato
&scK, con as opcones (pD& (reparar automtcamente o que sea necesaro y que prescnda de
nteraccn humana, optmzar re-ordenando drectoros, y forzar verfcacn) a fn de reali8ar
correcciones importantes e indispensa!les en e sstema de archvos.
!sck@ext> p$! /dev/sda6
Emnar e regstro por daro de una partcn ext4 hace que rremedabemente se perda e
,,%D, por o cua nvarabemente hay que edtar e archvo =etc=&sta! y estabecer e nombre rea
de dspostvo en ugar de ,,%D:
039%0)/ / ext? de!aults 1 1
+5e"+s54I +2/. e;2J 5e<4)2s - ,
Hecho o anteror, se habr competado e procedmento. Basta con vover a montar a partcn
para verfcar que todo funcone correctamente. La me|ora ser apenas perceptbe, pero brndar
e mxmo rendmento posbe para e sstema de archvos Ext4, superando ncuso e desempeo
en cuanto a veocdad de Ext2.
En un equpo con una partcn =tmp con regstro por daro, y a msma partcn =tmp sn regstro
por daro, a escritura de 1 GB de nformacn demor o sguente:
/tmp con regstro por daro real #m7@676s
user #m#@>>>s
sys #m>@>>1s
/tmp sin regstro por daro real #m4@764s
user #m#@>46s
sys #m?@411s
Como pude verse, a dferenca es muy poca, pero sgnfcatva.
En e dado caso que se quera vover a utzar e regstro por daro, soo basta con vover a ncar
con e dsco vvo, abrr una termna y e|ecutar o sguente.
115
su l
umount /home
tune5!s . has-Mournal /dev/sda6
!sck p$! /dev/sda6
mount /home
116
++. Cmo con&igurar y utili8ar >udo
++.+. %ntroduccin.
Sudo es una herramenta de sstema que permte a os usuaros reazar a e|ecucn de mandatos
como superusuaro u otro usuaro de acuerdo a como se especfque en e archvo =etc=sudoers,
donde se determna quen est autorzado. Los nmeros de dentdad de usuaro y de grupo (UID y
GID) reaes y efectvas se estabecen para guaar a aqueas de usuaro ob|etvo como est
especfcado en e archvo =etc=passPd.
De modo predetermnado sudo requere que os usuaros se autentquen as msmos con su propa
cave de acceso (nunca la clave de acceso de root). Una vez que e usuaro se ha autentcado,
e usuaro podr utzar nuevamente sudo sn necesdad de vover a autentcarse durante 5
mnutos, savo que se especfque o contraro en e archvo =etc=sudoers. S e usuaro e|ecuta e
mandato sudo (v podr refrescar ste perodo de tempo sn necesdad de tener que e|ecutar un
mandato, en cuyo caso contraro exprar esta autentcacn y ser necesaro vover a reazar
sta.
S un usuaro no stado en e archvo =etc=sudoers. trata de e|ecutar un mandato a travs de
sudo, se regstra a actvdad en a btcora de sstema (a travs de syslogd) y se enva un
mensa|e de correo eectrnco a admnstrador de sstema (root).
++.+.+. Eistoria.
Sudo fue ncamente concebdo en 1980 por Bob Coggesha y Cff Spencer de departamento de
cenca computacona en SUNY (State Unversty of New York o Unversdad Estata de Nueva
York), en Buffao.
En 1985 se pubc e grupo de notcas net.sources una versn me|orada acredtada a Ph
Betche, Cff Spencer, Gretchen Phps, |ohn LoVerso y Don Gworek. Garth Snyder pubc otra
versn me|orada en e verano de 1986 y durante os sguentes cnco aos fue mantendo con a
coaboracn de muchas personas, ncuyendo Bob Coggesha, Bob Manchek, y Trent Hen.
En 1991 Dave Heb y |eff Neusma escrberon una nueva versn con un formato me|orado para e
archvo =etc=sudoers ba|o contrato con a frma consutora The Root Group, versn que
posterormente fue pubcada ba|o os trmnos de a Lcenca Pbca Genera de GNU (GNU/GPL).
Desde 1996 e proyecto es mantendo por Todd Mer con a coaboracn de Chrs |epeway y
Aaron Spanger.
117
++.*. "#uipamiento lgico necesario.
++.*.+. %nstalacin a travs de yum.
S se utza de CentOS 5, Red Hat Enterprse Lnux 5 o Whte Box Enterprse Lnux 5, o versones
posterores, se puede nstaar o necesaro utzando o sguente:
yum y install sudo
++.*.*. %nstalacin a travs de ,p*date
S se utza de Red Hat Enterprse Lnux 4, o versones posterores, se puede nstaar utzando o
sguente:
up5date i sudo
++.3. Arc$ivo =etc=sudoers
E archvo =etc=sudoers se edta con e mandato visudo, herramenta que a travs de v permte
reazar cambos y verfcar sntaxs y errores. S se trata de modfcar drectamente =etc=sudoers,
ste tene permsos de soo ectura.
La sntaxs bsca de una sta sera:
XXXX-3lias +.,9R%0'S/3 ) elemento1B elemento5B elemento?
La sntaxs bsca de una rega sera:
DusuarioB VgrupoB +.,9R%0'S/3E Dan!itriQnE ) (id de usuario a usar) mandatos
Se pueden defnr Aases y regas. Los aases permten defnr una sta de mandatos , una sta de
usuaros, un asta de anftrones o ben e|ecutar como otros usuaros.
++.3.+. CmndQAlias.
(mnd-3lias ,3+$3/.S1//;$ ) /sbin/service httpd restartB
/usr/bin/vim /etc/httpd/con!@d/variables@con!B
/usr/bin/vim /etc/php@ini
Lo anteror defne una sta de mandatos que podran utzarse para rencar e servco de httpd,
modfcar un archvo de confguracn en a ruta =etc=$ttpd=con&.d=varia!les.con& y modfcar e
archvo =etc=p$p.ini.
!ulano 300 ) ,3+$3/.S1//;$
Lo anteror defne que e usuaro fuano puede utzar os mandatos de a sta MANDATOSHTTPD
desde cuaquer anftrn.
118
++.3.*. ,serQAlias.
=ser-3lias =S=3R'.S1//; ) !ulanoB menganoB Cutano
Lo anteror defne una sta denomnada E@@<,>"'>, ntegrada por os usuaros fuano, mengano
y zutano.
=S=3R'.S1//; 300 ) /usr/bin/vim
La rega anteror defne que os usuaros que conforman a sta ,>,A'%0>E@@< pueden utzar e
mandato vm desde cuaquer anftrn.
++.3.3. EostQAlias.
1ost-3lias 1.S/S1//;$ ) 175@164@#@58B 175@164@#@56B 175@164@#@5?
Lo anteror defne que a sta E0>@>E@@<D est ntegrada por as 3 dreccones IP stadas
anterormente. S adems se aade a sguente rega:
=S=3R'.S1//;$ 1.S/S1//;$ ) 3$,'+1//;$
Lo anteror defne que os usuaros de a sta E@@<D,>"'> pueden utzar os mandatos stados
en AD:%)E@@<D soamente s estn conectados desde as dreccones IP stadas en
E0>@>E@@<D.
++.3.4. 'unasQAlias.
S por e|empo se qusera que os usuaros de a sta ,>,A'%0>E@@< puderan adems utzar
os mandatos s, rm, chmod, cp, mv, mkdr, touch y vm como e usuaros |uan, pedro y hugo, se
requere defnr una sta para estos mandatos y otra para os aases de usuaros aternos, y a
rega correspondente.
Runas-3lias (0'%+/%S1 ) MuanB pedroB hugo
(mnd-3lias ,3+$3/.S(0'%+/%S ) /bin/lsB
/bin/rmB
/bin/chmodB
/bin/cpB /bin/mvB
/bin/mkdirB
/bin/touchB
/usr/bin/vim
=S=3R'.S1//;$ 1.S/S1//;$ ) ((0'%+/%S1) ,3+$3/.S(0'%+/%S
Lo anteror permte a os usuaros defndos en ,>,A'%0>E@@<D (fuano, mengano y zutano),
utzar os mandatos defndos en :A)DA@0>C%")@"> (s, rm, chmod, cp, mv, mkdr, touch y
vm) dentfcndose como os usuaros defndos en C%")@">+ (|uan, pedro y hugo) soamente s
se reaza desde as dreccones IP stadas en E0>@>E@@<D (192.168.0.25, 192.168.0.26,
192.168.0.23).
++.4. Candados de seguridad.
Sudo ncuye varos candados de segurdad que mpden se puedan reazar tareas pegrosas.
119
S se defne e mandato =usr=!in=vim en =etc=sudoers, se podr hacer uso de ste de os
sguentes modos:
F sudo /usr/bin/vim
F sudo vim
Sn embargo, no podr ser utzado as:
F cd /usr/bin
F sudo @/vim
S se defne e mandato =!in=ec$o, e usuaro podr utzaro de os sguentes modos:
F sudo /bin/echo *1ola*
F sudo echo *1ola*
Pero no podr utzaro de a sguente forma:
F sudo echo *1ola* R algo@txt
Para poder reazar a operacn anteror, tendra que utzar:
F sudo bash c *echo X1olaX R algo@txt*
Sudo permtr reazar una tarea sobre cuaquer archvo dentro de cuaquer drectoro an s no
tene permsos de acceso para ngresar a dcho drectoro sempre y cuando especfque la ruta
e2acta de dcho archvo.
F sudo chown named /var/named/dominio@Cone
Pero no podr utzaro as:
F sudo chown named /var/named/O@Cone
++.5. o #ue no se recomienda.
S se quere permtr a un usuaro utzar lo #ue sea, desde cuaquer anftrn, cmo cuaquer
usuaro de sstema y sin necesidad de autenticar, se puede smpemente defnr:
!ulano 300 ) (300) +.;3SS2$" 300
++.6. Facilitando la vida a travs de Y=.!as$Qpro&ile.
BASH (Bourne-Agan >$e) permte utzar varabes de entorno y aases defndas en
Y=.!as$Qpro&ile a ncar a sesn, sendo que e admnstrador utzar actvamente muchos
mandatos dversos, estos se pueden smpfcar a travs de aases que resuman stos. Por
e|empo, s se quere defnr que se utce sudo cada vez que se nvoque a mandato c$Kcon&ig, se
puede aadr o sguente a archvo Y=.!as$Qpro&ile:
120
alias chkcon!ig)*sudo /sbin/chkcon!ig*
Lo anteror permtr e|ecutar drectamente e mandato c$Kcon&ig sn necesdad de preceder ste
con e mandato sudo. A contnuacn s dversos aases que pueden ser de utdad en e archvo
Y=.!as$rc y que permtrn utzar mandatos dversos con sudo.
A @bashrc
A Iet the aliases and !unctions
i! D ! T/@bashrc EY then
@ T/@bashrc
!i
A =ser speci!ic environment and startup programs
;3/1)F;3/1"F1.,%/bin?+s!#n?+sr+s!#n
export ;3/1
unset =S%R+3,%
4)#4s 63:6on<#7="s5o +s!#n+63:6on<#7"
4)#4s ser"#6e="s5o +s!#n+ser"#6e"
4)#4s ro2e="s5o +s!#n+ro2e"
4)#4s 5e./o5="s5o +s!#n+5e./o5"
4)#4s #<6on<#7="s5o +s!#n+#<6on<#7"
4)#4s 63/o5="s5o +!#n+63/o5"
4)#4s 63o*n="s5o +!#n+63o*n"
4)#4s 637r.="s5o +!#n+637r."
4)#4s ser455="s5o +sr+s!#n+ser455"
4)#4s ser5e)="s5o +sr+s!#n+ser5e)"
4)#4s 7ro.455="s5o +sr+s!#n+7ro.455"
4)#4s 7ro.5e)="s5o +sr+s!#n+7ro.5e)"
4)#4s e5Co24="s5o +sr+s!#n+e5Co24"
4)#4s "#="s5o +sr+!#n+"#/"
4)#4s )ess="s5o +sr+!#n+)ess"
4)#4s 24#)="s5o +sr+!#n+24#)"
4)#4s y/="s5o +sr+!#n+y/"
4)#4s s4s).4ss*5,="s5o +sr+s!#n+s4s).4ss*5,"
4)#4s 32.4ss*5="s5o +sr+!#n+32.4ss*5"
4)#4s o.enss)="s5o +sr+!#n+o.enss)"
4)#4s sys2e/-6on<#7-.r#n2er="s5o +sr+s!#n+sys2e/-6on<#7-.r#n2er"
4)#4s sys2e/-6on<#7-ne2*or:="s5o +sr+s!#n+sys2e/-6on<#7-ne2*or:"
4)#4s sys2e/-6on<#7-5#s.)4y="s5o +sr+!#n+sys2e/-6on<#7-5#s.)4y"
Para que surtan efectos os cambos, hay que sar de a sesn y vover a ngresar a sstema con a
msma cuenta de usuaro, en cuyo archvo Y=.!as$Qpro&ile se aaderon estos aases.
121
+*. Cmo crear cuentas de usuario
+*.+. %ntroduccin
GNU/Lnux es un sstema operatvo con muchas caracterstcas y una de eas es que se dse
para ser utzado por mtpes usuaros. An cuando se tenga una PC con un nco usuaro, es
mportante recordar que no es convenente reazar e traba|o daro desde a cuenta de root,
msma que so debe utzarse para a admnstracn de sstema .
Una cuenta de usuario contene as restrccones necesaras para mpedr que se e|ecuten
mandatos que puedan daar e sstema 2programas troyanos como el Bliss2, se atere
accdentamente a confguracn de sstema, os servcos que traba|an en e trasfondo, os
permsos y ubcacn de os archvos y drectoros de sstema, etc.
+*.*. <rocedimientos
Generamente e paso que procede a una nstaacn de GNU/Lnux es a creacn de cuentas de
usuaro. Para eo exsten dstntos mtodos, todos sencos que permten crear una cuenta con su
propo drectoro de traba|o y os archvos necesaros.
Actuamente exsten recursos como e programa nstaador de Red Hat Lnux y programas que
funconan desde un entorno grfco, como es Lnuxconf y Webmn, as como recursos que
funconan en modo de texto o desde una ventana termna, como son os mandatos tradconaes,
useradd y pass)d, y agunos otros programas, como YaST y a versn correspondente de
Lnuxconf o Webmn.
+*.*.+. Creando una cuenta en el modo de te2to- useradd y passwd
Este procedmento puede reazarse de forma segura tanto fuera de X Wndow como desde una
ventana termna en e entorno grfco de que se dsponga. Fue e mtodo comnmente utzado
antes de a aparcn de programas como YaST y Lnuxconf. Sn embargo an resuta t para a
admnstracn de servdores, cuando no se tene nstaado X Wndow, no se tenen nstaados
YaST o Lnuxconf 2o las versiones de estos que se an instalado no trabajan correctamente2, o ben
se tenen mtacones o probemas para utzar un entorno grfco.
+*.*.+.+. o primero- el mandato useradd
E prmer paso para crear una nueva cuenta consste en utzar e mandato useradd de sguente
modo:
useradd nombre-del-usuario
122
E|empo:
useradd !ulano
+*.*.+.*. o segundo- el mandato passwd
E paso sguente despus de crear a nueva cuenta con useradd es especfcar una contrasea
para e usuaro. Determne una que e resute fc de recordar, que mezce nmeros, mayscuas y
mnscuas y que, preferentemente, no contenga paabras que se encontraran fcmente en e
dcconaro. Exsten otras recomendacones, por o que es convenente eer, antes de contnuar, os
comentaros fnaes acerca de a segurdad ncudos en este msmo artcuo.
Aunque e sstema sempre tratar de prevenro cuando se esco|a una mala contrasea, ste no e
mpedr que o haga. Especfcar una nueva contrasea para un usuaro, o ben cambar a
exstente, se puede reazar utzando e mandato passwd de sguente modo:
passwd nombre-del-usuario
E|empo:
passwd !ulano
E sstema soctar entonces que proceda a escrbr a nueva contrasea para e usuaro y que
repta sta para confrmar. Por segurdad, e sstema no mostrar os caracteres teceados, por o
que debe hacero con cudado. S se consdera que ta vez se cometeron errores de teceado,
puede presonarse as veces que sean necesaras a teca <Backspace> o <Retroceso>. De
cuaquer forma e sstema e nformar s concde o no o teceado. S todo sa ben recbr
como respuesta de sstema code 0. S en cambo recbe code 1, sgnfcar que deber repetr e
procedmento, en vrtud de haberse producdo un error.
Este procedmento tambn puede utzarse para cambar una contrasea exstente.
+*.*.+.3. 0pciones avan8adas
En muchos casos as opcones pueden no ser necesaras, pero s se est admnstrando un servdor
o estacn de traba|o, o ben se es un usuaro un poco ms expermentado, y se quere crear una
cuenta con mayores o menores restrccones, atrbutos y/o permsos, pueden utzarse as
sguentes opcones de useradd:
-c comment
Se utza para especfcar e archvo de comentaro de campo para a nueva cuenta.
-d home dr
Se utza para estabecer e drectoro de traba|o de usuaro. Es convenente, a fn de tener un sstema
ben organzado, que este se ocace dentro de drectoro +ome.
-e expre date
Se utza para estabecer a fecha de expracn de una cuenta de usuaro. sta debe ngresarse en e
sguente formato: AAAA-MM-DD.
-g nta group
Se utza para estabecer e grupo nca a que pertenecer e usuaro. De forma predetermnada se
estabece como nco grupo 1. Nota: e grupo asgnado debe exstr.
123
-G group,|...|
Se utza para estabecer grupos adconaes a os que pertenecer e usuaro. stos deben separarse
utzando una coma y sn espacos. Lo anteror es muy convenente cuando se desea que e usuaro
tenga acceso a determnados recursos de sstema, como acceso a a undad de dsquetes,
admnstracn de cuentas PPP y POP. Nota: os grupos asgnado deben de exstr.
-m
Se utza para especfcar que e drectoro de traba|o de usuaro debe ser creado s acaso este no
exstese, y se coparn dentro de ste os archvos especfcados en +etc+s(el.
-s she
Se utza para estabecer e ntrprete de mandatos que podr utzar e usuaro. De forma
predetermnada, en Red Hat Lnux y Fedora Core, se estabece bas como ntrpete de
mandatos predefndo.
-u ud
Se utza para estabecer e UID, es decr, a ID de usuaro. Este debe ser nco. De forma
predetermnada se estabece como UID e nmero mnmo mayor a 99 y mayor que e de otro usuaro
exstente. Cuando se crea una cuenta de usuaro por prmera vez, como ocurre en Red Hat Lnux y
Fedora Core generamente se asgnar 344 como UID de usuaro. Los UID entre 0 y 99 son
reservados para as cuentas de os servcos de sstema.
E|empo:
useradd u 8## d /home/!ulano I !loppyBpppusersBpopusers !ulano
Lo anteror crear una cuenta de usuaro amada fuano, que se encuentra ncuda en os
grupos foppy, pppusers y popusers, que tendr un UID=500; utzar Bash como ntrprete de
mandatos y tendr un drectoro de traba|o en /home/fuano.
Exsten ms opcones y comentaros adconaes para e mandato useradd, as que se encuentran
especfcadas en os manuaes. Para acceder a esta nformacn, utce e mandato man useradd
desde una ventana termna.
+*.*.*. "liminar una cuenta de usuario
En ocasones un admnstrador necestar emnar una o ms cuentas de usuaro. Este es un
procedmento prncpamente utzado en servdores y estacones de traba|o a os cuaes acceden
mtpes usuaros. Para ta fn nos vadremos de mandato userdel. La sntaxs bsca de este
mandato es a sguente:
userdel nombre-del-usuario
E|empo:
userdel !ulano
S se desea emnar tambn todos os archvos y drectoros subordnados contendos dentro de
drectoro de traba|o de usuaro a emnar, se deber agregar a opcn -r:
userdel r nombre-del-usuario
E|empo:
124
userdel r !ulano
+*.3. :ane.o de grupos
+*.3.+. Alta de grupos
groupadd grupoJuesea
+*.3.*. Alta de grupos de sistema
Un grupo de sstema es aque que tene un nmero de dentdad de grupo (GID) por deba|o de 500.
Reguarmente se asgna automtcamente e nmero de dentdad de grupo ms ba|o dsponbe.
groupadd r grupoJuesea
+*.3.3. Ba.a de grupos
groupdel grupoJuesea
+*.3.4. Asignacin de usuarios e2istentes a grupos e2istentes
gpasswd a usuarioJuesea grupoJuesea
+*.4. Comentarios &inales acerca de la seguridad
Cuando, en a mayora de os casos, un dencuente nformtco consgue nftrarse en un sstema
GNU/Lnux o Unx no es porque ste cuente con un hueco de segurdad, sno porque e ntruso
pudo vunerar aguna de as contraseas de as cuentas exstentes. S usted especfc durante e
proceso de nstaacn de Lnux una mala contrasea de root, ago muy comn entre usuaros
novcos, es atamente recomendado cambara.
Evte especfcar contraseas fces de advnar . Con esto nos refermos partcuarmente a
utzar contraseas que utcen paabras ncudas en cuaquer dcconaro de cuaquer
doma, datos reaconados con e usuaro o empresa, como son e regstro federa de
causantes (R.F.C.), fechas de nacmento, nmeros teefncos, seguro soca, nmeros de
cuentas de acadmcos o aumnos y nombres de mascotas, a paabra &inu56, nombres de
persona|es de cenca fccn, etc.
Evte escrbr as contraseas sobre medos fscos, prefera sempre mtarse a
memorzaras.
S necesta amacenar contraseas en un archvo, hgao utzando cfrado.
S se e dfcuta memorzar contraseas compe|as, utce entonces contraseas fces de
recordar, pero c;m!ielas peridicamente.
|ams proporcone una contrasea a personas o nsttucones que se a socten. Evte
proporconara en especa a personas que se dentfquen como membros de agn servco
de soporte o ventas. Este tmo caso o mencona con nfass a pgna de manua de
mandato passwd.
125
Consderaremos como una buena contrasea aquea se compone de una combnacn de nmeros
y etras mayscuas y mnscuas y que contene a menos 8 caracteres. Tambn es posbe
utzar pares de paabras con puntuacn nsertada y frases o secuencas de paabras, o ben
acrnmos de stas.
Observar estas recomendacones, prncpamente en sstemas con acceso a redes ocaes y/o
pbcas como Internet, har que e sstema sea ms seguro.
126
+*.5. Apndice- Con&igurando valores prede&inidos para el
alta de cuentas de usuario
+*.5.+. Arc$ivo =etc=de&ault=useradd para de&inir varia!les utili8adas por
el mandato useradd
Como root, utce un edtor de texto sobre =etc=de&ault=useradd. Encontrar, nvarabemente, e
sguente contendo:
A useradd de!aults !ile
IR.=;)1##
1.,%)/home
'+3(/'&%)1
%X;'R%)
S1%00)/bin/bash
SH%0)/etc/skel
Puede cambar o vaores que consdere convenentes.
+*.5.+.+. Faria!le E0:"
E drectoro de nco de usuaro ser creado dentro de /home, de acuerdo a como se estpua en
"st;ndar de Jerar#ua de >istema de Arc$ivos o FHS (Fesystem Eerarchy >tandard). E
vaor de esta varabe puede ser cambado de acuerdo a as necesdades o preferencas de
admnstrador.
Por e|empo, en e caso de un sstema dedcado a servco de hospeda|e de stos de red vrtuaes a
travs de HTTPD, pudera preferrse utzar /var/www para este fn a modo de smpfcar tareas
para e admnstrador de sstema.
En otros casos, especfcamente en servdores de correo, donde se quere apcar una soa cuota
de disco genera para buzn de correo y carpetas de correo en e drectoro de nco, pudera
crearse un drectoro dentro de /var, como por e|empo /var/home o /var/users, de modo que a
apcar cuota de dsco sobre a partcn /var, sta nvoucrara tanto e buzn de entrada de
usuaro, ocazado en /var/spool/mail/usuario, como as carpetas de correo en e drectoro de
nco de usuaro, ocazados dentro de drectoro /var/home/usuario/mail/.
+*.5.+.*. Faria!le >E"
E ntrprete de mandatos a utzar para as nuevas cuentas que sean creadas en adeante se
defne a travs de a varabe >E". De modo predefndo e sstema asgna /bin/bash (BASH o
Bourne Agan >$e) como ntrprete de mandatos; sn embargo o certo es que s e sstema se
utzar como servdor, o ms convenente sera asgnare de modo predefndo otro vaor.
E ms utzado es /sbin/nologin, e cua es un programa que de forma corts rechaza e ngreso
en e sstema (ogn). Muestra un mensa|e respecto a que a cuenta no est dsponbe (o ben o
que se defna en /etc/nologin.txt) y da sada. Se utza como reempazo de un ntrprete de
mandatos en cuentas que han sdo desactvadas o ben que no se quere accedan haca un
ntrprete de mandatos. Este programa regstra en a btcora de sstema todo ntento de acceso.
Para utzaro como vaor para a varabe SHELL, so hay que cambar >E"R=!in=!as$ por
>E"R=s!in=nologin.
127
A useradd de!aults !ile
GROUP=100
1.,%)/home
'+3(/'&%)1
%X;'R%)
SEELL=+s!#n+no)o7#n
SH%0)/etc/skel
En adeante todo nuevo usuaro que sea dado de ata en e sstema con e mandato useradd sn
parmetro aguno, de modo predefndo no podr acceder a sstema a travs de ntrprete de
mandatos (she), es decr, acceso en termna oca o remotamente. Los usuaros con estas
caracterstcas podrn, sn embargo, utzar cuaquer otro servcos como FTP, correo o Samba sn
probema aguno.
Otros vaores para a varabe SHELL pueden ser:
=s!in=nologin, programa que de forma corts rechaza e ngreso en e sstema
(ogn).
=!in=&alse, programa que reaza sada nmedata ndcando faa. Es decr, que no
permte a reazacn de cosa aguna y adems con faa. Idea s se quere tener
cuentas de usuaro con acceso haca FTP, correo, Samba, etc., aunque sn permtr e
acceso haca un ntrprete de mandatos.
=dev=null, e dspostvo nuo que descarta todos os datos escrtos sobre ste y no
provee datos para cuaquer proceso que o ea. Idea para defnrse cuando se quere
utzar una cuenta que so tenga acceso a correo (SMTP, POP3, IMAP y/o cente de
correo con nterfaz HTTP).
=!in=!as$, ntrprete de mandatos desarroado por e proyecto GNU. Es e ntrprete
de mandatos predefndo en Lnux y Mac OS X (a partr de Tger).
=!in=s$, un enace smbco que apunta haca /bn/bash y ofrece una versn
smpfcada de Bash muy smar a Bourne She (sh).
=!in=tcs$, una versn me|orada de de mandatos de C (csh).
=!in=as$, un con de Bourne she (sh) que utza menos memora.
=!in=8s$, una versn me|orada de sh con funcones tes encontradas en Bash y
tcsh.
+*.5.*. Directorio =etc=sKel como molde para crear los directorios de
inicio de los usuarios
De modo predefndo as cuentas de usuaro de sstema utzarn como mode a drectoro
/etc/skel para crear e drectoro de nco de todos os usuaros de sstema. En sstemas basados
sobre Red Hat, reguarmente y como mnmo, e drectoro /etc/skel ncuye os sguentes
guones de nco:
@bash-logout @bash-pro!ile @bashrc @gtkrc
S, por e|empo, se desea que cada cuenta de usuaro ncuya un drectoro subordnado para
carpetas de correo y suscrpcn a stas a travs de servco de IMAP, se debe reazar e sguente
procedmento:
mkdir /etc/skel/mail/
touch /etc/skel/mail/9orradores
touch /etc/skel/mail/%nviados
touch /etc/skel/mail/;apelera
128
Y ,fnamente, crear con el editor de te2to e archvo /etc/skel/.mailboxlist que srve para
regstrar as suscrpcones haca carpetas de correo que sern utzadas por e servco IMAP con
un servdor UW-IMAP, utzando e sguente contendo:
mail/9orradores
mail/%nviados
mail/;apelera
S se pretende utzar modo grfco en e sstema, de forma adcona se puede corregr un
probema con agunas versones de Frefox que generan un drectoro -/.moza con permsos de
acceso so para root, de modo ta que a aadro en /etc/ske se ncuya un drectoro -/.moza
con permsos de acceso para e usuaro a crear cada cuenta de usuaro.
mkdir /etc/skel/@moCilla
+*.6. Apndice- ".ercicio- Creando cuentas de usuario
+*.6.+. %ntroduccin
A fn de poder traba|ar con comoddad, se crearn agunos grupos y cuentas de usuaro con
dversas caracterstcas.
+*.6.*. <rocedimientos
1. Genere contendo predefndo para os drectoros de nco a fn de que e de cada usuaro
contenga os drectoro subordnados -/Desktop, -/Documents, -/ma y -/.moza:
ls a /etc/skel
mkdir /etc/skel/Z$esktopB$ocumentsBmailB@moCilla[
ls a /etc/skel
2. Genere, s no o ha hecho an como parte de os procedmentos de curso, a usuaro
denomnado fuano con derecho a ntrprete de mandatos, drectoro de nco =$ome=&ulano
y grupo prncpa fuano (vaores por defecto):
useradd s +!#n+!4s3 !ulano
passwd !ulano
3. Genere a usuaro denomnado mengano sn derecho a ntrprete de mandatos, asgnando e
drectoro de nco =$ome=mengano y grupo prncpa mengano (vaores por defecto):
useradd s +s!#n+no)o7#n mengano
passwd mengano
4. Genere e grupo denomnado desarroo:
groupadd desarrollo
5. Genere e grupo denomnado sstemas como grupo de sstema:
129
groupadd -r sistemas
6. Genere os drectoros subordnados =$ome=desarrollo y =$ome=sistemas= de sguente modo:
mkdir p /home/desarrollo
mkdir p /home/sistemas
7. Genere a usuaro denomnado perengano con derecho a ntrprete de mandatos, asgnando
e drectoro de nco /home/desarrollo/perengano, grupo prncpa de desarroo y grupo
adcona sstemas:
useradd s /sbin/nologin m d +3o/e+5es4rro))o+.eren74no -7 5es4rro))o I sistemas perengano
passwd perengano
8. Genere a usuaro denomnado zutano con derecho a ntrprete de mandatos, asgnando e
drectoro de nco /home/sistemas/zutano, grupo prncpa sstemas y grupo adcona de
desarroo:
useradd s /bin/bash m d /3o/e+s#s2e/4s+B24no -7 s#s2e/4s I desarrollo Cutano
passwd Cutano
9. Vsuace e contendo de os archvos =etc=group y =etc=passPd y compare y determne as
dferencas entre os grupos desarroo y sstemas y os usuaros fuano, mengano,
perengano y zutano.
cat /etc/group
cat /etc/passwd
130
+3. Breve leccin de mandatos !;sicos.
+3.+. %ntroduccin.
Por favor siga los procedimientos al pie de la letra. En varos e|empos utzar e carcter -
(tde), que es una forma de abrevar e drectoro de nco de usuaro con e que se ha ngresado
a sstema.
+3.*. <rocedimientos.
Ingrese prmero como e usuaro root e nstae os sguentes paquetes:
yum y install man tar Cip unCip gCip bCip5 perl less
Cerre a sesn como root.
Ingrese nuevamente a sstema, esta vez como usuaro (fuano).
Una vez que ha ngresado a sstema, reace o sguente:
pwd
Lo anteror e mostrar a ruta actua donde se ocaza, en este caso su drectoro de nco. E
mandato pPd, por tanto, srve para mostrar a ruta de drectoro de traba|o actua (pat of
wor(ing directory).
Reace o sguente:
cd /usr/local
pwd
Lo anteror o cambar a drectoro =usr=local y e mostrar a ruta actua. E mandato cd, por
tanto, srve para cambar de drectoro de traba|o (cange directory).
Reace o sguente:
cd
pwd
131
Lo anteror o regresar a drectoro de nco (-) y e mostrar que ahora se ocaza dentro de
ste.
Reace o sguente:
ls /usr/local
Lo anteror mostrar e contendo de drectoro =usr=local y adems e demostrar que es
nnecesaro cambarse a un drectoro en partcuar para ver su contendo. E mandato ls, por
tanto, srve para mostrar a sta de contendo de drectoros (list)
Reace o sguente:
ls
ls a
Lo anteror prmeramente mostrar que aparentemente no hay contendo en e drectoro de nco
(-); despus se mostrar o sguente y que en readad s hay contendo; os archvos y drectoros
de converten a ocutos a renombrares y poneres un punto a nco.
@bash-logout @bash-pro!ile @bashrc
Reace o sguente:
ls la
Lo anteror deber de mostrar todo e contendo de su drectoro de nco (-) y mostrar adems
os atrbutos y permsos:
drwxrxrx 5 !ulano !ulano >#76 ago 1? ##"16 @
drwxrxrx 56 root root 4175 ago 57 11"#7 @@
rwrr 1 !ulano !ulano 5> dic 11 5##? @bash-logout
rwrr 1 !ulano !ulano 171 dic 11 5##? @bash-pro!ile
rwrr 1 !ulano !ulano 15> dic 11 5##? @bashrc
Reace o sguente:
ls help
Lo anteror e mostrar a ayuda rpda de s. Puse smutneamente en su tecado os botones
<SHIFT> y <Re Pg> y uego puse smutneamente en su tecado os botones <SHIFT> y <Av
Pg>; sto har que se despace a pantaa permtendo eer toda a nformacn.
Puse e botn <ENTER> y reace o sguente:
man ls
Lo anteror e mostrar e manua en espao. Puse as tecas de <Av Pg> y <Reg Pg> para
avanzar en e manua. Puse a teca = y a contnuacn ngrese nmedatamente a paabra
drectoro y uego puse a teca <ENTER>:
132
"/directorio
Lo anteror e mostrar que se ha reazado una bsqueda y resatado de a paabra drectoro en
e manua de s. Para sar de manua de s, puse a teca #.
Reace o sguente para crear un nuevo drectoro:
mkdir eMemplos1
Reace o sguente para ntentar generar un subdrectoro denomnado uno dentro de drectoro
e|empos2 (e cua no exste ;n).
mkdir eMemplos5/uno/
Lo anteror deber devover un mensa|e de error como e sguente:
mkdir" no se puede crear el directorio \eMemplos5/uno]" +o existe el archivo o el
directorio
A fn de poder crear e subdrectoro uno dentro de drectoro e|empos2, es necesaro crear
prmero e|empos2. Sn embargo puede ndcare a mkdr que genere toda a ruta aadendo a
opcn -p (path):
mkdir p eMemplos5/uno
ls
ls eMemplos5
Lo anteror creo e drectoro e|empos2 |unto con e subdrectoro uno en su nteror y mostr
que fue creado e|empos2 y posterormente e contendo de e|empos2 para verfcar que
tambn fue creado uno.
Ahora coparemos agunos archvos para expermentar un poco dentro de esta carpeta utzando
e mandato cp:
cp /etc/!stab T/eMemplos1/
Luego vueva a utzar e mandato cp de este modo:
cp /etc/passwd T/eMemplos1/
Con os dos anterores procedmentos habr copado dos dstntos archvos (=etc=&sta! y
=etc=passPd) dentro de drectoro ejemplos7. Proceda entonces a |ugar con estos. Utce de
nuevo e mandato mKdir y genere una carpeta denomnada adicional dentro de drectoro de
e.emplos+.
mkdir T/eMemplos1/adicional
Ahora acceda haca e drectoro de ejemplos7 para contnuar. Reace o sguente:
133
cd T/eMemplos1/
Y ahora proceda a ver e contendo de esta carpeta. Utce e sguente mandato:
ls
Observar en a pantaa ago como esto:
D!ulanoSlocalhost eMemplos1EF
adicional !stab passwd
Ahora est vsuazando os archvos &sta! y passPd y e drectoro adicional
Mueva uno de estos archvos dentro de drectoro adicional utzando e mandato mv:
mv !stab adicional
Para ver e resutado, prmero vea que ocurr en e drectoro e.emplos+ utzando de nuevo e
mandato ls:
ls
Ver una sada en pantaa smar a a sguente:
adicional passwd
Acceda haca e drectoro adicional con e mandato cd
cd adicional
Se observar una sada smar a a sguente:
D!ulanoSlocalhost adicionalEF
!stab
D!ulanoSlocalhost adicionalEF

Regrese haca e drectoro e.emplos+ que se encuentra en e nve superor utzando e mandato
cd:
cd @@/
Ahora proceda a emnar e archvo passPd que se encuentra en e drectoro e.emplos+
rm passwd
134
Haga o msmo con &sta!, e cua se ocaza dentro de drectoro adicional:
rm adicional/!stab
Emne e drectoro adicional:
rmdir adicional
+3.*.+. Fisuali8ando contenido de arc$ivos.
S utza e mandato cat sobre un archvo, a sada devover e contendo de este. utce o
sguente para ver e contendo de archvo =etc=cronta!:
cat /etc/crontab
Lo anteror debe devover una sada similar a a sguente:
S1%00)/bin/bash
;3/1)/sbin"/bin"/usr/sbin"/usr/bin
,3'0/.)root
1.,%)/
A runparts
#1 O O O O root runparts /etc/cron@hourly
#5 > O O O root runparts /etc/cron@daily
55 > O O # root runparts /etc/cron@weekly
>5 > 1 O O root runparts /etc/cron@monthly
S soo se qusera ver as neas que contengan a cadena de caracteres root, se utza e mandato
grep como subrutna de sguente modo:
cat /etc/crontab ^ grep root
Lo anteror debe devover una sada smar a a sguente:
,3'0/.)root
S se qusera hacer o contraro, y soo vsuazar as neas que no contengan a cadena de
caracteres root, se utza e mandato grep como subrutna de sguente modo:
cat /etc/crontab ^ grep v *root*
S1%00)/bin/bash
1.,%)/
135
A runparts
Lo anteror ncuye tambn as neas vacas. Para mostrar e msmo resutado sn neas vacas, se
utza e msmo mandato agregando sed -e '/$/d' como subrutna de sguente modo, donde sed
es un edtor para ftrado y transformacn de texto, e|ecutando ((e) =XZ=d que se refere a neas
vacas:
cat /etc/crontab ^ grep v *root* ^ sed e X/WF/dX
S1%00)/bin/bash
1.,%)/
A runparts
+3.*.*. ?eneracin de te2to por !ucles.
Reace o sguente, donde se utza e mandato perl e|ecutando ((e) e gun for($=1;$<10;$+
+){prnt "$n";}, en e cua se genera a varabe i que es gua a 1 y menor a 10 y a a cua se va
sumando y devueve una sada con e vaor de i con retorno de carro.
perl e X!or(Fi)1YFi_1#YFiNN)Zprint *FiPn*Y[X
1
5
?
>
8
6
6
4
7
Modfque e gun de mandato anteror y reempace /Zin/ por /)1mero Zin/ de sguente modo:
perl e X!or(Fi)1YFi_1#YFiNN)Zprint *+`mero FiPn*Y[X
+`mero 1
+`mero 5
+`mero ?
+`mero >
+`mero 8
+`mero 6
+`mero 6
+`mero 4
+`mero 7
136
Para guardar sto en un archvo, aada a mandato anteror >> -/texto.txt de sguente modo
para cambar a sada estndar de a pantaa haca e archvo -/texto.txt:
perl e X!or(Fi)1YFi_1#YFiNN)Zprint *+`mero FiPn*Y[X RR T/texto@txt
Lo anteror soo regresa e smboo de sstema. Utce emandato cat para vsuazar e contendo
de archvo -/texto.txt de sguente modo:
cat T/texto@txt
Lo anteror debe devover una sada smar a a sguente y que corresponde a contendo de
archvo -/texto.txt:
+`mero 1
+`mero 5
+`mero ?
+`mero >
+`mero 8
+`mero 6
+`mero 6
+`mero 4
+`mero 7
+3.*.3. Bucles.
A contnuacn aprender a utzar funcones ms avanzadas. En e sguente caso usted crear
respados de un con|unto de archvos de mgenes, asgnando a cada uno un nombre dstnto a
que tenan en su drectoro de orgen. Prmero crear un nuevo drectoro:
mkdir T/respaldos
Reace os sguentes mandatos:
65 +sr+s34re+.#;/4.s+
!or ! in O@png
do
cp F! T/respaldos/copiaF!
done
cd
Lo anteror reazar a copa en sere de os archvos dentro de =usr=s$are=pi2maps= dentro de
Y=respaldos= anteponendo en e nombre de as copas a paabra copa. Mre e contendo de
Y=respaldos= de sguente modo:
ls T/respaldos/
En e sguente caso usted defnr dos varabes ($hombre y $mu|er) cuyos datos sern obtendos
a partr de un archvo de texto smpe (pare|as.txt) y obtendr una sada por cada |uego de
varabes.
cd
echo *auan aose!ina* RR pareMas@txt
137
echo *;edro aulieta* RR pareMas@txt
echo *;ablo ,iriam* RR pareMas@txt
echo *aorge 3ntonia* RR pareMas@txt
echo *%rnesto (armen* RR pareMas@txt
while read hombre muMer
do
echo *Fhombre es pareMa de FmuMer*
echo **
done _ pareMas@txt
+3.*.4. Aliases.
Reace o sguente:
touch algonuevo@txt
touch otronuevo@txt
cp algonuevo@txt otronuevo@txt
En o anteror se crearon con e mandato touc$ os archvos algo(nuevo.t2t y otro(nuevo.t2t y
se reaz una copa de algo(nuevo.t2t sobre-escrbendo otro(nuevo.t2t. Note que se sobre-
escrb a otro(nuevo.t2t sn preguntar.
E|ecute ahora o sguente:
alias cp)*cp i*
cp algonuevo@txt otronuevo@txt
En o anteror se creo un aas denomnado cp que corresponde en readad a mandato cp con a
opcn (i, a cua corresponde a preguntar s se sobre-escrben archvos reguares destno
exstentes. Cuando se e|ecuta de nuevo e mandato cp, ste o drectamente hace con a opcn (i.
Para deshacer e aas sobre e mandato cp, soo se necesta e|ecutar:
unalias cp
Reace o sguente para crear un nuevo mandato como alias:
alias mimandato)*ls l ^less*
Lo anteror crea un alias denomnado mi(mandato, e cua corresponder a e|ecutar e mandato
s con a opcn - y adems e|ecutar como subrutna a mandato less. E|ecute mi(mandato de
sguente modo y estude a sada.
mimandato /etc
Lo anteror debe haber mostrado e contendo de drectoro =etc utzando less para poder
despazar cmodamente a pantaa. Para sar de less soo puse a teca #.
138
Los aases creados perduran hasta que es cerrada a sesn de usuaro. Para que cuaquer aas
sea permanente para un usuaro en partcuar, hay que especfcar estos a fna de archvo
Y=.!as$Qpro&ile, o ben como root en agn archvo *.sh dentro de drectoro =etc=pro&ile.d= para
que sea utzado por todos os usuaros de sstema. E|ecute e mandato alias para ver a sta de
aases predefndos en e sstema.
alias
+3.*.5. ?estin de arc$ivos 8ipL tarL tar.g8 y tar.!8*.
Cope por competo e drectoro =usr=s$are=pi2maps dentro de su drectoro de nco.
cp a /usr/share/pixmaps T/
Genere un archvo .zp utzando e sguente mandato:
Cip r pixmaps@Cip pixmaps/
Lste e contendo de archvo pi2maps.8ip utzando e sguente mandato:
unCip l pixmaps@Cip
Extraga e contendo de archvo pi2maps.8ip dentro de drectoro -/e|empos1/ utzando e
sguente mandato:
unCip pixmaps@Cip d T/eMemplos1/
Extraga e contendo de archvo pi2maps.8ip dentro de drectoro -/e|empos1/, pero soo
extrayendo os archvos de prmer nve con extensn .png, utzando e sguente mandato:
unCip pixmaps@Cip d T/eMemplos1/ O@png
Extraga e contendo de archvo pi2maps.8ip dentro de drectoro -/e|empos1/, pero soo
extrayendo os archvos de segundo nve con extensn .png, utzando e sguente mandato:
unCip pixmaps@Cip d T/eMemplos1/ O/O@png
Genere un archvo .tar (sn compresn) utzando e sguente mandato:
tar c! pixmaps@tar pixmaps/
Lste e contendo de archvo pi2maps.tar utzando e sguente mandato:
tar tv! pixmaps@tar
Extraga e contendo de archvo pi2maps.tar dentro de drectoro -/e|empos1/ utzando e
sguente mandato:
139
tar xv! pixmaps@tar ( T/eMemplos1/
Extraga e contendo de archvo pi2maps.tar dentro de drectoro -/e|empos1/, pero soo
extrayendo os archvos con extensn .png, utzando e sguente mandato:
tar xv! pixmaps@tar ( T/eMemplos1/ wildcards XO@pngX
Genere un archvo .tar.gz (con compresn GZIP) utzando e sguente mandato:
tar Cc! pixmaps@tar@gC pixmaps/
Lste e contendo de archvo pi2maps.tar.g8 utzando e sguente mandato:
tar Ctv! pixmaps@tar@gC
Extraga e contendo de archvo pi2maps.tar.g8 dentro de drectoro -/e|empos1/ utzando e
sguente mandato:
tar Cxv! pixmaps@tar@gC ( T/eMemplos1/
Extraga e contendo de archvo pi2maps.tar.g8 dentro de drectoro -/e|empos1/, pero soo
tar Cxv! pixmaps@tar@gC ( T/eMemplos1/ wildcards XO@pngXX
Genere un archvo .tar.bz2 (con compresn BZp2) utzando e sguente mandato:
tar Mc! pixmaps@tar@bC5 pixmaps/
Lste e contendo de archvo pi2maps.tar.!8* utzando e sguente mandato:
tar Mtv! pixmaps@tar@bC5
Extraga e contendo de archvo pi2maps.tar.!8* dentro de drectoro -/e|empos1/ utzando e
sguente mandato:
tar Mxv! pixmaps@tar@bC5 ( T/eMemplos1/
Extraga e contendo de archvo pi2maps.tar.!8* dentro de drectoro -/e|empos1/, pero soo
tar Mxv! pixmaps@tar@bC5 ( T/eMemplos1/ wildcards XO@pngX
140
+3.*.6. Apagado y reinicio de sistema.
Fnamente, y para concur a breve eccn de mandatos, es mportante conocer que en
GNU/Lnux se desempean varos procesos en e trasfondo. Estos servcos deben ser fnazados
apropadamente. E sstema operatvo es muy dferente a MS-DOS, en donde se poda apagar e
sstema en cuaquer momento. Hay que cerrar e sstema apropadamente, termnando servcos,
guardar en dsco e contendo de amacenamento prevo de a memora (buffer) que o requera, y
desmontar todos os sstemas de archvos. Para ta fn se utzan os mandatos poPero&& y
re!oot.
Para cerrar y apagar e sstema, debe utzar e sguente mandato:
powero!!
Para cerrar y rencar e sstema, debe utzarse e sguente mandato:
reboot
+3.3. 'esumen de mandatos !;sicos.
Puede y debe obtener mas detaes acerca de estos y otros muchos ms mandatos utzando a
opcn (($elp con cuaquer cas cuaquer mandato. Pude consutar e manua detaado de cas
cuaquer mandato conocdo teceando man precedendo de mandato a consutar:
man Dnombre del mandatoE
Para sar de as pgnas de manua de mandatos soo puse a teca #.
@a!la +. 'esumen de mandatos !;sicos.
S se necesta acceder haca una
carpeta en especa, utce:
cd Druta exacta o relativaE
S se necesta crear una nueva carpeta,
utce:
mkdir Dnombre del directorioE
S se desea copar un archvo, utce: cp DorigenE DdestinoE
S se desea mover una archvo, utce: mv Druta del archivo a moverE Ddirectorio en donde
se desea moverE
S se desea emnar un archvo, utce: rm Dnombre del archivo o ruta exacta hacia el
archivoE
S se desea emnar una carpeta,
utce:
rmdir Dnombre del archivo o ruta exacta hacia el
directorioE
S se desea apagar o rencar e
sstema, utce:
powero!! y reboot (pueden ser utiliCados como
usuario)
shutdown Dh rE Dnow 1B5B?B>B8B6@@@E (solo se
pueden utiliCar como roo2)
141
+4. Funciones !;sicas de vi
+4.+. %ntroduccin
v es uno de os edtores de texto ms poderosos y ae|os que hay en e mundo de a nformtca.
Resuta sumamente t conocer a funconadad bsca de v a fn de factar a edcn de
archvos de texto smpe, prncpamente archvos de confguracn.
+4.*. <rocedimientos
+4.*.+. %nstalacin y pa#uetes adicionales
Por o genera, v se nstaa de modo predefndo en a mayora de as dstrbucones de GNU/Lnux
a travs de paquete vim(minimal. Puede aadrse funconadad adcona a travs de os
sguentes paquetes:
vim(en$anced- Una versn me|orada de v que aade coor a a sntaxs y otras me|oras en a
nterfaz.
vim(D++: Versn de v para modo grfco que resuta ms fc de utzar gracas a os
mens y barra de herramentas.
S o desea, puede proceder a nstaar v y e resto de os paquetes reaconados reazando o
sguente:
yum y install vim vimenhanced vimcommon vimminimal
+4.3. Conociendo vi
Acceda a sstema autentcando como usuaro (fuano) y reace o sguente:
vi holamundo@txt
Lo anteror mostrar una nterfaz como a sguente:
142
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
*holamundo@txt* D3rchivo nuevoE #B#1 /odo
Puse una vez e botn <INSERT> de su tecado y observe os cambos en a pantaa
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
-- LNSERTAR -- #1 /odo
Note que en a parte nferor de a pantaa aparece a paabra %)>"'@A'. Esto sgnfca que, a
gua que cuaquer otro edtor de texto conocdo, puede comenzar a nsertar texto en e archvo.
Escrba a frase Acance Lbre, puse a teca <ENTER> y escri!a de forma propostva a frase
un vuen cto donde empesa:
143
3lcance 0ibre
un vuen citio donde empesar
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
-- LNSERTAR -- #1 /odo
Poscone e cursor de tecado |usto por deba|o de a v de a paabra vuen y puse de nuevo a
teca <INSERT> de tecado. Notar que ahora aparece a paabra REEMPLAZAR:
3lcance 0ibre
un vuen citio donde empesar
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
-- REEM8LAMAR -- #1 /odo
Puse a teca b y observe como se reempaza a etra v dando como resutado que a paabra
quede ortogrfcamente correcta como buen:
144
3lcance 0ibre
un buen citio donde empesar
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
Mueva e cursor con as fechas de tecado y repta e procedmento reempazando a etra c por
una s en a paabra cto de modo que quede como sto y de gua modo reempace a etra
s por una z en a paabra reempasar de modo que quede como empezar:
3lcance 0ibre
un buen sitio donde empeCar
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
Puse a teca <ESC> para sar de modo de reempazo e nmedatamente puse a teca : (dos
puntos) segudo de a etra w a fn de proceder a guardar e archvo en e dsco duro:
145
3lcance 0ibre
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
"w
Puse a teca <ENTER> y notar que aparece un mensa|e en a parte nferor de a pantaa que
ndcar que e archvo ha sdo guardado:
3lcance 0ibre
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
*holamundo@txt* D+uevoE 50B >>( escritos 5B? /odo
Vueva a pusar a teca - (dos puntos) e nmedatamente escrba saveas adosmundo.txt:
146
3lcance 0ibre
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
"saveas adiosmunto@txt
Puse nuevamente a teca <ENTER> y observe e mensa|e en a parte nferor de a pantaa que
ndca que e archvo acaba de ser guardado como adosmundo.txt:
3lcance 0ibre
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
*adiosmundo@txt* D+uevoE 50B >>( escritos 5B? /odo
Vueva a pusar a teca INSERT para regresar a modo de nsercn y escrba o sguente:
147
3lcance 0ibre
(reo Jue el mundo es un lugar muy malo
0a gente Jue conoCco es mala
,i vida ha sido muy mala
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
'+S%R/3R 8B5> /odo
A contnuacn puse a teca <ESC> e nmedatamente puse a teca - (dos puntos) segudo de a
combnacn de tecas Vs=mal=!uen=g de sguente modo:
3lcance 0ibre
(reo Jue el mundo es un lugar muy malo
0a gente Jue conoCco es mala
,i vida ha sido muy mala
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
"Vs/mal/buen/g
Puse de nuevo a teca <ENTER> y observe como ha sdo reempazada a cadena de caracteres
ma por a cadena de caracteres buen en todo e archvo, quedando de sguente modo:
148
3lcance 0ibre
(reo Jue el mundo es un lugar muy bueno
0a gente Jue conoCco es buena
,i vida ha sido muy buena
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
? sustituciones en ? lbneas 8B1 /odo
En e procedmento anteror, e smboo % ndcaba que se apcara un procedmento a todo e
archvo, no soo en a msma nea; a etra s ndcaba que se reazara a bsqueda de a cadena
de caracteres ma defnda despus de a dagona (/) por a cadena de caracteres buen en
toda a nea, ndcado por a etra g.
A contnuacn, poscone e cursor de tecado utzando as fechas de tecado hasta e prmer
carcter de a prmera nea:
3lcance 0ibre
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
? sustituciones en ? lbneas 8B1 /odo
Ahora puse dos veces consecutvas a teca d, es decr, pusar dd. Observe como desaparece
a prmera nea:
149
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T

Puse ahora a teca p para vover a pegar a nea:
3lcance 0ibre
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T

Observe que a nea Acance Lbre reaparec deba|o de a nea un buen sto donde empezar.
Utzando as fechas de tecado, cooque e cursor de tecado nuevamente sobre e prmer
carcter de a prmera nea de archvo, es decr, sobre a etra u de a nea un buen sto
donde empezar:
150
3lcance 0ibre
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
1B1 /odo
Vueva a pusar dd para cortar a nea un buen sto donde empezar e nmedatamente puse
a teca p para pegar a nea en e ugar correcto:
3lcance 0ibre
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
5B1 /odo
Cooque ahora e cursor sobre a etra C de a nea Creo que e mundo es un ugar muy bueno
y puse a teca 3 segudo de dd y observe como son cortadas as tres sguentes neas:
151
3lcance 0ibre
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
? lbneas menos 5B1 /odo
Puse a teca p una vez, observe e resutado. Vueva a pusar a teca p y observe e
resutado. Las dos accones anterores aaderon ahora 6 neas restaurando as emnadas
anterormente y agregando tres neas ms con e msmo contendo:
3lcance 0ibre
T
T
T
T
T
T
T
T
T
T
T
T
? lbneas mcs 5B1 /odo
Puse ahora a teca - (dos puntos) segudo de a teca x y a teca <ENTER> a fn de sar
guardando e archvo.
Abra nuevamente e archvo adiosmundo.t2t con v y puse a combnacn de tecas -=!uen, de
modo que se reace una bsqueda de a cadena de caracteres buen y adems se resaten as
concdencas:
152
3lcance 0ibre
T
T
T
T
T
T
T
T
T
T
T
T
/buen 5B1 /odo
Para cancear o que se encuentra resatado de os resutados, puse a combnacn de tecas
-no$l:
3lcance 0ibre
T
T
T
T
T
T
T
T
T
T
T
T
5B1 /odo
Puse A (combnacn de as tecas SHIFT+a) mentras e cursor permanece en a segunda nea y
observe que ncar e modo %)>"'@A' coocando e cursor a fna de a nea donde se
encontraba:
153
3lcance 0ibre
T
T
T
T
T
T
T
T
T
T
T
T
-- LNSERTAR -- 5B1 /odo
Puse a teca <ESC> y enseguda o. Notar que ncar e modo %)>"'@A' abrendo una nueva
nea:
3lcance 0ibre

T
T
T
T
T
T
T
T
T
T
T
-- LNSERTAR -- ?B1 /odo
Puse nuevamente a teca <ESC> y en seguda a combnacn d? (d, uego SHIFT+G). Notar que
se emna todo e contendo de texto desde a poscn de cursor hasta e fna de archvo:
154
3lcance 0ibre
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
T
6 lbneas menos 5B1 /odo
Puse a combnacn -u y notar que e cambo se ha descartado, regresando as 7 neas que
haban sdo emnadas:
3lcance 0ibre

T
T
T
T
T
T
T
T
T
T
T
6 lbneas mcs ?B#1 /odo
+4.4. 0tras com!inaciones de teclas
Com!inacin 'esultado
|o ben a teca nsert| Inca nsertar texto antes de cursor
a Inca nsertar texto despus de cursor
I ( + SHIFT) Inca nsertar texto a inicio de a nea donde se encuentra e cursor
A (a + SHIFT) Inca nsertar texto a &inal de a nea donde se encuentra e cursor.
o Abre una nueva nea e nca nsertar texto en a nueva nea.
155
Com!inacin 'esultado
x Emna e carcter que est sobre e cursor.
dd Emna a nea actua donde se encuentre e cursor.
D Emna desde a poscn actua de cursor hasta e fna de a msma nea
donde se encuentra e cursor.
dG Emna todo hasta e fna de archvo.
:q Aparece s no hubo cambos en e archvos.
:q! Aparece descartando os cambos en e archvo.
:w Guarda e archvo sn sar.
:wq Guarda e archvo y sae de v.
:x Lo msmo que :wq
:saveas /o/que/sea Guarda e archvo como otro archvo donde sea necesaro.
:wq! ++enc=utf8 Codfca e archvo en UTF-8.
:u Deshacer cambos
:red Rehacer cambos.
:/cadena de caracteres Bsqueda de cadenas de caracteres.
:noh Cancear e resatado de resutados de Bsqueda.
+4.5. :;s all; de las &unciones !;sicas
Instae e paquete vm-enhanced:
yum y install vimenhanced
Utce vimtutor y compete e tutor interactivo o&icial de v a fn de que conozca e resto de as
funconadades ms mportantes.
156
+5. %ntroduccin a sed
+5.+. %ntroduccin.
+5.+.+. Acerca de sed.
>ed es un edtor de emsones (stream edtor) utzado para e procesamento de texto en
archvos. Utza un engua|e de programacn para reazar transformacones en una emsn de
datos eyendo nea por nea de estos. Fue desarroado entre 1973 y 1974 por Lee E. McMahon de
Be Labs. Est ncudo en as nstaacones bscas de prctcamente todas as dstrbucones de
GNU/Lnux.
A contnuacn se mostrarn e|empos de uso de sed.
Utce v para crear e archvo usuaro.txt:
vi usuario@txt
Ingrese e sguente contendo y saga de v:
<ulano 3lgo
(alle ,engana 15?
(olonia ;erengana
(iudad de GutanoB (@;@ 15?>86
S utza e mandato cat sobre e archvo, vsuazar ta cua e contendo de usuaro.txt como fue
ngresado en v.
cat usuario@txt
S se quere convertr a dobe espaco a sada de archvo usuaro.txt, utce e sguente mandato:
sed I usuario@txt
La sada devover o sguente:
<ulano 3lgo
157
(alle ,engana 15?
(olonia ;erengana
Para guardar esta sada en e archvo usuaro2.txt, utce o sguente:
sed I usuario@txt R usuario5@txt
S se quere convertr a dobe espaco a sada de archvo usuaro.txt, utce e sguente mandato:
sed XIYIX usuario@txt
<ulano 3lgo
(alle ,engana 15?
(olonia ;erengana
Para guardar esta sada en e archvo usuaro2.txt, utce o sguente:
sed XIYIX usuario@txt R usuario?@txt
E contendo de usuaro3.txt tendr trpe espaco de separacn. S se desea convertr un archvo a
dobe espaco, pero que no haya ms de una nea vaca entre cada ena con datos, se utza o
sguente:
sed X/WF/dYIX usuario?@txt
<ulano 3lgo
(alle ,engana 15?
(olonia ;erengana
S se desea emnar e dobe espaco de archvo usuaro2.txt, se utza o sguente:
sed XnYdX usuario5@txt
<ulano 3lgo
(alle ,engana 15?
(olonia ;erengana
S se quere agregar una nea en banco arrba de toda nea que contenga a expresn reguar
enga, se utza o sguente:
158
sed X/enga/ZxYpYxY[X usuario@txt
<ulano 3lgo
(alle ,en74na 15?
(olonia ;erengana
S se quere agregar una nea en banco deba|o de toda nea que contenga a expresn reguar 3,
se utza o sguente:
sed X/?/IX usuario@txt
<ulano 3lgo
(alle ,engana 153
(olonia ;erengana
(iudad de GutanoB (@;@ 153>86
S se quere agregar una nea en banco arrba y deba|o de toda nea que contenga a expresn
reguar 3, se utza o sguente:
sed X/?/ZxYpYxYIY[X usuario@txt
<ulano 3lgo
(alle ,engana 15?
(olonia ;erengana
Para reempazar texto se utza e modeo 's/texto/nuevo-texto/' donde texto puede ser tambn
una expresn reguar. En e sguente e|empo se reempazarn as ncdencas de nmero por e
nmero 9:
sed Xs/?/7/gX usuario@txt
<ulano 3lgo
(alle ,engana 15%
(olonia ;erengana
(iudad de GutanoB (@;@ 15%>86
En e sguente e|empo se reempazan os espacos por tabuadores a todo o argo de todas as
neas:
sed Xs/P /Pt/gX usuario@txt
159
<ulano 3lgo
(alle ,engana 15?
(olonia ;erengana
En e sguente e|empo se reempazan soo e prmer espaco de cada nea por un tabuador:
sed Xs/P /Pt/X usuario@txt
<ulano 3lgo
(alle ,engana 15?
(olonia ;erengana
La sguente nea aade 5 espacos a nco de cada nea:
sed Xs/W/ /X usuario@txt
<ulano 3lgo
(alle ,engana 15?
(olonia ;erengana
E sguente mandato soo mprme a prmera nea de archvo usuaro.txt:
sed J usuario@txt
<ulano 3lgo
E sguente mandato soo mprme as prmeras dos neas de archvo usuaro.txt:
sed 5J usuario@txt
<ulano 3lgo
(alle ,engana 15?
E sguente mandato soo muestra as tmas tres neas de archvo usuaro.txt:
sed e "a e XFJY+Y>BF$YbaX usuario@txt
160
(alle ,engana 15?
(olonia ;erengana
E sguente mandato soo mostrar as neas que ncuyen 3:
sed X/?/ddX usuario@txt
(alle ,engana 153
(iudad de GutanoB (@;@ 153>86
E sguente mandato soo mostrar as neas que no ncuyen 3:
sed X/?/dX usuario@txt
<ulano 3lgo
(olonia ;erengana
E sguente mandato pde mostrar a nea que est nmedatamente despus de a expresn
Fulano, pero no a nea en s que ncuye Fulano:
sed n X/<ulano/ZnYpY[X usuario@txt
(alle ,engana 15?
E sguente mandato pde mostrar a nea que est nmedatamente antes de a expresn Calle,
pero no a nea en s que ncuye Calle:
sed n X/(alle/ZgY1dpY[YhX usuario@txt
<ulano 3lgo
+5.3. Bi!liogra&a.
Erc Pement: http://student.northpark.edu/pemente/sed/sed1ne.txt
Wkpeda: http://en.wkpeda.org/wk/Sed
161
+6. %ntroduccin a AWI
+6.+. %ntroduccin.
+6.+.+. Acerca de AWI.
AWI, cuyo nombre derva de a prmera etra de os apedos de sus autores Afred Aho, Peter
Wenberger y Bran Iernghan, es un engua|e de programacn que fue dseado con e ob|etvo
de procesar datos basados sobre texto y una de as prmeras herramentas en aparecer en Unx.
Utza stas en un ndce ordenado por cadenas cave (stas asocatvas) y expresones reguares.
Es un engua|e ampamente utzado para a programacn de guones e|ecutabes pues aade
funconadad a as tuberas en os sstemas operatvos tpo <0>%D. Est ncudo en as
nstaacones bscas de prctcamente todas as dstrbucones de GNU/Lnux.
+6.+.*. "structura de los programas escritos en AWI.
E mandato aPK utza un archvo o emsn de ordenes y un archvo o emsn de entrada. E
prmero ndca como procesar a segundo. E archvo de entrada es por o genera texto con agn
formato que puede ser un archvo o ben a sada de otro mandato.
La sntaxs genera utzada para e mandato aPK sgue e sguente patrn:
awk 'expresn-reguar { orden }'
Cuando se utza e mandato awk, ste examna e archvo de entrada y e|ecuta a orden cuando
encuentra a expresn reguar especfcada.
E sguente modeo e|ecutara a orden a nco de programa y antes de que sean procesados os
datos de archvo de entrada:
awk X9%I'+ Z orden [X
E sguente modeo e|ecutara a orden a fna de programa y despus de que sean procesados os
datos de archvo de entrada:
awk X9%I'+ Z orden [X
E sguente modeo e|ecutara a orden por cada una de as neas de archvo de entrada:
162
awk XZ orden [X
A contnuacn se mostrarn e|empos de uso de AWK.
E sguente mandato especfca que a nco se mprma en a sada a frase "Hoa mundo" y
termnar e procesamento.
awk X9%I'+ Z print *1ola mundo*Y exit [X
Lo anteror deber devover una sada como a sguente:
1ola mundo
S se genera e archvo prueba.txt de sguente modo:
echo e *(olumna1Pt(olumna5Pt(olumna?Pt(olumna>Pn* R eMemplo@txt
Y se vsuaza con e mandato cat:
cat eMemplo@txt
Devover e sguente contendo:
(olumna1 (olumna5 (olumna? (olumna>
S se utza e mandato awk para que soo muestre a coumna 1 y a coumna 3 de sguente
modo:
awk XZ print F1B F?[X eMemplo@txt
(olumna1 (olumna?
S se utza e mandato awk para que soo muestre a coumna 3 y a coumna 1, en ese orden, de
sguente modo:
awk XZ print F?B F1[X eMemplo@txt
(olumna? (olumna1
S se aaden datos a archvo e|empo.txt de sguente modo:
echo e *$ato1Pt$ato5Pt$ato?Pt$ato>Pn* RR eMemplo@txt
163
echo e *$ato8Pt$ato6Pt$ato6Pt$ato4Pn* RR eMemplo@txt
echo e *$ato7Pt$ato1#Pt$ato11Pt$ato>P15* RR eMemplo@txt
Y se vsuaza con e mandato cat:
cat eMemplo@txt
Devover e sguente contendo:
(olumna1 (olumna5 (olumna? (olumna>
$ato1 $ato5 $ato? $ato>
$ato8 $ato6 $ato6 $ato4
$ato7 $ato1# $ato11 $ato>
S se utza nuevamente e mandato awk para que soo muestre a coumna 1 y a coumna 3 de
sguente modo:
awk XZ print F1B F?[X eMemplo@txt
(olumna1 (olumna?
$ato1 $ato?
$ato8 $ato6
$ato7 $ato11
S se utza e mandato awk de sguente modo para que soo muestre soo a nea cuya coumna
contenga a expresn reguar Dato5:
awk X/$ato8/ Z print [X eMemplo@txt
$ato8 $ato6 $ato6 $ato4
S se utza e mandato awk de sguente modo para que soo muestre soo a nea cuya coumna
contenga a expresn reguar Dato5, y adems soo as coumnas 1 y 4:
awk X/$ato8/ Z print F1B F>[X eMemplo@txt
$ato8 $ato4
S se utza e mandato awk de sguente modo para que muestre soo as neas con ms de 35
caracteres en e archvo /etc/crontab:
awk Xlength R ?8X /etc/crontab
164
S se utza e mandato awk de sguente modo para que muestre soo as neas con menos de 35
caracteres en e archvo /etc/crontab:
awk Xlength _ ?8X /etc/crontab
S1%00)/bin/bash
,3'0/.)root
1.,%)/
A runparts
Utza v para crear e archvo usuaro.txt:
vi usuario@txt
Ingrese e sguente contendo:
<ulano 3lgo
(alle ,engana 15?
(olonia ;erengana
Para que e mandato aPK reconozca cada nea como un regstro competo, en ugar de consderar
cada paabra como una coumna, se utza [B"?%) \ F>R/]n/ ^ '>R//_[, donde e vaor de F>
(Fed >eparator o separador de campo) se estabece como un retorno de carro y e vaor de '>
('ecord >eparator o separador de regstro) se estabece como una nea vaca. S utza e
sguente mandato donde se estabecen os vaores menconados para FS y RS y se pde se
mprman os vaores de cada regstro (cada nea) separados por una coma y un espaco:
awk X9%I'+ Z <S)*Pn*Y RS)** [ Z print F1 *B * F5 *B * F? *B * F> [X usuario@txt
<ulano 3lgoB (alle ,engana 15?B (olonia ;erenganaB (iudad de GutanoB (@;@ 15?>86
E mandato aPK puede reazar conteo de neas, paabras y caracteres. E e sguente mandato se
estabece que e vaor de P sea gua a nmero de campos ()ew Fed o )F), c sea gua a
ongtud de cada campo, y que se mprma e nmero de campos, e vaor de P y e vaor de c:
awk XZ w N) +<Y c N) length[ P
%+$ Z print P
*(ampos" * +R B *Pn;alabras" * wB *Pn(aracteres" * c [X P
usuario@txt
165
(ampos" >
;alabras" 15
(aracteres" 6>
Genere e archvo numeros.txt con e sguente contendo, donde as coumnas sern separadas
por un tabuador:
1 5 ? >
8 6 6 4
7 1# 11 15
E mandato awk puede reazar operacones matemtcas. e sguente mandato estabece que s es
gua a a suma de vaor de os campos de a prmera coumna de archvo numeros.txt, e mprme
e vaor de s:
awk XZ s N) F1 [ %+$ Z print s [X numeros@txt
La sada devover o sguente (resutado de a suma de 1+5+9):
18
S se hace o msmo, pero con os vaores de a coumna 2:
awk XZ s N) F5 [ %+$ Z print s [X numeros@txt
La sada devover o sguente (resutado de a suma de 2+6+10):
14
Para hacer conteo de frecuenca de paabras, Se estabece que e vaor para F> (Fed >eparator o
separador de nea) sea gua a expresones reguares que van desde a a a a z y desde a A a a Z,
se estabece que e vaor de a varabe es gua a 1 y menor a nmero de campos.
awk X9%I'+ Z <S)*DWaC3GEN*[ P
Z !or (i)1Y i_)+<Y iNN) wordsDtolower(Fi)ENN [ P
%+$ Z !or (i in words) print iB wordsDiE [X /etc/crontab
6
bin ?
run 8
etc >
sbin ?
bash 1
weekly 1
daily 1
cron >
usr 5
path 1
166
shell 1
parts 8
home 1
mailto 1
monthly 1
hourly 1
root 6
167
+7. <ermisos del >istema de Arc$ivos
Sitio de Red: http://www.alcancelibre.org
+7.+. %ntroduccin
La asgnacn de permsos de acceso (de ectura, escrtura y e|ecucn) pueden asgnarse a travs
de modos, que son combnacones de nmeros de tres dgtos (usuaro, grupo y resto de mundo) y
e mandato c$mod.
+7.*. )otacin sim!lica
E esquema de notacn smbca se compone de 10 caracteres, donde e prmer carcter ndca e
tpo de archvo:
Falor Descripcin
$enota un archivo regular@
d $enota un directorio@
b $enota un archivo especial de dispositivos de bloJue@
c $enota un archivo de carccter especial
l $enota un enlace simbQlico@
p $enota una tuberba nombrada (<'<.)
s $enota un CQcalo de dominio (socket)
Cada case de permsos es representada por un con|unto de tres caracteres. E prmer con|unto de
caracteres representa a case de usuaro, e segundo con|unto de tres caracteres representa a
case de grupo y e tercer con|unto representa a case de otros (resto de mundo). Cada uno de
os tres caracteres representa permsos de ectura, escrtura y e|ecucn, respectvamente y en ese
orden.
E|empos:
<ermisos Descripcin
5rwxr-;rx Drectoro con permso 755.
6rwr*-r Archvo de carcter especa con permso 664.
srwxr*;rx Zcao con permso 775.
.rwr*-r Tubera (FIFO) con permso 664.
168
<ermisos Descripcin
-rwr--r Archvo reguar con permso 644.
+7.3. )otacin octal
La notacn octa consste de vaores de tres a cuatro dgtos en base-8. Con a notacn octa de
tres dgtos cada nmero representa un componente dferente de permsos a estabecer: case de
usuaro, case de grupo y case de otros (resto de mundo), respectvamente. Cada uno de estos
dgtos es a suma de sus bts que o componen (en e sstema numera bnaro). Como resutado,
bts especfcos se aaden a a suma conforme son representados por un numera:
E Bt de e|ecucn aade + a a suma.
E bt de escrtura aade * a a suma.
E bt de ectura aade 4 a a suma.
Estos vaores nunca producen combnacones ambguas y cada una representa un con|unto de
permsos especfcos. De modo ta puede consderarse a sguente taba:
Falor <ermiso Decripcin
# +ada
1 x %MecuciQn
5 w %scritura
? wx %scritura y eMecuciQn
> r 0ectura
8 rx 0ectura y %MecuciQn
6 rw 0ectura y %scritura
6 rwx 0ecturaB %scritura y %MecuciQn
)ota- 3 (wx) es e resutado de 1+2 (w+x). 5 (rx) es e resutado de 4+1 (r+x). 6 (rw) es e
resutado de 4+2 (r+w). 7 (rwx) es e resutado de 4+3 (r+xw).
+7.3.+. <ermisos adicionales
Hay una forma de cuatro dgtos. Ba|o este esquema e estndar de tres dgtos descrto arrba se
converte en os tmos tres dgtos de con|unto. E prmer dgto representa permsos adconaes.
En sstemas y equpamento gco donde no puede ser omtdo este prmer dgto de con|unto de
cuatro, se estabece cero como vaor de ste.
E prmer dgto de con|unto de cuatro es tambn a suma de sus bts que e componen:
1. E bt pega|oso (stcky bt) aade + a tota de a suma.
2. E bt setgd aade * a tota de a suma.
3. E bt setud aade 4 a tota de a suma.
169
Lo que hace e permso SUID o bt setud es que cuando se ha estabecdo a e|ecucn, e proceso
resutante asumr a dentdad de usuaro dado en a case de usuaro (propetaro de eemento).
De a msma manera que e anteror, o que hace e permso SGID o bt setgd es que cuando se ha
estabecdo a e|ecucn, e proceso resutante asumr a dentdad de grupo dado en a case de
grupo (propetaro de eemento). Cuando setgd ha sdo apcado a un drectoro, todos os nuevos
archvos creados deba|o de este drectoro heredarn e grupo propetaro de este msmo
drectoro. Cuando no se ha estabecdo setgd, e comportamento predefndo es asgnar e grupo
de usuaro a crear nuevos eementos.
E bt pega|oso (stcky bt) sgnfca que un usuaro so podr modfcar y emnar archvos y
drectoros subordnados dentro de un drectoro que e pertenezca. En ausenca de bt pega|oso
(stcky bt) se apcan as regas generaes y e derecho de acceso de escrtura por s soo permte
a usuaro crear, modfcar y emnar archvos y drectoros subordnados dentro de un drectoro.
Los drectoros a os cuaes se es ha estabecdo bt pega|oso restrngen as modfcacones de os
usuaros a so ad|untar contendo, mantenendo contro tota sobre sus propos archvos y pueden
crear nuevos archvos; sn embargo, so pueden ad|untar o aadr contendo a os archvos de
otros usuaros. E bt pega|oso (stcky bt) es utzado en drectoros como =tmp y =var=spool=mail.
De modo ta puede consderarse a sguente taba:
Falor <ermiso Descripcin
1 2 bit pegaMoso
5 s bit setgid
? s 2 bit pegaMoso N bit setgid
> s bit setuid
8 s 2 bit setuid N bit pegaMoso
6 s s bit setuid N bit setgid
6 s s 2 bit setuid N bit setgid N bit pegaMoso
Cuando un archvo no tene permsos de e|ecucn en aguna de as cases y e es asgnado un
permso especa, ste se representa con una etra mayscua.
<ermiso Clase ".ecuta )o e.ecuta
setuid =suario s S
setgid Irupo s S
pegaMoso (sticky) .tros t /
+7.4. ".emplos
+7.4.+. ".emplos de permisos regulares
<ermiso Clase de ,suario Clase de ?rupo Clase de 0tros
#>## r
#>># r r
#>>> r r r
170
#8## rx
#88# rx rx
#888 rx rx rx
#6>> rw r r
#66> rw rw r
#666 rw rw rw
#6## rwx
#611 rwx x x
#6#6 rwx rwx
#68# rwx rx
#688 rwx rx rx
#666 rwx rwx rwx
+7.4.*. ".emplos de permisos especiales
-6>> rw r rT
,6>> rw rS r
36>> rw rS rT
J6>> rwS r r
56>> rwS r rT
'6>> rwS rS r
I6>> rwS rS rT
-666 rwx rwx rw2
,688 rwx rs rx
3688 rwx rs r2
J688 rws rx rx
5688 rws rx r2
'688 rws rs rx
I688 rws rs r2
+7.5. ,so de c$mod
chmod DopcionesE modo archivo
E|empo:
mkdir p T/tmp/
touch T/tmp/algo@txt
171
ls l T/tmp/algo@txt
chmod 688 T/tmp/algo@txt
ls l T/tmp/algo@txt
Lo anteror debe arro|ar una sada smar a a sguente:
D!ulanoSlocalhost TEF mkdir p T/tmp/
D!ulanoSlocalhost TEF touch T/tmp/algo@txt
D!ulanoSlocalhost TEF ls l T/tmp/algo@txt
-r*-r*-r-- - <)4no <)4no $ /4r , -5?$% /home/!ulano/tmp/algo@txt
D!ulanoSlocalhost TEF chmod 688 T/tmp/algo@txt
D!ulanoSlocalhost TEF ls l T/tmp/algo@txt
-r*;r-;r-; - <)4no <)4no $ /4r , -5?$% /home/!ulano/tmp/algo@txt
D!ulanoSlocalhost TEF
+7.5.+. 0pciones de c$mod
Opcn Descripcin
-R Camba permsos de forma descendente en un drectoro dado. Es a nca opcn de os
estndares POSIX
-c Muestra que archvos han cambado recentemente en una ubcacn dada
-f No muestra errores de archvos o drectoros que no se hayan poddo cambar
-v Descrpcn detaada de os mensa|es generados por e proceso
+7.5.*. "l mandato c$mod y los enlaces sim!licos
E mandato c$mod |ams camba os permsos de enaces smbcos; sn embargo no representa
un probema en vrtud de que |ams se utzan os permsos de os enaces smbcos. S se apca
e mandato c$mod sobre un enace smbco, se cambar e permso de archvo o drectoro
haca e cua apunta. Cuando se apca c$mod de forma descendente en un drectoro, ste gnora
os enaces smbcos que pudera encontrar en e recorrdo.
172
+9. Cmo utili8ar el mandato c$attr.
+9.+. %ntroduccin.
+9.+.+. Acerca del mandato c$attr.
E mandato c$attr se utza para cambar os atrbutos de os sstemas de archvos e2t* y e2t3.
Desde certo punto de vsta, es anogo a mandato c$mod, pero con dferente sntaxs y opcones.
Utzado adecuadamente, dfcuta as accones en e sstema de archvos por parte de un ntruso
que haya ogrado sufcentes prvegos en un sstema.
En a mayora de os casos, cuando un ntruso consgue sufcentes prvegos en un sstema, o
prmero que har ser emnar os regstros de sus actvdades modfcando estructuras de os
archvos de btcoras de sstema y otros componentes. Utzar e mandato c$attr certamente no
es obstcuo para un usuaro experto, pero, afortunadamente, a gran mayora de os ntrusos
potencaes no sueen ser expertos en GNU/Lnux o Unx, dependendo enormemente de dversos
programas o guones (os denomnados root(its y zappers) para emnar aqueo que permta
descubrr sus actvdades.
Utzar e mandato c$attr, ncudo en e paquete e*&sprogs, que se nstaa de forma
predetermnada en todas as dstrbucones de GNU/Lnux por, tratarse de un componente
esenca, hace ms dfc borrar o aterar btcoras, archvos de confguracn y componentes de
sstema. Theodore Ts'o es e desarroador y quen se encarga de mantener e*&sprogs, msmo que
se dstrbuye ba|o os trmnos de a cenca ?),=?<, e ncuye otras herramentas como e2fsck,
e2abe, fsck.ext2, fsck.ext3, mkfs.ext2, mkfs.ext3, tune2fs y dumpe2fs, entre otras.
URL: http://e2fsprogs.sourceforge.net/
+9.*. 0pciones.
(' Camba recursvamente os atrbutos de drectoros y sus contendos. Los
enaces smbcos que se encuentren, son gnorado
(F Sada de c$arttr ms descrptva, mostrando adems a versn de
programa.
(v Ver e nmero de versn de programa.
173
+9.3. 0peradores.
G Hace que se aadan os atrbutos especfcados a os atrbutos exstentes
de un archvo.
( Hace que se emnen os atrbutos especfcados de os atrbutos
exstentes de un archvo
R Hace que soamente haya os atrbutos especfcados.
+9.4. Atri!utos.
A Estabece que a fecha de tmo acceso (atme) no se modfca.
a Estabece que e archvo soo se puede abrr en modo de ad|untar para
escrtura.
c Estabece que e archvo es comprmdo automtcamente en e dsco
por e nceo de sstema operatvo. A reazar ectura de este archvo,
se descomprmen os datos. La escrtura de dcho archvo comprme os
datos antes de amacenaros en e dsco.
D Cuando se trata de un drectoro, estabece que os datos se escrben de
forma sncrnca en e dsco. Es decr, os datos se escrben
nmedatamente en ugar de esperar a operacn correspondente de
sstema operatvo. Es equvaente a a opcn dirsync de mandato
mount, pero apcada a un subcon|unto de archvos.
d Estabece que e archvo no sea canddato para respado a utzar a
herramenta dump.
i Estabece que e archvo ser nmutabe. Es decr, no puede ser
emnado, n renombrado, no se pueden apuntar enaces smbcos, n
escrbr datos en e archvo.
. En os sstemas de archvos ext3, cuando se montan con as opcones
dataRordered o dataRPrite!acK, se estabece que e archvo ser
escrto en e regstro por daro (Journal). S e sstema de archvos se
monta con a opcn dataR.ournal (opcn predetermnada), todo e
sstema de archvos se escrbe en e regstro por daro y por o tanto e
atrbuto no tene efecto.
s Cuando un archvo tene este atrbuto, os boques utzados en e dsco
duro son escrtos con ceros, de modo que os datos no se puedan
recuperar por medo aguno. Es a forma ms segura de emnar datos.
> Cuando e archvo tene este atrbuto, sus cambos son escrtos de forma
sncrnca en e dsco duro. Es decr, os datos se escrben
nmedatamente en ugar de esperar a operacn correspondente de
sstema operatvo. Es equvaente a a opcn sync de mandato mount.
u Cuando un archvo con este atrbuto es emnado, sus contendos son
guardados permtendo recuperar e archvo con herramentas para ta
fn.
174
+9.5. ,tili8acin.
chattr DR&E N)D3ac$diMsSuE Dv versiQnE archivos
+9.5.+. ".emplos.
e sguente mandato agrega e atrbuto nmutabe a archvo ago.txt..
chattr Ni algo@txt
E sguente mandato emna e atrbuto nmutabe a archvo ago.txt.
chattr i algo@txt
E sguente mandato agrega e modo de soo ad|untar para escrtura a archvo ago.txt.
chattr Na algo@txt
E sguente mandato emna e modo de soo ad|untar para escrtura a archvo ago.txt.
chattr a algo@txt
E sguente mandato estabece que e archvo ago.txt soo tendr os atrbutos a, A, s y >.
chattr )a3sS algo@txt
E sguente mandato sta os atrbutos de archvo ago.txt.
lsattr algo@txt
175
+S. Creando depsitos yum
+S.+. %ntroduccin.
Yum es una herramenta sumamente t para e mane|o de paquetera RPM. Aprender a crear en
e dsco duro as bases de datos para os depstos yum resuta prctco puesto que no habr
necesdad de recurrr haca os depstos ocazados en servdores en Internet y consumr
nnecesaramente ancho de banda en e proceso.
+S.*. <rocedimientos
Prmero se deben generar os drectoros que ao|arn os depstos. Uno para a paquetera
ncuda en os dscos de nstaacn y otro para as actuazacones:
mkdir p /var/!tp/pub/os
mkdir p /var/!tp/pub/updates
Tome todos os dscos de nstaacn y cope ntegramente su contendo haca e nteror de
drectoro ocazado en a ruta /var/ftp/pub/os/ con e sguente procedmento:
mount /media/cdrom
cp R! /media/cdrom/O /var/!tp/pub/os/
eMect
De msmo modo, s dspone de CD correspondente, cope (o ben descargue) todas as
actuazacones dentro de drectoro ocazado en a ruta /var/ftp/pub/updates/ con e sguente
procedmento:
mount /media/cdrom
cp R! /media/cdrom/O /var/!tp/pub/updates/
eMect
Una vez copado todo a dsco duro, hay que nstaar e paquete createrepo, ncudo en os dscos
de nstaacn de CentOS y Whte Box Enterprse Lnux.
yum y install createrepo
Una vez nstaado, so basta e|ecutar createrepo sobre cada drectoro a fn de generar os
depstos yum:
176
createrepo /var/!tp/pub/os/
createrepo /var/!tp/pub/updates/
Se puede acceder ocamente a os depstos generados utili8ando las siguientes lneas como
contendo de archvo `.repo ocazado dentro de =etc=yum.repos.d=, en ugar de as neas que
apuntan haca servdores en Internet:
DbaseE
name)%nterprise 0inux Freleasever Fbasearch base
baseurl)!ile"///var/!tp/pub/os/
gpgcheck)1
enabled)1
DupdatesreleasedE
name)%nterprise 0inux Freleasever Fbasearch =pdates Released
baseurl)!ile"///var/!tp/pub/updates/
gpgcheck)1
enabled)1
S se desea acceder a estos msmo depstos utzando e servco FTP, y suponiendo que e
servdor utzara 192.168.1.1 como dreccn IP, as mqunas cente deben utzar o sguente:
DbaseE
name)%nterprise 0inux Freleasever Fbasearch base
baseurl)!tp"//175@164@1@1/pub/os/
gpgcheck)1
enabled)1
DupdatesreleasedE
name)%nterprise 0inux Freleasever Fbasearch =pdates Released
baseurl)!tp"//175@164@1@1/pub/updates/
gpgcheck)1
enabled)1
Antes de utzar a opcn gpgc$ecKR+, se debern mportar as aves pbcas GPG que estn en
e dsco 1 de nstaacn de sstema.
mount /media/cdrom
rpm import /media/cdrom/OH%:O
S cre un depsto con e dsco de extras de curso, a ave pbca de Acance Lbre se encuentra
en e drectoro raz de CD.
S utza Red Hat Enterprse Lnux 3, CentOS 3.0 o Whte Box Enterprse Lnux 3, se utza yum(
arc$ en ugar de createrepo, y =mnt=cdrom en ugar de /meda/cdrom.
Whte Box Enterprse Lnux 4 no ncuye yum por defecto, por o que hay que nstaaro
manuamente desde os dscos de nstaacn.
177
*O. ,so de yum para instalar y desinstalar
pa#uetera y actuali8ar sistema
*O.+. %ntroduccin
Actuazar e sstema apcando os ms recentes parches de segurdad y correctvos a sstema
operatvo no es tan dfc como muchos suponen, n tampoco tene que ser un nferno de
dependencas entre paquetes RPM como agunos argumentan. La readad de as cosas es que es
mucho muy smpe y so requere de un buen ancho de banda, o ben, de muchsma pacenca. A
contnuacn presentamos os procedmentos para utzar yum y reali8ar &;cilmente o que
agunos denomnan como orrible, difcil y complicado1.
Los procedmentos son tan smpes que reamente no hay muchas excusas para no apcar os
parches de segurdad y correctvos a sstema.
*O.*. <rocedimientos
*O.*.+. Actuali8ar sistema
Actuazacn de sstema con todas as dependencas que sean necesaras:
yum update
*O.*.*. B1s#uedas
ealizar una b!s"ueda de alg!n pa"uete o t#rmino en la base de datos en alguno de los dep$sitos yum
confgurados en e sstema:
yum search cualJuierpaJuete
E|empo:
yum search httpd
*O.*.3. Consulta de in&ormacin
Consutar a nformacn contenda en un paquete en partcuar:
178
yum in!o cualJuierpaJuete
E|empo:
yum in!o httpd
*O.*.4. %nstalacin de pa#uetes
Instaacn de paquetera con resoucn automtca de dependencas:
yum install cualJuierpaJuete
E|empo:
yum install httpd
*O.*.5. Desinstalacin de pa#uetes
Desnstaacn de paquetes |unto con todo aqueo que dependa de os msmos:
yum remove cualJuierpaJuete
E|empo:
yum remove httpd
*O.*.5.+. Algunos pa#uetes #ue se pueden desinstalar del sistema.
Los sguentes paquetes pueden ser desnstaados de sstema de manera segura |unto con todo
aqueo que dependa de stos:
1. pcmca-cs (kerne-pcmca-cs): requerdo so en computadoras porttes para e soporte
de PCMCIA.
2. mdadm: requerdo so para arregos RAID.
3. autofs: servco de auto-montado de undades de dsco.
4. ypserv: servdor NIS, utzado prncpamente como servdor de autentcacn.
5. ypbnd, yp-toos: herramentas necesaras para autentcar contra un servdor NIS (ypserv)
6. hwcrypto: bbotecas y herramentas para nteractuar con aceeradores crptogrfcos de
sustento fsco (hardware).
7. vnc-server: servdor VNC
8. rda-uts: herramentas y soporte para dspostvos nfrarro|os.
E|ecute o sguente para desnstaar os paquetes anterormente menconados:
yum y remove pcmciacs mdadm auto!s ypserv ypbind yptools hwcrypto vnc
server irdautils
179
*O.*.6. istado de pa#uetes
Lo sguente star todos os paquetes dsponbes en a base de datos yum y que pueden
nstaarse:
yum list available ^ less
Lo sguente star todos os paquetes nstaados en e sstema:
yum list installed ^less
Lo sguente star todos os paquetes nstaados en e sstema y que pueden (y deben)
actuazarse:
yum list updates ^ less
*O.*.7. impie8a del sistema
Yum proporcona como resutado de su uso cabeceras y paquetes RPM amacenados en e nteror
de drectoro ocazado en a ruta =var=cac$e=yum=. Partcuarmente os paquetes RPM que se han
nstaado pueden ocupar mucho espaco y, es por ta motvo, que convene emnaros una vez que
ya no tenen utdad. Iguamente convene hacer o msmo con as cabeceras ve|as de paquetes
que ya no se encuentran en a base de datos. A fn de reazar a mpeza correspondente, puede
e|ecutarse o sguente:
yum clean all
180
*+. Cmo utili8ar '<:
*+.+. %ntroduccin.
*+.+.+. Acerca de '<:.
'<: <acKage :anager, anterormente conocdo como 'ed Hat <ackage :anager y que es ms
conocdo por su nombre abrevado '<:, es un sstema de gestn de paquetera para
dstrbucones de GNU/Lnux y que est consderado en a Base Estndar para Lnux (nux
>tandard Base o >B), que es un proyecto cuyo ob|etvo es desarroar y promover estndares
para me|orar a compatbdad entre as dstrbucones de GNU/Lnux para permtr a as
apcacones ser utzadas en cuaquer dstrbucn.
RPM fue orgnamente desarroado por 'ed Eat para su dstrbucn de GNU/Lnux, y ha sdo
evado haca otra dstrbucones de Lnux y sstemas operatvos.
RPM utza una base de datos que se amacena en =var=li!=rpm, a cua contene toda a meta-
nformacn de todos os paquetes que son nstaados en e sstema y que es utzada para dar
segumento a todos os componentes que son nstaados. Esto permte nstaar y desnstaar
mpamente todo tpo de apcacones, bbotecas, herramentas y programas y gestonar sus
dependencas exactas.
*+.*. <rocedimientos.
RPM vene nstaado de modo predetermnado en 'ed Eat "nterprise inu2, Fedora, Cent0>,
W$ite Bo2 "nterprise inu2, >u>" inu2, 0pen>u>", :andriva y dstrbucones dervadas de
estas.
*+.*.+. 'econstruccin de la !ase de datos de '<:.
Hay certos escenaros en donde se puede corromper a base de datos de '<:. sta se puede
reconstrur fcmente utzando e sguente mandato:
rpm rebuilddb
181
*+.*.*. Consulta de pa#uetera instalada en el sistema.
S se desea conocer s est nstaado un paquete en partcuar, se utza e mandato rpm con a
opcn (#, que reaza una consuta (query) en a base de datos por un nombre de paquete en
partcuar. En e sguente mandato, donde como e|empo se preguntar a '<: s est nstaado e
paquete traceroute:
rpm J traceroute
traceroute5@#@15@el8
S se desea conocer que es o que nformacn ncuye e paquete traceroute, se utza e
mandato rpm con as opcones (#i, para hacer a consuta y soctar nformacn de paquete
(query info). En e sguente e|empo se consuta a mandato rpm por a nformacn de paquete
traceroute:
rpm Ji traceroute
+ame " traceroute Relocations" (not relocatable)
&ersion " 5@#@1 &endor" (ent.S
Release " 5@el8 9uild $ate" scb #6 ene 5##6 #>"#5"1? (S/
'nstall $ate" mie ?# abr 5##4 11">6"#7 ($/ 9uild 1ost" builder8@centos@org
Iroup " 3pplications/'nternet Source R;," traceroute5@#@15@el8@src@rpm
SiCe " 87656 0icense" I;0
Signature " $S3/S131B mar #? abr 5##6 17"54"15 ($/B Hey '$ a4a>>6dce4865476
=R0 " http"//dmitry@butskoy@name/traceroute
Summary " /races the route taken by packets over an ';v>/';v6 network
$escription "
/he traceroute utility displays the route used by '; packets on their
way to a speci!ied network (or 'nternet) host@ /raceroute displays
the '; number and host name (i! possible) o! the machines along the
route taken by the packets@ /raceroute is used as a network debugging
tool@ '! youXre having network connectivity problemsB traceroute will
show you where the trouble is coming !rom along the route@
'nstall traceroute i! you need a tool !or diagnosing network connectivity
problems@
Puede consutarse qu componentes forman parte de paquete utzando e mandato rpm con as
opcones (#l, donde se reaza una consuta stando os componentes que o ntegran (query list).
S se desea conocer que componentes nsta e paquete traceroute, utce e sguente mandato:
rpm Jl traceroute
/bin/traceroute
/bin/traceroute
/bin/traceroute6
/bin/tracert
/usr/share/doc/traceroute5@#@1
/usr/share/doc/traceroute5@#@1/(.;:'+I
/usr/share/doc/traceroute5@#@1/(R%$'/S
182
/usr/share/doc/traceroute5@#@1/R%3$,%
/usr/share/doc/traceroute5@#@1//.$.
/usr/share/man/man4/traceroute@4@gC
S se desea consutar a cua paquete pertenece un eemento nstaado en e sstema, se utza e
mandato rpm con as opcones (#&, que reazan una consuta por un archvo en e sstema de
archvos (query file). En e sguente e|empo se consutar a a mandato rpm a que paquete
pertenece e archvo =etc=cronta!:
rpm J! /etc/crontab
crontabs1@1#4
S desea consutar a sta competa de paquetes nstaados en e sstema, utce e sguente
mandato, donde (#a sgnfca consutar todo (query all):
rpm Ja
Debdo a que o anteror devueve una sta demasado grande para podera vsuazar con
comoddad, puede utzarse less o more como subrutna:
rpm Ja ^less
S se quere ocazar un paquete o paquetes en partcuar, se puede utzar e mandato rpm con
as opcones (#a y utzar grep como subrutna. En e sguente e|empo se hace una consuta
donde se quere conocer que paquetes estn nstaado en e sstema y que ncuyan a cadena p$p
en e nombre.
rpm Ja ^grep php
Lo anteror pudera devover una sada smar a a sguente:
php8@1@618@el8
phpmbstring8@1@618@el8
phppear1@>@7>
phpldap8@1@618@el8
phpcli8@1@618@el8
phpmysJl8@1@618@el8
phpodbc8@1@618@el8
phpcommon8@1@618@el8
phppdo8@1@618@el8
S se quere revsar en orden cronogco, de ms nuevos a ms antguos, que paquetes estn
nstaados, se puede agregar a (#a a opcn ((last, y less o more como subrutna para vsuazar
con comoddad a sada.
rpm Ja last^less
183
Lo anteror devueve una sada extensa dentro con less como vsor. Puse a tecas de arri!a () y
a!a.o (J) o Av. <;g. y 'eg. <;g. para despazarse en a sta. Puse a teca # para sar.
S se quere verfcar s os componentes nstaados por un paquete '<: han sdo modfcados o
aterados o emnados, se puede utzar e mandato rpm con a opcn (F, a cua reaza una
verfcacn de a ntegrdad de os componentes de acuerdo a as frmas dgtaes de cada
componente (MD5SUM o suma MD5). En e sguente e|empo se verfcara s e paquete cronta!s
ha sdo aterado:
rpm & crontabs
S agn componente fue modfcado, puede devoverse una sada smar a a sguente, donde e
archvo =etc=cronta! fue modfcado tras su nstaacn:
S@8@@@@/ c /etc/crontab
S se desea reazar una verfcacn de todos os componentes de sstema, se puede utzar e
mandato rpm con as opcones (Fa, que hace una consuta, especfca todos os paquetes, y
socta se verfque s hubo cambos (query all 8erify).
rpm &a
Lo anteror puede devover una sada muy extensa, pero sn duda aguna mostrar todos os
componentes que fueron modfcados o aterados o emnados tras a nstaacn de paquete a
que pertenecen. Un e|empo de una sada comn sera:
@@@@@@@/ c /etc/pki/nssdb/cert4@db
@@@@@@@/ c /etc/pki/nssdb/key?@db
@@8@@@@/ c /etc/pki/nssdb/secmod@db
S@8@@@@/ c /etc/crontab
@@@@@@@/ c /etc/inittab
S@8@@@@/ c /etc/rc@d/rc@local
S@8@@@@/ c /etc/mail/access
S@8@@@@/ c /etc/mail/localhostnames
S@8@@@@/ c /etc/mail/sendmail@c!
S@8@@@@/ c /etc/mail/sendmail@mc
*+.*.3. %nstalacin de pa#uetes.
La mayora de os dstrbudores seros de equpamento gco en formato RPM sempre utzan
una frma dgta PG/GnuPG para garantzar que stos son confabes y como un mtodo de evtar
que paquetes aterados pasen por e usuaro admnstrador de sstema y sstemas de gestn de
paquetes como yum, up2date, Yast, Pup, etc., sn ser detectados. Las frmas dgtaes de os
responsabes de a dstrbucn sempre ncuyen frmas dgtaes en e dsco de nstaacn o ben
en aguna parte de sstema de archvos. En e caso de Cent0> y 'ed Eat "nterprise, as frmas
dgtaes estn en /usr/share/doc/rpm-*/ o ben =usr=s$are=r$n=. Agunos dstrbudores pueden
tener estas frmas en agn servdor HTTP o FTP. Para mportar una frma dgta, se utza e
mandato rpm con a opcn ((import. Para e|empfcar, reace e sguente procedmento:
rpm import http"//www@alcancelibre@org/al/30R;,H%:
184
Lo anteror mporta a frma dgta de Alcance i!re y permtr detectar s un paquete de
Acance Lbre fue aterado o est corrupto o s fue daado. S se utza yum para gestonar a
paquetera, ste de modo predetermnado mpde nstaar paquetes que s estos carecen de una
frma dgta que est nstaada en a base de datos de '<:.
Cuando se desee nstaar un paquete con extensn `.rpm, sempre es convenente revsar dcho
paquete. Hay varas formas de verfcar su contendo antes de proceder a nstaado. Para fnes
demostratvos, ngrese haca http://www.acancebre.org/a/webapps/ y descarge e paquete tne&.
Una vez descargado e paquete tne&, se puede verfcar a nformacn de dcho paquete utzando
e mandato rpm con as opcones (#p, para reazar a consuta especfcando que se trata de un
paquete '<: (query pac(age), y a opcn -, para soctar nformacn.
rpm Jpi tne!1@5@?@11@1@el8@al@i?46@rpm
+ame " tne! Relocations" /usr
&ersion " 1@5@?@1 &endor" 3lcance 0ibreB 'nc@
Release " 1@1@el8@al 9uild $ate" mie #5 may 5##6 1>"#6"87 ($/
'nstall $ate" (not installed) 9uild 1ost" localhost@localdomain
Iroup " ,ail/%ncoders Source R;," tne!1@5@?@11@1@el8@al@src@rpm
SiCe " 1?>678 0icense" I;0
Signature " $S3/S131B mie #5 may 5##6 1>"#6"## ($/B Hey '$ 71##>d!46c#4#b??
;ackager " aoel 9arrios _http"//Moelbarrios@blogspot@com/R
=R0 " http"//tne!@source!orge@net
Summary " $ecodes ,S/+%< attachments@
$escription "
/+%< is a program !or unpacking ,',% attachments o! type
*application/mstne!*@ /his is a ,icroso!t only attachment@
$ue to the proli!eration o! ,icroso!t .utlook and %xchange mail serversB
more and more mail is encapsulated into this !ormat@
/he /+%< program allows one to unpack the attachments which were
encapsulated into the /+%< attachment@ /hus alleviating the need to use
,icroso!t .utlook to view the attachment@
S se desea conocer que componentes va a nstaar un paquete RPM en partcuar, se puede utzar
e mandato rpm con as opcones (#pl, para reazar a consuta, especfcar que se trata de un
paquete '<: y para soctar a sta de componentes (query pac(age list). En e sguente e|empo
se reaza esta consuta contra e paquete tne&(+.*.3.+(+.+.el5.al.i396.rpm:
rpm Jpl tne!1@5@?@11@1@el8@al@i?46@rpm
/usr/bin/tne!
/usr/man/man1/tne!@1@gC
/usr/share/doc/tne!1@5@?@1
/usr/share/doc/tne!1@5@?@1/3=/1.RS
/usr/share/doc/tne!1@5@?@1/9=IS
/usr/share/doc/tne!1@5@?@1/(.;:'+I
/usr/share/doc/tne!1@5@?@1/(hange0og
/usr/share/doc/tne!1@5@?@1/+%2S
/usr/share/doc/tne!1@5@?@1/R%3$,%
/usr/share/doc/tne!1@5@?@1//.$.
185
Para verfcar s as frmas dgtaes de un paquete '<: son as msmas y e paquete no ha sdo
aterado, se puede utzar e mandato rpm con as opcn (I, que socta verfcar frmas dgtaes
de un paquete '<: (9eys):
rpm H tne!1@5@?@11@1@el8@al@i?46@rpm
S e paquete est ntegro, debe devover una sada smar a a sguente:
tne!1@5@?@11@1@el8@al@i?46@rpm" (sha1) dsa sha1 md8 gpg .H
S e paquete RPM fue daado, aterado o est corrupto, puede devover una sada smar a a
sguente:
tne!1@5@?@11@1@el8@al@i?46@rpm" (sha1) dsa sha1 ,$8 I;I NOT O(
Para nstaar un paquete, se utza e mandato rpm con as opcones (iv$, que sgnfca nstaar,
devover una sada descrptva y mostrar una barra de progreso (install verbose as). S e
paquete no hace confcto con otro y/o no sobreescrbe componentes de otro paquete, se
proceder a nstaar e msmo. En e sguente e|empo se nstaar e paquete tne&(+.*.3.+(
+.+.el5.al.i396.rpm:
rpm ivh tne!1@5@?@11@1@el8@al@i?46@rpm
;reparing@@@ AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA D1##VE
1"tne! AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA D1##VE
S hubera una versn de ste paquete nstaada en e sstema, rpm (iv$ no reazar a
nstaacn y devover un mensa|e respecto a que a est nstaado dcho paquete. Repta e
sguente mandato:
rpm ivh tne!1@5@?@11@1@el8@al@i?46@rpm
A ya haber sdo nstaado e paquete tne&, e sstema deber devover una sada smar a a
sguente:
package tne!1@5@?@11@1@el8@al is already installed
Hay crcunstancas y escenaros donde se requere renstaar de nuevo e paquete. Para ograr esto
se agrega a opcn ((&orce para forzar a renstaacn de un paquete. En e sguente e|empo se
socta a mandato rpm forzar a renstaacn de e paquete tnef-1.2.3.1-1.1.e5.a.386.rpm:
rpm ivh !orce tne!1@5@?@11@1@el8@al@i?46@rpm
1"tne! AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA D1##VE
186
Para verfcar as dependencas de un paquete descargado, se utza e mandato rpm con
as opcones (#p y ((re#uires, a cua consuta as dependencas de paquete. En e sguente
e|empo, se ha descargado e paquete .oomla(+.O.+5(*.S.el5.al.noarc$.rpm desde
http://www.acancebre.org/a/webapps/, y se procede a consutar sus dependencas:
rpm Jp reJuires Moomla1@#@185@7@el8@al@noarch@rpm
con!ig(Moomla) ) 1@#@185@7@el8@al
httpd
php R) 8
phpmysJl
phpxml
rpmlib((ompressed<ile+ames) _) ?@#@>1
rpmlib(;ayload<iles1ave;re!ix) _) >@#1
Pueden hacerse consutas a a nversa de o anteror, es decr, consutar a mandato rpm que
paquete provee aguna dependenca en partcuar. En e sguente e|empo se soctar a mandato
rpm que paquete provee a dependenca p$p.
rpm J whatprovides php
php8@1@618@el8
Tambn puede consutarse qu requere de un paquete o componente en partcuar. En e
sguente e|empo se consuta a mandato rpm que paquetes requeren a paquete $ttpd.
rpm J whatreJuires httpd
systemcon!ighttpd1@?@?@11@el8
sJuirrelmail1@>@4>@#@1@el8@centos@5
sJuirrelmail1@>@4>@#@1@el8@centos@5
gnomeusershare#@1#6@el8
De ser necesaro, se puede ncuso hacer consutas respecto a archvos (como bbotecas
compartdas) para conocer que paquetes dependen de stos. En e sguente e|empo se consuta
a mandato rpm que paquetes requeren a a bboteca li!!8*.so.+:
rpm J whatreJuires libbC5@so@1
Lo anteror debe devover una sada smar a a sguente, y que consste en una sta de paquetes
'<: nstaados en e sstema:
bCip5libs1@#@??
bCip51@#@??
python5@>@?17@el8
gnupg1@>@81?
187
elinks#@11@18@1@#@1@el8
rpm>@>@5>6@el8
rpmlibs>@>@5>6@el8
rpmpython>@>@5>6@el8
gnomev!s55@16@5>@el8
libgs!1@1>@16@1
phpcli8@1@618@el8
php8@1@618@el8
kdelibs?@8@>1?@el8@centos
'mage,agick6@5@4@#>@el8-1@1
Para nstaar o actuazar un paquete, se utza e mandato rpm con as opcones -Uvh, que
sgnfca nstaar o actuazar, devover una sada descrptva y mostrar una barra de progreso
(update verbose as), y se procede a nstaar y/o actuazar e msmo:
rpm =vh Moomla1@#@185@7@el8@al@noarch@rpm
S fata aguna de as dependencas, e sstema devover una sada smar a a sguente:
error" <ailed dependencies"
phpxml is needed by Moomla1@#@185@7@el8@al@noarch
Evdentemente se debe nstaar e paquete p$p(2m para poder nstaar e paquete .oomla(
+.O.+5(*.S.el5.al.noarc$.rpm. Este puede estar ncudo en e dsco de nstaacn o ben estar
ncudo entre as actuazacones de sstema.
S e paquete php-xm hubera estado nstaado (yum (y install p$p(2ml), a sada hubera sdo
smar a a sguente:
1"Moomla AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA D1##VE
Antes de a aparcn de yum, este era e tal#n de Aquiles de '<:. Actuamente estos probemas
se pueden resover utzando yum en os sstemas que o ncuyen. La forma ms prctca de
nstaar paquetera '<: resovendo dependencas automtcamente es a travs de yum. En e
sguente e|empo se reaza e procedmento de nstaacn de paquete .oomla(+.O.+5(
*.S.el5.al.noarc$.rpm utzando yum:
yum y localinstall Moomla1@#@185@7@el8@al@noarch@rpm
0oading *!astestmirror* plugin
0oading *skipbroken* plugin
0oading *installonlyn* plugin
Setting up 0ocal ;ackage ;rocess
%xamining Moomla1@#@185@7@el8@al@noarch@rpm" Moomla 1@#@18
5@7@el8@al@noarch
,arking Moomla1@#@185@7@el8@al@noarch@rpm to be installed
Setting up repositories
0oading mirror speeds !rom cached host!ile
Reading repository metadata in !rom local !iles
Resolving $ependencies
R ;opulating transaction set with selected packages@ ;lease wait@
188
R ;ackage Moomla@noarch #"1@#@185@7@el8@al set to be updated
R Running transaction check
R ;rocessing $ependency" phpxml !or package" Moomla
R Restarting $ependency Resolution with new changes@
R ;opulating transaction set with selected packages@ ;lease wait@
R ;ackage phpxml@i?46 #"8@1@618@el8 set to be updated
R Running transaction check
$ependencies Resolved
)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
;ackage 3rch &ersion Repository SiCe
)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
'nstalling"
Moomla noarch 1@#@185@7@el8@al Moomla1@#@18
5@7@el8@al@noarch@rpm 6@? ,
'nstalling !or dependencies"
phpxml i?46 8@1@618@el8 base 7? k
/ransaction Summary
)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
'nstall 5 ;ackage(s)
=pdate # ;ackage(s)
Remove # ;ackage(s)
/otal download siCe" 6@> ,
$ownloading ;ackages"
Running /ransaction /est
<inished /ransaction /est
/ransaction /est Succeeded
Running /ransaction
'nstalling" phpxml AAAAAAAAAAAAAAAAAAAAAAAAA D1/5E
'nstalling" Moomla AAAAAAAAAAAAAAAAAAAAAAAAA D5/5E
'nstalled" Moomla@noarch #"1@#@185@7@el8@al
$ependency 'nstalled" phpxml@i?46 #"8@1@618@el8
(ompleted
Agunos paquetes ncuyen guones que e|ecutan procesos que pueden ser requerdos prevo o
posteror a a nstaacn. S no se desea que se e|ecuten estos guones, se aade a rpm (iv$ o
rpm (,v$ a opcn ((noscripts. En e sguente e|empo, se nstaar e paquete .oomla(+.O.+5(
*.S.el5.al.noarc$.rpm sn a e|ecucn de os guones que puderan estar defndos en e paquete
'<::
rpm =vh noscripts Moomla1@#@185@7@el8@al@noarch@rpm
*+.*.3.+. 'ecuperacin de permisos originales a partir de rpm.
En crcunstancas en as cuaes ser reazaron cambos en os permsos en e sstema de archvos,
es posbe vover a de|aros de acuerdo a os especfcados en e paquete '<: orgna utzando e
mandato rpm con a opcn ((setperms de sguente modo:
rpm setperms paJuete
Vea e permso de =usr=!in=passPd de sguente modo:
ls l /usr/bin/passwd
rwsrxrx 1 root root 5574> ene 6 5##6 /usr/bin/passwd
189
Cambe e permso de sguente modo:
chmod 6## /usr/bin/passwd
Vueva a ver e permso de =usr=!in=passPd de sguente modo:
rwx 1 root root 5574> ene 6 5##6 /usr/bin/passwd
E archvo =usr=!in=passPd pertence a paquete passwd, confrmeo de sguente modo:
rpm J! /usr/bin/passwd
passwd#@6?1
Para recuperar de nuevo e permso orgna de =usr=!in=passPd, utce o sguente:
rpm setperms passwd
Vueva a ver e permso de =usr=!in=passPd de sguente modo:
Lo anteror debe devover una sada smar a a sguente y que corresponde a permso orgna
de archvo =usr=!in=passPd:
rwsrxrx 1 root root 5574> ene 6 5##6 /usr/bin/passwd
*+.*.4. Desinstalacin de pa#uetes.
Para desnstaar paquetera, se utza e mandato rpm con a opcn -e, que se utza para
emnar, seguda de nombre de paquete. En e sguente e|empo, se socta a mandato rpm
desnstaar os paquetes .oomla y p$p(2ml:
rpm e Moomla phpxml
S no hay dependencas que o mpdan, e sstema soo devover e smboo de sstema. S e
paquete o aguno de sus componentes fuera dependenca de otro u otros paquetes, e sstema
nformar que no es posbe desnstaar y devover a sta de paquetes que o requeren. En e
sguente e|empo se tratar de desnstaar e paquete cronta!s:
rpm J crontabs
190
Como e paquete cronta!s es requerdo por anacron, e sstema devover una sada smar a a
sguente:
error" <ailed dependencies"
crontabs is needed by (installed) anacron5@?>8@el8@centos@i?46
S se desea des nstaar cuaquer paquete sn mportar que otros dependan de este, se puede
utzar agregar a opcn ((nodeps. Esto es contrandcado, y soo debe ser utzado es stuacones
muy partcuares o escenaros donde as se requere. Evte sempre desnstaar paquetes que sean
dependenca de otros en e sstema a menos que vaya a renstaar nmedatamente un paquete
que os susttuya.
191
**. Cmo crear pa#uetera con rpm!uild
**.+. %ntroduccin
Crear paquetera a travs de rpmbud no es tan compcado como agunos suponen. Aunque no se
nstaa de modo predetermnado, rpmbud es una herramenta que forma parte de paquete
rpm-bud y que se ncuye en a mayora de as dstrbucones actuaes que utzan paquetera en
formato RPM.
Este documento mostrar os procedmentos para:
Generar una cave GnuPG para frmar dgtamente os paquetes creados.
Confguracn y creacn de una |aua para rpmbud.
Creacn de archvos *.spec.
Uso de mandato rpmbud.
**.*. %nstalacin del e#uipamiento lgico necesario
Es ndspensabe contar con a paquetera de desarroo mnma necesara nstaada en e sstema.
Lamentabemente no hay recetas mgcas. S se pretende crear paquetera a partr de cdgos
fuente es necesaro estar famarzado con as bbotecas compartdas necesaras, cabeceras de
desarroo, compadores y otras herramentas de desarroo reaconadas o requerdas por un
equpamento gco en partcuar. Un con|unto mnmo sera e sguente:
Gcc: compador.
gbc-deve: bbotecas de desarroo para C.
automake: generador de archvos Makefe.
autoconf: herramenta para confguracn de cdgos fuente y archvos Makefe.
rpm-bud y rpm-deve.
gnupg
Gpgme y seahorse: $erramientas incluidas en <@ DesKtop que se utzarn en
os procedmentos de este documento para generar a cave utzada para frmar
dgtamente os paquetes rpm resutantes.
S va a crear paquetera para GNOME, necestar por o menos o sguente, con todo
o que dependa de ste: gb2-deve, atk-deve, pango-deve, gtk2-deve, bbonobou-
deve, bgnomeu-deve, gnome-vfs2-deve, bwnck-deve, gnome-pane-deve,
gnome-desktop-deve, nautus-deve, gstreamer-deve y gstreamer-pugns-deve.
S va a crear paquetera para KDE, necestar a menos o sguente, con todo o que
dependa de ste: qt-deve, arts-deve, kdebs-deve, kdebase-deve, kdenetwork-
deve, kdegraphcs-deve y kdemutmeda-deve.
S utza Cent OS, Whte Box Enterprse Lnux o ben Red Hat Enterprse Lnux, necestar correr
o sguente para nstaar e mnmo de paquetera:
192
yum y install gccO automakeO autocon!O rpmbuild rpmdevel gnupg
S desea generar paquetera para GNOME, necestar tam!in nstaar e mnmo de paquetera de
desarroo de GNOME:
yum y install glib5devel atkdevel pangodevel gtk5devel libbonobouidevel
libgnomeuidevel gnomev!s5devel libwnckdevel gnomepaneldevel gnomedesktopdevel
nautilusdevel gstreamerdevel gstreamerpluginsdevel
S va a generar paquetera para KDE, necestar tam!in nstaar e mnmo de paquetera de
desarroo de KDE:
yum -y nsta qt-deve arts-deve kdebs-deve kdebase-deve kdenetwork-deve kdegraphcs-deve
kdemutmeda-deve
S adems tene nstaado LPT Desktop, puede nstaar tam!in e equpamento gco restante:
yum y install seahorse gpgme
**.3. <rocedimientos
**.3.+. Creacin de la clave ?nu<?
1. Desde una sesn grfca, nce seahorse y de cc en en botn de Nuevo en e pane de
Opcones de prmera vez.
2. Lo anteror ncar un asstente de creacn de caves.
3. E|a e nve de segurdad como Segurdad extra ata.
4. Especfque su nombre competo, un breve comentaro opcona y su cuenta de correo
eectrnco permanente que se reaconar excusvamente con a nueva cave.
5. Especfque una frase de paso que so usted pueda recordar. Se recomenda utzar
espacos y sgnos de puntuacn.
6. En a pantaa de Fecha de caducdad, savo que especfcamente requera o contraro,
especfque Sn caducdad.
7. Tome nota de como aparece e2actamente e nombre de a ave, ncuyendo parntess,
espacos y otros smboos, ya que se utzarn en e sguente procedmento.
**.3.*. Con&iguracin y creacin de una .aula para rpm!uild
Jam;s utilice la cuenta de root sn mportar a crcunstanca, para crear o reconstrur
paquetera en formato RPM. Esto puede resutar pegroso debdo a que a confguracn de
agunos programas pueden tratar de nstaar componentes en e sstema en ugar de drectoro
especfcado para rpmbud, o cua dar como resutado dversas consecuencas de segurdad y de
estabdad para e sstema.
193
La |aua ser creada de modo seguro dentro de una cuenta de usuario normal sin privilegios,
a fn de poder detectar e mpedr que agunos procedmentos durante a creacn de paquetes
ntenten nstaar componentes no deseados en e sstema.
**.3.*.+. Componentes del arc$ivo Y=.rpmmacros
Utzando cuaquer edtor de texto, genere e archvo -/.rpmmacros, en e cua se defnrn
vaores para agunas varabes utzadas por rpmbud:
%debug_package: srve para especfcar s se anua o no a generacn de paquetera
de depuracn. La paquetera de depuracn soo es t para os programadores a fn
de ocazar faas en os programas empaquetados. Para a mayora de os casos se
especfca e vaor %{n} a fn de mpedr que se genere paquetera de depuracn.
%_unpackaged_fes_termnate_bud: srve para especfcar s a construccn de un
paquete se deber nterrumpr s hay componentes gnorados por e archvo *.spec. 0
deshabta, 1 habta. Ou vaor se recomenda?; a respuesta es obva: no es
deseabe un paquete a cua e fatan componentes, as que se especfcar 1.
%_sgnature: se utzar gpg para frmar os paquetes resutantes.
%_gpg_path: ruta de drectoro .gpg a utzar. Estar ocazado dentro de a carpeta
de nco de usuaro utzado.
%_gpg_name: dentdad a utzar para frmar os paquetes resutantes. E formato
utzado es e msmo como aparece e nombre de su cave GnuPG en seahorse: Su
Nombre (Breve comentaro) <su cuenta de correo eectrnco>.
%_gpgbn: ruta de bnaro gpg, normamente en /usr/bn/gpg.
%_topdr: ruta donde se ocaza a |aua para rpmbud.
%_tmppath: drectoro de eementos temporaes que ser utzado para smuar
nstaacones.
%packager: su nombre competo y dreccn de correo eectrnco o ben e URL de su
sto de red.
%dstrbuton: nombre de producto o ben para especfcar para que dstrbucn de
GNU/Lnux se utzar a paquetera.
%vendor: nombre de su empresa u organzacn.
%desktop_vendor: varabe opcona (y no ofca) para defnr e nombre de a
empresa en e nombre agunos archvos, prncpamente entradas de men.
Especfque e nombre corto de su empresa sin espacios.
A contnuacn un e|empo de contendo de archvo -/.rpmmacros, utzando vaores fctcos:
Vdebug-package VZnil[
V-unpackaged-!iles-terminate-build 1
V-signature gpg
V-gpg-path V(echo *F1.,%*)/@gnupg
V-gpg-name F)4no 5e 8eren74no &Un4 e/.res4 <#62#6#40 N<)4noO4)7Pn-5o/#n#o.6o/G
V-gpgbin /usr/bin/gpg
V-topdir V(echo *F1.,%*)/rpmbuild
V-tmppath V(echo *F1.,%*)/rpmbuild//,;
Vpackager <ulano de ;erengano _s 6en24 5e 6orreo o !#en 322.?++s-s#2#o-5e-re5.6o/R
Vdistribution no/!re 5e s .ro562o 4CQ
Vvendor s no/!re o no/!re 5e s e/.res4 4CQ
Vdesktop-vendor no/!re-5e-s-e/.res4-s#n-es.46#os
**.3.*.*. Creacin de la estructura de la .aula para rpm!uild
Desde una termna, genere a estructura de drectoros necesara utzando o sguente:
mkdir p T/rpmbuild/Z9='0$BR;,SBS.=R(%SBSR;,SBS;%(SB/,;[
194
mkdir p T/rpmbuild/R;,S/ZathlonBi?46Bi846Bi646Bnoarch[
**.3.3. Creacin de los arc$ivos`.spec
Los archvos *.spec contenen a nformacn que utzar rpmbud para construr un paquete. De
contendo de stos depender que sea posbe descomprmr, confgurar, compar, nstaar
vrtuamente y empaquetar un equpamento gco en partcuar a partr de un cdgo fuente.
Name:
Se refere nombre de paquete. No puede evar espacos. Reguarmente es e msmo nombre utzado para e
paquete de cdgo fuente.
Verson:
Se refere a nmero de versn de paquete
Reease:
Nmero de anzamento o entrega
URL:
URL orgna de sto de red de equpamento gco que se va a empaquetar.
Summary:
Resumen o descrpcn corta de paquete.
Lcense:
Lcenca o cencas utzadas por e paquete.
Group:
Grupo o categora de equpamento gco a cua pertenece e paquete. Lsta de grupos vdos:
%musements&'ames
%musements&'rap(ics
%pplications&%rc(iving
%pplications&)ommunications
%pplications&*atabases
%pplications&+ditors
%pplications&+mulators
%pplications&+ngineering
%pplications&,ile
%pplications&-nternet
%pplications&Multimedia
%pplications&.roductivity
%pplications&.ublis(ing
%pplications&/ystem
%pplications&0ext
*evelopment&*ebuggers
*evelopment&1anguages
*evelopment&1ibraries
*evelopment&/ystem
*evelopment&0ools
*ocumentation
/ystem +nvironment&2ase
/ystem +nvironment&*aemons
/ystem +nvironment&3ernel
/ystem +nvironment&1ibraries
/ystem +nvironment&/(ells
4ser -nter5ace&*es6tops
4ser -nter5ace&7
4ser -nter5ace&7 8ard9are /upport
Budroot:
195
Ruta donde se reazar a nstaacn vrtua, es decr: VZ-tmppath[/VZname[VZversion[root
Source:
Se puede especfcar soamente e nombre de paquete utzado para e cdgo fuente, aunque por norma se sugere
especfcar e URL exacto haca e cdgo fuente.
BudRequres:
Lsta separada por comas o espacos de componentes o paquetes requerdos para poder construr e equpamento
gco nvoucrado.
BudPreReq:
Lsta de componentes o paquetes que deben estar prevamente nstaados en e sstema antes de ncar a
compacn de equpamento gco nvoucrado.
Requres:
Lsta de paquetes de os cuaes depende e equpamento gco empaquetado para poder funconar.
PreReq:
Lsta de componentes o paquetes que deben estar prevamente nstaados en e sstema antes de ncar a
nstaacn de e equpamento gco nvoucrado.
%descrpton
Descrpcn detaada acerca de paquete
%prep
Procedmentos, s os hubere, requerdos antes de desempaquetar e cdgo fuente. Reguarmente no os hay.
%setup
Procedmentos, s os hubere, requerdos a desempaquetar o despus de desempaquetar e cdgo
fuente. Reguarmente aqu es donde se apcan parches y otros correctvos.
%bud
Procedmentos necesaros para poder compar desde e cdgo fuente de un equpamento gco en
partcuar. Por o genera basta con un Vcon!igure y V--make, pero se recomenda eer a detae e
nstructvo de nstaacn de cada programa en partcuar a fn de asegurar os procedmentos
correctos para compar e equpamento gco.
%nsta
Procedmento de nstaacn requerdo para un paquete en partcuar. Se recomenda mpar
cuaquer nstaacn preva utzando V--rm !r VZbuildroot[. La nstaacn ser vrtua y se
reazar dentro de -/rpmbud/TMP/ que es estabecdo por a varabe %{budroot}. Por o genera
es sufcente V--make $%S/$'R)VZbuildroot[ install, ; sn embargo agunos programas
puderan requerr nstaacn ndvdua de agunos o todos sus componentes.
%cean
Procedmentos para mpar aqueo que ya no se necesta despus de haber creado extosamente e
paquete RPM. Especfcamente se refere a a nstaacn vrtua que se reaz dentro de
-/rpmbud/TMP/. Para a mayora de os casos es sufcente utzar V--rm !r VZbuildroot[..
196
%preun
Procedmentos que se deben correr |usto antes de proceder a nstaar un paquete. Se utza
prncpamente con paquetes que necestan crear cuentas de sstema u otros preparatvos.
%post
Procedmentos que se deben correr |usto despus de proceder a nstaar un paquete. E|empos:
Cuando os paquetes ncuyen bbotecas compartdas, se e|ecuta dconfg. S un paquete ncuye un
esquema para GConf, se debe correr o necesaro para regstrar e esquema.
%postun
Procedmentos que se deben correr |usto despus de proceder a desnstaar un paquete. Se utza
prncpamente con paquetes que necestan correr tareas admnstratvas, como detener y/o dar de
ba|a un servco.
%fes
Lsta de todos os componentes de e equpamento gco empaquetado en sus rutas defntvas.
%changeog
Btcora de cambos de archvo *.spec. Requere un formato especa:
* |Da de a semana en abrevado y en ngs| |Mes abrevado en ngs| da ao Nombre
empaquetador <correo eectrnco o URL de sto de red>
- Agunos cambos
- Ms cambos
- Otros cambos
E|empo:
* Sun Sep 25 2005 Fuano de Perengano <http://m-sto-geb.ago/>
- Archvo *.spec nca.
- Se aaderon cosas
- Se puso un gun para ago
**.3.3.+. ".emplo de arc$ivo `.spec.
+ame" 4)7o
&ersion" $.-
Release" -
=R0" 322.?++s#2#o-5e-re5-5e)-ss2en2o-)R7#6o-4-2#)#B4r+
Summary" 84Ce2e #/47#n4r#o Ce 346e 4)7o.
0icense" G8L
Iroup" A..)#642#ons+F#)e
9uildroot" VZ-tmppath[/VZname[VZversion[root
Source" 322.?++n-s#2#o-7Se!.4)7o+4)7o-$.-.24r.!B,
9uildReJuires" 72:,-5e"e)
9uild;reReJ" +sr+!#n+5es:2o.-<#)e-#ns24))
ReJuires" 72:,
;reReJ" +sr+!#n+.542e-5es:2o.-5424!4se
Vdescription
8ro7r4/4 #/47#n4r#o es6r#2o en n )en74Ke 4!s2r462o e #ne;#s2en2e Ce 346e
6os4s #/47#n4r#4s e #/.os#!)es sR)o .4r4 <#nes 5e/os2r42#"os.
Vprep
Vsetup J
Vbuild
Vcon!igure
V--make
197
Vinstall
V--make $%S/$'R)VZbuildroot[ install
Vclean
V--rm !r VZbuildroot[
Vpreun
Vpost
/sbin/ldcon!ig
Vpostun
V!iles
de!attr(BrootBroot)
/usr/bin/algo
/usr/lib/libalgo@so@#
/usr/share/applications/algo@desktop
Vchangelog
O Sun Sep 58 5##8 <ulano de ;erengano _http"//misitiogfeb@algo/R
Se aUadieron cosas
Se puso un guiQn para algo
O Sat Sep 5> 5##8 <ulano de ;erengano _http"//misitiogfeb@algo/R
3rchivo O@spec inicial@
**.3.4. ,so del mandato rpm!uild
Lsta y descrpcn de opcones prncpaes:
sign
Especfca que se debe frmar un paquete con cave dgta predetermnada.
clean
Socta a rpmbud corra os procesos especfcados en a seccn %cean para de|ar mpo e
drectoro de temporaes utzado para reazar nstaacones vrtuaes.
target)DarJuitecturaE
Se utza para ndcar a rpmbud para que arqutectura ser construdo e paquete. De modo
predefndo rpmbud crea os paquetes para a arqutectura predetermnada de sstema.
Puede especfcarse 386, 585, 686, noarch, athon, etc., de acuerdo a o que sea requerdo.
ba
Socta a rpmbud corra todos os procedmentos necesaros para generar un paquete RPM
bnaro y e paquete RPM fuente (*.src.rpm) a partr de un archvo *.spec.
bb
Socta a rpmbud corra todos os procedmentos necesaros para generar soamente un
paquete RPM bnaro a partr de un archvo *.spec.
bp
Socta a rpmbud corra todos os procedmentos necesaros en a seccn %prep y
apcacn de parches en %setup. Se utza prncpamente para verfcar y depurar estos
procedmentos antes de comenzar a compacn e nstaacn.
bc
198
Socta a rpmbud corra todos os procedmentos necesaros en a seccn %prep, apcacn
de parches en %setup y compacn en %bud. No reaza nstaacn vrtua n crea
paquetes RPM. Se utza prncpamente para verfcar y depurar estos procedmentos.
bi
Socta a rpmbud corra todos os procedmentos necesaros en a seccn %prep, apcacn
de parches en %setup, compacn en %bud e nstaacn vrtua en %nsta. No crea
paquetes RPM. Se utza prncpamente para verfcar y depurar estos procedmentos.
shortcircuit
Se utza en combnacn con -bc y b. Socta a rpmbud satar todos os pasos prevos y
correr ncamente a compacn, en e caso de ser combnado con -bc, o ben satar todos
os pasos prevos y correr ncamente os procedmentos para reazar a nstaacn vrtua,
en e caso de ser combnado con -b. Se utza prncpamente para verfcar y depurar estos
procedmentos.
rmspec
Socta a rpmbud emne e archvo *.spec despus de crear extosamente os paquetes
RPM correspondentes. Se utza para mantener mpa a |aua de rpmbud.
rmsource
Socta a rpmbud emne todo o que corresponda a as fuentes, es decr, cdgos fuentes,
parches y otros eementos, despus de crear extosamente os paquetes RPM
correspondentes. Se utza para mantener mpa a |aua de rpmbud.
rebuild
Socta a rpmbud reconstruya un paquete a partr de un *.src.rpm.
**.3.4.+. ".emplos de uso del mandato rpm!uild
Construr so un paquete RPM, sin generar `.src.rpm, a partr de un archvo *.spec:
rpmbuild bb algo@spec
Construr so un paquete RPM |unto con e correspondente *.src.rpm a partr de un archvo
*.spec:
rpmbuild ba clean sign rmspec rmsource algo@spec
Construr soo un paquete RPM sn *.src.rpm a partr de un archvo *.spec, con frma dgta,
mpeza de drectoro de nstaacones vrtuaes y emnacn de *.spec y fuentes tras termnar
extosamente:
rpmbuild bb O@spec
Construr so un paquete RPM y e correspondente *.src.rpm a partr de un archvo *.spec, con
frma dgta, mpeza de drectoro de nstaacones vrtuaes y emnacn de *.spec y fuentes tras
termnar extosamente:
rpmbuild ba clean sign rmspec rmsource O@spec

199
Reconstrur so un paquete RPM a partr de un *.src.rpm:
rpmbuild rebuild cualJuierpaJuete@src@rpm
Reconstrur so un paquete RPM a partr de un *.src.rpm, con frma dgta, mpeza de drectoro
de nstaacones vrtuaes y emnacn de *.spec y fuentes tras termnar extosamente:
rpmbuild rebuild clean sign rmspec rmsource cualJuierpaJuete@src@rpm
**.4. ".ercicios
**.4.+. <a#uete '<: !inario y el pa#uete `.src.rpm correspondiente
creando el arc$ivo `.spec necesario
1. Acceda haca http://www.nano-edtor.org y descargue e cdgo fuente de la m;s reciente
versin esta!le de edtor de texto Nano.
2. Cooque e *.tar.gz de cdgo fuente dentro de drectoro -/rpmbud/SOURCES/
mv nano1@5@8@tar@gC T/rpmbuild/S.=R(%S/
3. Cambe haca e drectoro -/rpmbud/SPECS/
cd T/rpmbuild/S;%(S/
4. Con cuaquer edtor de texto smpe, genere e archvo -/rpmbud/SPECS/nano.spec con e
sguente contendo Mal terminarL por &avor veri&i#ue la sinta2isL lnea por lneaN:
+ame" n4no
&ersion" -.,.5
Release" -
=R0" 322.?++***.n4no-e5#2or.or7+
Summary" Un .eCeTo e5#2or 5e 2e;2o.
0icense" G8L
Iroup" A..)#642#ons+E5#2ors
9uildroot" VZ-tmppath[/VZname[VZversion[root
Source" 322.?++***.n4no-e5#2or.or7+5#s2+"-.,+n4no--.,.5.24r.7B
9uildReJuires" n6rses-5e"e)A 7)#!6-5e"e)A 766
ReJuires" n6rses
Vdescription
GNU n4no es n .eCeTo y <U6#) 5e 2#)#B4r e5#2or 5e 2e;2o.
Vprep
Vsetup J
Vbuild
Vcon!igure
V--make
Vinstall
V--make $%S/$'R)VZbuildroot[ install
Vclean
V--rm !r VZbuildroot[
200
V!iles
Vde!attr(BrootBroot)
Vdoc 3=/1.RS 9=IS (.;:'+I (hange0og '+S/300 +%2S R%3$,% /13+HS /.$.
Vdoc nanorc@sample
/usr/bin/nano
/usr/share/in!o/nano@in!o@gC
/usr/share/man/man1/nano@1@gC
/usr/share/man/man8/nanorc@8@gC
/usr/share/locale/O/0(-,%SS3I%S/nano@mo
Vchangelog
O Sun Sep 58 5##8 <ulano de ;erengano _http"//misitiogfeb@algo/R
3rchivo O@spec inicial@
5. Para poder construr nano, necestar tener nstaados os paquetes ncurses-deve
(cabeceras de desarroo para ncurses), gbc-deve (cabeceras de desarroo para C) y gcc
(compador de GNU.org). De ser necesaro, proceda a nstaar stos:
yum y install ncursesdevel glibcdevel gcc
6. Utce o sguente para generar os paquetes bnaro y fuente correspondentes:
rpmbuild ba nano@cpec
7. Suponendo que utza una computadora con mcroprocesador compatbe con Inte; a
concur e proceso, encontrar e paquete bnaro RPM dentro de drectoro
T/rpmbuild/R;,S/i?46/ y e paquete *.src.rpm dentro de drectoro T/rpmbuild/SR;,S/.
**.4.*. <a#uete '<: !inario y el pa#uete `.src.rpm correspondiente
reali8ando limpie8a de directorioL &irma digital
1. Utzar e msmo archvo *.spec de e|ercco pasado.
2. Utce o sguente para generar os paquetes correspondentes, ngresando a cave de
acceso para GnuPG cuando e sea requerda:
rpmbuild ba clean sign nano@cpec
3. Suponendo que utza una computadora con mcroprocesador compatbe con Inte; a
termnar e proceso, encontrar e paquete bnaro RPM dentro de drectoro
T/rpmbuild/R;,S/i?46/ y e paquete *.src.rpm dentro de drectoro T/rpmbuild/SR;,S/.
201
*3. Cmo instalar y utili8ar ClamAF en Cent0>
*3.+. %ntroduccin.
*3.+.+. Acerca de ClamAF.
ClamAF es un con|unto de herramentas antvrus, bre y de cdgo fuente aberto, que tene as
sguente caracterstcas:
Dstrbudo ba|o os trmnos de a Lcenca Pubca Genera GNU versn 2.
Cumpe con as especfcacones de fama de estndares <0>%D (<ortabe 0peratng >ystem
%nterface for UNID o nterfaz portabe de sstema operatvo para Unx).
Exporacn rpda.
Detecta ms de 720 m vrus, gusanos, troyanos y otros programas macosos.
Capacdad para examnar contendo de archvos ZIP, RAR, Tar, Gzp, Bzp2, MS OLE2, MS Cabnet,
MS CHM y MS SZDD.
Soporte para exporar archvos comprmdos con UPX, FSG y Pette.
Avanzada herramenta de actuazacn con soporte para frmas dgtaes y consutas basadas sobre
DNS.
URL: http://www.camav.net/
*3.*. "#uipamiento lgico necesario.
camav
camav-update
*3.*.+. Creacin del usuario para ClamAF.
De modo predetermnado, e usuaro para CamAV asgna a travs de os mandatos &edora(
groupadd y &edora(useradd e UID y GID 4 en e sstema. A fn de prevenr un confcto de
UID/GID con otros usuaros y grupos de sstema, se recomenda crear prevamente a grupo y
usuaro correspondentes para CamAV:
groupadd r clamavupdate
useradd r s /sbin/nologin d /var/lib/clamav , c X(lamav database update userX P
g clamavupdate clamavupdate
202
*3.*.*. %nstalacin a travs de yum.
S dspone de un servdor con Cent0> 4 y 5, 'ed Eata "nterprise inu2 4 y 5 o W$ite Bo2
"nterprise inu2 4 y 5, puede utzar e e depsto yum de Alcance i!re para servdores en
produccn, creando e archvo =etc=yum.repos.d=A(>erver.repo con e sguente contendo:
D30ServerE
name)30 Server para %nterprise 0inux Freleasever
mirrorlist)http"//www@alcancelibre@org/al/elFreleasever/alserver
gpgcheck)1
gpgkey)http"//www@alcancelibre@org/al/30R;,H%:
La nstaacn soo requere utzar o sguente:
yum y install clamav clamavupdate
La nstaacn de os paquetes anterores crea automtcamente e usuaro y drectoros necesaros
para un funconamento norma./p>
*3.3. <rocedimientos.
*3.3.+. >"inu2 y el servicio clamav(milter.
Para que SELnux permta utzar normamente clamscan, utce e sguente mandato:
setsebool ; clamscan-disable-trans 1
Para que SELnux permta a mandato &res$clam funconar normamente y que permta actuazar
a base de datos de frmas dgtaes, utce e sguente mandato:
setsebool ; !reshclam-disable-trans 1
*3.3.*. Con&iguracin de Fres$clam.
Fres$clam es e programa utzado para descargar y mantener actuazada a base de datos de
vrus y otros programas magnos.
E archvo =etc=&res$clam.con& de os paquetes dstrbudos por Alcance i!re ya ncuye as
modfcacones necesaras para permtr e funconamento de mandato &res$clam. Sn embargo,
s se utzan paquetes para Fedora, es necesaro edtar este archvo y comentar o emnar a nea
9, que ncuye smpemente a paabra ngesa -5ample y que de otro mod mpedra utzar e
mandato &res$clam:
AA
AA %xample con!ig !ile !or !reshclam
AA ;lease read the !reshclam@con!(8) manual be!ore editing this !ile@
AA
A (omment or remove the line below@
V E;4/.)e
203
E archvo =etc=syscon&ig=&res$clam de os paquetes dstrbudos por Alcance i!re ya ncuye
as modfcacones necesaras para permtr a actuazacn automtca de a base de datos de
ClamAF. S se utzan paquetes de Fedora, y a fn de mantener actuazada a base de datos de
frmas dgtaes, es necesaro edtar e archvo =etc=syscon&ig=&res$clam con e ob|eto de permtr
as actuazacones automtcas:
AAA ddddd R%,.&% ,% dddddd
AAA R%,.&% ,%" 9y de!aultB the !reshclam update is disabled to avoid
AAA R%,.&% ,%" network access without prior activation
V FRESECLAM_DELAW=5#s4!)e5-*4rn V REMOHE ME
De ser necesaro, puede actuazar manuamente, y de manera nmedata, a base de datos de
frmas utzando e mandato &res$clam, desde cuaquer termna como root.
!reshclam
E paquete de clamav(update dstrbudo por Alcance i!re y e proyecto Fedora ncuye un
gun de actuazacn automtca de a base de datos de CamAV, y que consste en e archvo
=etc=cron.d=clamav(update, e cua, a travs de servco crond, se e|ecuta cada tres horas para
verfcar s hubo cambos en a base de datos.
*3.3.3. ,so !;sico del mandato clamscan.
para revsar un archvo sospechoso de estar nfectado, se utza e mandato clamscan sn ms
parmetros:
clamscan /cualJuier/archivo
Para reazar a revsn de un drectoro y todo su contendo, es decr, de manera recursva, se
utza e mandato clamscan con a opcn (r.
clamscan -r /cualJuier/directorio
Para especfcar que os archvos nfectados soo sean movdos a un drectoro de cuarentena, se
utza e mandato clamscan con a opcn ((move especfcando un drectoro que servr como
cuarentena. E drectoro de cuarentena debe de exstr prevamente.
clamscan --/o"e=+5#re62or#o+5e+64ren2en4 r /cualJuier/directorio
Para especfcar que os archvos nfectados sean emnados, se utza a opcn ((remove con e
vaor yes. Esta opcn debe ser utzada con precaucn.
clamscan --re/o"e=yes r /cualJuier/directorio
a sada de mandato clamscan puede egar a ser muy extensa. S se desea que soo se muestre
a nformacn de os archvos nfectados, se utza e mandato clamscan con a opcn
((in&ected.
clamscan --#n<e62e5 remove)yes r /cualJuier/directorio
204
Para que e mandato clamscan guarde a nformacn de su actvdad en una btcora en
partcuar, a fn de poder examnar posterormente sta a detae, se puede utzar ste con a
opcn ((log especfcando a ruta de un archvo donde se amacenar a btcora de actvdad.
clamscan --)o7=+3o/e+s4r#o+6)4/s64n.)o7 in!ected remove)yes r /cualJuier/directorio
Para confgurar ClamAF para ser utzado con un servdor de correo eectrnco con >endmail,
consutar e documento ttuado Cmo confgurar camav-mter.
205
*4. Cmo asignar cuotas de disco en
?),=inu2.
*4.+. %ntroduccin.
La utzacn de cuotas de dsco permte a os admnstradores de sstemas reazar a gestn
efcente de espaco compartdo en dsco por mtpes usuaros. Las cuotas restrngen a
capacdad de os usuaros para acceder haca os recursos de sstema, taes como boques
(asgnacn de undades) e nodos (entradas de sstema de archvos). Cuando una cuota es
excedda se apca una potca determnada por e admnstrador. Las cuotas se admnstran por
sstema de archvos ndvduaes, y son ncas para usuaros o grupos.
*4.+.+. Acerca de las cuotas de disco.
Una cuota de dsco es un mte estabecdo por un admnstrador, e cua restrnge certos aspectos
de uso de sstema de archvos. E ob|etvo de as cuotas de dsco es mtar, de forma razonabe, e
espaco utzado en e sstema de archvos.
*4.+.*. Acerca de %nodos.
De acuerdo a Wkpeda, un nodo, nodo-, o tambn nodo ndce, es una estructura de datos
propa de os sstemas de archvos en sstemas operatvos tpo POSIX (<ortabe 0peratng >ystem
%nterface for Un2), como GNU/Lnux. Un nodo contene as caracterstcas (permsos, fechas, y
ubcacn) de un archvo reguar, drectoro, o cuaquer otro eemento que pueda contener e
sstema de archvos.
Cada nodo queda dentfcado en e sstema de archvos por un nmero entero nco, y os
drectoros recogen una sta de pare|as formadas por un nmero de nodo y nombre dentfcatvo
que permte acceder a un archvo en partcuar. Cada archvo tene un nco nodo, pero puede
tener ms de un nombre en dstntos o ncuso en e msmo drectoro para factar su ocazacn.
*4.+.3. Acerca de Blo#ues.
De acuerdo a Wkpeda, un boque es a cantdad ms pequea de datos que pueden transferrse
en una operacn de entrada/sada entre a memora prncpa de un ordenador, y os dspostvos
perfrcos o vceversa.
206
*4.*.+. %nstalacin a travs de yum.
S se utza de CentOS 5, Red Hat Enterprse Lnux 5, o versones posterores de stos, se puede
nstaar o necesaro utzando o sguente:
yum y install Juota
Durante a nstaacn, deb asgnarse una partcn dedcada para, por menconar un e|empo, os
drectoros /var, y /home.
Edte e archvo =etc=&sta!.
vim /etc/!stab
S utza Cent0> 5 o 'ed Eat "nterprise inu2 5, debe aadr en e archvo =etc=&sta! os
parmetros usr#uota, y grp#uota a as neas que defnen a confguracn de as partcones
/var, y /home:
039%0)/var /var ext? de!aultsBsrCo24A7r.Co24 1 5
039%0)/home /home ext? de!aultsBsrCo24A7r.Co24 1 5
S utza Cent0> 6 o 'ed Eat "nterprise inu2 6, puede utzar cuotas con regstro por daro
(journaled quotas), smar a regstro por daro de sustema de archvos Ext3 o Ext4, o cua hace
ms compcado que se daen os archvos que corresponden a as cuotas de dsco en caso de un
apagado ncorrecto. Para este fn, se debe aadr en e archvo =etc=&sta! os parmetros
usr.#uotaRa#uota.user, grp.#uotaRa#uota.group, y .#&mtRv&svO, a as neas que defnen a
confguracn de as partcones /var, y /home:
/dev/mapper/home0og&ol## /var ext> de!aults
BsrKCo24=4Co24.serA7r.KCo24=4Co24.7ro.AKC</2="<s"$ 1 5
/dev/mapper/var0og&ol## /home ext> de!aults
BsrKCo24=4Co24.serA7r.KCo24=4Co24.7ro.AKC</2="<s"$ 1 5
Debe remontar as partcones para que surtan efecto os cambos:
mount o remount /var
mount o remount /home
Se deben crear os archvos aquota.user, aquota.group, quota.user, y quota.group, os cuaes se
utzarn en adeante para amacenar a nformacn, y estado de as cuotas en cada partcn.
cd /var
touch aJuota@user aJuota@group Juota@user Juota@group
cd /home
touch aJuota@user aJuota@group Juota@user Juota@group
207
E|ecutar e mandato #uotac$ecK con as opcones (avugm, donde a sgnfca que se verfcan
todos os sstemas de archvos con soporte para cuotas de dsco, v sgnfca que se devuevan
mensa|es descrptvos, u sgnfca que se verfquen cuotas de usuaro, g sgnfca que se verfquen
cuotas de grupo, y m sgnfca que se evte re-montar en modo de soo ectura os sstemas de
archvos, que deamente se utza cuando se tene procesos traba|ando en as partcones:
Juotacheck avugm
La prmera vez que se e|ecuta e mandato anteror es norma marque advertencas refrndose a
posbes archvos truncados que en readad es debdo a que se trataba archvos vacos, generados
por e mandato touc$, sn nformacn. S se e|ecuta de nuevo #uotac$ecK (avugm, deber
mostrar una sada sn advertenca aguna.
Para actvar as cuotas de dsco recn confguradas, soo bastar e|ecutar:
Juotaon /var
Juotaon /home
*4.3.+. "d#uota.
Es mportante conocer que sgnfca cada coumna mostrada por edquota.
BlocKs- Boques. Corresponde a a cantdad de boques de 1 Kb que est utzando e usuaro.
%nodes- Inodos. Corresponde a nmero de archvos que est utzando e usuaro. Un inodo (tambn
conocdo como Index Node) es un apuntador haca sectores especfcos de dsco duro en os cuaes se
encuentra a nformacn de un archvo. Contene adems a nformacn acerca de permsos de
acceso as como os usuaros, y grupos a os cuaes pertenece e archvo.
>o&t- Lmte de graca. Lmte de boques de 1 KB que e usuaro puede utzar, y que puede rebasar
hasta que sea exceddo e perodo de graca (de modo predetermnado son 7 das).
Eard- Lmte absouto. Lmte que no puede ser rebasado por e usuaro ba|o crcunstanca aguna.
Asgnar cuotas de dsco a cuaquer usuaro o grupo soo har fata utzar ed#uota ctando e
nombre de usuaro a cua se e quere apcar:
edJuota !ulano
Lo anteror deber devover ago como o sguente a travs de v u otro edtor de texto smpe:
$isk Juotas !or user !ulano (uid 8#1)"
<ilesystem blocks so!t hard inodes so!t hard
/dev/sda6 # # # # # #
/dev/sda8 5> # # 1# # #
*4.3.+.+. Cuota a!soluta.
Suponendo que se quere asgnar una cuota de dsco de 6 MB para e usuaro fuano en en
/dev/sda6, y /dev/sda8, se utzara o sguente:
208
/dev/sda6 # # 61>> # # #
/dev/sda8 5> # 61>> 1# # #
E usuaro sempre podr rebasar una cuota de gracia pero nunca una cuota a!soluta.
*4.3.+.*. Cuota de gracia.
E sstema tene, de modo predetermnado, un periodo de gracia de 7 das, e cua se puede
modfcar con e mandato ed#uota (t:
edJuota t
Donde se puede estabecer un nuevo perodo de graca, ya sea por das, horas, mnutos, o
segundos.
Irace period be!ore en!orcing so!t limits !or users"
/ime units may be" daysB hoursB minutesB or seconds
<ilesystem 9lock grace period 'node grace period
/dev/hdb6 6days 6days
/dev/hdb8 6days 6days
La cuota de gracia estabece os mtes de boques o inodos que un usuaro tene en una
partcn. Cuando e usuaro excede e mte estabecdo por a cuota de graca, e sstema adverte
a usuaro que se ha exceddo a cuota de dsco sn embargo permte a usuaro contnuar
escrbendo hasta que trascurre e tempo estabecdo por e perodo de graca, tras e cua a
usuaro se e mpde contnuar escrbendo sobre a partcn. Suponendo que quere asgnar una
cuota de graca de 6 MB en /dev/sda6, y /dev/sda8, a cua podr ser excedda hasta por 7 das, se
utzara o sguente:
/dev/sda6 # 61>> # # # #
/dev/sda8 5> 61>> # 1# # #
*4.3.+.3. Aplicando cuotas de &orma masiva.
S se quere que todo apque para os usuaros exstentes, a partr de UID 510, por e|empo,
suponendo que utzar a cuota de dsco de usuaro pepto como panta Mnote por &avor los
dos acentos graves en el mandatoL .usto antes de aPKL y al &inal del mandatoL pues se
trata de un car;cter di&erente al apostro&eN, e|ecute o sguente:
edJuota p pepito gawk <" XF? R 81# Zprint F1[X /etc/passwdg
*4.4. Compro!aciones.
Utce e mandato edquota con e usuaro fuano.
edJuota !ulano
209
Asgne a usuaro fuano una cuota de dsco de 50 MB en todas as partcones con cuota de
dsco habtada:
/dev/sda6 # # 815## # # #
/dev/sda8 5> # 815## 1# # #
Desde otra terminal acceda haca e sstema como e usuaro fuano, y e|ecute e mandato
#uota, y observe con detenmento a sada:
<ilesystem blocks Juota limit grace !iles Juota limit grace
/dev/sda6 # # 815## 1 # #
/dev/sda8 5> # 815## 1# # #
Reace una copia de drectoro =usr=li! como e subdrectoro Y=prue!a(cuotas dentro de su
drectoro de nco:
cp r /usr/lib T/pruebacuotas
Notar que egar un momento en e que e sstema ndcar que ya no es posbe contnuar
copando contendo dentro de Y=prue!a(cuotas debdo a que se ha agotado e espaco en a
partcn.
,tilice de nuevo e mandato #uota, y observe con detenmento a sada, en donde aparecer
un astersco |usto |unto a a cantdad en a coumna de boques boques, e cua ndca que se ha
exceddo a cuota de dsco:
<ilesystem blocks Juota limit grace !iles Juota limit grace
/dev/sda6 # # 815## 1 # #
/dev/sda8 815##O # 815## 6>?7 # #
Para poder vover a escrbr sobre a partcn, es necesaro berar espaco. Debdo a que muy
probabemente parte de contendo de =usr=li! se cop en modo de soo ectura, cambe prmero
os permsos de contendo de drectoro, a fn de dsponer de permsos de ectura y escrtura:
chmod R uNw T/pruebacuotas
Emne por competo e drectoro Y=prue!a(cuotas:
Y, fnamente, vueva a utzar e mandato quota:
rm !r T/pruebacuotas
Y, fnamente, vueva a utzar e mandato #uota:
Juota
210
211
*5. %ntroduccin a @C<=%<
*5.+. %ntroduccin
TCP/IP fue desarroado y presentado por e Departamento de Defensa de EE.UU. en 1972 y fue
apcado en A'<A)"@ (Advanced 'esearch <ro|ects Agency )etwork), que era a red de rea
extensa de Departamento de Defensa como medo de comuncacn para os dferentes
organsmos de EE.UU. La transcn haca TCP/IP en A'<A)"@ se concret en 1983.
Se conoce como &amilia de protocolos de %nternet a con|unto de protocoos de red que son
mpementados por a pa de protocoos sobre os cuaes se fundamenta Internet y que permten a
transmsn de datos entre as redes de computadoras.
Los dos protocoos ms mportantes, y que fueron tambn os prmeros en defnrse y tambn os
ms utzados, son @C< (Protocoo de Contro de Transmsn o @ransmsson Contro <rotoco) e
%< (Protocoo de Internet o %nternet <rotoco), de ah que se denomne tambn como Con.unto de
<rotocolos @C<=%<. Los tpos de protocoos exstentes superan os cen, ente os cuaes podemos
menconar como os ms conocdos a HTTP, FTP, SMTP, POP, ARP, etc.
TCP/IP es a pataforma que sostene Internet y que permte a comuncacn entre dferentes
sstemas operatvos en dferentes computadoras, ya sea sobre redes de rea oca (LAN) o redes
de rea extensa (WAN).
*5.*. )iveles de pila
En a actuadad contna a dscusn respecto a s e modeo TCP/IP de cnco nvees enca|a dentro
de modeo OSI (Interconexn de Sstemas Abertos u 0pen>ystems %nterconnecton) de sete
nvees.
:odelo )iveles
TCP/IP 5 Apcacn
4 Transporte
3 Red
2 Enace
1 Fsco.
OSI 7 Apcacn
6 Presentacn
5 Sesn
4 Transporte
3 Red
2 Enace de datos
1 Fsco
212
*5.*.+. :odelo @C<=%<
Utza encapsuamento para proveer a abstraccn de protocoos y servcos haca dferentes
capas en a pa. La pa consste de cnco nvees:
)ivel )om!re Descripcin
5 Aplicacin Se compone de dversos protocoos de servcos como:
D)> (Doman Name System)
@>=>> (@ransport ayer >ecurty)
@F@< (@rva Fe @ransfer <rotoco)
F@< (Fe @ransfer <rotoco)
E@@< (Eyper @ext @ransfer <rotoco)
%:A< (%nternet :esssage Access <rotoco)
%'C (%nternet 'eay Chat)
))@< ()etwork )ews @ransfer <rotoco)
<0<3 (<ost 0ffce <rotoco)
>%< (>esson %ncaton <rotoco)
>:@< (>mpe :a @ransfer <rotoco)
>):< (>mpe )etwork :anagement <rotco)
>>E (>ecure >$e)
@")"@
Bit@orrent
'@< ('ea-tme @ransport <rotoco)
rlogin
")'< ("ndpont Eandespace 'edundancy <rotoco)
Los protocoos de encamnamento como B?< (Border ?ateway <rotoco) y '%< ('outng
%nformaton <rotoco) que utzan transporte por TCP y UDP respectvamente pueden ser
consderados como parte de este nve.
4 @ransporte Se compone de dversos protocoos de servcos como:
@C< (@ransmson Contro <rotoco)
,D< (,ser Datagram <rotoco),
DCC< (Datagram Congeston Contro <rotoco)
213
>C@< (>tream Contro @ransmson <rotococo)
% (%nternet nk Protoco, smar a TCP pero ms smpe)
',D< ('eabe ,ser Datagram <rotoco), etc.
Los protocoos como 0><F (0pen >hortest <ath Frst), que corren sobre IP, pueden ser
tambn consderados como parte de esta capa. %C:< (%nternet Contro :essage <rotoco) e
%?:< (%nternet ?roup :anagement <rotoco) que tambn utzan IP, pueden ser
consderados parte de Nve de Red.
3 'ed Se compone de dversos protocoos de servcos como %< (ncuyendo %<v4 e %<v6).
Protocoos como A'< (Address 'esouton <rotoco) y 'A'< ('everse Address 'esouton
<rotoco) que operan por deba|o de IP, pero arrba de Nve de enace, de modo que
pertenecen a un punto ntermedo entre e Nve de Red y e Nve de Enace.
2 "nlace Compuesto de protocoos como:
"t$ernet
Wi(Fi
@oKen ring
<<< (Pont-to-Pont <rotoco)
>%< (>era ne %nternet <rotoco)
FDD% (Fber Dstrbuted Data %nterface)
A@: (Asynchronous @ransfer <rotoco)
Frame 'elay
>:D> (Swtched :ut-megabt Data >ervces)
1 Fsico Medo fsco.
Los nvees ms cercanos atos son os ms cercanos a usuaro, mentras que os que estn ms
haca aba|o se encuentran ms cercanos a a transmsn fsca de os datos. Savo por evdentes
razones en e prmer y tmo nvees, cada nve tene un nve superor y un nve nferor que,
respectvamente, o ben utzan un servco de nve o proveen un servco. Un mtodo de
abstraccn para entender esto es mrar os nvees como proveedores o consumdores de
servcos. E|empo: TCP en e nve de transporte requere un protocoo de nve de Red, como sera
IPv4, e cua a su vez requere de un protocoo de nve de enace, sendo TCP un proveedor de
servco para os protocoos de nve de apcacn.
214
*5.*.+.+. )ivel de aplicacin
Es e nve que utzan os programas de red ms comunes a fn de comuncarse a travs de una
red. La comuncacn que se presenta en este nve es especfca de as apcacones y os datos
transportados desde e programa que estn en e formato utzado por a apcacn y van
encapsuados en un protocoo de )ivel de @ransporte. Sendo que e modeo TCP/IP no tene
nvees ntermedos, e nve de Apcacn debe ncur cuaquer protocoo que acte de msmo
modo que os protocoos de )ivel de <resentacin y )ivel de >esin de :odelo 0>%. Los
protocoos de Nve de Transporte ms comnmente utzados son TCP y UDP, msmos que
requeren un puerto dsponbe y especfco para e servco para os servdores y puertos efmeros.
Aunque os encamnadores (routers) e nterruptores (swtches) no utzan este nve, as
apcacones que controan e ancho de banda s o utzan.
*5.*.+.*. )ivel de @ransporte
Este nve prncpamente provee o necesaro para conectar apcacones entre s a travs de
puertos. Mentras que IP (Internet Protoco),de Nve de Red, provee soamente a me|or forma de
entrega, e nve de transporte es e prmer nve que se encarga de a fabdad. De entre todos os
protocoos de este nve, tanto TCP como UDP son utzados para transportar un gran nmero de
apcacones de ato nve. Las apcacones en cuaquer nve se dstnguen a travs de os puertos
TCP o UDP que utcen.
@C<.
E me|or e|empo de este nve es TCP, que es un protocoo orentado haca conexn que
resueve numerosos probemas de fabdad para proveer una transmsn de bytes fabe, ya
que se encarga de que os datos eguen en orden, tenga un mnmo de correccones de
errores, se descarten datos dupcados, se vuevan a envar os paquetes perddos o
descartados e ncuya contro de congestn de trfco.
La conexones a travs de TCP tenen tres fases:
%. "sta!lecimiento de la cone2in
Antes de que e cente ntente conectarse con e servdor, ste tmo debe prmero
garse haca e puerto para abrro para as conexones, es decr, una apertura
pasiva. Una vez estabecda, e cente puede ncar a apertura activa. Se requere
de un saudo de tres etapas:
1. La apertura actva se reaza envando un paquete SYN (sncronza) haca e
servdor.
2. En respuesta, e servdor responde con un paquete SYN-ACK (conformacn de
sncronzacn).
3. Fnamente e cente enva un paquete ACK (confrmacn) de regreso haca e
servdor.
En este punto tanto cente como servdor han recbdo una conformacn de a
conexn.
%%. @rans&erencia de datos
Hay tres funcones cave que dferencan a TCP de UDP:
215
1. Transferenca de datos bre de errores.
2. Transferenca de datos ordenada.
3. Retransmsn de paquetes perddos.
4. Descartado de paquetes dupcados.
5. A|uste en a congestn de a transmsn de datos.
III. @erminacin de la cone2in.
Esta etapa utza un saudo de tres vas, con cada extremo de a conexn termnando
ndependentemente. Cuando uno de os extremos desea detener su parte de a
conexn, enva un paquete FIN, que a otra parte confrma con un paquete ACK. Por
tanto, una nterrupcn de a conexn requere un par de paquetes FIN y ACK desde
cada ado de a conexn TCP.
Una conexn puede quedar aberta a medas cuando uno de os extremos ha
termnado a conexn desde su ado pero e otro extremo no. E extremo que termn
a conexn ya no puede envar datos en a conexn, pero e e otro extremo s.
E mtodo ms comn es un saudo de tres etapas donde un anftrn A enva un
paquete FIN y e anftrn B responde con un paquete FIN y un ACK (en e msmo paso)
y e anftrn A responde con un paquete ACK.
TCP reaza as sguentes etapas en su zcao:
1. LISTEN
2. SYN-SENT
3. SYN-RECEIVED
4. ESTABLISHED
5. FIN-WAIT-1
6. FIN-WAIT-2
7. CLOSE-WAIT
8. CLOSING
9. LAST-ACK
10.TIME-WAIT
11.CLOSED
%>@") representa a conexn en espera de petcones desde cuaquer puerto TCP remoto.
>b)(>")@ representa a espera de TCP remoto para envar de regreso e paquete TCP
estabecendo banderas >b) y ACI. >b)('"C%F"D representa a espera para e TCP remoto
para envar de regreso a confrmacn despus de haber envado de regreso otra
confrmacn de conexn a TCP remoto (estabecdo por e servdor TCP). ">@AB%>E"D
representa que e puerto est sto para recbr/envar datos desde/haca e TCP remoto (o
hacen tanto centes como servdores TCP). @%:"(WA%@ representa e tempo de espera
necesaro para asegurar que e TCP remoto ha recbdo a confrmacn de su soctud de
termnacn de a conexn.
,D<.
UDP, a veces referdo sarcstcamente como :nreliable Datagram Protoco (Protcoo no fabe
de datagrama), es un protocoo de datagrama sn correccn; no provee as garanta de
fabdad y ordenamento de TCP a os protocoos de )ivel de Aplicacin y os datagramas
pueden egar en desorden o perderse sn notfcacn. Como consecuenca de o anteror es
que UDP es un protocoo ms rpdo y efcente para tareas geras o sensbes a tempo una
nterfaz muy smpe entre e )ivel de 'ed y )ivel de Aplicacin. S se requere agn tpo
de fabdad para os datos transmtdos, sta debe ser mpementada en os nvees
superores de a pa.
216
A gua que IP, y a dferenca de TCP, es un protocoo de me|or esfuerzo o no-fabe. E nco
probema de fabdad que resueve es a correccn de errores en a cabecera y datos
transmtdos a travs de un campo de 16 bts para suma de veri&icacin (checksum), una
forma de contro de redundanca con a fnadad de proteger a ntegrdad de datos
verfcando que no hayan sdo corrompdos.
La estructura de paquetes UDP consste de 4 campos.
<uerto de origen. Encargado de dentfcar e puerto que enva y que se asume ser
e puerto haca donde se enva a respuesta s se necesta. Este campo es opcona: s
no se utza, e vaor de campo debe ser 0.
<uerto de destino. Identfca e puerto de destno. Es obgatoro.
ongitud. Un campo de 16 bts que especfca a ongtud de datagrama competo:
cabecera y datos. La ongtud mnma es de 8 bytes ya que es a ongtud msma de a
cabecera.
>uma de veri&icacin. Un campo de 16 bts que se utza para verfcar errores en
cabecera y datos.
Las apcacones ms comunes que hacen uso de este tpo de protocoo son DNS,
apcacones de transmsn de medos, voz sobre IP (VoIP), TFTP y |uegos en nea.
>C@<.
SCTP es un mecanismo de transporte &ia!le orentado haca conexn. Est orentado
tambn haca transmsn de datos pero no est orentado haca bytes como TCP. Provee
mtpes transmsones dstrbudos sobre una msma conexn. Puede adems representar
una conexn con mtpes dreccones IP de modo que s una IP faa, a conexn no se
nterrumpe. Se desarro ncamente para apcacones de teefona pero se puede utzar
en otras apcacones.
DCC<.
DCCP se encuentra en fase de desarroo y ba|o a tutea de a IETF (Internet Engneerng Task
Force) que pretende proveer a semntca de contro de fu|o de TCP y e modeo de servco
de datagrama de UDP a a vsta de usuaro.
'@<.
RTP es un protocoo de datagrama que fue dseado para datos en tempo rea como a
transmsn de audo y vdeo. Es un nve de sesn que utza e formato de paquetes de UDP
como base. Sn embargo se consdera que este protocoo pudera acomodar deba|o de nve
de transporte de modeo TCP/IP.
*5.*.+.3. )ivel de 'ed
Este nve resueve e probema de capturar os datos a travs de una red nca. %< (%nternet
<rotoco) reaza a tarea bsca de capturar os paquetes de datos desde una fuente haca un
destno. IP puede transportar datos para una gran cantdad de protocoos de nve superor (Nve
de Transporte). Otro e|empo de protocoo de este nve es X.25, que es un con|unto de protocoos
para redes WAN utzando neas teefncas o sstema ISDN.
217
*5.*.+.4. )ivel de "nlace
Este nve no es reamente parte de Con.unto de <rotocolos @C<=%<, sno que es e mtodo
utzado para pasar paquetes desde e Nve de Red sobre dos dferentes anftrones. Este proceso
puede ser controado a travs de equpamento gco utzado como controador de dspostvo
para una tar|eta de red as como tambn sobre a <rogramacin en &irme (Frmware) o crcutos
ntegrados auxares (chpsets). Estos procesos reazarn funcones de enace de datos taes como
aadr una cabecera de paquete para preparar a transmsn, y entonces transmtr e todo a
travs de un medo fsco.
Este nve es donde os paquetes son nterceptados y envados haca una Red Prvada Vrtua
(VPN). Cuando esto se eva a acabo, os datos de Nve de Enace se consderan como os datos de
a apcacn y procede descendendo por a pa de modeo TCP/IP para reazar a verdadera
transmsn. En e extremo receptor, os datos suben por a pa de modeo TCP/IP dos veces, una
para a VPN y otra para e encamnamento (routng).
*5.*.+.5. )ivel Fsico
A gua que e Nve de Enace, no es reamente parte de Con.unto de <rotocolos @C<=%<.
Contempa todas as caracterstcas fscas de a comuncacn como a naturaeza de medo,
detaes de conectores, cdgo de canaes y moduacn, potencas de sea, ongtudes de onda,
sncronzacn y tempo de vda as como dstancas mxmas.
*5.*.*. :odelo 0>%
E Con.unto de <rotocolos @C<=%< (y su correspondente pa) han sdo utzados antes de que
se estabecera e modeo OSI (Interconexn de Sstemas Abertos u 0pen >ystems
%nterconnecton) y desde entonces e modeo TCP/IP ha sdo comparado con e modeo OSI tanto
en bros como en nsttucones educatvas. Ambas se reaconan pero no son equparabes. E
modeo OSI utza sete nvees, mentras que e modeo TCP/IP utza cnco. Los dos nvees que
hacen a dferenca en e Modeo OSI son e )ivel de <resentacin y e )ivel de >esin, msmos
que podran ser equvaentes a )ivel de Aplicacin de modeo TCP/IP.
De msmo modo que a pa de modeo TCP/IP, e modeo OSI no es o sufcentemente dverso en
os nvees nferores para abarcar as verdaderas capacdades de Con.unto de <rotocolos
@C<=%<. Un caro e|empo es que fata un nve ntermedo para acomodar entre e )ivel de 'ed y
e )ivel de @ransporte para poder determnar donde corresponden os protocoos ICMP e IGMP, y
otro nve ntermedo entre e )ivel de 'ed y e )ivel de @ransporte para determnar donde
corresponden os protocoos ARP y RARP.
7 Aplicacin HTTP, SMTP, SNMP, FTP, Tenet, SIP, SSH, NFS, RTSP, D:<< (E2tensbe :essagng and
<resence <rotoco), Whos, ENRP Tenet.
6 <resentacin DD' (E2terna Data 'epresentaton), A>).+ (Abstract >yntax )otaton 1), >:B (>erver
:essage Bock),AF< (Appe Fng <rotoco), )C< ()etWare Core <rotoco)
5 >esin A>A< (Aggregate >erver Access <rotoco), TLS, SSH, ISO 8327 / CCITT X.225, '<C
('emote <rocedure Ca), )etB%0>, A>< (Appetak >esson <rotoco), Wnsock, BSD
sockets
4 @ransporte TCP, UDP, RTP, SCTP, SPX, ATP, IL
2 "nlace de datos Ethernet, Token rng, HDLC, Frame reay, ISDN, ATM, 802.11 WF, FDDI, PPP
1 Fsico Defne todas as especfcacones fscas y ectrcas de os dspostvos, como son
dsposcn de pnes, vota|es, especfcacones de cabeado, concentradores, repetdores,
218
adaptadores de red, etc.
Ca!le, 'adio, fi!ra ptica, 'ed por palomas.
Los nvees 7 a 4 se casfcan como nvees de anftrn, mentras que os niveles in&eriores de 1
a 3 se casfcan como niveles de medios.
219
*6. %ntroduccin a %< versin 4
*6.+. %ntroduccin.
%<v4 es a versn 4 de Protocoo de Internet (%< o %nernet <rotoco) y consttuye a prmera
versn de IP que es mpementada de forma extensva. %<v4 es e prncpa protocoo utzado en
e Nve de Red de Modeo TCP/IP para Internet. Fue descrto nca mente en e RFC 791 eaborado
por a Fuerza de Traba|o en Ingenera de Internet (%"@F o %nternet "ngneerng @ask Force) en
Septembre de 1981, documento que de| obsoeto a RFC 760 de Enero de 1980.
IPv4 es un protocoo orentado haca datos que se utza para comuncacn entre redes a travs
de nterrupcones (swtches) de paquetes (por e|empo a travs de Ethernet). Tene as sguentes
caracterstcas:
Es un protocoo de un servco de datagramas no fabe (tambn referdo como de mejor esfuerzo).
No proporcona garanta en a entrega de datos.
No proporcona n garantas sobre a correccn de os datos.
Puede resutar en paquetes dupcado o en desorden.
Todos os probemas menconados se resueven en e nve superor en e modeo TCP/IP, por
e|empo, a travs de @C< o ,D<.
E propsto prncpa de %< es proveer una dreccn nca a cada sstema para asegurar que una
computadora en Internet pueda dentfcar a otra.
*6.*. Direcciones.
%<v4 utza dreccones de 32 bts (4 bytes) que mta e nmero de dreccones posbes a utzar
a 4,294,967,295 dreccones ncas. Sn embargo, muchas de estas estn reservadas para
propstos especaes como redes prvadas, :ultidi&usin (Mutcast), etc. Debdo a esto se
reduce e nmero de dreccones IP que reamente se pueden utzar, es esto msmo o que ha
mpusado a creacn de %<v6 (actuamente en desarroo) como reempazo eventua dentro de
agunos aos para %<v4.
*6.*.+. 'epresentacin de las direcciones.
Cuando se escrbe una dreccn %<v4 en cadenas, a notacn ms comn es a decimal con
puntos. Hay otras notacones basadas sobre os vaores de os octetos de a dreccn IP.
Utzando como e|empo: www.acancebre.org que tene como dreccn IP 201.161.1.226 en a
notacn decma con puntos:
220
)otacin Falor Conversin desde decimal con puntos
Decma con puntos 201.161.1.226 -
Hexadecma con
puntos
0xC9.0xA1.0x01.0xE2 Cada octeto de a dreccn es convertdo
ndvduamente a hexadecma.
Octa con puntos 0311.0241.0001.0342 Cada octeto es convertdo ndvduamente a
octa.
Bnaro con puntos 11001001.10100001.00000001.11100010 Cada octeto es convertdo ndvduamente a
bnaro
Hexadecma 0xC9A101E2 Concatenacn de os octetos de
hexadecma con puntos.
Decma 3382772194 La forma hexadecma convertda a decma.
Octa 31150200742 La forma hexadecma convertda a octa.
Bnaro 11001001101000010000000111100010 La forma hexadecma convertda a bnaro.
Te#ricamente, todos estos formatos menconados deberan ser reconocdos por os navegadores
(sn combnar). Adems, en as formas con puntos, cada octeto puede ser representado en
combnacn de dferentes bases. E|empo: 201.0241.0x01.226.
*6.3. Asignacin
Desde 1993 rge e esquema C%D' (Cassess %nter-Doman 'outng o Encamnamento Inter-
Domnos sn Cases) cuya prncpa venta|a es permtr a subdvsn de redes y permte as
entdades sub-asgnar dreccones IP, como hara un ISP con un cente.
E prncpo fundamenta de encamnamento (routng) es que a dreccn codfca nformacn
acerca de ocazacn de un dspostvo dentro de una red. Esto mpca que una dreccn
asgnada a una parte de una red no funconar en otra parte de a red. Exste una estructura
|errquca que se encarga de a asgnacn de dreccones de Internet arededor de mundo. Esta
estructura fue creada para e C%D', y hasta 1998 fue supervsada por a %A)A (%nternet Assgned
)umbers Authorty o Agenca de Asgnacn de Nmeros Internet) y sus '%' ('egona %nternet
'egstres o Regstros Regonaes de Internet). Desde e 18 de Septembre de 1998 a supervsn
est a cargo de a %CA)) (%nternet Corporaton for Assgned )ames and )umbers o Corporacn
de Internet para os Nombres y Nmeros Asgnados). Cada '%' mantene una base de datos
WE0%> dsponbe a pubco y que permte hacer bsquedas que proveen nformacn acerca de
as asgnacones de dreccones IP. La nformacn obtenda a partr de estas bsquedas |uega un
pape centra en numerosas herramentas as cuaes se utzan para ocazar dreccones IP
geogrfcamente.
*6.3.+. Blo#ues reservados.
Blo#ues de direcciones reservadas
Blo#ue de direcciones C%D' Descripcin 'e&erencia
0.0.0.0/8 Red actua (soo vdo como dreccn de orgen) RFC 1700
10.0.0.0/8 'ed <rivada RFC 1918
14.0.0.0/8 Red de datos pbcos RFC 1700
39.0.0.0/8 Reservado RFC 1797
127.0.0.0/8 Anftrn oca (ocahost) RFC 1700
128.0.0.0/16 Reservado
221
Blo#ue de direcciones C%D' Descripcin 'e&erencia
169.254.0.0/16 'ed <rivada (Zeroconf) RFC 3927
172.16.0.0/12 'ed <rivada RFC 1918
191.255.0.0/16
192.0.0.0/24
192.0.2.0/24 Red de pruebas RFC 3330
192.88.99.0/24 Retransmsn desde %<v6 haca %<v4 RFC 3068
192.168.0.0/16 'ed <rivada RFC 1918
198.18.0.0/15 Pruebas de desempeo de red RFC 2544
223.255.255.0/24 Reservado RFC 3330
224.0.0.0/4 Mutdfusn (Mutcast, antes red Case D) RFC 3171
240.0.0.0/4 Reservado (Antes red Case E) RFC 1700
255.255.255.255 Dfusones (Broadcast)
*6.3.+.+. 'edes privadas.
De os ms de cuatro mil millones de dreccones permtdas por %<v4, tres rangos estn
especamente reservados para utzarse soamente en redes prvadas. Estos rangos no tenen
encamnamento fuera de una red prvada y as mqunas dentro de estas redes prvadas no
pueden comuncarse drectamente con as redes pbcas. Pueden, sn embargo, comuncarse
haca redes pbcas a travs de a Traduccn de Dreccones de Red o )A@ ()etwork Address
@ransaton).
Blo#ues reservados para redes privadas
)om!re
'ango de direcciones
%<
)umero de
direcciones %<
@ipo de clase
Blo#ue C%D'
mayor
Boque de
24bts
10.0.0.0 - 10.255.255.255 16,777,215 nca case A 10.0.0.0/8
Boque de
20bts
172.16.0.0 -
172.31.255.255
1,048,576
16 cases B
contguas
172.16.0.0/12
Boque de
16bts
192.168.0.0 -
192.168.255.255
65,535
256 cases C
contguas
192.168.0.0/16
*6.3.+.*. An&itrin local Mocal$ostN
Adems de as redes prvadas, e rango 127.0.0.0 - 127.255.255.255, o 127.0.0.0/8 en a notacn
C%D', est reservado para a comuncacn de anftrn oca (ocahost). Nnguna dreccn de
este rango deber aparecer en una red, sea pbca o prvada, y cuaquer paquete envado haca
cuaquer dreccn de este rango deber regresar como un paquete entrante haca a msma
mquna.
222
*6.4. 'e&erencia de su!(redes de %< versin 4.
Agunos segmentos de espaco de dreccones de IP, dsponbes para a versn 4, se especfcan y
asgnan a travs de documentos 'FC ('equest For Comments, o Soctud De Comentaros), que
son con|untos de notas tcncas y de organzacn que se eaboran desde 1969 donde se descrben
os estndares o recomendacones de Internet, antes ARPANET. E|empos de esto son os usos de
Retorno de sstema (oopback, RFC 1643), as redes prvadas (RFC 1918) y Zeroconf (RFC 3927)
que no estn ba|o e contro de os '%' ('egona %nternet 'egstres o Regstros Regonaes de
Internet).
La mscara de sub-red es utzada para separar os bts de un dentfcados de una red a partr de
os bts de dentfcados de anftrn. Se escrbe utzando e msmo tpo de notacn para escrbr
dreccones IP.
C%D' :;scara de su!(red An&itriones
)om!re de la
clase
,so tpico
/8 255.0.0.0 16777216 Case A
Boque ms grande defndo por a
IANA
/9 255.128.0.0 8388608
/10 255.192.0.0 4194304
/11 255.224.0.0 2097152
/12 255.240.0.0 1048576
/13 255.248.0.0 524288
/14 255.252.0.0 262144
/15 255.254.0.0 131072
/16 255.255.0.0 65536 Case B
/17 255.255.128.0 32768 ISP / negocos grandes
/20 255.255.240.0 4096 ISP pequeos / negocos grandes
/21 255.255.248.0 2048 ISP pequeos / negocos grandes
/22 255.255.252.0 1024
/23 255.255.254.0 512
/24 255.255.255.0 256 Case C LAN grande
/25 255.255.255.128 128 LAN grande
/26 255.255.255.192 64 LAN pequea
/27 255.255.255.224 32 LAN pequea
/28 255.255.255.240 16 LAN pequea
/29 255.255.255.248 8
/30 255.255.255.252 4
Redes de unn (enaces punto a
punto)
/31 255.255.255.254 2
Red no utzabe, sugerda para
enaces punto a punto (RFC 3021)
/32 255.255.255.255 1 Ruta de anftrn
223
*6.5. 'e&erencias.
http://www.etf.org/rfc/rfc760.txt
224
*7. Cmo con&igurar los par;metros de red en
inu2.
*7.+. %ntroduccin
Confgurar os parmetros de red en una estacn de traba|o GNU/Lnux o un servdor no es
reamente compcado. Soamente requerr de agunos conocmentos bscos sobre redes y
cuaquer edtor de texto smpe, como V, Emacs o gEdt.
*7.*. <rocedimientos
*7.*.+. Deteccin y con&iguracin del sustento &sico M$ardPareN.
En Cent0> 6 y 'ed Eat "nterprise inu2 6, que utza nceo de Lnux versn 2.6.32, a
deteccn de as tar|etas de red es automtca, mentras se trate de tar|etas de red soportadas.
Para consutar a sta de tar|etas de red compatbes, vste hardware.redhat.com.
En Cent0> 5 y 'ed Eat "nterprise inu2 5, a deteccn de as tar|etas de red es reazada o
ben por e programa de nstaacn, o ben a travs de (udzu, un servco que nca |unto con e
sstema y que se encarga de detectar y confgurar os dspostvos de sustento fsco (ard)are)
nstaados. En trmnos generaes, es nnecesaro confgurar parmetro aguno mentras os
dspostvos de red sean compatbes y exsta un controador para a versn de nceo ((ernel)
e|ecutado.
S acaso no fuese detectado e dspostvo de red debdo a a ausenca de (udzu, es posbe
confgurar todo manuamente. La marca de a tar|eta de red es o que menos nteresa, o que es
mportante es que se determne con exacttud que crcuto ntegrado auxar (cipset) utza a
tar|eta de red. Esto puede determnarse examnando fscamente a tar|eta de red o ben
examnando a detae a sada en pantaa que se obtene a e|ecutar e sguente mandato:
lspci ^ grep %thernet
Lo anteror devueve una sada smar a a sguente (en e caso de una tar|eta 3Com 905 C)
%thernet controller" ?(om (orporation ?c7#8(/X D<ast %therlinkE (rev
15#)@
De ser necesaro, puede modfcarse, con un edtor de textos, e archvo =etc=modpro!e.con&.
Puede verfcarse e mduo correspondente a a tar|eta de red consutando e archvo
anterormente menconado:
225
alias eth# ?c87x
S se reaz aguna edcn de este archvo, deber de e|ecutarse e sguente mandato, a fn de
actuazar dependencas:
depmod a
S utza un nceo de a sere 2.4.x o 2.6, a sta de mduos exstentes en e sstema que se
pueden utzar para dstntos crcutos ntegrados auxares de dstntos modeos de tar|etas de red
se puede obtener stando e contendo de drectoro =li!=modules=Tversin del
n1cleoU=Kernel=drivers=net=. E|empo:
ls /lib/modules/5@6@1456>@el8;3%/kernel/drivers/net/
*7.*.*. )etPorK:anager.
Desde CentOS 5 y Red Hat Enterprse Lnux 5, se ncuye una mpementacn aternatva para a
gestn de parmetros de red desde a nterfaz de usuaro. En CentOS y Red Hat Enterprse Lnux 5
vene desactvada de modo predetermnado, por o que permte traba|ar normamente. Sn
embargo en CentOS 6 y Red Hat Enterprse Lnux 6, este servco vene actvo, savo que se haga a
nstaacn mnma o a nstaacn bsca de servdor.
S se desea mpedr que NetworkManager gestone aguna nterfaz de red en partcuar, y que se
pueda ncar |unto con e servco netPorK, soo basta con modfcar e parmetro
NM_CONTROLLED de archvo de confguracn de a nterfaz deseada, dentro de drectoro
=etc=syscon&ig=netPorK(scripts=, y estabecer no como vaor de ste. E|empo:
$%&'(%)eth#
.+9../)yes
9../;R./.)static
123$$R)>>"46"<("33"$$"5$
NM_CONTROLLED=no
';3$$R)165@16@1@8#
+%/,3SH)588@588@588@175
I3/%23:)165@16@1@1
$.,3'+)dominio@tld
$+S1)4@4@4@4
$+S5)4@4@>@>
Mentras est estabecdo ):QC0)@'0"DRno en a confguracn de a nterfaz de red,
NetworkManager gnorar sta por competo. S va a prescndr de uso de modo grfco, o ben se
evarn a cabo cambos poco frecuentes de a confguracn de os dspostvos de red de sstema,
tambn se puede desactvar por competo e servco )etPorK:anager, y ahorrar arededor de
un de MB de RAM. E uso de NetworkManager soo tene sentdo en una computadora portt que
se conecta a mtpes redes nambrcas, o ben un escrtoro.
chkcon!ig +etwork,anager o!!
service +etwork,anager stop
226
*7.*.3. Asignacin de par;metros de red.
*7.*.3.+. )om!re del an&itrin ME0>@)A:"N.
Debe modfcarse con un edtor de textos e archvo =etc=$osts, y debe verfcarse que este
dferencado e eco o retorno de sstema de nombre de sstema, e cua deber estar asocado a
una de as dreccones IP, especfcamente a que est asocado a dcho nombre en e servdor de
sstema de nombres de domno (DNS) s se cuenta con uno en a red oca. E|empo:
156@#@#@1 localhost@localdomain localhost
165@16@1@8# nombre@dominio@tld nombre
Se debe estabecer un nombre para e sstema. Este deber ser un FBD) (acrnmo de Fuy
Buafed Doman )ame o Nombre de Domno Penamente Cafcado) resueto por un servdor de
nombres de domno (DNS) o ben. En e caso de sstemas sn conexn a red o sstemas caseros,
sea resueto de manera oca en e archvo =etc=$osts. De ta modo, e nom!re del an&itrin
(ostname) de sstema se defnr dentro de archvo =etc=syscon&ig=netPorK de sguente
modo:
+%/2.RH'+I)yes
1.S/+3,%)nombre@dominio@tld
*7.*.3.*. Direccin %<L m;scara de su!red y puerta de enlace.
Debe modfcarse con cuaquer edtor de textos, y verfcar que sus parmetros de red sean os
correctos, e archvo ocazado en a ruta =etc=syscon&ig=netPorK(scripts=i&c&g(et$O. E|empo:
$%&'(%)eth#
.+9../)yes
9../;R./.)static
+,-(.+/R.00%$)no
';3$$R)165@16@1@8#
+%/,3SH)588@588@588@175
I3/%23:)165@16@1@1
Los parmetros anterores son proporconados por e admnstrador de a red oca en donde se
ocace a mquna que est sendo confgurada, o ben defndos de acuerdo a una panfcacn
prevamente estabecda. E admnstrador de a red deber proporconar una dreccn IP
dsponbe (IPADDR) y una mscara de a subred (NETMASK).
*7.*.3.3. >ervidores de nom!res.
Hay dos parmetros a confgurar: domno de bsqueda predetermnado y a menos un servdor de
nombres. En Cent0> 6 y 'ed Eat "nterprise inu2 6, se pueden estabecer aadendo a
archvo fcfg-eth0, que se encontrar de drectoro =etc=syscon&ig=netPorK(scripts=, e
parmetro D0:A%) y os parmetro DNS1, DNS2 y DNS3. E|empo:
227
$%&'(%)eth#
.+9../)yes
9../;R./.)static
+,-(.+/R.00%$)no
';3$$R)165@16@1@8#
+%/,3SH)588@588@588@175
I3/%23:)165@16@1@1
DOMALN=5o/#n#o.2)5
DNS-=8.8.8.8
DNS,=8.8.J.J
Lo anteror actuazar automtcamente e archvo =etc=resolv.con& con e contendo que
corresponda.
En Cent0> 5 y 'ed Eat "nterprise inu2 5 (y versones anterores de stos), debe modfcarse
con un edtor de textos a archvo =etc=resolv.con&, donde se estabecern os servdores de
sstema de resoucn de nombres de domno (DNS). E|empo:
search dominio@tld
nameserver 4@4@4@4
nameserver 4@4@>@>
*7.*.4. Agregar rutas est;ticos.
Las rutas esttcas se pueden aadr utzando e mandato route, sguendo a sguente sntaxs:
route add net DreddestinoE netmask DmcscaraE gw DpuertadeenlaceE dispositivo
En e sguente e|empo se defnr a ruta esttca haca a red +S*.+69.3.O con mscara
*55.*55.*55.+S*, puerta de enace a travs de a dreccn IP +7*.+6.+.36 y a travs de
dspostvo de red et$+:
route add net 175@164@?@# netmask 588@588@588@175 gw 165@16@1@?6 eth1
Es un requsto que a puerta de enace de destno sea acanzabe desde e dspostvo utzado.
Una ruta esttca no puede ser estabecda s no es posbe acanzar a puerta de enace necesara.
S se renca e servco de red, os cambos se perdern.
S se requere estabecer as rutas esttcas adconaes para obtener conectvdad con otras redes
y que os cambos sean permanentes, se pueden generar archvos para cada nterfaz que sea
necesaro, en donde se estabecen os vaores para puerta de enace, red a a que se quere
acceder y a mscara de subred correspondente. Los archvos se deben generar dentro de
drectoro =etc=syscon&ig=netPorK(scripts= como route2;interfaz< y deben evar e sguente
formato:
I3/%23:$)xxx@xxx@xxx@xxx
3$$R%SS$)xxx@xxx@xxx@xxx
+%/,3SH$)xxx@xxx@xxx@xxx
228
Por ctar un e|empo, magnemos que nos encontramos dentro de a red 172.16.1.0 y se requere
estabecer conectvdad con as redes 192.168.2.0 y 192.168.3.0, con mscaras 255.255.255.192,
a travs de as puertas de enace o enrutadores o encamnadores con dreccn IP 192.168.2.1 y
192.168.3.1, correspondentemente para cada red ctada, a travs de a prmera nterfaz Ethernet
de sstema (eth0). La confguracn de =etc=syscon&ig=netPorK(scripts=route(et$O sera a
sguente:
I3/%23:$)175@164@5@1
3$$R%SS$)175@164@5@#
+%/,3SH$)588@588@588@175
I3/%23:-)175@164@?@1
3$$R%SS-)175@164@?@#
+%/,3SH-)588@588@588@175
*7.*.5. Funcin de 'eenvo de pa#uetes para %< versin 4.
S dspone de a menos 2 dspostvos de red y se tene paneado mpementar un NAT o DNAT, se
debe habtar e reenvo de paquetes para IP versn 4. Esto se reaza edtando e archvo
=etc=sysctl.con&, y estabecendo + para actvar, o ben de|ar O para mantener nactvo:
vim /etc/sysctl@con!
Y cambando net.ipv4.ipQ&orPard R O por net.ipv4.ipQ&orPard R +:
net@ipv>@ip-!orward ) 1
Para apcar e cambo, sn rencar e sstema, soo es necesaro e|ecutar o sguente:
sysctl w net@ipv>@ip-!orward)1
*7.*.6. Compro!aciones.
Despus de hacer confgurado todos os parmetros de red deseados, soo deber de ser rencado
e servco de red, e|ecutando o sguente:
Basta soamente comprobar s hay reamente conectvdad. Puede e|ecutarse e mandato ping
haca cuaquer dreccn de a red oca para ta fn.
ping c? 165@16@1@1
Las nterfaces y a nformacn de as msmas se puede examnar utzando:
i!con!ig
Las rutas esttcas se pueden comprobar utzando e sguente mandato:
route n
229
Para comprobar s hay resoucn de nombres, se puede reazar una consuta haca os servdores
DNS defndos para e sstema, utzando:
host dominio@tld
*7.*.7. Alta de direcciones %< virtuales
Las dreccones IP vrtuaes srven para que e sstema responda para ms de una dreccn IP a
travs de msmo dspostvo de red. Son tes en os casos en os cuaes se tene un servco de
hospeda|e de pgnas de Internet, y se desea que cada sto tenga su propa dreccn IP. Tambn
son tes en os muros cortafuegos donde se quere que un con|unto de equpos sagan haca
Internet enmascarados con una IP (una LAN, por e|empo), y otro con|unto de equpos o hagan con
una dreccn IP dstnta (una DMZ, por e|empo).
Basta defnr soamente a dreccn IP, mscara de subred y e nombre de dspostvo. E archvo
se genera guamente con e nombre de dspostvo con e pref|o i&c&g(, dentro de drectoro
=etc=syscon&ig=netPorK(scripts=. E|empo de contendo de archvo =etc=syscon&ig=netPorK(
scripts=i&c&g(et$O-O que corresponde a prmer dspostvo vrtua de prmer dspostvo eternet:
$%&'(%)e23$?$
';3$$R)175@164@5@58>
+%/,3SH)588@588@588@175
La comprobacn, a e|ecutar e mandato i&con&ig, deber regresar ago como o sguente
eth# 0ink encap"%thernet 12addr ##"#1"#5"#?"#>"#8
inet addr"165@16@1@1 9cast"165@16@1@6? ,ask"588@588@588@175
=; 9R.3$(3S/ R=++'+I ,=0/'(3S/ ,/="18## ,etric"1
RX packets"56>4?# errors"# dropped"# overruns"# !rame"#
/X packets"588?76 errors"# dropped"# overruns"# carrier"#
collisions"?>4 txJueuelen"1###
RX bytes">5?68614 (>#@> ,i9) /X bytes"5#?#6#4# (17@? ,i9)
'nterrupt"11 9ase address"#xd###
eth#"# 0ink encap"%thernet 12addr ##"#1"#5"#?"#>"#8
=; 9R.3$(3S/ R=++'+I ,=0/'(3S/ ,/="18## ,etric"1
lo 0ink encap"0ocal 0oopback
inet addr"156@#@#@1 ,ask"588@#@#@#
=; 0..;93(H R=++'+I ,/="16>?6 ,etric"1
RX packets"587# errors"# dropped"# overruns"# !rame"#
/X packets"587# errors"# dropped"# overruns"# carrier"#
collisions"# txJueuelen"#
RX bytes"??56477 (?@1 ,i9) /X bytes"??56477 (?@1 ,i9)
*7.*.9. a &uncin cerocon&.
De modo predetermnado, y a fn de permtr a comuncacn entre dos dferentes sstemas a
travs de un cabe R|45 cruzado (crossover), e sstema tene habtado cerocon&, tambn
conocdo como cero Con&iguration )etPorKing o Automatic <rivate %< Addressing (APIPA).
Es un con|unto de tcncas que automtcamente crean una dreccn IP utzabe sn necesdad de
confguracn de servdores especaes. Permte a usuaros sn conocmentos de redes conectar
computadoras, mpresoras en red y otros artcuos entre s.
230
Sn Zeroconf os usuaros sn conocmentos tendran que confgurar servdores especaes como
DHCP y DNS para poder estabecer conectvdad entre dos equpos.
Estando habtado Zeroconf se mostrar un regstro en a taba de rutas esttcas para a red
+6S.*54.O.O a utzar e mandato route (n, devovendo una sada smar a a sguente:
165@16@1@# #@#@#@# 588@588@588@175 = # # # eth#
-'%.,5J.$.$ $.$.$.$ ,55.,55.$.$ U $ $ $ e23$
156@#@#@# #@#@#@# 588@588@588@588 = # # # lo
#@#@#@# 165@16@1@1 #@#@#@# =I # # # eth#
S se desea desactvar Zeroconf, soo bastar aadr en e archvo =etc=syscon&ig=netPorK e
parmetro )0c"'0C0)F con e vaor yes:
+%/2.RH'+I)yes
1.S/+3,%)nombre@dominio@tld
NOMEROCONF=yes
A termnar, soo hay que rencar e servco de red para que surtan efecto os cambos y
comprobar de nuevo con e mandato route (n que a ruta para cerocon& ha desaparecdo:
165@16@1@# #@#@#@# 588@588@588@175 = # # # eth#
156@#@#@# #@#@#@# 588@588@588@588 = # # # lo
#@#@#@# 165@16@1@1 #@#@#@# =I # # # eth#
Una vez hecho o anteror, exsten dos servcos en e sstema en CentOS y Red Hat Enterprse
Lnux 5 y versones posterores, que se pueden desactvar puesto que srven para estabecer a
comuncacn a travs de Zeroconf, estos son ava$i(daemon y ava$i(dnscon&d. Desactvar
estos dos servcos ahorrar tempo en e arranque y se consumrn algunos pocos menos
recursos de sistema.
chkcon!ig avahidnscon!d o!!
chkcon!ig avahidaemon o!!
service avahidnscon!d stop
service avahidaemon stop
Muchas apcacones y componentes para e modo grfco dependen de Zeroconf para su correcto
funconamento. Por tanto, no es convenente desactvar este soporte s se va a hacer uso de
modo grfco.
Para ms detaes acerca de cerocon&, puede consutara nformacn dsponbe en:
http://www.zeroconf.org/
http://en.wkpeda.org/wk/Zeroconf
".ercicios.
*7.*.S. 'utas est;ticas.
Este e|ercco consdera o sguente:
231
1. Se tene dos equpos de cmputo con GNU/Lnux nstaado en ambos.
2. pc+.dominio.tld tene una dreccn IP 172.16.1.61 con mscara de subred
255.255.255.192 en e dspostvo eth0. Una dreccn IP 10.3.2.1 con mscara de subred
255.255.255.240 en e dspostvo eth1.
3. pc*.dominio.tld tene una dreccn IP 172.16.1.102 (o cuaquera otra en e msmo
segmento) con mscara de subred 255.255.255.192 en e dspostvo eth0. Carece de otros
dspostvos de red actvos.
Vsuace desde pc*.dominio os regstros de a taba de rutas esttcas.
route n
Obtendr una sada smar a a sguente:
Hernel '; routing table
$estination Iateway Ienmask <lags ,etric Re! =se '!ace
165@16@1@# #@#@#@# 588@588@588@175 = # # # eth#
#@#@#@# 165@16@1@1 #@#@#@# =I # # # eth#
Intente e|ecutar ping haca a dreccn recn aadda en pc+.dominio.
ping c ? 1#@?@5@1
E resutado esperado es que ping devueva que hay 100% de prdda de paquetes.
;'+I 1#@?@5@1 (1#@?@5@1) 86(4>) bytes o! data@
1#@?@5@1 ping statistics
? packets transmittedB # receivedB 1##V packet lossB time 1777ms
Proceda a aadr a ruta esttca que corresponde especfcando a red, mascar de subred y
puerta de enace necesaros para egar haca 10.3.2.1.
route add P
net 1#@?@5@# P
netmask 588@588@588@5># P
gw 165@16@1@61 P
eth#
Vsuace de nuevo os regstros de a taba de rutas esttcas.
route n
Obtendr una sada smar a a sguente:
165@16@1@# #@#@#@# 588@588@588@175 = # # # eth#
#@#@#@# 165@16@1@1 #@#@#@# =I # # # eth#
-$.3.,.$ -I,.-'.-.- ,55.,55.,55.,J$ UG $ $ $ e23$
232
ping c ? 1#@?@5@1
E resutado esperado es que ping responda a png, obtenndose una sada smar a a sguente:
;'+I 1#@?@5@1 (1#@?@5@1) 86(4>) bytes o! data@
6> bytes !rom 1#@?@5@1" icmp-seJ)# ttl)6> time)#@>8? ms
6> bytes !rom 1#@?@5@1" icmp-seJ)1 ttl)6> time)#@?64 ms
6> bytes !rom 1#@?@5@1" icmp-seJ)5 ttl)6> time)#@?>6 ms
1#@?@5@1 ping statistics
? packets transmittedB ? receivedB #V packet lossB time 1777ms
rtt min/avg/max/mdev ) #@?>6/#@?47/#@>8?/#@#>4 msB pipe 5
Rence e servco de red, vsuace de nuevo os regstros de a taba de rutas esttcas y
compruebe que ya no hay respuesta a hacer ping haca 10.3.2.1 porque e regstro en a taba de
rutas esttcas fue emnado a rencar e servco de red.
route n
ping c ? 1#@?@5@1
Para hacer permanente e regstro en a taba de rutas esttcas utce un edtor de texto e
archvo =etc=syscon&ig=netPorK(scripts=route(et$O, y ponga e sguente contendo:
3$$R%SS$)1#@?@5@#
+%/,3SH$)588@588@588@5>#
I3/%23:$)165@16@1@61
A termnar rence e servco de red.
Vsuace nuevamente os regstros de a taba de rutas esttcas.
route n
165@16@1@# #@#@#@# 588@588@588@175 = # # # eth#
#@#@#@# 165@16@1@1 #@#@#@# =I # # # eth#
-$.3.,.$ -I,.-'.-.- ,55.,55.,55.,J$ UG $ $ $ e23$
ping c ? 1#@?@5@1
233
Rence e servco de red, vsuace de nuevo os regstros de a taba de rutas esttcas y
compruebe de nuevo que hay respuesta a hacer png haca 10.3.2.1.
route n
ping c? 1#@?@5@1
*7.*.+O. ".ercicio- Direcciones %< virtuales.
Este e|ercco consdera o sguente:
1. Se tene dos (o ms) equpos de cmputo con GNU/Lnux nstaado en stos.
2. pc+.dominio.tld tene una dreccn IP 172.16.1.50, con mscara de subred
255.255.255.192 en e dspostvo eth0. Carece de otros dspostvos de red actvos.
3. Se aadr como nterfaz vrtua (eth0:0) a dreccn IP 172.16.1.51, con mscara de subred
255.255.255.192.
Vsuace as nterfaces de red actvas en e sstema.
i!con!ig
Lo anteror debe devover una sada smar a a sguente, donde se mostrar que soo estn
actvas a nterfaz et$O y a correspondente a dspostvo de retorno de sstema (loopbac():
inet addr"165@16@1@8# 9cast"165@16@1@6? ,ask"588@588@588@175
=; 9R.3$(3S/ R=++'+I ,=0/'(3S/ ,/="18## ,etric"1
RX packets"5>64> errors"# dropped"# overruns"# !rame"#
/X packets"5??66 errors"# dropped"# overruns"# carrier"#
collisions"115 txJueuelen"1###
RX bytes"18?5??16 (1>@6 ,i9) /X bytes"867>544 (8@8 ,i9)
inet addr"156@#@#@1 ,ask"588@#@#@#
=; 0..;93(H R=++'+I ,/="16>?6 ,etric"1
RX packets"1??6 errors"# dropped"# overruns"# !rame"#
RX bytes"1581#5 (155@1 Hi9) /X bytes"1581#5 (155@1 Hi9)
Utce ping para comprobar s acaso hay aguna respuesta desde a nterfaz vrtua et$O-O.
ping c? 165@16@1@81
;'+I 165@16@1@81 (165@16@1@81) 86(4>) bytes o! data@
165@16@1@81 ping statistics
234
Confgure a travs de i&con&ig os parmetros de a nterfaz vrtua et$O-O. S a sntaxs fue
correcta, e sstema no deber devover mensa|e aguno.
i!con!ig eth#"# 165@16@1@81 netmask 588@588@588@175
Utce ping para comprobar que haya respuesta desde a nterfaz vrtua et$O-O.
ping c? 165@16@1@81
;'+I 165@16@1@81 (165@16@1@81) 86(4>) bytes o! data@
6> bytes !rom 165@16@1@81" icmp-seJ)# ttl)6> time)#@>8? ms
6> bytes !rom 165@16@1@81" icmp-seJ)1 ttl)6> time)#@?64 ms
6> bytes !rom 165@16@1@81" icmp-seJ)5 ttl)6> time)#@?>6 ms
i!con!ig
Lo anteror debe devover una sada smar a a sguente, donde se mostrar que est actva a
nterfaz et$O-O |unto con a nterfaz et$O y a correspondente a dspostvo de retorno de
sstema (loopbac():
=; 9R.3$(3S/ R=++'+I ,=0/'(3S/ ,/="18## ,etric"1
e23$?$ 0ink encap"%thernet 12addr ##"#1"#5"#?"#>"#8
=; 9R.3$(3S/ R=++'+I ,=0/'(3S/ ,/="18## ,etric"1
inet addr"156@#@#@1 ,ask"588@#@#@#
=; 0..;93(H R=++'+I ,/="16>?6 ,etric"1
Rence e servco netPorK.
235
Utce e mandato ping para comprobar s an hay respuesta desde a nterfaz vrtua et$O-O.
ping c? 165@16@1@81
;'+I 165@16@1@81 (165@16@1@81) 86(4>) bytes o! data@
i!con!ig
Lo anteror debe devover una sada smar a a sguente, donde se mostrar que ya no est
actva a nterfaz et$O-O, y soo se muestran actvas a nterfaz et$O y a correspondente a
dspostvo de retorno de sstema (loopbac():
=; 9R.3$(3S/ R=++'+I ,=0/'(3S/ ,/="18## ,etric"1
inet addr"156@#@#@1 ,ask"588@#@#@#
=; 0..;93(H R=++'+I ,/="16>?6 ,etric"1
Para hacer permanente a nterfaz de red vrtua en et$O-O utce un edtor de texto e archvo
=etc=syscon&ig=netPorK(scripts=i&c&g(et$O-O y ponga e sguente contendo Md'espete
may1sculas y min1sculaseN:
$%&'(%)eth#"#
';3$$R)165@16@1@81
+%/,3SH)588@588@588@175
Rence e servco de red.
i!con!ig
236
Lo anteror debe devover una sada smar a a sguente, donde nuevamente se mostrar que
est actva a nterfaz et$O-O |unto con a nterfaz et$O y a correspondente a dspostvo de
retorno de sstema (loopbac():
=; 9R.3$(3S/ R=++'+I ,=0/'(3S/ ,/="18## ,etric"1
e23$?$ 0ink encap"%thernet 12addr ##"#1"#5"#?"#>"#8
inet addr"-I,.-'.-.5- 9cast"175@164@1@588 ,ask",55.,55.,55.-%,
=; 9R.3$(3S/ R=++'+I ,=0/'(3S/ ,/="18## ,etric"1
inet addr"156@#@#@1 ,ask"588@#@#@#
=; 0..;93(H R=++'+I ,/="16>?6 ,etric"1
Utce e mandato ping para comprobar que haya respuesta desde a nterfaz vrtua et$O-O.
ping c? 165@16@1@81
;'+I 165@16@1@81 (165@16@1@81) 86(4>) bytes o! data@
6> bytes !rom 165@16@1@81" icmp-seJ)# ttl)6> time)#@>8? ms
6> bytes !rom 165@16@1@81" icmp-seJ)1 ttl)6> time)#@?64 ms
6> bytes !rom 165@16@1@81" icmp-seJ)5 ttl)6> time)#@?>6 ms
La nterfaz et$O-O estar actva a sguente vez que nce e sstema operatvo con a dreccn IP
y mscara de subred asgnados.
237
*9. Cmo con&igurar FA)s en ?),=inu2..
*9.+. %ntroduccin.
De acuerdo a Wkpeda, 0una 8&A= >acr#nimo de Virtual LA, o ?ed de @rea &ocal 8irtualA es un
mtodo para crear redes l#gicamente independientes dentro de una misma red fsica. 8arias
8&A=s pueden coe5istir en un Bnico conmutador fsico o en una Bnica red fsica. "on Btiles para
reducir el tama!o del dominio de difusi#n y ayudan en la administraci#n de la red, separando
segmentos l#gicos de una red de rea local, impidiendo que puedan intercambiar datos usando la
red local.1
Su mpementacn requere de dsponer de conmutadores (swtches) con capacdad para VLAN
(protocoo 802.1q), os cuaes debern estar previamente con&igurados para gestonar agunas
VLANs (y saber cmo hacero), y entender perfectamente IP versn 4.
E soporte necesaro para confgurar VLANs se ncuye |unto con e paquete vcon&ig, msmo que
puede nstaarse de sguente modo en Cent0> 5 y 'ed Eat "nterprise inu2 5 y versones
posterores de stos:
yum y install vcon!ig
Edtar e archvo =etc=syscon&ig=netPorK:
vim /etc/syscon!ig/network
Aadr e sguente parmetro para actvar e soporte para VLAN, msmo que permtr que
posterormente cargue automtcamente e mduo 9O*+# de nceo de Lnux:
&03+)yes
Asumendo que se utza a nterfaz eth1 para acceder a a red oca, edtar e archvo de
confguracn:
vim /etc/syscon!ig/networkscripts/i!c!geth1
238
Outar todos os parmetros de red, y soo de|ar o sguente:
$%&'(%)eth1
/:;%)%thernet
9../;R./.)none
.+9../)yes
123$$R)xx"xx"xx"xx"xx"xx
+,-(.+/R.0%$)no
Rencar e servco de red a fn de que apque e cambo y para que cargue de manera automtca
e mduo 9O*+# de nceo de Lnux.
Pueden crearse manera tempora (se perdern uego de rencar e sstema) os dspostvos de
VLAN de sguente modo:
vcon!ig add eth1 5
vcon!ig add eth1 ?
vcon!ig add eth1 >
i!con!ig eth1@5 165@16@#@68 netmask 588@588@588@175
i!con!ig eth1@? 165@16@#@157 netmask 588@588@588@175
i!con!ig eth1@> 165@16@#@17? netmask 588@588@588@175
En caso de que sea necesaro, para emnar os dspostvos de VLAN, se utza nuevamente e
mandato vcon&ig, con a opcn rem, segudo de nombre de dspostvo VLAN. Sguendo e
e|empo utzado en este documento, soo habra que e|ecutar o sguente:
vcon!ig rem eth1@5
vcon!ig rem eth1@?
vcon!ig rem eth1@>
Para que os dspostvos de VLANs sean permanentes, es necesaro crear, dentro de drectoro
=etc=syscon&ig=netPorK(scripts, os archvos de confguracn de nterfaz, sguendo e sguente
formato:
ic!geth1@n`merovlan
E nmero de VLAN, preferentemente debe corresponder son e mmos utzado en e conmutador
prncpa. Se debe evitar usar a VLAN 1 (eth1.1 o eth0.1), 172.16.0.1 como IP para e servdor, as
como tambn evtar utzar a red 172.16.0.0/26, porque sueen corresponder a nmero de VLAN,
dreccn IP, y segmento de red que reguarmente utzan os conmutadores.
E|empo de contendo de =etc=syscon&ig=netPorK(scripts=i&c&g(et$+.*.
239
$%&'(%)eth1@5
/:;%)%thernet
9../;R./.)static
.+9../)yes
+,-(.+/R.0%$)no
';3$$R)165@16@#@68
+%/,3SH)588@588@588@175
9R.3$(3S/)165@16@#@156
+%/2.RH)165@16@#@6>
E|empo de contendo de =etc=syscon&ig=netPorK(scripts=i&c&g(et$+.3
$%&'(%)eth1@?
/:;%)%thernet
9../;R./.)static
.+9../)yes
+,-(.+/R.0%$)no
';3$$R)165@16@#@157
+%/,3SH)588@588@588@175
9R.3$(3S/)165@16@#@171
+%/2.RH)165@16@#@154
E|empo de contendo de =etc=syscon&ig=netPorK(scripts=i&c&g(et$+.4
$%&'(%)eth1@>
/:;%)%thernet
9../;R./.)static
.+9../)yes
+,-(.+/R.0%$)no
';3$$R)165@16@#@17?
+%/,3SH)588@588@588@175
9R.3$(3S/)165@16@#@588
+%/2.RH)165@16@#@175
Rencar nuevamente e servco de red a fn de que ncen as nterfaces de VLAN.
Verfcar con e mandato i&con&ig que todas as VLAN estn presentes.
i!con!ig
La sada debe ser ago smar a o sguente:
240
eth# 0ink encap"%thernet 12addr >>"46"<("33"$$"5$
inet6 addr" !e4#""556"b7!!"!e?4"?6bc/6> Scope"0ink
=; 9R.3$(3S/ R=++'+I ,=0/'(3S/ ,/="18## ,etric"1
RX packets"1?8151>4 errors"# dropped"# overruns"# !rame"#
/X packets"18?846#6 errors"# dropped"# overruns"# carrier"#
collisions"# txJueuelen"1###
RX bytes">>>8#54>44 (>@1 Ii9) /X bytes"151?>76>?86 (11@? Ii9)
'nterrupt"155 ,emory"da######da#154##
eth#@5 0ink encap"%thernet 12addr >>"46"<("33"$$"5$
inet addr"165@16@#@68 9cast"165@16@#@156 ,ask"588@588@588@175
inet6 addr" !e4#"">646"!c!!"!eaa"dd5d/6> Scope"0ink
=; 9R.3$(3S/ R=++'+I ,=0/'(3S/ ,/="18## ,etric"1
RX packets"# errors"# dropped"# overruns"# !rame"#
/X packets"14 errors"# dropped"# overruns"# carrier"#
RX bytes"# (#@# b) /X bytes">??? (>@5 Hi9)
eth#@? 0ink encap"%thernet 12addr >>"46"<("33"$$"5$
inet addr"165@16@#@157 9cast"165@16@#@171 ,ask"588@588@588@175
=; 9R.3$(3S/ R=++'+I ,=0/'(3S/ ,/="18## ,etric"1
/X packets"16 errors"# dropped"# overruns"# carrier"#
RX bytes"# (#@# b) /X bytes">5?8 (>@1 Hi9)
eth#@> 0ink encap"%thernet 12addr >>"46"<("33"$$"5$
inet addr"165@16@#@17? 9cast"165@16@#@588 ,ask"588@588@588@175
=; 9R.3$(3S/ R=++'+I ,=0/'(3S/ ,/="18## ,etric"1
/X packets"1? errors"# dropped"# overruns"# carrier"#
RX bytes"# (#@# b) /X bytes"?>#8 (?@? Hi9)
inet addr"156@#@#@1 ,ask"588@#@#@#
inet6 addr" ""1/154 Scope"1ost
=; 0..;93(H R=++'+I ,/="16>?6 ,etric"1
RX packets"14? errors"# dropped"# overruns"# !rame"#
/X packets"14? errors"# dropped"# overruns"# carrier"#
RX bytes"51?74 (5#@4 Hi9) /X bytes"51?74 (5#@4 Hi9)
*9.3.+. Administrando direcciones %< de las FA)s a travs de un
servidor DEC<.
Para avo de os admnstradores de sstemas, es posbe utzar e servco de DHCP para
gestonar a admnstracn de dreccones IP a travs de un servdor DHCP.
Edtar e archvo =etc=syscon&ig=d$cpd, y defnr as nterfaces de VLAN a utzar |unto con e
servdor DHCP.
$1(;$3RIS)*eth1@5 eth1@? eth1@>*Y
Edtar e archvo =etc=d$cpd.con& (Cent0> 5 y 'ed Eat "nterprise inu2 5), o ben
=etc=d$cp=d$cpd.con& (Cent0> 6 y 'ed Eat "nterprise inu2 6), defnr una seccn por cada
red:
241
serveridenti!ier servidor@redlocal@netY
ddnsupdatestyle interimY
ignore clientupdatesY
authoritativeY
de!aultleasetime 7##Y
maxleasetime 65##Y
option ip!orwarding o!!Y
option domainname *redlocal@net*Y
option ntpservers 5##@5?@81@5#8B 1?5@5>4@41@57B 1>4@5?>@6@?#Y
sharednetwork vlan5 Z
subnet 165@16@#@6> netmask 588@588@588@175 Z
option routers 165@16@#@68Y
option subnetmask 588@588@588@175Y
option broadcastaddress 165@16@#@156Y
option domainnameservers 165@16@#@68Y
option netbiosnameservers 165@16@#@68Y
range 165@16@#@66 165@16@#@156Y
[
[
sharednetwork vlan? Z
subnet 165@16@#@154 netmask 588@588@588@175 Z
option routers 165@16@#@157Y
option domainnameservers 165@16@#@175Y
option netbiosnameservers 165@16@#@175Y
range 165@16@#@1?# 165@16@#@17#Y
[
[
sharednetwork vlan> Z
subnet 165@16@#@175 netmask 588@588@588@175 Z
option routers 165@16@#@17?Y
option domainnameservers 165@16@#@17?Y
option netbiosnameservers 165@16@#@17?Y
range 165@16@#@17> 165@16@#@58>Y
[
[
Rencar (o ncar, segn sea e caso) e servco d$cpd, y comprobar que funcone correctamente
e servco, conectando agunos equpos a os conmutadores nvoucrados.
service dhcpd restart
242
*S. Cmo con&igurar acoplamiento de tar.etas
de red M!ondingN.
*S.+. %ntroduccin.
E controador !onding, orgnamente creado por Donald BecKer, est ncudo en prctcamente
todas as dstrbucones de GNU/Lnux y permte sumar as capacdades de varas nterfaces fscas
de red con ob|eto de crear una nterfaz gca. Esto se eva a cabo con e ob|eto de contar con
redundanca o ben baanceo de carga.
*S.*. <rocedimientos.
*S.*.+. Arc$ivo de con&iguracin =etc=modpro!e.con&.
Se estabece e controador !onding para crear a nterfaz !ondO de sguente modo:
alias bonding bond#
E controador puede evar parmetros que permten modfcar su funconamento, de entre os
cuaes os ms mportantes son mode y miimon. A fn de obtener un buen funconamento
confabe, es mportante confgurar a menos stos dos parmetros.
Para fnes generaes, se puede smpemente confgurar de sguente modo:
alias bond# bonding
options bonding mode)# miimon)#
Lo anteror estabece en e parmetro mode a potca de baanceo de carga y toeranca a faos y
desactva en e parmetro miimon a supervsn de :%%, que corresponde a confguracn ms
comn.
A termnar con e archvo =etc=modpro!e.con&, es mportante utzar e mandato depmod para
regenerar e archvo modules.dep y os archvos mapa de os controadores.
depmod
Lo anteror soo debe devover e smboo de sstemas despus de unos segundos.
243
*S.*.+.+. <ar;metro mode.
Se utza para estabecer a potca ba|a a cua se har traba|ar as tar|etas en con|unto. Los
posbes vaores son:
0 (cero): Estabece una potca de 'ound('o!in, que es un agortmo que asgna una carga
equtatva y ordenada a cada proceso, para proporconar tolerancia a &allos y !alanceo de
carga entre os membros de arrego de dspostvos. Todas as transmsones de datos son
envadas y recbdas de forma secuenca en cada nterfaz escava de arrego empezando con a
prmera que est dsponbe. "s la poltica predeterminada de controador y a que funcona
para a mayora de os casos.
1 (uno): Estabece una potca de respado actvo que proporcona tolerancia a &allos. Todo e
trfco se transmte a travs de una tar|eta y soo se utzar a otra en caso de que fae a
prmera.
2 (dos): Estabece una potca D0' (e5clusive2or, excusva-o) para proporconar tolerancia a
&allos y !alanceo de carga. Este agortmo compara as soctudes entrantes de as dreccones
:AC hasta que concden para a dreccn :AC (:eda Access Contro) de una de as tar|etas
escavas. Una vez que se estabece e enace, as transmsones de datos de datos son envadas en
forma secuenca empezando con a prmera nterfaz dsponbe.
3 (tres): Estabece una potca de 'ound('o!in, para proporconar tolerancia a &allos y
!alanceo de carga. Todas as transmsones de datos son envadas de forma secuenca en cada
nterfaz escava de arrego empezando con a prmera que est dsponbe.
En e sguente e|empo se estabece a potca 0 (cero):
options bonding /o5e=$
*S.*.+.*. <ar;metro miimon.
Se utza para especfcar cada cuantos msegundos se debe supervsar e enace :%% (:eda
%ndependent %nterface). Se utza cuando se necesta ata dsponbdad para verfcar s a nterfaz
est actva y verfcar s hay un cabe de red conectado. En e sguente e|empo se estabecen 100
msegundos:
options bonding mode)# /##/on=-$$
Se requere que todos os controadores de arrego de tar|etas tengan soporte para :%%. Para
verfcar s e controador de a tar|eta tene soporte para :%%, se utza e mandato et$tool, donde
a sada debe devover e parmetro inK Detected con e vaor yes. E|empo:
ethtool eth#
Lo anteror debe devover ago smar a o sguente:
Settings !or eth#"
Supported ports" D /; ,'' E
Supported link modes" 1#base//1al! 1#base//<ull
1##base//1al! 1##base//<ull
Supports autonegotiation" :es
244
3dvertised link modes" 1#base//1al! 1#base//<ull
1##base//1al! 1##base//<ull
3dvertised autonegotiation" :es
Speed" 1##,b/s
$uplex" 1al!
;ort" ,''
;1:3$" ?5
/ransceiver" internal
3utonegotiation" on
Supports 2akeon" pumbg
2akeon" d
(urrent message level" #x#######6 (6)
0ink detected" yes
Para desactvar esta funcn, se utza e vaor 0 (cero). E|empo:
options bonding mode)# /##/on=$
*S.*.*. Arc$ivo de con&iguracin =etc=syscon&ig=netPorK(scripts=!ondO.
Este se confgura con os msmo parmetros que una tar|eta norma. Requere os parmetros
0)B00@, B00@<'0@0, D"F%C", %<ADD', )"@:A>I y ?A@"WAb.
En e sguente e|empo se confgura a nterfaz !ondO con a dreccn IP esttca 192.168.0.1,
mscara de subred 255.255.255.0, puerta de enace 192.168.0.254 y a nterfaz nca |unto con e
sstema creando e archvo =etc=syscon&ig=netPorK(scripts=i&c&g(!ondO con e sguente
contendo:
$%&'(%)bond#
.+9../)yes
9../;R./.)static
';3$$R)175164@#@1
+%/,3SH)588@588@588@#
I3/%23:)175@164@#@58>
Las nterfaces de red a utzar como escavas se confguran de a sguente forma, consderando
que se tene eth0 y eth1, e contendo de archvo =etc=syscon&ig=netPorK(scripts=i&c&g(et$O
sera:
$%&'(%)eth#
9../;R./.)none
.+9../)no
S03&%)yes
,3S/%R)bond#
Y e contendo de archvo =etc=syscon&ig=netPorK(scripts=i&c&g(et$+ sera:
$%&'(%)eth1
9../;R./.)none
.+9../)no
S03&%)yes
,3S/%R)bond#
245
*S.*.3. %niciarL detener y reiniciar el servicio netPorK.
Para e|ecutar por prmera vez e servco netPorK tras confgurar e acopamento de tar|etas,
utce:
service network start
Para hacer que os cambos hechos tras modfcar a confguracn surtan efecto, utce:
Para detener e servco netPorK utce:
service network stop
*S.3. Compro!aciones.
Para verfcar que a nterfaz gca qued confgurada, en e caso de haber utzado as nterfaces
eth0 y eth1, utce:
i!con!ig
bond# 0ink encap"%thernet 12addr ##"#1"4#">1"7("43
inet addr"175@164@1@6> 9cast"175@164@1@588 ,ask"588@588@588@#
inet6 addr" !e4#""5#1"4#!!"!e>1"7c4a/6> Scope"0ink
=; 9R.3$(3S/ R=++'+I ,3S/%R ,=0/'(3S/ ,/="18## ,etric"1
RX packets"8154 errors"# dropped"# overruns"# !rame"#
/X packets"?416 errors"6 dropped"# overruns"# carrier"#
collisions"? txJueuelen"#
RX bytes"?>7?1?7 (?@? ,i9) /X bytes">78#58 (>4?@> Hi9)
eth# 0ink encap"%thernet 12addr ##"#1"4#">1"7("43
=; 9R.3$(3S/ R=++'+I S03&% ,=0/'(3S/ ,/="18## ,etric"1
RX packets"8#86 errors"# dropped"# overruns"# !rame"#
/X packets"?641 errors"# dropped"# overruns"# carrier"#
collisions"? txJueuelen"1###
RX bytes"?>6>648 (?@? ,i9) /X bytes">446?5 (>66@1 Hi9)
'nterrupt"11 9ase address"#xc###
eth1 0ink encap"%thernet 12addr ##"#1"4#">1"7("43
=; 9R.3$(3S/ R=++'+I S03&% ,=0/'(3S/ ,/="18## ,etric"1
RX packets"65 errors"# dropped"# overruns"# !rame"#
/X packets"?6 errors"6 dropped"# overruns"# carrier"#
collisions"# txJueuelen"1###
RX bytes"14>8> (14@# Hi9) /X bytes"6?7? (6@5 Hi9)
'nterrupt"1#
inet addr"156@#@#@1 ,ask"588@#@#@#
inet6 addr" ""1/154 Scope"1ost
246
=; 0..;93(H R=++'+I ,/="16>?6 ,etric"1
RX packets"61?4 errors"# dropped"# overruns"# !rame"#
/X packets"61?4 errors"# dropped"# overruns"# carrier"#
RX bytes"4?6>46> (6@7 ,i9) /X bytes"4?6>46> (6@7 ,i9)
Para verfcar que as nterfaces de red estn funconando correctamente, y que hay un cabe de
red conectado a stas, se utza e mandato et$tool de sguente modo:
ethtool eth# ^grep *0ink detected*
ethtool eth1 ^grep *0ink detected*
S ambas tar|etas tene soporte para :%%, o anteror debe devover o sguente:
0ink detected" yes
0ink detected" yes
*S.4. Bi!liogra&a.
Thomas Davs: http://www.nuxfoundaton.org/en/Net:Bondng
Thomas Davs: http://www.kerne.org/pub/nux/kerne/peope/marceo/nux-
2.4/Documentaton/networkng/bondng.txt
247
3O. Cmo conectarse a una red Wi&i desde la
terminal.
3O.+. %ntroduccin.
Confgurar, y conectarse a una red Wf desde a nterfaz grfca es un procedmento
reatvamente trva, de|ando que todos os procedmentos os reacen NetworkManager o
Connman. Sn embargo ha crcunstancas en as cuaes puede ser necesaro conectarse a una red
Wf desde una termna. A contnuacn descrbr os procedmentos para conectarse a os dos
tpos de redes Wf ms utzados, WEP, y WPA, con confguracones bscas utzadas en
dspostvos como seran os puntos de acceso de os modem ADSL de Prodgy Infntum.
3O.+.+. Bue es W<A? <or #u de!era usarlo en lugar de W"<?
W<A (W-F <rotected Access), y W<A* es una case de sstemas para e aseguramento de redes
nambrcas. W<A fue creado en respuesta a as seras debdades de otros protocoos como
W"< (Wred "quvaent <rvacy). Impementa a mayora de o que conforma e estndar %"""
9O*.++i, y fue dseado para funconar con todas os dspostvos para redes nambrcas,
excepto os puntos de acceso de prmera generacn. W<A* mpementa todo e estndar %"""
9O*.++i, pero no funcona con muchos dspostvos ve|os.
W<A fue creado por e grupo ndustra, y comerca Aanza W-F, dueos de a marca regstrada
Wi(Fi, y certfcadores de os dspostvos que ostenten dcho nombre.
Los datos utzan e agortmo RC4 con una cave de 128 bts, y un vector de ncazacn de 48
bts. Una de as me|oras ms sobresaentes sobre su predecesor, W"<, es @I%< (@empora Iey
%ntegrty <rotoco, o Protocoo de ntegrdad de cave tempora), e cua consste en e cambo
dnmco mentras se utza e sstema. Cuando se combna con Fectores de %niciali8acin
mayores, hace consderabemente ms dfc reazar ataques para a obtencn de aves, como
ocurre con W"<.
Adems de proporconar autentcacn, y cframento, W<A proporcona me|or ntegrdad de a
carga t. La verfcacn de redundanca ccca (C'C o Cycc 'edundancy Check) utzada en
W"< es nsegura porque permte aterar a carga t, y actuazar e mensa|e de verfcacn de
redundanca ccca sn necesdad de conocer a cave W"<. En cambo W<A utza un Cdigo de
%ntegridad de :ensa.e (:%C o :essage %ntegrty Code) que es en readad un agortmo
denomnado 0Cicael1, que fue e ms fuerte que se pudo utzar con dspostvos antguos para
redes nambrcas a fn de no de|ar obsoetos a stos. E Cdigo de %ntegridad de :ensa.e de
W<A ncuye un un mecansmo que contrarresta os ntentos de ataque para vunerar @I%<, y
boques temporaes.
248
En resumen, W<A hace ms dfc vunerar as redes nambrcas a ncrementar os tamaos de
as caves,, y Fectores de %niciali8acin, reducendo e nmero de paquetes envados con caves
reaconadas,, y aadendo un sstema de verfcacn de mensa|es.
Adems de poder utzar una cave compartda (<>I o <re->hared Iey), o cua supe a
compe|dad de mpementacn de un servdor de autentcacn 9O*.+D en hogares, y ofcnas
pequeas, W<A puede utzar <rotocolos "2tensi!les de Autenticacin ("A< o ("xtensbe
Authentcaton <rotoco), como os sguentes:
EAP-TLS
EAP-TTLS/MSCHAPv2
PEAPv0/EAP-MSCHAPv2
PEAPv1/EAP-GTC
EAP-SIM
EAP-LEAP
Entre os dversos servdores que pueden utzarse para este tpo de mpementacones, est
Free'AD%,>. Alcance i!re cuenta con un modesto documento para a confguracn de esta
mpementacn.
3O.*. "#uipamiento lgico necesario.
3O.*.+. %nstalacin a travs de yum.
Se requeren os paquetes Pireless(tools, y PpaQsupplicant. Para nstaar o actuazar e
equpamento gco necesaro en Fedora, Cent0> 5, y 6 o 'ed Eata "nterprise inu2 5 o 6,, y
versones posterores de stos, soo se necesta e|ecutar como root o sguente:
yum y install wirelesstools wpa-supplicant
S utza De!ian o ,!untu,, y versones posterores, soo se necesta reazar o sguente para
nstaar o actuazar e equpamento gco necesaro:
sudo aptget install wirelesstools wpa-supplicant
3O.*.*. <reparativos.
En sstemas operatvos basados sobre Fedora, CentOS, y Red Hat Enterprse Lnux, e prmer paso
consste en cambarse a usuaro root:
su l
En sstemas operatvos basados sobre Ubuntu Lnux, se puede utzar e mandato sudo para todos
os procedmentos, precedendo todos os mandatos utzados con sudo.
249
sudo cualJuier mandato utiliCado
E|empos:
sudo i!up lo
sudo iwcon!ig wlan#
sudo iwlist wlan# scan
Debdo a que e servco NetworkManager har confcto con os procedmentos, se debe detener
este servco:
service +etwork,ananger stop
Muchos componentes de sstema requeren que est actva a nterfaz de retorno de sstema
(oopback), por o que es mportante ncar sta:
i!up lo
Para poder comenzar a utzar a nterfaz Wf, soo basta e|ecutar e mandato wconfg sobre dcha
nterfaz:
iwcon!ig wlan#
Es buena dea reazar un escaneado de as redes Wf dsponbes para asegurarse se puede
acceder a a red Wf deseada,, y para determnar e protocoo a utzar:
iwlist wlan# scan
3O.*.3. Autenticando en el punto de acceso.
3O.*.3.+. A travs de redes W"<.
Para redes WEP, que se caracterzan por tener una segurdad muy pobre, es muy smpe. Soo
basta utzar dos mandatos. E prmero defne e nombre de punto de acceso a utzar:
iwcon!ig wlan# essid puntodeacceso
E segundo mandato se utza para defnr a cave de acceso a utzar, sea de 64 o 128 bt.
iwcon!ig wlan# key clavedeacceso
S se utza una cave WEP tpo ASCII, se defne de a sguente manera:
iwcon!ig wlan# key s"clavedeacceso
250
3O.*.3.*. A travs de redes W<A.
Se procede a determnar e nombre de a red Wf a utzar, y a cave de acceso. E mandato
PpaQpassp$rase se utzar para generar un archvo de confguracn a utzar posterormente:
wpa-passphrase puntodeacceso clavedeacceso R /root/wpa@con!
S se reaza e procedmento desde Ubuntu Lnux, e mandato anteror faar s se utza sudo
debdo a mtacones de segurdad de sudo,, y deber utzarse entonces e sguente:
sudo bash c *wpa-passphrase puntodeacceso clavedeacceso R /root/wpa@con!*
Lo anteror generar e archvo Ppa.con& dentro de drectoro de nco de usuaro root.
Para ncar a autentcacn con a red Wf, se utza e mandato PpaQsupplicant con as
opcones (B, para envar e procesos a segundo pano, -D, para especfcar e controador a utzar,,
y -c, para especfcar e archvo de confguracn creado en e paso anteror.
wpa-supplicant 9 $wext iwlan# c/root/wpa@con!
3O.*.4. Asignando par;metros de red a la inter&a8.
3O.*.4.+. ,tili8ando d$client.
Lo ms comn es utzar e mandato d$client para de|ar que e servdor DHCP de punto de
acceso o a LAN se encargue de asgnar os parmetros de red para a nterfaz. Es buena dea
ndcar a d$client que bere e prstamo que estuvera asgnado en e servdor DHCP:
dhclient r
Para obtener una nueva dreccn IP, se utza e mandato d$client de a sguente manera:
dhclient wlan#
3O.*.4.*. Asignando manualmente los par;metros de red.
S se conocen os datos para a confguracn de red, tambn es posbe asgnaros manuamente.
En e sguente e|empo, se asgna a a nterfaz wan0 a dreccn IP 192.168.70.50, con mscara
de subred 255.255.255.128, y puerta de enace 192.168.70.1:
i!con!ig wlan# 175@164@6#@8# netmask 588@588@588@154
route add net #@#@#@# netmask #@#@#@# gw 175@164@6#@1 wlan#
Para defnr e servdor DNS, como e usuaro root, se edta e archvo =etc=resolv.con&, y se defne
a dreccn IP de servdor DNS a utzar. En e sguente e|empo, se defne 192.168.70.1 como
servdor DNS:
echo *nameserver 175@164@6#@1* R /etc/resolv@con!
251
S se reaza e procedmento desde Ubuntu Lnux, e mandato anteror faar s se utza sudo
debdo a mtacones de segurdad de sudo,, y deber utzarse entonces e sguente:
sudo bash c *echo Xnameserver 175@164@6#@1X R /etc/resolv@con!*
3O.*.4.3. Asignacin permanente de par;metros de red en FedoraL Cent0>L y
'ed Eat "nterprise inu2.
Soo es necesaro crear e archvo de nterfaz, dentro de =etc=syscon&i=netPorK(scrips= sguendo
e sguente formato:
i!c!g3uto-puntodeacceso
Como e|empo, s se desea conectar e sstema a un punto de acceso denomnado alcance*, se
debe crear e archvo =etc=syscon&i=netPorK(scrips=i&c&g(AutoQalcance*:
vim /etc/syscon!i/networkscrips/i!c!g3uto-alcance5
S se va a conectar a travs de DHCP,, y utzar WEP, poner e sguente contendo:
+3,%)*3uto alcance5*
.+9../)yes
/:;%)2ireless
9../;R./.)dhcp
%SS'$)alcance5
,.$%),anaged
S%(=R'/:-,.$%)open
$%<3=0/H%:)1
;%%R$+S)yes
;%%RR.=/%S)yes
$1(;-(0'%+/-'$)nombreeJuipo
$1(;-1.S/+3,%)nombreeJuipo
S se va a conectar a travs de DHCP,, y utzar WPA, poner e sguente contendo:
+3,%)*3uto alcance5*
.+9../)yes
/:;%)2ireless
9../;R./.)dhcp
%SS'$)alcance5
,.$%),anaged
H%:-,I,/)2;3;SH
;%%R$+S)yes
;%%RR.=/%S)yes
Para a cave de acceso de punto de acceso, es necesaro crear e archvo =etc=syscon&i=netPorK(
scrips=Keys(AutoQalcance*:
vim /etc/syscon!i/networkscrips/keys3uto-alcance5
S se va a conectar por WEP, poner e sguente contendo:
252
H%:-;3SS;1R3S%1)clavedeacceso
S se va a conectar por WPA, poner e sguente contendo:
2;3-;SH)clavedeacceso
Hecho todo o anteror, ser posbe ncar o detener a nterfaz utzando os mandatos i&up e
i&doPn.
3O.3. Bi!liogra&a.
http://en.wkpeda.org/wk/W-F_Protected_Access
http://www.acancebre.org/artce.php/20070404112747533
http://www.acancebre.org/artce.php/20070403184255131
253
3+. Cmo utili8ar lso&
3+.+. %ntroduccin.
3+.+.+. Acerca de lso&.
so& es un mandato que sgnfca 0listar arcivos abiertos1 (lst open &es). Es utzado
ampamente en sstemas operatvos tpo <0>%D para hacer reportes de archvos y os procesos
que estn utzando a stos. Se puede utzar para revsar que procesos estn hacendo uso de
drectoros, archvos ordnaros, tuberas (pipes), zcaos de red (soc(ets) y dspostvos. Uno de os
prncpaes usos de determnar que procesos estn hacendo uso de archvos en una partcn
cuando esta no se puede desmontar. so& fue desarroado por Fic A!ell, quen aguna vez fue
drector de Centro de Cmputo de a ,niversidad de <urdue.
3+.*. <rocedimientos.
En ausenca de parmetros, lso& mostrar todos os procesos hacendo uso de archvos. En
e|empo de a sada tpca sera como a sguente:
(.,,3+$ ;'$ =S%R <$ /:;% $%&'(% S'G% +.$% +3,%
init 1 root cwd $'R 7B? >#76 5 /
init 1 root rtd $'R 7B? >#76 5 /
init 1 root txt R%I 7B? ?465# 1>6>?> /sbin/init
init 1 root mem R%I 7B? 1586?6 1688#6 /lib/ld
5@8@so
init 1 root mem R%I 7B? 16#516> 16881>
/lib/i646/nosegneg/libc5@8@so
init 1 root mem R%I 7B? 16>54 168814 /lib/libdl
5@8@so
init 1 root mem R%I 7B? 7?8#4 168666
/lib/libselinux@so@1
init 1 root mem R%I 7B? 5>544# 16886?
/lib/libsepol@so@1
init 1 root 1#u <'<. #B18 18>? /dev/initctl
Para vsuazar ms cmodamente esta sada, se puede utzar e mandato less o e mandato
more como subrutnas. E|empo:
lso! ^ less
Puede especfcarse que se muestren todos os procesos desde un drectoro en partcuar,
soamente especfcando este uego de lso&. En e sguente e|empo se socta a lso& mostrar
todos os procesos que estn hacendo uso de ago dentro de /var.
254
lso! /var
La sada de a anteror puede ser smar a a sguente:
(.,,3+$ ;'$ =S%R <$ /:;% $%&'(% S'G% +.$% +3,%
auditd 55>6 root 8w R%I 7B1 >#4#84 8?>15#4 /var/log/audit/audit@log
syslogd 5541 root 1w R%I 7B1 11?>6#4 16##687? /var/log/messages
syslogd 5541 root 5w R%I 7B1 15>61 16##687> /var/log/secure
syslogd 5541 root ?w R%I 7B1 7758 16##6878 /var/log/maillog
syslogd 5541 root >w R%I 7B1 ???7 16##6874 /var/log/cron
syslogd 5541 root 8w R%I 7B1 # 16##6876 /var/log/spooler
syslogd 5541 root 6w R%I 7B1 716 16##6876 /var/log/boot@log
named 5?8# named cwd $'R 7B1 >#76 16?815># /var/named/chroot/var/named
named 5?8# named rtd $'R 7B1 >#76 16?815?6 /var/named/chroot
named 5?8# named 7r (1R 1B4 16?815>6 /var/named/chroot/dev/random
rpc@statd 5>#6 root cwd $'R 7B1 >#76 18>??657 /var/lib/n!s/statd
rpc@statd 5>#6 root 4w R%I 7B1 8 588714?1 /var/run/rpc@statd@pid
S se quere mostrar soamente e archvo utzado por un procesos en partcuar, se utza a
opcn -p seguda de nmero de proceso. En e sguente e|empose socta a lso& mostrar os
archvos utzados por e proceso 2281 que arbtraramente se e|ecuta en un sstema:
lso! p 5541
S hubera un proceso 2281, a sada podra verse como a sguente:
(.,,3+$ ;'$ =S%R <$ /:;% $%&'(% S'G% +.$% +3,%
syslogd 5541 root cwd $'R 7B? >#76 5 /
syslogd 5541 root rtd $'R 7B? >#76 5 /
syslogd 5541 root txt R%I 7B? ?84## 1>6?75 /sbin/syslogd
syslogd 5541 root mem R%I 7B? 16#516> 16881> /lib/i646/nosegneg/libc5@8@so
syslogd 5541 root mem R%I 7B? >664# 168857 /lib/libnss-!iles5@8@so
syslogd 5541 root mem R%I 7B? 1586?6 1688#6 /lib/ld5@8@so
syslogd 5541 root #u unix #xc#ac!c4# 67#7 /dev/log
syslogd 5541 root 1w R%I 7B1 11?>6#4 16##687? /var/log/messages
syslogd 5541 root 5w R%I 7B1 15>61 16##687> /var/log/secure
syslogd 5541 root ?w R%I 7B1 7758 16##6878 /var/log/maillog
syslogd 5541 root >w R%I 7B1 ???7 16##6874 /var/log/cron
syslogd 5541 root 8w R%I 7B1 # 16##6876 /var/log/spooler
syslogd 5541 root 6w R%I 7B1 716 16##6876 /var/log/boot@log
La opcn (i har que se muestren todos os archvos de red (%nternet y 2.*5) utzados por
procesos de red. S se quere mostrar os archvos de red en uso por agn proceso de red en
partcuar, se utzan as opcones (i segudo de una subrutna con grep y e nombre de agn
servco. En e sguente e|empo se pde a lso& mostrar soamente os archvos de red utzados
por os procesos de red dervados de named:
lso! i ^ grep named
Lo anteror puede devover una sada smar a a sguente.
named 5?8# named 5#u ';v> 6#71 =$; localhost@localdomain"domain
named 5?8# named 51u ';v> 6#75 /(; localhost@localdomain"domain (0'S/%+)
named 5?8# named 55u ';v> 6#7? =$; servidor@redlocal@net"domain
named 5?8# named 5?u ';v> 6#7> /(; servidor@redlocal@net"domain (0'S/%+)
named 5?8# named 5>u ';v> 6#78 =$; O"!ilenettms
named 5?8# named 58u ';v6 6#76 =$; O"!ilenetrpc
named 5?8# named 56u ';v> 6#76 /(; localhost@localdomain"rndc (0'S/%+)
named 5?8# named 56u ';v6 6#74 /(; localhost6@localdomain6"rndc (0'S/%+)
255
named 5?8# named 54u ';v> 118?67# =$; 175@164@155@1"domain
256
3*. Cmo utili8ar )etcat MncN
3*.+. %ntroduccin.
3*.+.+. Acerca de )etcat.
)etcat, o nc que es a forma en que se utza en e ntrprete de mandatos, es una herramenta
utzada para supervsar y escrbr sobre conexones tanto por @C< como por ,D<. Puede abrr
conexones @C<, envar paquetes ,D<, escuchar sobre puertos arbtraros tanto @C< como ,D<,
supervsn de puertos y ms, tanto para %<v4 como %<v6. Es una de as herramentas de
dagnstco y segurdad ms popuares y tambn una de as me|or cafcadas por a comundad.
3*.*. "#uipamiento lgico necesario.
3*.*.+. %nstalacin a travs de yum.
S se utza de CentOS 5, Red Hat Enterprse Lnux 5 o Whte Box Enterprse Lnux 5, o versones
posterores, se puede nstaar o necesaro utzando o sguente:
yum y install nc
3*.*.*. %nstalacin a travs de ,p*date
S se utza de Red Hat Enterprse Lnux 4, o versones posterores, se puede nstaar utzando o
sguente:
up5date i nc
3*.3. <rocedimientos.
3*.3.+. Cone2iones simples.
Para ncar una conexn haca agn puerto en agn sstema, se utza e mandato nc segudo de
una dreccn %< y un puerto a cua conectarse. En e sguente e|empo se reazar una conexn
haca e puerto 25 (>:@<) de +*7.O.O.+:
nc 156@#@#@1 58
257
S hay un servdor de correo funconado, o anteror puede devover una sada smar a a
sguente:
55# localhost@localdomain %S,/; Y 2edB 54 ,ay 5##4 1#"5>"85 #8##
Juit
551 5@#@# localhost@localdomain closing connection
3*.3.*. 'evisin de puertos.
Para revsar os puertos abertos, se utza nc con a opcn , (8 para soctar se trate de escuchar
por puertos abertos, y un puerto o rango de puertos. En e sguente e|empo, se pde a mandato
nc revsar a presenca de puertos abertos @C< (modo predetermnado) entre e rango de puerto
21 a 25.
nc vC 156@#@#@1 5158
Lo anteror puede devover una sada como a sguente, s se encontrasen abertos os puertos 21,
22 y 25.
(onnection to 156@#@#@1 51 port Dtcp/!tpE succeededd
(onnection to 156@#@#@1 55 port Dtcp/sshE succeededd
(onnection to 156@#@#@1 58 port Dtcp/smtpE succeededd
Opconamente se pueden revsar s estn abertos os puertos abertos por UDP aadendo a
opcn -u. En e sguente e|empo se socta a mandato nc revsar que puertos ,D< abertos que
se encuentran entre e rango de puerto 21 a 80.
nc Cu 156@#@#@1 514#
Lo anteror puede devover una sada como a sguente s se encuentran abertos os puertos ,D<
53, 67 y 68:
(onnection to 156@#@#@1 8? port Dudp/domainE succeededd
(onnection to 156@#@#@1 66 port Dudp/bootpsE succeededd
(onnection to 156@#@#@1 64 port Dudp/bootpcE succeededd
S se quere obtener una sada ms descrptva, soo es necesaro especfcar nc (v8 y a dreccn
%< s se quere revsar puertos @C< abertos, o ben nc (v8u para puertos ,D< abertos, donde (v
defne se devueva una sada m;s descriptiva. En e sguente e|empo se pde a mandato nc
revsar os puertos @C< abertos entre e puerto 20 a 25.
nc -vz 127.0.0.1
La sada de o anteror devover, a dferenca de utzar soo -z, que puertos estn cerrados.
nc" connect to 156@#@#@1 port 5# (tcp) !ailed" (onnection re!used
(onnection to 156@#@#@1 51 port Dtcp/!tpE succeededd
(onnection to 156@#@#@1 55 port Dtcp/sshE succeededd
nc" connect to 156@#@#@1 port 5? (tcp) !ailed" (onnection re!used
nc" connect to 156@#@#@1 port 5> (tcp) !ailed" (onnection re!used
(onnection to 156@#@#@1 58 port Dtcp/smtpE succeededd
258
3*.3.3. Creando un modelo cliente servidor.
Es reatvamente smpe crear un modeo cente/servdor. Desde una termna que ser utzada
para ncar un modeo de servdor, se utza e mandato nc con a opcn (l (sten o escuchar)
seguda de un puerto que est desocupado. Esto har que nc se comporte como servdor
escuchando petcones en un puerto arbtraro. En e sguente e|empo se har que mandato nc
funcone como servdor escuchando petcones en e puerto *****.
nc l 55555
Para estabecer a conexn como cente, desde otra termna se nca e mandato nc
especfcando a contnuacn una IP oca para e sstema y e numero de puerto a que se quera
conectar. En e sguente e|empo se reaza a conexn a puerto ***** de +*7.O.O.+
nc 156@#@#@1 55555
Todo o que se escrba desde a termna como cente podr ser vsto en a termna como servdor.
3*.3.4. @rans&erencia de datos.
Tomando e e|empo anteror, es posbe reazar transferenca de datos desde una termna como
cente haca una termna como servdor. La nca dferenca es que en e servdor se camba as
sada estndar de a termna haca un archvo de sguente modo:
nc l 55555 R algo@out
En e cente se reaza ago smar. En ugar de ngresar datos desde a conexn. se hace a partr
de un archvo con contendo de a sguente forma:
nc 156@#@#@1 55555 _ algo@in
En e e|empo descrto se reaza a transferenca de datos de archvo algo.in, desde e proceso
como cente, haca e archvo algo.out, en e proceso como servdor.
259
33. Como utili8ar )etstat.
33.+. %ntroduccin.
33.+.+. Acerca de )etstat
Netstat es una herramenta utzada para supervsar as conexones de red, tabas de
encamnamento, estadstcas de nterfaces y asgnaturas de mutdfusn. Se utza
prncpamente para encontrar probemas en una red y para medr e trfco de red como una
forma de cacuar e desempeo de sta.
Para vsuazar todas as conexones actvas en e sstema, tanto TCP como UDP, se utza a opcn
-a.
netstat a
Debdo a que a cantdad de datos puede ser mucha para ser vsuazada con comoddad en a
pantaa de montor, se puede utzar e mandato ess como subrutna.
netstat a ^ less
A contnuacn se muestra un e|empo de a sada:
3ctive 'nternet connections (servers and established)
;roto Recvh Sendh 0ocal 3ddress <oreign 3ddress State
tcp # # O"netbiosssn O"O 0'S/%+
tcp # # O"submission O"O 0'S/%+
tcp # # O"sunrpc O"O 0'S/%+
tcp # # O"x11 O"O 0'S/%+
tcp # # O"87#> O"O 0'S/%+
tcp # # O"webcache O"O 0'S/%+
udp # # O"!ilenettms O"O
udp # # O"!ilenetnch O"O
udp # # O"!ilenetrmi O"O
udp # # O"!ilenetpa O"O
udp # # 175@164@155@1"netbiosns O"O
udp # # servidor##@c"netbiosns O"O
3ctive =+'X domain sockets (servers and established)
;roto Re!(nt <lags /ype State '+ode ;ath
unix 5 D 3(( E S/R%3, 0'S/%+'+I 168?# S/tmp/!amroot
unix 5 D 3(( E S/R%3, 0'S/%+'+I 67>> /dev/gpmctl
unix 5 D 3(( E S/R%3, 0'S/%+'+I 6771 /var/run/audit-events
unix 5 D 3(( E S/R%3, 0'S/%+'+I 6>#7 /var/run/dbus/system-bus-socket
unix 5 D 3(( E S/R%3, 0'S/%+'+I 68#6 /var/run/pcscd@comm
unix 5 D 3(( E S/R%3, 0'S/%+'+I 66>6 /var/run/acpid@socket
unix 5 D 3(( E S/R%3, 0'S/%+'+I 66?6 /var/run/cups/cups@sock
260
unix 5 D 3(( E S/R%3, 0'S/%+'+I 16678 S/tmp/dbus>=ato6ea=1
Para mostrar soo as conexones actvas por TCP, se utza:
netstat t
Para mostrar soo as conexones actvas por UDP, se utza:
netstat u
Para mostrar as estadstcas de uso para todos os tpos de conexones, se utza:
netstat s
'p"x 5 D E $IR3, 4#18
4##8 total packets received 6757
5 with invalid addresses3, 6476
# !orwardedE $IR3, 6466
# incoming packets discarded 68#8
6754 incoming packets delivered (.++%(/%$ 6>15
67#8 reJuests sent out/R%3, (.++%(/%$ 6>11
'cmp" ? D E S/R%3, (.++%(/%$ 6?>7
17 '(,; messages received3, (.++%(/%$ 6?>4
# input '(,; message !ailed@ 6177
'(,; input histogram"$IR3, 6#61
destination unreachable" 14 67>6
echo reJuests" 1 $IR3, 6716
17 '(,; messages sentS/R%3, (.++%(/%$ 64>8
# '(,; messages !ailed/R%3, (.++%(/%$ 64>>
'(,; output histogram"a ^ less
destination unreachable" 14
echo replies" 1
/cp"
11> active connections openings
5 passive connection openings
# !ailed connection attempts
15 connection resets received
# connections established
6655 segments received
68?? segments send out
64 segments retransmited
# bad segments received@
16 resets sent
=dp"
546 packets received
# packets to unknown port received@
# packet receive errors
567 packets sent
/cp%xt"
6 /(; sockets !inished time wait in !ast timer
1?8 delayed acks sent
huick ack mode was activated 56 times
61 packets directly Jueued to recvmsg preJueue@
14?6>#6> packets directly received !rom backlog
261
?715?5# packets directly received !rom preJueue
5#41 packets header predicted
1858 packets header predicted and directly Jueued to user
>68 acknowledgments not containing data received
1?11 predicted acknowledgments
1 times recovered !rom packet loss due to S3(H data
1 congestion windows !ully recovered
> congestion windows partially recovered using 1oe heuristic
1? congestion windows recovered a!ter partial ack
# /(; data loss events
> timeouts a!ter S3(H recovery
1 !ast retransmits
>6 other /(; timeouts
55 $S3(Hs sent !or old packets
1 $S3(Hs received
7 connections reset due to early user close
Para mostrar soamente as estadstcas orgnadas por conexones @C<, se utza:
netstat s t
/cp"
11> active connections openings
5 passive connection openings
# !ailed connection attempts
15 connection resets received
# connections established
6655 segments received
68?? segments send out
64 segments retransmited
# bad segments received@
16 resets sent
/cp%xt"
6 /(; sockets !inished time wait in !ast timer
1?8 delayed acks sent
huick ack mode was activated 56 times
61 packets directly Jueued to recvmsg preJueue@
14?6>#6> packets directly received !rom backlog
?715?5# packets directly received !rom preJueue
5#41 packets header predicted
1858 packets header predicted and directly Jueued to user
>68 acknowledgments not containing data received
1?11 predicted acknowledgments
1 times recovered !rom packet loss due to S3(H data
1 congestion windows !ully recovered
> congestion windows partially recovered using 1oe heuristic
1? congestion windows recovered a!ter partial ack
# /(; data loss events
> timeouts a!ter S3(H recovery
1 !ast retransmits
>6 other /(; timeouts
55 $S3(Hs sent !or old packets
1 $S3(Hs received
7 connections reset due to early user close
Para mostrar soamente as estadstcas orgnadas por conexones ,D<, se utza:
262
netstat s u
=dp"
546 packets received
# packets to unknown port received@
# packet receive errors
567 packets sent
Para mostrar a taba de encamnamentos, se utza:
netstat r
$estination Iateway Ienmask <lags ,SS 2indow irtt '!ace
175@164@#@# O 588@588@588@# = # # # eth#
175@164@155@# O 588@588@588@# = # # # virbr#
167@58>@#@# O 588@588@#@# = # # # eth#
de!ault 175@164@#@58> #@#@#@# =I # # # eth#
Para mostrar as asgnacones grupos de mutdfusn, se utza:
netstat g
';v6/';v> Iroup ,emberships
'nter!ace Re!(nt Iroup

lo 1 300S:S/%,S@,(3S/@+%/
virbr# 1 55>@#@#@581
virbr# 1 300S:S/%,S@,(3S/@+%/
eth# 1 55>@#@#@581
eth# 1 300S:S/%,S@,(3S/@+%/
lo 1 !!#5""1
peth# 1 !!#5""1
virbr# 1 !!#5""1"!!##"#
virbr# 1 !!#5""1
vi!#@# 1 !!#5""1
eth# 1 !!#5""1"!!86"14b7
eth# 1 !!#5""1
xenbr# 1 !!#5""1
vi!1@# 1 !!#5""1
Para mostrar a taba de nterfaces actvas en e sstema, se utza:
netstat i
263
Hernel 'nter!ace table
'!ace ,/= ,et RX.H RX%RR RX$R; RX.&R /X.H /X%RR /X$R; /X.&R <lg
eth# 18## # 5?76 # # # 5#67 # # # 9,R=
lo 16>?6 # 864# # # # 864# # # # 0R=
peth# 18## # ?57> # # # 584> # # # 9.R=
vi!#@# 18## # 5#67 # # # 5?76 # # # 9.R=
vi!1@# 18## # >8 # # # ?4> # # # 9.R=
virbr# 18## # # # # # 65 # # # 9,R=
xenbr# 18## # 516 # # # # # # # 9.R=
264
34. Cmo utili8ar A'<.
34.+. %ntroduccin
34.+.+. Acerca de A'<.
A'< sgnfca Address 'esouton <rotoco, o protocoo de resoucn de dreccones. A'< se utza
para supervisar y modi&icar a taba de asgnacones de dreccones %< y dreccones :AC
(:eda Access Contro). A'< utza un cache que consste en una taba que amacena as
asgnacones entre nve de enace de datos y as dreccones IP de nve de red. E nve de enace
de datos se encarga de gestonar as dreccones :AC y e nve de red de as dreccones %<. A'<
asoca dreccones %< a as dreccones :AC, |usto a a nversa de protocoo 'A'< que asgna
dreccones :AC a as dreccones %<. Para reducr e nmero de petcones A'<, cada sstema
operatvo que mpementa e protocoo A'< mantene una cache en a memoria 'A: de todas as
recentes asgnacones.
Vsuazar e cache A'< actua.
arp a
Debe devover ago smar a o sguente, en e caso de tratarse de un soo sstema:
m58>@alcancelibre@org (175@164@1@58>) at ##"1>"78"76"56"%7 DetherE on eth#
Cuando se trata de un servdor ntermedaro (proxy), a taba puede verse de este modo:
m#81@redlocal@net (1#@1@1@81) at ##"1?"5#"$#"#7"1% DetherE on eth1
m#>6@redlocal@net (1#@1@1@>6) at ##"#<"1<"91"61"1> DetherE on eth1
m#6?@redlocal@net (1#@1@1@6?) at ##"11"58"<6"7?"<1 DetherE on eth1
m#6#@redlocal@net (1#@1@1@6#) at ##"11"58"<6"35"85 DetherE on eth1
m#>#@redlocal@net (1#@1@1@>#) at ##"#$"6#"6%"56"?> DetherE on eth1
m#?6@redlocal@net (1#@1@1@?6) at ##"#$"6#"6%"58"<9 DetherE on eth1
m#11@redlocal@net (1#@1@1@11) at ##"11"5<"(6"$#"$6 DetherE on eth1
E mandato arp acepta varas opcones ms. S se desea vsuazar a nformacn en esto Lnux,
se utza e parmetro -e. e|empo:
arp e
265
3ddress 12type 12address <lags ,ask '!ace
m#81@redlocal@net ether ##"1?"5#"$#"#7"1% ( eth1
m#>6@redlocal@net ether ##"#<"1<"91"61"1> ( eth1
m#6?@redlocal@net ether ##"11"58"<6"35"85 ( eth1
m#6#@redlocal@net ether ##"11"58"<6"78"4% ( eth1
m#>#@redlocal@net ether ##"#$"6#"6%"56"6< ( eth1
m#?6@redlocal@net ether ##"11"58"<6"8<"41 ( eth1
S se desea observar o anteror en formato numrco, se utza e parmetro -n. e|empo:
arp n
1#@1@1@>6 ether ##"#<"1<"91"61"1> ( eth1
1#@1@1@6# ether ##"11"58"<6"35"85 ( eth1
1#@1@1@6? ether ##"11"58"<6"7?"<1 ( eth1
1#@1@1@># ether ##"#$"6#"6%"56"?> ( eth1
1#@1@1@?> ether ##"#$"6#"6%"56"6< ( eth1
S se desea especfcar una nterfaz en partcuar, se utza e parmetro - segudo de nombre de
a nterfaz. E|empo:
arp i eth#
Lo anteror debe regresar ago smar a o sguente, en e caso de tratarse de un soo sstema:
m58>@alcancelibre@org ether ##"1>"78"76"56"%7 ( eth#
S se desea aadr un regstro manuamente, se puede hacer utzando e parmetro -s segudo de
nombre de un anftrn y a dreccn MAC correspondente. E|empo:
arp s m5##@redlocal@net ##"#4"31"4>"14"3$
S se quere emnar un regstro de a taba, soo se utza e parmetro (d segudo de nombre de
anftrn a emnar. E|empo:
arp d m5##@redlocal@net
Para mpar todo e cache, se puede utzar un buce como e sguente:
!or i in garp n ^ awk XZprint F1[X ^ grep v 3ddressg
do
arp d Fi
done
266
En e gun anteror se pde crear a varabe i a partr de arp con a opcn (n para devover as
dreccones numrcas, mostrando a travs de aPK soo a prmera coumna de a taba generada,
y emnando a cadena de caracteres Address. Esto genera una sta de dreccones IP que se
asgnan como vaores de a varabe i en e buce, donde se emna cada una de estas dreccones
IP utzando arp (d.
E ob|eto de mpar e cache de A'< es permtr corregr os regstros de a taba en certos
escenaros donde, por e|empo, un servdor o estacn de traba|o fue encenddo con una dreccn
%< que ya est uso.
267
35. %ntroduccin a %<@AB">
35.+. %ntroduccin.
35.+.+. Acerca de %pta!les y )et&ilter.
)et&ilter es un con|unto de gancos (EooKs, es decr, tcncas de programacn que se empean
para crear cadenas de procedmentos como mane|ador) dentro de nceo de GNU/Lnux y que son
utzados para nterceptar y manpuar paquetes de red. E componente me|or conocdo es e
cortafuegos, e cua reaza procesos de ftracn de paquetes. Los gancos son tambn utzados
por un componente que se encarga de )A@ (acrnmo de )etwork Address @ransaton o
Traduccn de dreccn de red). Estos componentes son cargados como mduos de nceo.
%pta!les es e nombre de a herramenta de espaco de usuaro (,ser >pace, es decr, rea de
memora donde todas as apcacones, en modo de usuaro, pueden ser ntercambadas haca
memora vrtua cuando sea necesaro) a travs de a cua os admnstradores crean regas para
cada ftrado de paquetes y mduos de )A@. %pta!les es a herramenta estndar de todas as
dstrbucones modernas de GNU/Lnux.
URL: http://www.netfter.org/
35.*. "#uipamiento lgico necesario.
35.*.+. %nstalacin a travs de yum.
S utza Cent0> 5 y 6, 'ed Eat "nterprise inu2 5 o 6, soo se necesta reazar o sguente
para nstaar o actuazar e equpamento gco necesaro:
yum y install iptables
35.3. <rocedimientos.
35.3.+. Cadenas.
Las cadenas pueden ser para trfco entrante (INPUT), trfco saente (OUTPUT) o trfco reenvado
(F0'WA'D).
268
35.3.*. 'eglas de destino.
Las regas de destno pueden ser aceptar conexones (ACC"<@), descartar conexones (D'0<),
rechazar conexones ('"J"C@), encamnamento posteror (<0>@'0,@%)?), encamnamento
prevo (<'"'0,@%)?), >)A@, )A@, entre otras.
35.3.3. <olticas por de&ecto.
Estabecen cua es a accn a tomar por defecto ante cuaquer tpo de conexn. La opcn -P
camba una potca para una cadena. En e sguente e|empo se descartan (D'0<) todas as
conexones que ngresen (INPUT), todas as conexones que se reenven (F0'WA'D) y todas as
conexones que sagan (OUTPUT), es decr, se descarta todo e trfco que entre desde una red
pbca y e que trate de sar desde a red oca.
iptables ; '+;=/ DRO8
iptables ; FORXARD DRO8
iptables ; .=/;=/ ACCE8T
35.3.4. impie8a de reglas espec&icas.
A fn de poder crear nuevas regas, se deben borrar as exstentes, para e trfco entrante, trfco
reenvado y trfco saente as como e NAT.
iptables < '+;=/
iptables < FORXARD
iptables < .=/;=/
iptables < t nat
35.3.5. 'eglas espec&icas.
Las opcones ms comunes son:
-A aade una cadena, a opcn - defne una nterfaz de trfco entrante
-o defne una nterfaz para trafco saente
-| estabece una rega de destno de trfco, que puede ser ACC"<@, D'0< o '"J"C@. La
-m defne que se apca a rega s hay una concdenca especfca
--state defne una sta separada por comas de dstnto tpos de estados de as conexones
(INVALID, ESTABLISHED, NEW, RELATED).
--to-source defne que IP reportar a trfco externo
-s defne trafco de orgen
-d defne trfco de destno
--source-port defne e puerto desde e que se orgna a conexn
--destnaton-port defne e puerto haca e que se drge a conexn
269
-t taba a utzar, pueden ser nat, fter, mange o raw.
".emplos de reglas.
Reenvo de paquetes desde una nterfaz de red oca (eth1) haca una nterfaz de red pbca
(eth0):
iptables 3 FORXARD i eth1 o eth# M ACCE8T
Aceptar reenvar os paquetes que son parte de conexones exstentes (ESTABLISHED) o
reaconadas de trfco entrante desde a nterfaz eth1 para trfco saente por a nterfaz eth0:
iptables 3 FORXARD i eth# o eth1 m state state %S/390'S1%$BR%03/%$ M ACCE8T
Permtr paquetes en e propo muro cortafuegos para trfco saente a travs de a nterfaz eth0
que son parte de conexones exstentes o reaconadas:
iptables 3 '+;=/ i eth# m state state %S/390'S1%$BR%03/%$ M ACCE8T
Permtr (ACC"<@) todo e trfco entrante (INPUT) desde (-s) cuaquer dreccn (0/0) a red oca
(eth1) y desde e retorno de sstema (o) haca (-d) cuaquer destno (0/0):
iptables 3 '+;=/ i eth1 s #/# d #/# M ACCE8T
iptables 3 '+;=/ i lo s #/# d #/# M ACCE8T
Hacer (-|) SNAT para e trfco saente (-o) a trves de a nterfaz eth0 provenente desde (-s) a
red oca (192.168.0.0/24) utzando (--to-source) a dreccn IP P.2.y.8.
iptables 3 8OSTROUTLNG t nat s 175@164@#@#/5> o eth# M S+3/ tosource x@y@C@c
Descartar (D'0<) todo e trfco entrante (-i) desde a nterfaz eth0 que trate de utzar a
dreccn IP pbca de servdor (P.2.y.8), aguna dreccn IP de a red oca (192.168.0.0/24) o a
dreccn IP de retorno de sstema (127.0.01)
iptables 3 '+;=/ i eth# s w@x@y@x/?5 M DRO8
iptables 3 '+;=/ i eth# s 175@164@#@#/5> M DRO8
iptables 3 '+;=/ i eth# s 156@#@#@#/4 M DRO8
Aceptar (ACC"<@) todos os paquetes SYN (--syn) de protocoo TCP (-p tcp) para os puertos (--
destination(port) de os protocoos SMTP (25), HTTP(80), HTTPS (443) y SSH (22):
iptables 3 '+;=/ p tcp s #/# d #/# destinationport 58 syn M ACCE8T
iptables 3 '+;=/ p tcp s #/# d #/# destinationport 4# syn M ACCE8T
iptables 3 '+;=/ p tcp s #/# d #/# destinationport >>? syn M ACCE8T
Aceptar (ACC"<@) todos os paquetes SYN (--syn) de protocoo TCP (-tcp) para os puertos (--
destination(port) de protocoos SMTP (25) en e servdor (P.2.y.8/32), desde (-s) cuaquer ugar
(0/0) haca (-d) cuaquer ugar (0/0).
iptables 3 '+;=/ p tcp s #/# d *.;.y.B/?5 destinationport 58 syn M ACCE8T
270
Aceptar (ACC"<@) todos os paquetes SYN (--syn) de protocoo TCP (-p tcp) para os puertos (--
destination(port) de os protocoos POP3 (110), POP3S (995), IMAP (143) y IMAPS (993):
iptables 3 '+;=/ p tcp s #/# d #/# destinationport 11# syn M ACCE8T
iptables 3 '+;=/ p tcp s #/# d #/# destinationport 1>? syn M ACCE8T
iptables 3 '+;=/ p tcp s #/# d #/# destinationport 77? syn M ACCE8T
Aceptar (ACC"<@) e trfco entrante (-i) provenente desde a nterfaz eth1 cuando as conexones
se estabezcan desde e puerto (--sport) 67 por protocoos (-p) TCP y UDP.
iptables 3 '+;=/ i eth1 p tcp sport 64 dport 66 M ACCE8T
iptables 3 '+;=/ i eth1 p udp sport 64 dport 66 M ACCE8T
Aceptar (ACC"<@) conexones de trfco entrante (INPUT) por protocoo (-p) UDP cuando se
estabezcan desde (-s) e servdor DNS 200.33.145.217 desde e puerto (--source(port) 53 haca (-
d) cuaquer destno (0/0):
iptables 3 '+;=/ p udp s 5##@??@1>6@516/?5 sourceport 8? d #/# M ACCE8T
35.3.5.+. Cerrar accesos.
Descartar (D'0<) e trfco entrante (INPUT) para e protocoo (-p) TCP haca os puerto (--
destination(port) de SSH (22) y Tenet (23):
iptables 3 '+;=/ p tcp destinationport 55 M DRO8
iptables 3 '+;=/ p tcp destinationport 5? M DRO8
Descartar (D'0<) todo tpo de conexones de trfco entrante (INPUT) desde (-s) a dreccn IP
a.b.c.d:
iptables 3 '+;=/ s a@b@c@d M DRO8
Rechazar ('"J"C@) conexones haca (OUTPUT) a dreccn IP a.b.c.d desde a red oca:
iptables 3 .=/;=/ d a@b@c@d s 175@164@#@#/5> M REYECT
35.3.6. "liminar reglas.
En genera se utza a msma rega, pero en ugar de utzar -A (append), se utza -D (deete).
Emnar a rega que descarta (D'0<) todo tpo de conexones de trfco entrante (INPUT) desde (-
s) a dreccn IP a.b.c.d:
iptables $ '+;=/ s a@b@c@d M DRO8
35.3.7. :ostrar la lista de cadenas y reglas.
Una vez cargadas todas as cadenas y regas de ipta!les es posbe vsuazar stas utzando e
mandato ipta!les con as opcones -n, para ver as stas en formato numrco, y -, para soctar
a sta de stas cadenas.
271
iptables n0
Cuando no hay regas n cadenas cargadas, a sada de!e devover o sguente:
(hain '+;=/ (policy 3((%;/)
target prot opt source destination
(hain <.R23R$ (policy 3((%;/)
(hain .=/;=/ (policy 3((%;/)
Cuando hay cadenas presentes, a sada, suponendo que se utzarn os e|empos de este
documento, debe devover ago smar a o sguente:
(hain '+;=/ (policy $R.;)
3((%;/ all #@#@#@#/# #@#@#@#/# state R%03/%$B%S/390'S1%$
3((%;/ all #@#@#@#/# #@#@#@#/#
3((%;/ all #@#@#@#/# #@#@#@#/#
$R.; all 175@164@1@6> #@#@#@#/#
$R.; all 165@16@#@#/5> #@#@#@#/#
$R.; all 156@#@#@#/4 #@#@#@#/#
3((%;/ tcp #@#@#@#/# #@#@#@#/# tcp dpt"58 !lags"#x16/#x#5
3((%;/ tcp #@#@#@#/# #@#@#@#/# tcp dpt"4# !lags"#x16/#x#5
3((%;/ tcp #@#@#@#/# #@#@#@#/# tcp dpt">>? !lags"#x16/#x#5
3((%;/ tcp #@#@#@#/# 175@164@1@6> tcp dpt"58 !lags"#x16/#x#5
3((%;/ tcp #@#@#@#/# #@#@#@#/# tcp dpt"1>? !lags"#x16/#x#5
3((%;/ tcp #@#@#@#/# #@#@#@#/# tcp dpt"77? !lags"#x16/#x#5
3((%;/ tcp #@#@#@#/# #@#@#@#/# tcp spt"64 dpt"66
3((%;/ udp #@#@#@#/# #@#@#@#/# udp spt"64 dpt"66
3((%;/ udp 5##@??@1>6@516 #@#@#@#/# udp spt"8?
(hain <.R23R$ (policy $R.;)
3((%;/ all #@#@#@#/# #@#@#@#/#
3((%;/ all #@#@#@#/# #@#@#@#/# state R%03/%$B%S/390'S1%$
(hain .=/;=/ (policy 3((%;/)
DrootSm#6> TEA iptables n0
(hain '+;=/ (policy $R.;)
3((%;/ all #@#@#@#/# #@#@#@#/# state R%03/%$B%S/390'S1%$
3((%;/ all #@#@#@#/# #@#@#@#/#
3((%;/ all #@#@#@#/# #@#@#@#/#
$R.; all 175@164@1@6> #@#@#@#/#
$R.; all 165@16@#@#/5> #@#@#@#/#
$R.; all 156@#@#@#/4 #@#@#@#/#
3((%;/ tcp #@#@#@#/# #@#@#@#/# tcp dpt">>? !lags"#x16/#x#5
3((%;/ tcp #@#@#@#/# 175@164@1@6> tcp dpt"58 !lags"#x16/#x#5
3((%;/ tcp #@#@#@#/# #@#@#@#/# tcp dpt"1>? !lags"#x16/#x#5
3((%;/ tcp #@#@#@#/# #@#@#@#/# tcp dpt"77? !lags"#x16/#x#5
3((%;/ tcp #@#@#@#/# #@#@#@#/# tcp spt"64 dpt"66
3((%;/ udp #@#@#@#/# #@#@#@#/# udp spt"64 dpt"66
3((%;/ udp 5##@??@1>6@516 #@#@#@#/# udp spt"8?
(hain <.R23R$ (policy $R.;)
3((%;/ all #@#@#@#/# #@#@#@#/#
3((%;/ all #@#@#@#/# #@#@#@#/# state R%03/%$B%S/390'S1%$
272
(hain .=/;=/ (policy 3((%;/)
35.3.9. %niciarL detener y reiniciar el servicio ipta!les.
S est de acuerdo con as regas generadas de ipta!les, utce e sguente mandato para guardar
stas:
service iptables save
Las regas quedarn amacenadas en e archvo /etc=syscon&ig=ipta!les.
Para e|ecutar por prmera vez e servco ipta!les, utce:
service iptables start
service iptables restart
Para detener e servco ipta!les y borrar todas as regas utce:
service iptables stop
35.3.S. Agregar el servicio ipta!les al arran#ue del sistema.
Para hacer que e servco de ipta!les est actvo con e sguente nco de sstema, en todos os
nvees de corrda (2, 3, 4, y 5), se utza o sguente:
chkcon!ig iptables on
35.4. Bi!liogra&a.
Wkpeda: http://en.wkpeda.org/wk/Iptabes
Denns G. Aard y Don Cohen http://oceanpark.com/notes/frewa_exampe.htm
273
36. Cmo utili8ar CBB.
36.+. %ntroduccin.
36.+.+. Acerca de c!#.
CBB (Cass Based Bueueng o Encoamento Basado sobre Cases), es un gun escrto en BA>E
utzado para a gestn y contro de uso de ancho de banda en GNU/Lnux. Fue orgnamente
creado en 1999 por <avel ?olu!ev y posterormente mantendo de 2001 a 2004 por u!omir
Bule.. Utza de una forma smpfcada os mandatos ip y tc para su funconamento, y forma
parte de paquete iproute, e cua se ncuye en as nstaacones bsca de a mayor parte de as
dstrbucones de GNU/Lnux.
36.*. Comprendiendo la velocidad !inaria M!it rateN.
E trmno bit rate se traduce a espao como velocidad !inaria, tasa de !its o &lu.o de !its.
Corresponde a numero de bits que se transmten por segundo a travs de un sstema de
transmsn dgta o entre dos dspostvos dgtaes. En otras paabras, es a veocdad de
transferenca de datos.
De acuerdo a >istema %nternacional de ,nidades, a undad con a que se expresa a
velocidad !inaria (bit rate) es e !it por segundo, es decr !it=s, !=s o !ps, donde a ! sempre
debe escrbrse en mnscua para mpedr confusn con a undad !yte por segundo (B=s). Los
mtpos para byte apcan de dferente modo que para bt. La undad byte es gua a 8 bts, y a
partr de esto se puede utzar a sguente taba:
@a!la de e#uivalencias.
kbt/s o kbps (kb/s, kobt/s) 1000 bts de por segundo
Mbt/s o Mbps(Mb/s, Megabt/s) 1 mn de bts por segundo
Gbt/s o Gbps (Gb/s, Ggabt/s) M mones de bts por segundo
byte/s (B/s) 8 bts por segundo
kobyte/s (kB/s, m bytes) 8 m bts por segundo
megabyte/s (MB/s, un mn de bytes) 8 mones de bt por segundo
ggabyte/s (GB/s, m mones de bytes) 8 m mones de bts
274
36.3. "#uipamiento lgico necesario.
CBB forma parte de a nstaacn de paquete iproute, msmo que a su vez se nstaa de modo
predetermnado en cas todas as dstrbucones de GNU/Lnux.
36.3.+. %nstalacin a travs de yum.
S utza Cent0> 4 y 5, 'ed Eat "nterprise inu2 5 o W$ite Bo2 "nterprise inu2 4 y 5, soo
se necesta reazar o sguente para nstaar o actuazar e equpamento gco necesaro:
yum y install iproute
36.3.*. %nstalacin a travs de up*date.
S se utza 'ed Eata "nterprise inu2 4, soo bastar reazar o sguente para nstaar o
actuazar e equpamento gco necesaro:
up5date i iproute
36.4. <reparativos.
Antes de ncar cuaquer confguracn, se deben determnarse os vaores para os sguentes
parmetros. Para construr una rega, se requere a menos comprender y especfcar os vaores
para os parmetros D"F%C", W"%?E@, 'A@" y ',". Las regas pueden ser tan compe|as como
a magnacn de admnstrador o permta.
Los archvos con as confguracones se guardan dentro de drectoro =etc=syscon&ig=c!#= y deben
evar s sguente nomencatura:
/etc/syscon!ig/cbJ/cbJDn`mero'$(laseE@DnombreE
Donde n1mero(%D(Clase corresponde a un nmero headecma de 2 bts dentro de rango 0002-
FFFF. E|empo: archvo que contene una case que controa e trfco entrante de correo
eectrnco:
/etc/syscon!ig/cbJ/cbJ###5@smtpin
36.4.+. <ar;metro D"F%C".
Es un parmetro obgatoro. Se determna os vaores con e nombre de a nterfaz, ancho de
banda y peso de esta nterfaz. Este tmo vaor, que es opcona en este parmetro, se cacua
dvdendo e ancho de banda de a nterfaz entre dez. Por e|empo, s se dspone de una nterfaz
denomnada eth0 de 100 Mbt/s, e peso ser 10 Mbt/s, de ta modo os vaores de parmetro
D"F%C", quedaran de a sguente forma:
$%&'(%)eth#B1##,bitB1#,bit
S se dspone de una nterfaz eth0 conectada a un modem ADSL de 2048 kbps de trfco entrante
o de ba|ada, e peso ser de 204 kbps, de ta modo os vaores de parmetro D"F%C", quedaran
de a sguente forma:
275
$%&'(%)eth#B5#>4HbitB5#>Hbit
S se dspone de una nterfaz eth0 conectada a un modem ADSL de 256 kbps de trfco saente o
de subda, e peso ser de 25 kbps, de ta modo os vaores de parmetro D"F%C", quedaran de
a sguente forma:
$%&'(%)eth#B586HbitB58Hbit
36.4.+.+. <ar;metro de clase 'A@".
Es un parmetro obgatoro. Se refere a ancho de banda a asgnar a a case. E trfco que pase a
travs de esta case ser modfcado para a|ustarse a a proporcn defnda. Por e|empo, s se
quere mtar e ancho de banda utzado a 10 Mbt/s, e vaor de 'A@" sera 10Mbt, como se
muestra a contnuacn.
R3/%)1#,bit
S se quere mtar e ancho de banda utzado a 1024 kbt/s, e vaor de 'A@" sera 1024Kbt,
como se muestra a contnuacn.
R3/%)1#5>Hbit
S se quere mtar e ancho de banda utzado a 512 kbt/s, e vaor de RATE sera 512Kbt, como
se muestra a contnuacn.
R3/%)815Hbit
36.4.*. <ar;metro de clase W"%?E@.
Es un parmetro obgatoro. ste es proporcona a ancho de banda tota de a nterfaz. Como
rega se se cacua dvdendo entre dez e ancho de banda tota. Para una nterfaz de 2048 kbps,
correspondera un vaor de 204Kbt:
2%'I1/)5#>Hbit
36.4.3. <ar;metro de clase <'%0.
Es un parmetro opcona que se utza para especfcar que prordad tendr sobre otras regas de
contro de ancho de banda. Mentras ms ato sea e vaor, menos prordad tendr sobre otras
regas. Se recomenda utzar e vaor 5 que funconar para a mayora de os casos. E|empo:
;R'.)8
36.4.4. <ar;metro de clase <A'")@.
Cuando se utzan regas que se requere estn |erarquzadas, se utza para estabecer a
dentdad de case padre a a que pertenecen. Puede evar cuaquer vaor. Cuando se trata de una
case padre, se defne |unto con e parmetro "AF con e vaor none. En e sguente e|empo se
estabece a dentdad 100 en una case padre.
276
;3R%+/)1##
0%3<)none
36.4.5. <ar;metro de clase "AF.
Es un parmetro opcona y se utza para determnar que potca se utzar para utzar e ancho
de banda de una case padre.
S se utza e vaor t!&, que es e vaor predetermnado, se utzar e agortmo @BF (@oken
Bucket Fter), e cua mpde que a case tome ancho de banda de a case padre.
0%3<)tb!
Parmetros adconaes para agortmo @BF.
B,FF"'
Determna e tamao mxmo de rfaga (ma5imal burst size) que a case puede envar, y puede evar como
parmetro opcona a ongtud de os ntervaos en bytes. E vaor predetermnado es +OI!=9. es decr,
rfagas de 10Kb en ntervaos de 8 bytes.
0%3<)tb! BUFFER=-$(!+8
%:%@
Determna e tamao mxmo de as reservas (bac(log). S a coa de datos por procesar contene ms de os
especfcados por %:%@, os sguentes paquetes que eguen sern descartados. La ongtud de as reservas
determna a atenca (tempo de recuperacn de datos) de a coa en caso de presentarse una congestn. E
vaor predetermnado es 15kb.
0%3<)tb! LLMLT=-5:!
<"AI
Determna e pco mxmo para una rfaga de trfco de corto pazo que una case puede envar.
Consderando que un ancho de banda de 256 kbps enva 256 Kbt por segundo, en un momento dado se
puede dar e caso de e envo de 512 Kbt en 0.50 segundos, o 1 Mbt en 0.25 segundos. En e sguente
e|empo se estabece e e pco mxmo para rfagas de 1024 Kbt:
0%3<)tb! 8EA(=-$,J(!#2
:@,
Determna a mxma cantdad de datos que se pueden envar a msmo tempo en un medo fsco. Es un
parmetro obgatoro s se utza e parmetro <"AI. En e caso de una nterfaz -ternet, e vaor
predetermnado es gua a :@, de a propa nterfaz (1500).
0%3<)tb! ;%3H)1#5>Hbit MTU=-5$$
E vaor s&#, que corresponde a agortmo >FB (>tochastc Farness Bueueng), hace que sea
compartdo e ancho de banda de a case padre aproxmadamente en a misma proporcn de
ancho de banda entre anftrones dentro de a msma case.
0%3<)s!J
E vaor none permte utzar bremente e ancho de banda dsponbe, sempre que e vaor de
parmetro B0,D"D sea gua a no. En e sguente e|empo se especfca utzar bremente e
ancho de banda dsponbe:
0%3<)no
277
36.4.6. <ar;metro de clase B0,)D"D.
Es un parmetro opcona. S e vaor es yes, que es e vaor predetermnado, a case no tendr
permtdo utzar ancho de banda de a case padre. S e vaor es no, a case podr hacer uso de
ancho de banda dsponbe en a case padre. S se estabece con vaor no, es necesaro utzar
none o ben s&# en e parmetro "AF.
;3R%+/)1##
0%3<)s!J
BOUNDED=no
36.4.7. <ar;metro de clase %>0"@"D.
Es un parmetro opcona. S se estabece con e vaor yes, a case no prestar ancho de banda a
as cases h|as. S se utza e vaor no, que es e vaor predetermnado, se permtr prestar e
ancho de banda dsponbe a as cases h|as.
'S.03/%$)no
36.4.9. <ar;metros de &iltracin.
Son as regas de ftracn que se utzan para seecconar trfco en cada una de as cases. La
sntaxs competa es a sguente:
R=0%)DDs455rD/pre!iMoEED"puertoD/mcscaraEEBED5455rD/pre!iMoEED"puertoD/mcscaraEE
En o anteror, saddr se refere a a dreccn de orgen. daddr se refere a a dreccn de destno.
La sntaxs smpfcada es a sguente, donde todos os vaores son opconaes, pero se debe
especfcar a menos uno:
R=0%)';origen"puertoorigenA';destino"puertodestino
En genera a nterpretacn sgue cuatro smpes prncpos:
1. Cuaquer dreccn IP o red que se cooque antes de la coma se consdera dreccn IP o
red de origen.
2. Cuaquer dreccn IP o red que se cooque despus de la coma se consdera dreccn IP
o red de destino.
3. Cuaquer puerto antes de la coma se consdera e puerto de origen.
4. Cuaquer puerto especfcado despus de la coma se consdera puerto de destino.
".emplos.
Seeccn de todo e trfco desde cuaquer puerto en cuaquer red $acia os puertos 25 (SMTP),
465 (SMTPS) y 587 (SMTP Submsson) en cuaquer red (es decr, controa ancho de banda de
correo saente):
278
R=0%)B"58
R=0%)B">68
R=0%)B"846
Seeccn de todo e trfco desde os puertos 25 (SMTP), 465 (SMTPS) y 587 (SMTP Submsson)
en cuaquer red $acia cuaquer puerto en cuaquer red (es decr, controa ancho de banda de
correo entrante):
R=0%)"58B
R=0%)">68B
R=0%)"846B
Seeccn de todo e trfco desde a red 192.168.0.0/24 $acia cuaquer puerto en cuaquer red:
R=0%)175@164@#@#/5>B
Seeccn de todo e trfco desde cuaquer puerto en cuaquer red $acia cuaquer puerto en a
red 192.168.0.0/24:
R=0%)B175@164@#@#/5>
Seeccn de todo e trfco desde cuaquer puerto en a red 192.168.0.0/24 $acia e puerto 25
(SMTP) en cuaquer red:
R=0%)175@164@#@#/5>B"58
Seeccn de todo e trfco desde e puerto 25 (SMTP) en a red 192.168.0.0/24 $acia cuaquer
puerto en cuaquer red:
R=0%)175@164@#@#/5>"58B
Seeccn de todo e trfco desde e puerto 25 (SMTP) en a red 192.168.0.0/24 $acia e puerto 25
(SMTP) en cuaquer red:
R=0%)175@164@#@#/5>"58B"58
Seeccn de todo e trfco desde e puerto 25 (SMTP) en cuaquer red $acia cuaquer puerto en
a red 192.168.0.0/24:
R=0%)"58B175@164@#@#/5>
Seeccn de todo e trfco desde e puerto 25 (SMTP) en cuaquer red $acia e puerto 25 (SMTP)
en a red 192.168.0.0/24:
R=0%)"58B175@164@#@#/5>"58
Seeccn de todo e trfco desde e puerto 80 en cuaquer red $acia cuaquer puerto de
cuaquer red:
279
R=0%)"4#B
Seeccn de todo e trfco desde cuaquer puerto en e anftrn 201.161.1.226 $acia cuaquer
puerto en cuaquer red:
R=0%)5#1@161@1@556B
Seeccn de todo e trfco desde puerto 80 en e anftrn 201.161.1.226 $acia cuaquer puerto
en cuaquer red:
R=0%)5#1@161@1@556"4#B
Seeccn de todo e trfco desde e puerto 80 (HTTP) en cuaquer red $acia a red
192.168.0.0/24:
R=0%)"4#B175@164@#@#/5>
Seeccn de todo e trfco desde os puerto 20 (FTP-DATA), 21 (FTP) y 80 (HTTP) en cuaquer red
$acia a red 192.168.0.0/24:
R=0%)"5#B175@164@#@#/5>
R=0%)"51B175@164@#@#/5>
R=0%)"4#B175@164@#@#/5>
Seeccn de todo e trfco desde de os puertos 20 (FTP-DATA), 21 (FTP) y 80 (HTTP) en e
anftrn 201.161.1.226 $acia a red 192.168.0.0/24:
R=0%)5#1@161@1@556"5#B175@164@#@#/5>
R=0%)5#1@161@1@556"51B175@164@#@#/5>
R=0%)5#1@161@1@556"4#B175@164@#@#/5>
Para poder confgurar e uso de ancho de banda se requere determnar prmero o sguente:
Cua es e ancho de banda de trfco entrante (de ba|ada) de a nterfaz pbca?
Cua es e ancho de banda de trfco saente (de subda) de a nterfaz pbca?
Ou servcos se van a controar?
Cuanto ancho de banda para trfco entrante y saente se va a destnar a cada servco?
Consderando e sguente escenaro:
Servdor con un cortafuegos y un )A@ compartendo e acceso haca Internet.
Enace ADSL de 2048 kbps de trfco entrante y 256 kbps de trfco saente, a travs de a
nterfaz et$O.
280
Red oca 192.168.0.0/24 accede desde a nterfaz et$+.
Se quere gestonar e uso de ancho de banda para SMTP, POP3, IMAP, HTTP, HTTPS, FTP y
SSH/SFTP.
A repartr e ancho de banda, se e 50% de ancho de banda de entrada a E@@< y E@@<>, y
se dar e 50% de ancho de banda de subda a os servcos reaconados con e correo
electrnico.
Como e|empo, se asgnarn os sguentes anchos de banda para cada servco especfcado.
>ervicios <uertos @r;&ico entrante @r;&ico saliente
Correo eectrnco:
SMTP, POP3 e IMAP
25, 465, 587, 110, 143, 993, 995 512Kbt 128Kbt
HTTP y HTTPS 80, 443 1024Kbt 64Kbt
FTP y SSH/SFTP 20, 21, 22 256Kbt 64Kbt
36.5.+. CBB sin compartir anc$o de !anda entre clases.
En e e|empo os anchos de banda se estn asgnando pensando en que se har uso de todos os
servcos de forma smutnea y que se quere que cada servco respete e ancho de banda de os
otros, es decr, sn prestar ancho de banda de una case a otra.
Con a fnadad de factar a organzacn, se recomenda crear archvos ndependentes para
cada potca. Es decr, destnar un archvo para todo o reaconado con correo, otro para o
reaconado con HTTP/HTTPS y otro reaconado con FTP.
Contendo de archvo
/etc/sysconfg/cbq/cbq-0002.smtp-n:
$%&'(%)eth#B5#>4Hbit
RATE=5-,(!#2
2%'I1/)5#>Hbit
;R'.)8
R=0%)"58B175@164@#@#/5>
R=0%)">68B175@164@#@#/5>
R=0%)"846B175@164@#@#/5>
R=0%)"11#B175@164@#@#/5>
R=0%)"1>?B175@164@#@#/5>
R=0%)"77?B175@164@#@#/5>
R=0%)"778B175@164@#@#/5>
Contendo de archvo
/etc/sysconfg/cbq/cbq-0003.web-n:
RATE=-$,J(!#2
2%'I1/)5#>Hbit
;R'.)8
R=0%)"4#B175@164@#@#/5>
R=0%)">>?B175@164@#@#/5>
Contendo de archvo
/etc/sysconfg/cbq/cbq-0005.ftp-n:
RATE=,'5(!#2
2%'I1/)5#>Hbit
;R'.)8
R=0%)"5#B175@164@#@#/5>
R=0%)"51B175@164@#@#/5>
R=0%)"55B175@164@#@#/5>
Contendo de archvo
/etc/sysconfg/cbq/cbq-0002.smtp-out:
RATE=-,8(!#2
2%'I1/)5#>Hbit
;R'.)8
R=0%)175@164@#@#/5>B"58
R=0%)175@164@#@#/5>B">68
R=0%)175@164@#@#/5>B"846
R=0%)175@164@#@#/5>B"11#
R=0%)175@164@#@#/5>B"1>?
Contendo de archvo
/etc/sysconfg/cbq/cbq-0004.web-out:
RATE='J(!#2
2%'I1/)5#>Hbit
;R'.)8
R=0%)175@164@#@#/5>B"4#
R=0%)175@164@#@#/5>B">>?
Contendo de archvo
/etc/sysconfg/cbq/cbq-0006.ftp-out:
RATE='J(!#2
2%'I1/)5#>Hbit
;R'.)8
R=0%)175@164@#@#/5>B"5#
R=0%)175@164@#@#/5>B"51
R=0%)175@164@#@#/5>B"55
281
R=0%)175@164@#@#/5>B"77?
R=0%)175@164@#@#/5>B"778
36.5.*. CBB compartiendo anc$o de !anda entre clases.
En e e|empo os anchos de banda se estn asgnando pensando en que se har uso de todos os
servcos de forma smutnea y que se quere que cada servco preste ancho de banda sn utzar
desde una case haca otra. Se utzar a as cases con mayor ancho de banda dsponbe como as
cases padre.
Con a fnadad de factar a organzacn, se recomenda crear archvos ndependentes para
cada potca. Es decr, destnar un archvo para todo o reaconado con correo, otro para o
reaconado con HTTP/HTTPS y otro reaconado con FTP.
Contendo de archvo
/etc/sysconfg/cbq/cbq-0002.smtp-n:
RATE=5-,(!#2
2%'I1/)5#>Hbit
;R'.)8
8ARENT=-$$
LEAF=s<C
R=0%)"58B175@164@#@#/5>
R=0%)">68B175@164@#@#/5>
R=0%)"846B175@164@#@#/5>
R=0%)"11#B175@164@#@#/5>
R=0%)"1>?B175@164@#@#/5>
R=0%)"77?B175@164@#@#/5>
R=0%)"778B175@164@#@#/5>
Contendo de archvo
/etc/sysconfg/cbq/cbq-0003.web-n:
RATE=-$,J(!#2
2%'I1/)5#>Hbit
;R'.)8
8ARENT=-$$
LEAF=no
BOUNDED=no
LSOLATED=no
R=0%)"4#B175@164@#@#/5>
R=0%)">>?B175@164@#@#/5>
Contendo de archvo
/etc/sysconfg/cbq/cbq-0005.ftp-n:
RATE=,'5(!#2
2%'I1/)5#>Hbit
;R'.)8
8ARENT=-$$
LEAF=s<C
R=0%)"5#B175@164@#@#/5>
R=0%)"51B175@164@#@#/5>
R=0%)"55B175@164@#@#/5>
Contendo de archvo
/etc/sysconfg/cbq/cbq-0002.smtp-out:
RATE=-,8(!#2
2%'I1/)5#>Hbit
;R'.)8
8ARENT=,$$
LEAF=no
BOUNDED=no
LSOLATED=no
R=0%)175@164@#@#/5>B"58
R=0%)175@164@#@#/5>B">68
R=0%)175@164@#@#/5>B"846
R=0%)175@164@#@#/5>B"11#
R=0%)175@164@#@#/5>B"1>?
R=0%)175@164@#@#/5>B"77?
R=0%)175@164@#@#/5>B"778
Contendo de archvo
/etc/sysconfg/cbq/cbq-0004.web-out:
RATE='J(!#2
2%'I1/)5#>Hbit
;R'.)8
8ARENT=,$$
LEAF=s<C
R=0%)175@164@#@#/5>B"4#
R=0%)175@164@#@#/5>B">>?
Contendo de archvo
/etc/sysconfg/cbq/cbq-0006.ftp-out:
RATE='J(!#2
2%'I1/)5#>Hbit
;R'.)8
8ARENT=,$$
LEAF=s<C
R=0%)175@164@#@#/5>B"5#
R=0%)175@164@#@#/5>B"51
R=0%)175@164@#@#/5>B"55
36.5.3. %niciarL detener y reiniciar el servicio c!#.
E gun de nco de cbq est nstaado como =s!in=c!#. Es necesaro copar este archvo dentro
de =etc=init.d= y trataro gua que cuaquer otro servco de sstema.
cp a /sbin/cbJ /etc/init@d
282
Para probar que as cases estn correctas antes de utzar stas, puede recurrr a:
service cbJ compile
Para e|ecutar por prmera vez e servco c!#, utce:
service cbJ start
service cbJ restart
Para detener e servco c!# y emnar de memora todas as regas utce:
service cbJ stop
Para supervsar as estadstcas de trfco gestonado a travs de c!# utce:
service cbJ stats
36.5.4. Agregar el servicio c!# al arran#ue del sistema.
Para hacer que e servco de c!# est actvo con e sguente nco de sstema, en todos os
nvees de e|ecucn (2, 3, 4, y 5), se utza o sguente:
chkcon!ig cbJ on
283
37. %ntroduccin a >"inu2 en Cent0> 5 y
Fedora.
Correo electrnico: dar!shra"#g"ail.co"
sitio de Red: http://www.alcancelibre.org/
37.+. %ntroduccin.
Suee ocurrr que a ntentar me|orar e rendmento de un sstema se recurra a a prctca de
desactvar SELnux. Certamente consume bastantes recursos, pero brnda un nve de segurdad
superor que en un futuro, que esperemos sea muy e|ano, podra ser de gran utdad para mpedr
ataques drgdos especfcamente haca GNU/Lnux. La gran popuardad que estn tenendo as
computadoras utra-porttes est ncrementando e nmero de usuaros de GNU/Lnux, o cua
eventuamente tambn sgnfcar que r surgendo equpamento gco macoso (mal)are)
especfcamente dseado para GNU/Lnux. A contnuacn expco, de &orma !reve, como utzar
de manera bsca getse!ool y setse!ool (y un poco de c$con) en CentOS 5 (apcabe a Red Hat
Enterprse Lnux 5) y Fedora 10 (y versones posterores) desde a termna, e|empfcando potcas
para agunos servcos.
37.*. Bu es >"inu2?
>"inu2 (de ngs >ecurty-"nhanced inu2, que se traduce como Segurdad Me|orada de Lnux)
es una mpementacn de segurdad para GNU/Lnux que provee una varedad de potcas de
segurdad, ncuyendo e esto de acceso a os controes de Departamento de Defensa de EE.UU.,
a travs de uso de mduos de Segurdad en e nceo de Lnux.
En s es una coeccn de parches que fueron ntegrados hace agunos aos a nceo de Lnux,
fortaecendo sus mecansmos de contro de acceso y forzando a e|ecucn de os procesos dentro
de un entorno con os mnmos prvegos necesaros. Utza un modeo de segurdad de contro de
acceso obgatoro.
Es una mpementacn compe|a y robusta que suee ser muy oscura para a mayora de os
usuaros. Debdo a sto, fata de documentacn amstosa y que muchos servcos smpemente
son mposbes de operar sn una potca correspondente, muchas personas sueen desactvaro
edtando =etc=syscon&ig=selinu2. E ob|etvo de este artcuo es servr como una breve
ntroduccn a os conceptos bscos de admnstracn de SELnux.
37.3. :andato getse!ool
Este mandato permte star potcas en SELnux, y determnar s estn actvos o nactvos.
Bscamente se utza de a sguente forma:
getsebool a ^grep cadena
284
Donde cadena es una cadena de texto que se puede utzar para ocazar as potcas
reaconados con agn servco en partcuar. Por e|empo, s se desea conocer que potcas que
ncuyan a cadena ftp estn actvos, como root se puede utzar o sguente:
getsebool a ^grep !tp
Lo anteror debe regresar ago smar como o sguente:
allow-!tpd-anon-write R o!!
allow-!tpd-!ull-access R o!!
allow-!tpd-use-ci!s R o!!
allow-!tpd-use-n!s R o!!
!tp-home-dir R o!!
httpd-enable-!tp-server R o!!
t!tp-anon-write R o!!
37.4. :andato setse!ool.
Setseboo permte cambar os vaores para dferentes potcas de SELnux, msmas que pueden
verse a travs de e mandato getse!ool. La sntaxs bsca es a sguente:
setsebool nombre-politica valor
Cuando se e|ecuta de a manera anterormente descrta, as potcas son apcadas de nmedato y
estarn vgentes hasta e sguente renco de sstema. Para hacer permanentes as potcas, se
utza e msmo mandato con a opcn (<:
setsebool ; nombre-politica valor
A contnuacn se muestran agunos e|empos de gestn de potcas para varos servcos.
37.4.+. >ervicios de F@<.
Para e servco de FTP, como sera a travs de VSFTPD, nteresan as sguentes potcas:
aow_ftpd_anon_wrte: Permte a os usuaros annmos poder escrbr en e servdor.
aow_ftpd_fu_access: Permte ectura y escrtura sobre todos os archvos dsponbes
desde e servdor.
aow_ftpd_use_cfs: Permte transferencas de datos desde CIFS.
aow_ftpd_use_nfs: Permte transferencas de datos desde NFS
ftp_home_dr: Permte a os usuaros ocaes poder acceder a sus drectoros de nco.
Para actvar estas, se utza e mandato setse!ool con e nombre de a potca y e vaor 0 o ben
1 para desactvar o actvar, respectvamente. En e sguente e|empo se actva poder acceder a os
drectoros de nco de os usuaros:
setsebool !tp-home-dir 1
285
Lo anteror permtra que os usuaros puedan acceder a sus propos drectoros de ncos a travs
de VSFTPD, hasta que e sstema sea rencado. Para hacer permanente e cambo, se utza
setse!ool con a opcn (<, de s sguente manera:
setsebool ; !tp-home-dir 1
37.4.*. 0penF<).
Otro tpco e|empo es de OpenVPN, como cente y servdor. Exsten dos potcas:
openvpn_enabe_homedrs: Permte utzar certfcados amacenados en os drectoros de os
usuaros.
openvpn_dsabe_trans: Por omsn, SELnux mpde utzar OpenVPN como servdor. Esta potca
permte desactva toda gestn de SELnux sobre OpenVPN, pero permte a ste funconar como
servdor.
Para a potca de openvpnQena!leQ$omedirs, ba|o agunas crcunstancas se necesta permtr a
os usuaros poder conectarse a redes VPN utzando certfcados que e msmo usuaro amacena
en su drectoro de nco, y esta es precsamente a potca que o permte. Con e nve de
segurdad por omsn, soo se podran utzar certfcados defndos por e admnstrador en agn
drectoro de sstema.
37.4.3. Apac$e.
Cuando se traba|a con drectoros que sern acceddos desde redes pbcas, como un drectoro
vrtua o un drectoro para domno vrtua en Apache, se actva a potca
$ttpdQena!leQ$omedirs y se utza e mandato c$con para permtr e acceso a os drectoros
Y=pu!licQ$tml, aadendo e tpo httpd_sys_content_t.
setsebool ; httpd-enable-homedirs 1
chcon R t httpd-sys-content-t Tuser/public-html
Para permtr a e|ecucn de programas CGI, se utza:
setsebool ; httpd-enable-cgi 1
Para permtr envar correo desde apache, se utza:
setsebool ; httpd-can-sendmail 1
Para desactvar que SELnux controe a Apache, en su totadad, se puede utzar:
setsebool ; httpd-disable-trans 1
37.4.4. >am!a.
En Samba es comn a necesdad de permtr a este servco operar como controador de domno.
La potca que o habta es sam!aQdomainQcontroller:
setsebool ; samba-domain-controller
286
S se desea permtr e acceso a os drectoros de nco de os usuaros, se utza a potca los
directorios Y=pu!licQ$tml:
setsebool ; samba-enable-home-dirs on
Para poder utzar drectoros que se compartrn a travs de Samba, se utza c$con defnendo
e tpo sam!aQs$areQt a contexto de drectoro. En e sguente e|empo, se crear un drectoro
como /var/samba/pubco:
mkdir p /var/samba/publico
Para vsuazar sus contextos en SELnux, se utza e mandato ls con a opcn (c:
ls G /var/samba/
Lo anteror debe devover una sada como a sguente:
drwxrxrx root root uncon!ined-u"obMect-r"var-t"s# publico
Para aadr e tpo sam!aQs$areQt, se utza e mandato c$con de a sguente manera:
chcon t samba-share-t /var/samba/publico
A vover a vsuazar e contexto de drectoro con ls (c, deber devover una sada como a
sguente:
ls G
drwxrxrx root root uncon!ined-u"obMect-r"samba-share-t"s# publico
Para compartr un drectoros en Samba, hay dos potcas que se pueden utzar:
samba_export_a_ro: Permte e acceso a drectoros compartdos en Samba en modo de soo
ectura
samba_export_a_rw: Permte e acceso a drectoros compartdos en Samba en modo de ectura y
escrtura.
E|empo:
setsebool ; samba-export-all-rw 1
37.4.5. 0tros servicios.
En genera, todos as potcas de todos os servcos pueden ser gestonadas buscando cuaes
estn reaconadas a travs de mandato getse!ool. Los detaes respecto de qu es o que hace
dada potca pueden consutarse a travs de as pgnas de manua que estn nstaadas en e
sstema. Por e|empo, para consutar que potcas hay para e servco NFS, e manua que contene
as descrpcones correspondentes es n&sQselinu2.
man httpd-selinux
287
Otros manuaes que pueden consutarse en e sstema para dferentes servcos son:
kerberos_senux
named_senux
ftpd_senux
ns_senux
rsync_senux
ypbnd_senux
pam_senux
httpd_senux
nfs_senux
samba_senux
288
39. Cmo con&igurar un servidor DEC< en una
A)
39.+. %ntroduccin.
39.+.+. Acerca del protocolo DEC<.
DEC< (acrnmo de Dynamc Host Confguraton <rotoco que se traduce Protocoo de
confguracn dnmca de servdores) es un protocoo que permte a dspostvos ndvduaes en
una red de dreccones IP obtener su propa nformacn de confguracn de red (dreccn IP;
mscara de sub-red, puerta de enace, etc.) a partr de un servdor DHCP. Su propsto prncpa es
hacer ms fces de admnstrar as redes grandes. DEC< exste desde 1993 como protocoo
estndar y se descrbe a detae en e RFC 2131.
Sn a ayuda de un servdor DEC<, tendran que confgurarse de forma manua cada dreccn IP
de cada anftrn que pertenezca a una Red de Area Loca. S un anftrn se trasada haca otra
ubcacn donde exste otra Red de Area Loca, se tendr que confgurar otra dreccn IP dferente
para poder unrse a esta nueva Red de Area Loca. Un servdor DEC< entonces supervsa y
dstrbuye as dreccones IP de una Red de Area Loca asgnando una dreccn IP a cada anftrn
que se una a a Red de Area Loca. Cuando, por menconar un e|empo, una computadora portt
se confgura para utzar DEC<, a sta e ser asgnada una dreccn IP y otros parmetros de red
necesaros para unrse a cada Red de Area Loca donde se ocace.
Exsten tres mtodos de asgnacn en e protocoo DEC<:
Asignacin manual: La asgnacn utza una taba con dreccones :AC (acrnmo de :eda
Access Contro Address, que se traduce como dreccn de Contro de Acceso a Medo). So os
anftrones con una dreccn :AC defnda en dcha taba recbr e IP asgnada en a msma taba.
sto se hace a travs de parmetro $ardPare et$ernet combnado con deny unKnoPn(clients.
Asignacin autom;tica: Una dreccn de IP dsponbe dentro de un rango determnado se asgna
permanentemente a anftrn que a requera.
Asignacin din;mica: Se determna arbtraramente un rango de dreccones IP y cada anftrn
conectado a a red est confgurada para soctar su dreccn IP a servdor cuando se nca e
dspostvo de red, utili8ando un intervalo de tiempo controla!le (parmetros de&ault(lease(
time y ma2(lease(time) de modo que as dreccones IP no son permanentes y se reutzan de
forma dnmca.
URL: http://www.etf.org/rfc/rfc2131.txt y http://www.etf.org/rfc/rfc2132.txt
289
39.+.*. Acerca de d$cp por %nternet >o&tPare ConsortiumL %nc.
Fundado en 1994, Internet Software Consortum, Inc., dstrbuye un con|unto de herramentas para
e protocoo DEC<, as cuaes conssten en:
>ervidor DEC<
Cliente DEC<
Agente de retransmisin.
Dchas herramentas utzan un A<% (Appcaton <rogrammng %nterface o Interfaz de
Programacn de Apcacones) moduar dseado para ser o sufcentemente genera para ser
utzado con facdad en os sstemas operatvos que cumpen e estndar <0>%D (<ortabe
0peratng >ystem %nterface for UNID o nterfaz portabe de sstema operatvo para Unx) y no-
POSIX, como Wndows.
URL: http://sc.org/products/DHCP/
S utza Cent0> 5, 'ed Eata "nterprise inu2 5 o versones posterores de stos, soo se
necesta reazar o sguente para nstaar o actuazar o necesaro:
yum y install dhcp
39.3. :odi&icaciones necesarias en el muro corta&uegos.
Por o genera, |ams se abren puertos de DHCP a as redes pbcas. S se utza un cortafuegos
con potcas estrctas, como por e|empo >$orePall, es necesaro abrr os puerto 67 y 68 por UDP
(B00@<> y B00@<C, respectvamente) de modo bdreccona.
S se utza Shorewa, basta con edtar e archvo =etc=s$orePall=inter&aces:
vim /etc/shorewall/inter!aces
Y aadr a opcn d$cp a as opcones de a nterfaz sobre a cua funcona e servco d$cpd. Esta
opcn, tras rencar e servco s$orePall, habta as comuncacones de entrada y sada para
DHCP.
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAA
AG.+% '+/%R<3(% 9R.3$(3S/ .;/'.+S
net eth# detect blacklist
loc eth1 detect 536.Bblacklist
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
Rence e servco s$orePall a fn de que surtan efecto os cambos.
service shorewall restart
290
39.4.+. >"inu2 y el servicio d$cpd.
Se recomenda encarecdamente de|ar actvo SELnux, y de|ar como estn as potcas
predetermnadas.
S se desea eliminar la proteccin que brnda SELnux a servco d$cpd, utce e sguente
mandato.
setsebool ; dhcpd-disable-trans 1
S se desea eliminar la proteccin que brnda SELnux a sstema para funconar como cliente
DEC<, utce e sguente mandato.
setsebool ; dhcpc-disable-trans 1
39.4.*. Arc$ivo de con&iguracin =etc=d$cpd.con& o =etc=d$cp=d$cpd.con&.
Consderando como e.emplo que se tene una red oca con as sguentes caracterstcas:
Nmero de red 172.16.1.0
Mscara de sub-red: 255.255.255.192 (26 bt)
Puerta de enace: 172.16.1.1
Servdor de nombres: 172.16.1.1
Servdor Wns: 172.16.1.1
Servdores de tempo ()@<): recomendamos utzar os de NTP.org, 200.23.51.205, 132.248.81.29
y 148.234.7.30, os cuaes son confabes y de acceso gratuto.
Rango de dreccones IP a asgnar de modo dnmco: 172.16.1.2 hasta 172.16.1.58.
)0@A- Es ndspensabe conocer y entender per&ectamente todo o anteror para poder contnuar con este documento. S se tenen dudas,
por favor consutar y estudar prmero e documento ttuado %ntroduccin a %< versin 4.
Puede utzar e contendo de e|empo, que se encuentra ms adeante, para adaptar o crear
desde cero un nuevo archvo de confguracn, a|ustando os datos a una red y con|unto de
sstemas en partcuar.
S se utza Cent0> 6 o 'ed Eat "nterprise inu2 6, edte e archvo =etc=d$cp=d$cpd.con&.
vim /etc/dhcp/dhcpd@con!
S se utza Cent0> 5 o 'ed Eat "nterprise inu2 5, edte e archvo =etc=d$cpd.con&.
vim /etc/dhcpd@con!
Para efectos prctcos, modfque todo o que est resaltado.
291
serveridenti!ier ser"#5or.re5-)o64).ne2Y
authoritativeY
maxleasetime 65##Y
option domainname *re5-)o64).ne2*Y
sharednetwork re5)o64) Z
subnet -I,.-'.-.$ netmask ,55.,55.,55.-%, Z
option routers -I,.-'.-.-Y
option subnetmask ,55.,55.,55.-%,Y
option broadcastaddress -I,.-'.-.'3Y
option domainnameservers -I,.-'.-.-Y
option netbiosnameservers -I,.-'.-.-Y
range -I,.-'.-., -I,.-'.-.58Y
[
[
Lo anteror corresponde a a confguracn bsca recomendada para un servdor DHCP bsco.
39.4.*.+. Asignacin de direcciones %< est;ticas.
S se tenen equpos con dreccones IP esttcas, pueden aadrse tambn en a confguracn de
a sguente forma, defnendo e nombre de anftrn, dreccn MAC y dreccn IP:
host impresora Z
option hostname *e.)5%$$.re5-)o64).ne2*Y
hardware ethernet $$?,J?,B?'5?5J?8JY
!ixedaddress -I,.-'.-.5%Y
[
De modo ta que a confguracn queda de sguente modo:
292
authoritativeY
maxleasetime 65##Y
range -I,.-'.-., -I,.-'.-.58Y
[
A %Juipos con '; !iMa@
3os2 #/.resor4 Z
o.2#on 3os2-n4/e "e.)5%$$.re5-)o64).ne2"[
34r5*4re e23erne2 $$?,J?,B?'5?5J?8J[
<#;e5-455ress -I,.-'.-.5%[
\
3os2 .6-J Z
o.2#on 3os2-n4/e ".6-J.re5-)o64).ne2"[
34r5*4re e23erne2 $$?5$?BF?,I?-C?-C[
<#;e5-455ress -I,.-'.-.'$[
\
[
39.4.3. Arc$ivo de con&iguracin =etc=syscon&ig=d$cpd.
Una buena medda de segurdad es hacer que e servco d$cpd soo funcone a travs de a
nterfaz de red utzada por a LAN, esto en e caso de tener mtpes dspostvos de red. Edte e
archvo =etc=syscon&ig=d$cpd y agregue como argumento de parmetro DEC<DA'?> e vaor
et$O, et$+, et$*, etc., o o que corresponda a a nterfaz desde a cua accede a red oca.
Edte e archvo =etc=syscon&ig=d$cpd:
vim /etc/syscon!ig/dhcpd
Para e sguente e|empo, consderando que et$+ es a nterfaz correspondente a a LAN:
A (ommand line options here
$1(;$3RIS)eth1
39.4.4. %niciarL detener y reiniciar el servicio d$cpd.
Para ncar por prmera vez e servco d$cpd, utce:
service dhcpd start
Para hacer que os cambos hechos a a confguracn de servco d$cpd surtan efecto, utce:
293
Para detener e servco d$cpd, utce:
service dhcpd stop
39.4.5. imitar el acceso por direccin :AC.
Es posbe mtar e acceso a servdor DHCP, defnendo una sta de dreccones MAC. De ta
modo, a os anftrones que estn ausentes en dcha sta es ser denegado e servco.
authoritativeY
maxleasetime 65##Y
range -I,.-'.-., -I,.-'.-.58Y
[
A 0ista de direcciones ,3( Jue tendrcn permitido utiliCar el servidor
A $1(;@
A deny unknownclients impide Jue eJuipos !uera de esta lista puedan
A utiliCar el servicio@
deny unknownclientsY
host impresora Z
[
host pc1 Z
hardware ethernet $$?5$?BF?,I?-C?-CY
[
host pc5 Z
hardware ethernet FJ?CI?-J?I$?FA?ACY
[
host laptop1 Z
hardware ethernet JJ?8I?FC?AA?DD?,DY
[
host laptop5 Z
hardware ethernet I$?F-?A-?%F?I$?3BY
[
[
E e|empo anteror hace que soo as dreccones MAC descrtas puedan hacer uso de servdor
DHCP.
294
39.4.6. Agregar el servicio d$cpd al arran#ue del sistema.
Para hacer que e servco de d$cpd est actvo con e sguente nco de sstema, en todos os
chkcon!ig dhcpd on
39.4.7. Con&iguracin para &uncionar con D)> din;mico.
Asumendo que ya se dspone de un servdor DNS prevamente confgurado y funconando, para
confgurar e servdor DHCP a fn de que actuace automtcamente os regstros correspondentes
en as zonas de servdor DNS, soo basta aadr os parmetros ddns(updates, ddns(
domainname, ddns(rev(domainname, a msma frma dgta de a confguracn de DNS, y
defnr as zonas de ocahost, zona de re-envo y zona de resoucn nversa de DNS con os
vaores e|empfcados a contnuacn, soo sendo necesaro reempazar los valores resaltados.
295
55ns-.542es on[
55ns-5o/4#nn4/e "re5-)o64).ne2."[
55ns-re"-5o/4#nn4/e "#n-455r.4r.4."[
authoritativeY
maxleasetime 65##Y
A (opiar tan cual contenido del archivo
A +e26+rn56.:ey
A isto se utiliCarc para poder comunicar el servidor $1(; con el servidor $+SB
A y poder gestionar Conas dincmicas desde el servidor $1(; con la misma !irma
A digital@
A aamcs utiliCar la clave eMempli!icada a continuaciQn para producciQn@
A %s la `nica con!iguraciQn cuya llave de cierre pueden llevar punto y coma@
:ey "rn56-:ey" Z
4)7or#23/ 3/46-/55[
se6re2 "n5G.KMC3#X/U3,y"XOnU]=="[
\[
Bone )o64)5o/4#n. Z
.r#/4ry -,I.$.$.-[
:ey rn56-:ey[
\
Bone -.-'.-I,.#n-455r.4r.4. Z
.r#/4ry -I,.-'.-.-[
:ey rn56-:ey[
\
Bone re5-)o64).ne2. Z
.r#/4ry -I,.-'.-.-[
:ey rn56-:ey[
\
range -I,.-'.-., -I,.-'.-.58Y
[
A %Juipos con '; !iMa@
host impresora Z
option hostname *e.)5%$$.re5-)o64).ne2*Y
!ixedaddress -I,.-'.-.5%Y
[
host pc1> Z
option hostname *.6-J.re5-)o64).ne2*Y
hardware ethernet $$?5$?BF?,I?-C?-CY
!ixedaddress -I,.-'.-.'$Y
[
[
296
Para que o anteror funcone con e servdor DNS, consderando que ya estn nstaados os
paquetes !ind y !ind(c$root, se requere generar os archvos red(local.net.8one y
+.+6.+7*.in(addr.arpa.8one dentro de drectoro =var=named=c$root=dynamic= de sguente
modo::
touch /var/named/chroot/var/named/dynamic/re5-)o64).ne2.Bone
touch /var/named/chroot/var/named/dynamic/-.-'.-I,.#n-455r.4r.4.Bone
Ambos archvos deben pertenecer a usuaro named y grupo named.
chown named"named /var/named/chroot/var/named/dynamic/re5-)o64).ne2.Bone
chown named"named /var/named/chroot/var/named/dynamic/-.-'.-I,.#n-455r.4r.4.Bone
E archvo /var/named/chroot/var/named/dynamc/red(local.net.8one deber tener e sguente
contendo, donde soo ser necesaro aadr os regstros de os equpos con IP f|a:
F//0 46>##
S '+ S.3 ser"#5or.re5-)o64).ne2. root@localhost@ (
5#11#45?#1Y
544##Y
65##Y
6#>4##Y
46>##Y
)
S '+ +S ser"#5or.re5-)o64).ne2.
ser"#5or '+ 3 -I,.-'.-.-
e.)5%$$ '+ 3 -I,.-'.-.5%
.6-J '+ 3 -I,.-'.-.'$
E archvo /var/named/chroot/var/named/dynamc/+.+6.+7*.in(addr.arpa.8one deber tener e
sguente contendo, donde soo ser necesaro aadr os regstros de os equpos con IP f|a:
F//0 46>##
S '+ S.3 ser"#5or.re5-)o64).ne2. root@localhost@ (
5#11#45?#1Y
544##Y
65##Y
6#>4##Y
46>##Y
)
S '+ +S ser"#5or.re5-)o64).ne2.
- '+ ;/R ser"#5or.re5-)o64)-ne2.
-3 '+ ;/R #/.resor4.re5-)o64)-ne2.
-J '+ ;/R .6-J.re5-)o64).ne2.
En e archvo =var=named=c$root=etc=named.con& deber estar presente o sguente:
297
key *rndckey* Z
algorithm hmacmd8Y
secret *n5G.KMC3#X/U3,y"XOnU]==*Y
[Y
controls Z
inet 156@#@#@1 allow Z 156@#@#@1Y -I,.-'.-.-Y [ keys Z *rndckey*Y [Y
[Y
view *local* Z
matchclients Z 156@#@#@#/4Y 165@16@1@#/56Y [Y
recursion yesY
Cone *re5-)o64).ne2* Z
type masterY
!ile *dynamic/re5-)o64).ne2.Bone*Y
allowupdate Z key *rndckey*Y [Y
[Y
Cone *-.-'.-I,.#n-455r.4r.4* Z
type masterY
!ile *dynamic/-.-'.-I,.#n-455r.4r.4.Bone*Y
[Y
[Y
Actve a potca de SELnux que permtr a servdor DNS poder reazar modfcacones a os
archvos de zona.
setsebool ; named-write-master-Cones 1
Rence e servco named a fn de que surtan efecto os cambos.
service named restart
Rence tambn e servco d$cpd a fn de que surtan efecto os cambos y para que comencen a
nteractuar e servdor DHCP con e servdor DNS.
A partr de este momento, todo cente que tenga defndo en su confguracn oca un nombre de
anftrn, y a cua e sea asgnada una dreccn IP a travs de servdor DHCP recn confgurado,
comuncar su nombre de anftrn a servdor DHCP, e cua a su vez comuncar a servdor DNS
este msmo nombre asocada a a dreccn IP asgnada a cente, de modo que e DNS aadr
automtcamente e regstro correspondente a as zonas de re-envo y de resoucn nversa
correspondentes.
39.5. Compro!aciones desde cliente DEC<.
Hecho o anteror soo fata con confgurar como nterfaces DHCP as estacones de traba|o que
sean necesaras sn mportar que sstema operatvo utcen.
Despus de confgurado e ncado e servco, desde una termna como usuaro root en otro
sistema, cuyo anftrn ser utzado como cente, consderando que se tene una nterfaz de red
denomnada et$O, utce os sguentes mandatos para desactvar a nterfaz et$O y asgnar una
nueva dreccn %< a travs de servdor d$cp.
298
i!down eth#
dhclient d ' nombreeJuipo 1 nombreeJuipo eth#
Lo anteror deber devover e mensa|e Determnando a nformacn IP para eth0... y e smboo
de sstema. Para corroborar, utce e mandato i&con&ig para vsuazar os dspostvos de red
actvos en e sstema. Puse C@'(C para termnar e programa.
La confguracn permanente de dspostvo de red, consderando como e.emplo a nterfaz eth0
con dreccn :AC 00:01:03:DC:67:23, soctando os datos para os servdores D)>,
correspondente a archvo =etc=syscon&ig=netPorK(scripts=i&c&g(et$O, sera con e sguente
contendo:
$%&'(%)eth#
.+9../)yes
=S%R(/0)yes
9../;R./.)dhcp
;%%R$+S)yes
;%%RR.=/%S)yes
123$$R)##"#1"#?"$("66"5?
/:;%)%thernet
$.,3'+)redlocal@net
299
3S. Cmo con&igurar vs&tpd MFery >ecure F@<
DaemonN
3S.+. %ntroduccin.
3S.+.+. Acerca del protocolo F@<.
F@< (Fe @ransfer <rotoco) o Protocoo de Transferenca de Archvos (o archvos nformtcos) es
uno de os protocoos estndar ms utzados en Internet sendo e ms dneo para a
transferenca de grandes boques de datos a travs de redes que soporten TCP/IP. E servco utza
os puertos 20, y 21, excusvamente sobre TCP. E puerto 20 es utzado para e fu|o de datos
entre cente, y servdor. E puerto 21 es utzando para e envo de rdenes de cente haca e
servdor. Prctcamente todos os sstemas operatvos, y pataformas ncuyen soporte para FTP, o
que permte que cuaquer computadora conectada a una red basada sobre TCP/IP pueda hacer
uso de este servco a travs de un cente FTP.
URL: http://toos.etf.org/htm/rfc959
3S.+.*. Acerca del protocolo F@<>.
F@<> (tambn referdo como F@<=>>) es a forma de desgnar dferentes formas a travs de as
cuaes se pueden reazar transferencas seguras de archvos a travs de F@< utzando >> o
@>. Son mecansmos muy dferentes a os de protocoo SFTP (>SH Fe @ransfer <rotoco).
Exsten dos dferentes mtodos para reazar una conexn >>=@> a travs de F@<. La prmera y
ms antgua es a travs de F@<> %mplcito (Dmplicit .TE"), que consste en cfrar a sesn
competa a travs de os puertos 990 (FTPS), y 998 (FTPS Data), sn permtr negocacn con e
cente, e cua deber conectarse drectamente a servdor FTPS con e nco de sesn >>=@>. E
segundo mtodo, que es e recomendado por e RFC 4217, y e utzado por Fs&tpd, es F@<>
"2plcito (-5plicit .TE" o F@<">), donde e cente reaza a conexn norma a travs de puerto
21, y permtendo negocar, de manera opcona, una conexn @>.
3S.+.3. Acerca de '>A.
'>A, acrnmo de os apedos de sus autores, Ron 'vest, Ad >hamr, y Len Ademan, es un
agortmo para e cframento de caves pbcas que fue pubcado en 1977, patentado en EE.UU.
en 1983 por e e Insttuto Tecnogco de Mchgan (:%@). '>A es utzado en todo e mundo para
os protocoos destnados para e comerco eectrnco.
URL: http://es.wkpeda.org/wk/RSA
300
3S.+.4. Acerca de 0pen>>.
0pen>> es una mpementacn bre, de cdgo aberto, de os protocoos >> (>ecure >ockets
ayer o Nve de Zcao Seguro), y @> (@ransport ayer >ecurty, o Segurdad para Nve de
Transporte). Est basado sobre e extnto proyecto >>eay, ncado por Erc Young, y Tm Hudson,
hasta que stos comenzaron a traba|ar para a dvsn de segurdad de EMC Corporaton.
URL: http://www.openss.org/
3S.+.5. Acerca de D.5OS.
D.5OS es un estndar %@,(@ (estandarzacn de @eecomuncacones de a %nternatona
@eecommuncaton ,non ) para nfraestructura de caves pbcas (<I%, o <ubc Iey
%nfrastructure). Entre otras cosas, estabece os estndares para certfcados de caves pbcas, y
un agortmo, para vadacn de ruta de certfcacn. Este tmo se encarga de verfcar que a
ruta de un certfcado sea vda ba|o una nfraestructura de cave pbca determnada. Es decr,
desde e certfcado nca, pasando por certfcados ntermedos, hasta e certfcado de confanza
emtdo por una Autordad Certfcadora (CA, o Certfcaton Authorty).
URL: http://es.wkpeda.org/wk/X.509
3S.+.6. Acerca de vs&tpd.
Fs&tpd (Fery >ecure F@< Daemon) es un equpamento gco utzado para mpementar
servdores de archvos a travs de protocoo F@<. Se dstngue prncpamente porque sus vaores
predetermnados son muy seguros, y por su sencez en a confguracn, comparado con otras
aternatvas como ProFTPD, y Wu-ftpd. Actuamente se presume que vsftpd podra ser quz e
servdor F@< ms seguro de mundo.
URL: http://vsftpd.beasts.org/
3S.*. "#uipamiento lgico necesario.
3S.*.+. %nstalacin a travs de yum.
S utza Cent0> 5 o 6, o ben 'ed Eat "nterprise inu2 5 o 6, soo se necesta reazar o
sguente para nstaar o actuazar e equpamento gco necesaro:
yum y install vs!tpd
3S.3. Arc$ivos de con&iguracin.
/etc/vs!tpd@user-list Lsta que defnr usuaros a en|auar o no a en|auar, dependendo de
a confguracn.
/etc/vs!tpd/vs!tpd@con! Archvo de confguracn de VSFTPD.
301
3S.4. <rocedimientos.
3S.4.+. >"inu2L y el servicio vs&tpd.
SELnux controa varas funcones de e servco vs&tpd ncrementando e nve de segurdad de
ste.
Para permtr que os usuaros annmos puedan reazar procesos de escrtura sobre e sstema de
archvos, utce e sguente mandato:
setsebool ; allow-!tpd-anon-write 1
Para hacer que SELnux permta a servco vs&tpd acceder a os usuaros ocaes a sus drectoros
de nco, utce e sguente mandato:
setsebool ; allow-!tpd-!ull-access 1
S se necesta permtr acceder con as cuentas de usuaros ocaes a sus drectoro de nco de
stos, se debe habtar a potca &tpQ$omeQdir:
setsebool ; !tp-home-dir 1
Para permtr que e servco vs&tpd pueda hacer uso de sstemas de archvos remotos a travs de
CIFS (Samba) o NFS, y que sern utzados para compartr a travs de servco, utce cuaquera
de os sguentes mandatos:
setsebool ; allow-!tpd-use-ci!s 1
setsebool ; allow-!tpd-use-n!s 1
Para emnar por competo a proteccn que brnda SELnux a servco vs&tpd, y que ste
funcone normamente sn esta vaosa proteccn, hacendo que todo o anterormente descrto en
esta seccn perda sentdo, utce e sguente mandato:
setsebool ; !tpd-disable-trans 1
3S.4.*. Arc$ivo =etc=vs&tpd=vs&tpd.con&.
Utce un edtor de texto, y modfque e archvo =etc=vs&tpd=vs&tpd.con&. A contnuacn
anazaremos os parmetros a modfcar o aadr, segn se requera para necesdades
partcuares.
3S.4.3. <ar;metro anonymousQena!le.
Se utza para defnr s se permtrn os accesos annmos a servdor. Estabezca como vaor b">
o )0 de acuerdo a o que se requera.
anonymous-enable):%S
302
3S.4.4. <ar;metro localQena!le.
Es partcuarmente nteresante s se combna con a funcn de |aua (c$root). Estabece s se van
a permtr os accesos autentcados de os usuaros ocaes de sstema. Estabezca como vaor b">
o )0 de acuerdo a o que se requera.
local-enable):%S
3S.4.5. <ar;metro PriteQena!le.
Estabece s se permte e mandato Prite (escrtura) en e servdor. Estabezca como vaor b"> o
)0 de acuerdo a o que se requera.
write-enable):%S
3S.4.6. <ar;metro anonQuploadQena!le
Especfca s os usuaros annmos tendrn permtdo subr contendo a servdor. Por o genera no
es una funcn deseada, por o que se acostubra desactvar sta.
anon-upload-enable)+.
3S.4.7. <ar;metro anonQmKdirQPriteQena!le
Especfca s os usuaros annmos tendrn permtdo crear drectoros en e servdor. A gua que
a anteror, por o genera no es una funcn deseada, por o que se acostumbra desactvar sta.
anon-mkdir-write-enable)+.
3S.4.9. <ar;metro &tpdQ!anner.
Este parmetro srve para estabecer e bandern de benvenda que ser mostrado cada vez que
un usuaro acceda a servdor. Puede estabecerse cuaquer frase breve que consdere
convenente.
!tpd-banner)9ienvenido al servidor </; de nuestra empresa@
3S.4.S. "sta!leciendo .aulas para los usuarios- par;metros
c$rootQlocalQuserL y c$rootQlistQ&ile.
De modo predetermnado os usuaros de sstema que se autentquen tendrn acceso a otros
drectoros de sstema fuera de su drectoro persona. S se desea recur a os usuaros a soo
poder utzar su propo drectoro persona, puede hacerse fcmente con e parmetro
c$rootQlocalQuser que habtar a funcn de c$rootMN, y os parmetros c$rootQlistQena!le, y
c$rootQlistQ&ile, para estabecer e archvo con a sta de usuaros que quedarn excudos de a
funcn c$rootMN.
chroot-local-user):%S
chroot-list-enable):%S
chroot-list-!ile)/etc/vs!tpd/chroot-list
303
Con o anteror, cada vez que un usuaro oca se autentque en e servdor FTP, soo tendr acceso
a su propo drectoro persona, y o que este contenga. )o olvide crear el arc$ivo
=etc=vs&tpd=c$rootQlistL ya #ue de otro modo ser; imposi!le iniciar el servicio vs&tpd.
touch /etc/vs!tpd/chroot-list
3S.4.+O. Control del anc$o de !anda.
3S.4.+O.+. <ar;metro anonQma2Qrate.
Se utza para mtar a tasa de transferenca en bytes por segundo para os usuaros annmos,
ago sumamente t en servdores FTP de acceso pbco. En e sguente e|empo se mta a tasa
de transferenca a 50 Kb por segundo para os usuaros annmos:
anon-max-rate)815##
3S.4.+O.*. <ar;metro localQma2Qrate.
Hace o msmo que anonQma2Qrate, pero apca para usuaros ocaes de servdor. En e sguente
e|empo se mta a tasa de transferenca a 100 Kb por segundo para os usuaros ocaes:
local-max-rate)1#5>##
3S.4.+O.3. <ar;metro ma2Qclients.
Estabece e nmero mxmo de centes que podrn acceder smutneamente haca e servdor
FTP. En e sguente e|empo se mtar e acceso a 10 centes smutneos.
max-clients)1#
3S.4.+O.4. <ar;metro ma2QperQip.
Estabece e nmero mxmo de conexones que se pueden reazar desde una msma dreccn IP.
Tome en cuenta que agunas redes acceden a travs de un servdor ntermedaro (Proxy) o puerta
de enace, y debdo a sto podran quedar boqueados nnecesaramente agunos accesos. En e
sguente e|empo se mta e nmero de conexones por IP smutneas a un mxmo de 10.
max-per-ip)1#
3S.4.++. >oporte >>=@> para FF>@<D.
F>F@<D puede ser confgurado fcmente para utzar os protocoos >> (>ecure >ockets ayer
o Nve de Zcao Seguro), y @> (@ransport ayer >ecurty, o Segurdad para Nve de Transporte)
a travs de un certfcado '>A.
Acceda a sstema como e usuaro root.
Acceda a drectoro =etc=pKi=tls=.
cd /etc/pki/tls/
304
E certfcado se puede generar fcmente utzando e sguente mandato, donde se generar un
certfcado con estructura D.5OS, agortmo de cframento '>A de 1024 kb, sn @riple D">, e
cua permta ncar normamente, sn nteraccn aguna, a servco vs&tpd, con una vadez por
73O das (dos aos) en e archvo =etc=pKi=tls=certs=vs&tpd.crt.
openssl reJ x8#7 nodes days 6?# newkey rsa"1#5> keyout private/vs!tpd@key out
certs/vs!tpd@crt
Lo anteror soctar se ngresen varos datos:
Cdgo de dos etras para e pas.
Estado o provnca.
Cudad.
Nombre de a empresa o razn soca.
Undad o seccn.
Nombre de anftrn.
Dreccn de correo.
La sada devueta sera smar a a sguente:
:ou are about to be asked to enter in!ormation that will be
incorporated into your certi!icate reJuest@
2hat you are about to enter is what is called a $istinguished +ame or
a $+@
/here are Juite a !ew !ields but you can leave some blank
<or some !ields there will be a de!ault valueB
'! you enter X@XB the !ield will be le!t blank@
(ountry +ame (5 letter code) DI9E"MX

State or ;rovince +ame (!ull name) D9erkshireE"D#s2r#2o Fe5er4)
0ocality +ame (egB city) D+ewburyE"Me;#6o
.rganiCation +ame (egB company) D,y (ompany 0tdE"E/.res4A S.A. 5e C.H.
.rganiCational =nit +ame (egB section) DE"$ireccion (omercial
(ommon +ame (egB your name or your serverXs hostname) DE"<2..5o/#n#o.or7
%mail 3ddress DE"*e!/4s2erO5o/#n#o.or7
Los archvos de certfcado (vs&tpd.crt), y frma dgta (vs&tpd.Key), deben tener permsos de
soo ectura para e usuaro root.
chmod >## certs/vs!tpd@crt private/vs!tpd@key
Regrese a drectoro de nco de usuaro root.
cd
Fnamente se aaden as sguente neas a fna de archvo =etc=vs&tpd=vs&tpd.con&:
305
A %speci!icar cualJuier rango arbitrarioB y estrechoB de puertos para
A conexiones pasivas@
pasv-min-port)?#?##
pasv-max-port)?#?#7
A 1abilita el soporte de /0S/SS0
ssl-enable):%S
A $eshabilita o habilita utiliCar /0S/SS0 con usuarios anQnimos
allow-anon-ssl)+.
A .bliga a utiliCar /0S/SS0 para todas las operacionesB es decirB
A trans!erencia de datosB y autenticaciQnde usuarios locales
!orce-local-data-ssl):%S
!orce-local-logins-ssl):%S
A Se pre!iere /0Sv1 sobre SS0v5B y SS0v?
ssl-tlsv1):%S
ssl-sslv5)+.
ssl-sslv?)+.
A Rutas del certi!icadoB y !irma digital
rsa-cert-!ile)+e26+.:#+2)s+6er2s+"s<2.5.6r2
rsa-private-key-!ile)+e26+.:#+2)s+.r#"42e+"s<2.5.:ey
3S.4.++.+. Clientes recomendados para acceder a F@<">.
Los centes recomendados para acceder a travs de F@<">, son F@< (compado con a opcn
22)it2openssl, y e|ecutando con a opcn 2e Fset ftp*ssl2force trueF), File8illa 3.3.2 (confgurar
conexn como .TE-" 2 .TE sobre T&"+""& e5plcito), y Win>C<. A momento de redactar este
documento, as versones mas recentes de centes como FreFTP o gFTP, tenen roto e soporte
para FTP sobre TLS/SSL (F@<>, y F@<">), por o que por e momento es preferbe evtaros.
S utza File8illa, de cua hay versones para ?),=inu2, :ac 0> D, y WindoPs D<=Fista=7, a
sguente magen ustra a confguracn que se requere utzar.
Confguracn de cuenta FTPES en Feza.
306
Luego de ncada a conexn, a prmera vez que File8illa se conecte a servdor, mostrar una
ventana con a nformacn de certfcado, y soctar se acepte ste. Actve a casa que dce
0"iempre confiar en el certificado en futuras sesiones1 antes de hacer cc en e botn de
0Aceptar.1
Daogo de certfcado de FTPES en Feza.
3S.4.+*. %niciarL detenerL y reiniciar el servicio vs&tpd.
A dferenca de otros servcos FTP como Wu(&tpd, e servco vs&tpd no requere confgurarse para
traba|ar sobre demanda, aunque tene dcha capacdad. Por o tanto no depende de servco
2inetd. La versn ncuda en dstrbucones como CentOS 5, y Red Hat Enterprse Lnux 5, o
cuaquer dervado de stos, puede ncar, detenerse o rencar a travs de un gun smar a os
de resto de sstema.
Para ncar por prmera vez e servco, utce:
service vs!tpd start
Para hacer que os cambos hechos a a confguracn surtan efecto, utce:
service vs!tpd restart
Para detener e servco, utce:
service vs!tpd stop
307
3S.4.+3. Agregar el servicio al arran#ue del sistema.
Para hacer que e servco de vs&tpd est actvo con e sguente nco de sstema, en todos os
chkcon!ig vs!tpd on
3S.5. :odi&icaciones necesarias en el muro corta&uegos.
S se utza un cortafuegos con potcas estrctas, como por e|empo >$orePall, es necesaro abrr
os puerto 20, y 21, por TCP (F@<(DA@A, y F@<, respectvamente).
Las regas para e archvo =etc=s$orePall=rules de >$orePall correspondera a ago smar a o
sguente, consderando que se abre e acceso para FTP desde cuaquer zona de muro
cortafuegos:
A3(/'.+ S.=R(% $%S/ ;R./. $%S/ S.=R(%
A ;.R/ ;.R/(S)1
3((%;/ all !w tcp 5#B51
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
Adconamente, s se va a utzar F@<">, e muro cortafuegos debe estar a!ierto para todos los
puertos especfcados en e rango entre e vaor de parmetro pasvQminQport, y e vaor de
parmetro pasvQma2Qport, estabecdos en e archvo =etc=vs&tpd=vs&tpd.con&, debdo a que a
mpementacn de TLS/SSL Expcto de F>F@<D utza puertos aeatoros en dcho rango para
reazar conexones pasvas. S, por e|empo, eg utzar e rango de puertos de 3O3OO a
3O3OS, estabezca o sguente.
A3(/'.+ S.=R(% $%S/ ;R./. $%S/ S.=R(%
A ;.R/ ;.R/(S)1
3((%;/ all !w tcp 5#B51B3$3$$?3$3$%
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
3S.6. ".ercicio F>F@<D
Acceder como root a servdor correspondente a equpo de traba|o y detener e servco vs&tpd.
service vs!tpd stop
Se eliminar; e paquete vs&tpd de sstema y se emnar todo resto de a confguracn anteror
para poder nstaaro nuevamente y poder comenzar con una nueva confguracn.
yum y remove vs!tpd
rm !r /etc/vs!tpd
Se procede a nstaar de nuevo e paquete vs&tpd.
yum y install vs!tpd
308
Se edta e archvo de confguracn utzando vim. Este archvo tene contendo, por o que s
aparece en banco o como archvo nuevo, se debe sar de edtor y verfcar que est correcta a
ruta defnda en e ntrprete de mandatos.
vim /etc/vs!tpd/vs!tpd@con!
Utzando e documento ttuado Cmo confgurar vsftpd (Very Secure FTP Daemon)., confgurar
os sguentes parmetros donde adems deber expcar en un reporte por escrito en pape qu
es o que hace cada uno de estos parmetros con os vaores que sern asgnados en e e|ercco:
anonymous-enable):%S
local-enable):%S
write-enable):%S
anon-upload-enable)+.
anon-mkdir-write-enable)+.
!tpd-banner)9ienvenido al servidor </; de nuestra instituciQn@
chroot-list-!ile)/etc/vs!tpd/vs!tpd@chroot-list
anon-max-rate)586##
local-max-rate)815##
max-clients)>
max-per-ip)>
Es mportante crear e archvo defndo en e parmetro c$rootQlistQ&ile. S este fatase, e servco
de FTP no funconar correctamente. Debe crearse con e mandato touc$ de sguente modo:
touch /etc/vs!tpd/vs!tpd@chroot-list
Incar e servco recn confgurado.
service vs!tpd start
Aadr e servco vs&tpd a arranque de sstema.
chkcon!ig vs!tpd on
Crear a cuenta de usuaro prue!as&tp, asgnando =s!in=nologin como ntrprete de mandatos,
asgnando =var=PPP=prue!as&tp como drectoro de nco, asgnar apache como e grupo
predetermnado para e usuaro, y 123qwe como cave de acceso.
useradd s /sbin/nologin m d /var/www/pruebas!tp g apache pruebas!tp
passwd pruebas!tp
Se podr aprecar a actvdad de de servdor FTP recn confgurado consutando e contendo de
archvo =var=log=2&erlog. Utce e mandato tail con a opcn (& para supervsar o que ocurrr a
reazar una transferenca a travs de servdor FTP.
tail ! /var/log/x!erlog
309
Accedendo desde otro equpo haca +*7.O.O.+ con e usuaro prue!as&tp y a cave de acceso
+*3#Pe, reazar una transferenca accedendo con e mandato &tp y subendo cuaquer archvo
con e mandato mput de intrprete &tp.
<2. -,I.$.$.-
(onnected to 156@#@#@1 (156@#@#@1)@
55# (vs</;d 5@#@8)
+ame (156@#@#@1"root)" .re!4s<2.
??1 ;lease speci!y the password@
;assword"-,3C*e
5?# 0ogin success!ul@
Remote system type is =+'X@
=sing binary mode to trans!er !iles@
!tpR .*5
586 */*
!tpR .2 /4n4)es-ETML.24r.!B,
local" manuales1/,0@tar@bC5 remote" manuales1/,0@tar@bC5
556 %ntering ;assive ,ode (156B#B#B1B46B7>)
18# .k to send data@
556 <ile receive .H@
?6?>6 bytes sent in #@###174 secs (1@4eN#8 Hbytes/sec)
!tpR )s
556 %ntering ;assive ,ode (156B#B#B1B64B11>)
18# 1ere comes the directory listing@
rwrr 1 88? >4 ?6?>6 ,ay ?# 5?"56 manuales1/,0@tar@bC5
556 $irectory send .H@
!tpR !ye
551 Ioodbye@
310
4O. Cmo con&igurar 0pen>>E
4O.+. %ntroduccin.
4O.+.+. Acerca de >>E.
>>E (>ecure >$e) es un con|unto de estndares y protocoo de red que permte estabecer una
comuncacn a travs de un cana seguro entre un cente oca y un servdor remoto. Utza una
cave pbca cfrada para autentcar e servdor remoto y, opconamente, permtr a servdor
remoto autentcar a usuaro. SSH provee confdencadad e ntegrdad en a transferenca de os
datos utzando crptografa y :AC (:essage Authentcaton Codes, o Cdgos de Autentcacn
de Mensa|e). De modo predetermnado, escucha petcones a travs de puerto 22 por TCP.
4O.+.*. Acerca de >F@<.
>F@< (>SH Fe @ransfer <rotoco) es un protocoo que provee funconadad de transferenca y
manpuacn de archvos a travs de un fu|o confabe de datos. Comnmente se utza con >>E
para proveer a ste de transferenca segura de archvos.
4O.+.3. Acerca de >C<.
>C< (>ecure Copy, o Copa Segura) es una protcoo seguro para transferr archvos entre un
anftrn oca y otro remoto, a travs de >>E. Bscamente, es dntco a 'C< ('emote Copy, o
Copa Remota), con a dferenca de que os datos son cfrados durante a transferenca para evtar
a extraccn potenca de nformacn a travs de programas de captura de as tramas de red
(pacKet sni&&ers). >C< soo mpementa a transferenca de archvos, pues a autentcacn
requerda es reazada a travs de >>E.
4O.+.4. Acerca de 0pen>>E.
0pen>>E (0pen >ecure >$e) es una aternatva de cdgo aberto, con licencia B>D, haca a
mpementacn propetara y de cdgo cerrado >>E creada por Tatu Ynen. 0pen>>E es un
proyecto creado por e equpo de desarroo de OpenBSD y actuamente drgdo por Theo de
Raadt. Se consdera es ms segura que su contraparte propetara debdo a a constante audtora
que se reaza sobre e cdgo fuente por parte de una gran comundad de desarroadores, una
venta|a que brnda a tratarse de un proyecto de fuente aberta.
OpenSSH ncuye servco y centes para os protocoos >>E, >F@< y >C<.
URL: http://www.openssh.org/.
311
openssh-3.5p1-6
openssh-cents-3.5p1-6
openssh-server-3.5p1-6
Antes de contnuar verfque sempre a exstenca de posbes actuazacones de segurdad:
yum y install openssh opensshserver opensshclients
4O.3. Arc$ivos de con&iguracin.
/etc/ssh/sshd_confg Archvo centra de confguracn de servco >>E.
4O.4. <rocedimientos.
Edte =etc=ss$=ss$dQcon&ig. A contnuacn se anazarn os parmetros a modfcar.
4O.4.+. <ar;metro <ort.
Una forma de eevar consderabemente a segurdad a servco de >>E, es cambar e nmero de
puerto utzado por e servco, por otro que soo conozca e admnstrador de sstema. A este tpo
de tcncas se es conoce como >eguridad por 0scuridad. La mayora de os dencuentes
nformtcos utza guones que buscan servdores que respondan a petcones a travs de puerto
22. Cambar de puerto e servco de SSH dsmnuye consderabemente a posbdad de una
ntrusn a travs de este servco.
;ort 55
>>E traba|a a travs de puerto 22 por TCP. Puede eegrse cuaquer otro puerto entre e 1025 y
65535. e|empo:
;ort 85?>1
4O.4.*. <ar;metro istenAddress.
Por defecto, e servco de SSH responder petcones a travs de todas as nterfaces de sstema.
En agunos casos es posbe que no se desee esto y se prefera mtar e acceso so a travs de
una nterfaz a a que so se pueda acceder desde a red oca. Para ta fn puede estabecerse o
sguente, consderando que e servdor a confgurar posee a IP +S*.+69.+.*54:
0isten3ddress 175@164@1@58>
4O.4.3. <ar;metro <ermit'ootogin.
Estabece s se va a permtr e acceso drecto de usuaro root a servdor SSH. S se va a permtr
e acceso haca e servdor desde redes pbcas, resutar prudente utzar este parmetro con e
vaor no.
312
;ermitRoot0ogin no
4O.4.4. <ar;metro D++ForParding.
Estabece s se permte o no a e|ecucn remota de apcacones grfcas. S se va a acceder haca
e servdor desde red oca, este parmetro puede quedarse con e vaor yes. S se va a permtr e
acceso haca e servdor desde redes pbcas, resutar prudente utzar este parmetro con e
vaor no.
X11<orwarding yes
4O.4.5. <ar;metro AlloP,sers.
Permte restrngr e acceso por usuaro y, opconamente, anftrn desde e cua pueden hacero.
E sguente e|empo restrnge e acceso haca e servdor >>E para que soo puedan hacero os
usuaros fuano y mengano, desde cuaquer anftrn.
3llow=sers !ulano mengano
Permte restrngr e acceso por usuaro y, opconamente, anftrn desde e cua pueden hacero.
E sguente e|empo restrnge e acceso haca e servdor >>E para que soo puedan hacero os
usuaros fuano y mengano, soamente desde os anftrones 10.1.1.1 y 10.2.2.1.
3llow=sers !ulanoS1#@1@1@1 menganoS1#@1@1@1 !ulanoS1#@5@5@1 menganoS1#@5@5@1
4O.5. Aplicando los cam!ios.
E servco de >>E puede ncar, detenerse o rencar a travs de un gun smar a os de resto
de sstema. De ta modo, podr ncar, detenerse o rencar a travs de mandato service y
aadrse a arranque de sstema en un nve o nvees de e|ecucn en partcuar con e mandato
c$Kcon&ig.
Para e|ecutar por prmera vez e servco, utce:
service sshd start
service sshd restart
Para detener e servco, utce:
service sshd stop
De forma predetermnada, e servco >>E est ncudo en todos os nvees de e|ecucn con
servco de red. Para desactvar e servco Sshd de os nvees de e|ecucn 2, 3, 4 y 5, e|ecute:
chkcon!ig level 5?>8 sshd o!!
313
4O.6. <ro!ando 0pen>>E.
4O.6.+. Acceso a travs de intrprete de mandatos.
Para acceder a travs de ntrprete de mandatos haca e servdor, basta con e|ecutar desde e
sstema cente e mandato ss$ defnendo e usuaro a utzar y e servdor a cua conectar:
ssh usuarioSservidor
Para acceder haca un puerto en partcuar, se utza e parmetro (p. En e sguente e|empo,
utzando a cuanta de usuaro .uan, se ntentar acceder haca e servdor con dreccn IP
+S*.+69.O.SS, e cua tene un servco de >>E que responde petcones a travs de puerto
52341.
ssh p 85?>1 MuanS175@164@#@77
4O.6.*. @rans&erencia de arc$ivos a travs de >F@<.
Para acceder a travs de >F@< haca e servdor, basta con e|ecutar desde e sstema cente e
mandato s&tp defnendo e usuaro a utzar y e servdor a cua conectar:
s!tp usuarioSservidor
E ntrprete de mandatos de >F@< es muy smar a utzado para e protocoo FTP y tene as
msmas funconadades.
Para acceder haca un puerto en partcuar, en e cua est traba|ando e servco de SSH, se hace
travs de e parmetro (o, con a opcn <ortRn1mero de puerto. En e sguente e|empo,
utzando a cuenta de usuaro .uan, se acceder a travs de >F@< haca e servdor
192.168.0.99, e cua tene traba|ando e servco de SSH en e puerto 52341.
s!tp o ;ort)85?>1 MuanS175@164@#@77
S dspone de un escrtoro en GNU/Lnux, con GNOME 2.x, puede acceder haca servdores >>E a
travs de protocoo >F@< utzando e admnstrador de archvos ()autilus) para reazar
transferencas y manpuacn de archvos, especfcando e ,'% (,nform 'esource ocator o
Locazador Unforme de Recursos) Hs&tp-J, segudo de servdor y a ruta haca a que se quere
acceder, segudo de puerto, en e caso que sea dstnto a 22.
314
Nautus, accedendo haca un drectoro remoto a travs de >F@<.
4O.6.3. @rans&erencia de arc$ivos a travs de >C<.
Para reazar transferencas de archvos a travs de >C<, es necesaro conocer as rutas de os
drectoros ob|etvo de anftrn remoto. A contnuacn se descrben agunas de as opcones ms
mportantes de mandato scp.
(p Preserva e tempo de modfcacn, tempos de acceso y os modos de
archvo orgna.
(< Especfca e puerto para reazar a conexn.
(r Copa recursvamente os drectoros especfcados.
En e sguente e|empo, se transferr e archvo algo.t2t, preservando tempos y modos, haca e
drectoro de nco de usuaro fuano en e servdor 192.169.0.99.
scp p algo@txt !ulanoS175@164@#@77"T/
En e sguente e|empo, se transferr a carpeta :ail, |unto con todo su contendo, preservando
tempos y modos, $acia e drectoro de nco de usuaro fuano en e servdor 192.169.0.99.
scp rp ,ail !ulanoS175@164@#@77"T/
315
En e sguente e|empo, se transferr a carpeta :ail, |unto con todo su contendo, desde e
drectoro de nco de usuaro fuano en e servdor 192.169.0.99, cuyo servco de >>E escucha
petcones a travs de puerto 52341, preservando tempos y modos, haca e drectoro de usuaro
con e que se est traba|ando en e anftrn oca.
scp ; 85?>1 rp !ulanoS175@164@#@77"T/,ail @/
4O.7. :odi&icaciones necesarias en el muro corta&uegos.
e puerto 22 por UDP (>>E).
sguente:
A3(/'.+ S.=R(% $%S/ ;R./. $%S/ S.=R(%
A ;.R/ ;.R/(S)1
3((%;/ net !w tcp 55
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
S a red de rea oca (LAN) va a acceder haca e servdor recn confgurado, es necearo abrr e
puerto correspondente.
A3(/'.+ S.=R(% $%S/ ;R./. $%S/ S.=R(%
A ;.R/ ;.R/(S)1
3((%;/ net !w tcp 55
ACCE8T )o6 <* 26. ,,
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
316
4+. Cmo utili8ar 0pen>>E con autenticacin a
travs de &irma digital.
4+.+. %ntroduccin.
Utzar caves pbcas en ugar de caves de acceso a travs de servcos como >>E, >C< o >F@<,
resuta una tcnca ms segura para autentcar dchos servcos, factando tambn a operacn
de guones y herramentas de respado que utzan dchos protocoos.
4+.*. <rocedimientos
4+.*.+. :odi&icaciones en el >ervidor remoto.
Conectarse con a cuenta que se utzar para acceder a servdor. Cmo ese usuaro, y reazar as
sguentes operacones para crear e archvo Y=.ss$=aut$ori8edQKeys y asgnar a ste permso de
acceso 600 (soo ectura y escrtura para e usuaro):
ssh usuarioSservidor
mkdir m #6## T/@ssh/
touch T/@ssh/authoriCed-keys
chmod 6## T/@ssh/authoriCed-keys
exit
4+.*.*. :odi&icaciones en el cliente.
4+.*.*.+. ?enerar &irma digital Mllave p1!licaN.
Se debe generar una frma dgta (ave pbca) creada con D>A (Dgta >gnature Agorthm o
Agortmo de Frma dgta). >i se desea no utili8ar clave de acceso para autenticarL solo se
pulsa la tecla ")@"'. S asgna cave de acceso, est ser utzada para autentcar e certfcado
creado cada vez que se quera utzar ste para autentcar remotamente.
sshkeygen t dsa
E procedmento devueve una sada smar a a sguente:
Ienerating public/private dsa key pair@
%nter !ile in which to save the key (/home/usuario/@ssh/id-dsa)"
%nter passphrase (empty !or no passphrase)"
%nter same passphrase again"
317
:our identi!ication has been saved in /home/usuario/@ssh/id-dsa@
:our public key has been saved in /home/usuario/@ssh/id-dsa@pub@
/he key !ingerprint is"
5c"6?"?#"!e"85"51"a8"45"64">7"86"cd"?6"a!"?6"d! usuarioScliente
)ota- Es mportante resatar que s desea utzar a frma dgta sn cave de acceso, |ams se
deber estabecer una cave de acceso durante a generacn de a frma dgta. Cuando e dogo
de ss$(Keygen socte una cave de acceso con confrmacn, smpemente pusar a teca
")@'A' (-=T-?) y contnuar e procedmento.
Lo anteror genera os archvos os archvos Y=.ss$=idQdsa y Y=.ss$=idQdsa.pu!, os cuaes deben
tener permso de acceso 600 (soo ectura y escrtura para e usuaro).
chmod 6## T/@ssh/Zid-dsaBid-dsa@pub[
Se debe copar e contendo de a ave pbca D>A (idQdsa.pu!) a archvo
Y=.ss$=aut$ori8edQKeys de usuaro a utzar en servdor en donde se va a autentcar.
cat T/@ssh/id-dsa@pub ^ ssh usuarioSservidor *cat RR T/@ssh/authoriCed-keys*
Para poder acceder a servdor desde cuaquer cente, basta copar os archvos idQdsa y
idQdsa.pu! dentro de drectoro Y=.ss$=, de a cuenta de usuaro de cada cente desde e que se
requera reazar conexn haca e servdor. Tendr mpcacones de segurdad muy seras s e
archvo idQdsa cae en manos equvocadas o se ve comprometdo, por tanto, dcho archvo deber
ser consderado como atamente confdenca.
Pueden generarse dferentes frmas dgtaes para cada usuaro que deba ngresar a travs de SSH
a servdor remoto. Smpemente se aade e contendo de archvo Y=.ss$=idQdsa.pu! de cada
usuaro a archvo Y=.ss$=aut$ori8edQKeys de a cuenta a utzar en e servdor remoto. Pueden
agregarse cuantas frmas dgtaes en este archvo como sean necesaras. S acaso se ve
comprometda a segurdad de aguna frma dgta, smpemente bastar emnar sta de archvo
Y=.ss$=aut$ori8edQKeys de servdor remoto.
4+.*.3. Compro!aciones.
S no fue asgnada cave de acceso para a ave D>A, deber poderse acceder haca e servdor
remoto sn necesdad de autentcar con cave de acceso de usuaro remoto. S fue asgnada una
cave de acceso a a cave D>A, se podr acceder haca e servdor remoto autentcando con a
cave de acceso defnda a a cave D>A, y sn necesdad de autentcar con cave de acceso de
usuaro remoto.
318
4*. Cmo con&igurar )@<.
4*.+. %ntroduccin.
4*.+.+. Acerca de )@<.
)@< ()etwork @me <rotoco) es un protocoo, de entre os ms antguos protocoos de Internet
(1985), utzado para a sncronzacn de reo|es de sstemas computaconaes a travs de redes,
hacendo uso de ntercambo de paquetes (undades de nformacn transportadas entre nodos a
travs de enaces de datos compartdos) y atenca varabe (tempo de demora entre e momento
en que ago nca y e momento en que su efecto nca). )@< fue orgnamente dseado, y sgue
sendo mantendo, por Dave Ms, de a unversdad de Deaware.
NTP Utza e agortmo de Marzuo (nventado por Keth Marzuo), e cua es un utzado para
seecconar fuentes para a estmacn exacta de tempo a partr de un nmero de fuentes,
utzando a escaa ,@C.
La versn 4 de protocoo puede mantener e tempo con un margen de 10 msegundos a travs
de a red munda, acanzado exacttud de 200 mcrosegundos. En redes ocaes, ba|o condcones
dneas, este margen se reduce consderabemente.
E servco traba|a a travs de puerto 123, ncamente por ,D<.
URL: http://www.etf.org/rfc/rfc1305.txt
4*.+.+.+. "stratos.
)@< utza e sstema |errquco de estratos de reo|.
"strato O: son dspostvos, como reo|es ?<> o rado reo|es, que no estn conectados haca
redes sno computadoras.
"strato +: Los sstemas se sncronzan con dspostvos de estrato 0. Los sstemas de este estrato
son referdos como servdores de tempo.
"strato *: Los sstemas envan sus petcones NTP haca servdores de estrato 1, utzando e
agortmo de Marzuo para recabar a me|ores muestra de datos, descartando que parezcan
proveer datos errneos, y compartendo datos con sstemas de msmo estrato 2. Los sstemas de
este estrato actan como servdores para e estrato 3.
319
"strato 3: Los sstemas utzan funcones smares a as de estrato 2, srvendo como servdores
para e estrato 4.
"strato 4: Los sstemas utzan funcones smares a as de estrato 3.
Lsta de servdores pbcos, de estrato 1 y 2, en http://kopernx.com/?q=ntp y
http://www.eecs.ude.edu/-ms/ntp/servers.htm
4*.+.*. Acerca de ,@C.
,@C (Coordnated ,nversa @me, o Tempo Unversa Coordnado) es un estndar de ata
precsn de tempo atmco. Tene segundos unformes defndos por @A% (@empo Atmco
%nternacona, o Internatona Atomc Tme), con segundos ntercaares o adconaes que se
anuncan a ntervaos rreguares para compensar a desaceeracn de a rotacn de a Terra, as
como otras dscrepancas. Estos segundos adconaes permten a ,@C estar cas a a par de
Tempo Unversa (,@, o ,nversa @me), e cua es otro estndar pero basado sobre e nguo de
rotacn de a Terra, en ugar de e paso unforme de os segundos.
URL: http://es.wkpeda.org/wk/UTC
S utza Cent0> 4 o W$ite Bo2 "nterprise inu2 4, soo se necesta reazar o sguente para
yum y install ntp
4*.*.*. %nstalacin a travs de up*date.
up5date i ntp
4*.3.+. Eerramienta ntpdate
Una forma muy senca de sncronzar e reo| de sstema con cuaquer servdor de tempo es a
travs de ntpdate. Es una herramenta smar a rdate, y se utza para estabecer a fecha y hora
de sstema utzando )@<. E sguente e|empo reaza una consuta drecta )@<, utzando un
puerto sn prvegos (opcn (u, muy t s hay un cortafuegos que mpda a sada) haca e
servdor G.pool.ntp.org.
ntpdate u 5@pool@ntp@org
320
4*.3.*. Arc$ivo de con&iguracin =etc=ntp.con&.
Los sstemas operatvos como Red Hat Enterprse Lnux 4 y CentOS 4, se ncuye un archvo de
confguracn =etc=ntp.con&, con fnes demostratvo. La recomendacn es respadaro para futura
consuta, y comenzar con un archvo con una confguracn nuevo, msmo que a contnuacn se
descrbe.
A Se establece la polbtica predeterminada para cualJuier
A servidor de tiempo utiliCado" se permite la sincroniCaciQn
A de tiempo con las !uentesB pero sin permitir a la !uente
A consultar (noJuery)B ni modi!icar el servicio en el
A sistema (nomodi!y) y declinando proveer mensaMes de
A registro (notrap)@
restrict de!ault nomodi!y notrap noJuery
A ;ermitir todo el acceso a la inter!aC de retorno del
A sistema@
restrict 156@#@#@1
A Se le permite a la red local sincroniCar con el servidor
A pero sin permitirles modi!icar la con!iguraciQn del
A sistemaB y sin usar a estos como iguales para sincroniCar@
restrict 175@164@1@# mask 588@588@588@# nomodi!y notrap
A ReloM local indisciplinado@
A %ste es un controlador emulado Jue se utiliCa solo como
A respaldo cuando ninguna de las !uentes reales estcn
A disponibles@
!udge 156@156@1@# stratum 1#
server 156@156@1@#
A 3rchivo de variaciones@
dri!t!ile /var/lib/ntp/dri!t
broadcastdelay #@##4
A 3rchivo de claves si acaso !uesen necesarias para realiCar
A consultas
keys /etc/ntp/keys
A 0ista de servidores de tiempo de estrato 1 o 5@
A Se recomienda tener al menos ? servidores listados@
A ,as servidores en"
A http"//kopernix@com/jJ)ntp
A http"//www@eecis@udel@edu/Tmills/ntp/servers@html
server #@pool@ntp@org
server 1@pool@ntp@org
server 5@pool@ntp@org
A ;ermisos Jue se asignarcn para cada servidor de tiempo@
A %n los eMemplosB no se permite a las !uente consultarB ni
A modi!icar el servicio en el sistema ni enviar mensaMe de
A registro@
restrict #@pool@ntp@org mask 588@588@588@588 nomodi!y notrap noJuery
restrict 1@pool@ntp@org mask 588@588@588@588 nomodi!y notrap noJuery
restrict 5@pool@ntp@org mask 588@588@588@588 nomodi!y notrap noJuery
A Se 3ctiv la di!usiQn hacia los clientes
broadcastclient
321
4*.3.3. %niciarL detener y reiniciar el servicio ntpd.
Para e|ecutar por prmera vez e servco ntpd, utce:
service ntpd start
Para hacer que os cambos hechos, tras modfcar a confguracn, surtan efecto, utce:
service ntpd restart
Para detener e servco ntpd, utce:
service ntpd stop
4*.3.4. Agregar el servicio ntpd al arran#ue del sistema.
Para hacer que e servco de ntpd est actvo con e sguente nco de sstema, en todos os
chkcon!ig ntpd on
4*.4. :odi&icaciones necesarias en el muro corta&uegos.
e puerto 123 por UDP ()@<, tanto para trfco entrante como saente.
sguente:
A3(/'.+ S.=R(% $%S/ ;R./. $%S/ S.=R(%
A ;.R/ ;.R/(S)1
3((%;/ net !w udp 15?
3((%;/ !w net udp 15?
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
S a red de rea oca (LAN) va a acceder haca e servdor recn confgurado, es necesaro abrr e
puerto correspondente.
A3(/'.+ S.=R(% $%S/ ;R./. $%S/ S.=R(%
A ;.R/ ;.R/(S)1
3((%;/ net !w udp 15?
3((%;/ !w net udp 15?
ACCE8T )o6 <* 5. -,3
ACCE8T <* )o6 5. -,3
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
322
43. Cmo con&igurar el sistema para sesiones
gr;&icas remotas
43.+. %ntroduccin.
Cuando se tenen dstntas mqunas en una LAN y se desea aprovechar e poder y recursos de una
de stas y ahorrar traba|o, una sesn grfca remota ser de gran utdad. Lograr esto es muy
fc. Se puede hacer de dos formas, una accedendo va SSH, RHS o Tenet, y a otra utzando
aguna de as pantaas de acceso grfco, como GDM.
43.*. >esin gr;&ica remota con ?D:
GDM tene una caracterstca poco usada, pero muy t. E mtodo ser de mucha utdad
suponendo que se tene un servdor centra con buena cantdad de memora y un buen
mcroprocesador y o ms nuevo en equpamento gco; y en a red de rea oca (LAN) se tenen
una o varas mqunas con muy poco espaco en dsco y/o poco poder en e mcroprocesador, o
resuta mucho traba|o nstaares todo un sstema optmzado y personazado.
E ob|etvo ser entonces que os usuaros puedan utzar e servdor con mayor poder y recursos
para que se e|ecuten ah as sesones grfcas y as tener un mayor contro en toda a red.
43.*.+. <rocedimiento
1. Actuace gdm a menos a a versn 2.2.x o, de ser posbe, ms recente:
yum y install gdm
2. En e servdor, abra una termna como sperusuaro y e|ecute e mandato gdmsetup; vaya
a a soapa de H'C%E y de a a a pestaa XDMCP. Deben habtarse as casas de
"Activar H'C%E" y "/onrar peticiones indirectas" como se muestra a contnuacn:
323
3. Como medda de segurdad, deshabte e acceso de root tanto oca como remotamente.
324
4. Debe determnarse a ocazacn de X con e mandato whch:
which X
5. En os centes, debe respadarse y edtarse e archvo /etc/X11/prefdm y debe hacerse que
contenga ncamente o sguente, consderando que se debe poner a ruta competa de X:
Ad/bin/sh
/usr/X11R6/bin/X Juery direcciQn-';-del-Servidor
E|empo:
Ad/bin/sh
/usr/X11R6/bin/X Juery 175@164@1@58>
6. En todas as mqunas, ya sea s se utza webmn o nuxconf o aguna otra herramenta,
debe hacer que e modo de e|ecucn sea grfco y con red, es decr que arranque en modo
de e|ecucn 5 (o nve de e|ecucn 5).
Puede modfcar /etc/nttab y cambar:
id:3:initdefault:
Por:
id:5:initdefault:
7. Deben rencarse os servdores X de as mqunas centes.
8. Las mqunas centes vern a GDM e|ecutndose como s se estuvese en e msmo
servdor, y permtr ncar GNOME o KDE o cuaquer otro entorno grfco utzado. S
cuenta con buenos adaptadores de red, n squera se notar s se est en un cente o en e
servdor.
S o prefere tambn puede ncar e servdor de vdeo remoto smpemente e|ecutando o
sguente desde cuaquer termna:
X Juery direcciQn-';-del-Servidor
325
44. Cmo con&igurar un servidor )F>
44.+. %ntroduccin
NFS, acrnmo de et)or( $ile System, es un popuar protocoo utzado para compartr
vomenes entre mqunas dentro de una red de manera transparente, ms comnmente utzado
entre sstemas basados sobre UNIX. Es t y fc de utzar, sn embargo no en vano es apodado
cari!osamente como I=o .ile "ecurityI. NFS no utza un sstema de contraseas como e que
tene SAMBA, so una sta de contro de acceso determnada por dreccones IP o nombres. Es por
esto que es mportante que e admnstrador de a red oca o usuaro entenda que un servdor NFS
puede ser un verdadero e nmenso agu|ero de segurdad s ste no es confgurado apropadamente
e mpementado detrs de un corta-fuegos o frewa.
Personamente, recomendo utzar NFS dentro de una red oca detrs de un corta-fuegos o
frewa que permta e acceso so a as mqunas que ntegren a red oca, nunca para compartr
sstemas de archvos a travs de Internet. A no contar con un sstema de autentcacn por
contraseas, es un servco susceptbe de ataque de agn dencuente nfomtco. SAMBA es un
protocoo mucho me|or y ms seguro para compartr sstemas de archvos.
44.*. <rocedimientos
Tenendo en cuenta os aspectos de segurdad menconados, es mportante que sga os
procedmentos descrtos a contnuacn a pe de a etra, y que posterormente se comprometa
tambn consutar a detae a documentacn ncuda en e paquete nfs-uts, ya que sta e
proporconar nformacn adcona y competa sobre aspectos avanzados de confguracn y
utzacn.
44.*.+. %nstalacin del e#uipamiento lgico necesario
yum y install n!sutils portmap
44.3. Con&igurando la seguridad
Lo sguente ser confgurar un nve de segurdad para portmap. Esto se consgue modfcando os
archvos +etc+osts.allo) y +etc+osts.deny. Debemos especfcar qu dreccones IP o rango de
dreccones IP pueden acceder a os servcos de portmap y qunes no pueden hacero. Podemos
entonces determnar en /etc/hosts.aow como rango de dreccones IP permtdas os sguente:
portmap"175@164@1@#/588@588@588@#
326
Esto corresponde a a dreccn IP de a red competa y a mscara de a subred. Adconamente
podemos especfcar dreccones IP ndvduaes sn necesdad de estabecer una mscara. Esto es
de utdad cuando se desea compartr vomenes con otras mqunas en otras redes a travs de
Internet. E|empo:
portmap"175@164@1@#/588@588@588@#
portmap"175@164@5#@58
portmap"175@164@?#@5
portmap"516@5##@185@76
portmap"1>4@5>#@54@161
Una vez que se han determnado as dreccones IP que pueden acceder a portmap, so resta
determnar qunes no pueden hacero. Evdentemente nos refermos a resto de mundo, y esto se
hace agregando a sguente nea:
portmap"300
Es mportante destacar que a nea anteror es %)D%><")>AB" y )"C">A'%A s quere tener un
nve de segurdad decente. De manera predetermnada as versones ms recentes de nfs-uts no
permtrn ncar e servco s esta nea no se encuentra presente en /etc/hosts.deny.
Una vez confgurado portmap, debe rencarse e servco de portmap:
service portmap restart
S tene un DNS, aada os regstros de as dreccones IP asocadas a un nombre o ben
modfque /etc/hosts y agregue as dreccones IP asocadas con un nombre. Esto nos servr como
stas de contro de accesos. E|empo de archvo =etc=$osts:
175@164@1@58> servidor@miredlocal@org servidor
175@164@1@5 algun-nombre@miredlocal@org algun-nombre
175@164@1@? otro-nombre@miredlocal@org otro-nombre
175@164@1@> otro-nombre-mas@miredlocal@org otro-nombre-mas
175@164@1@8 como-se-llame@miredlocal@org como-se-llame
175@164@1@6 como-sea@miredlocal@org como-sea
175@164@1@6 lo-Jue-sea@miredlocal@org lo-Jue-sea
44.3.+. Compartir un volumen )F>
Procederemos a determnar qu drectoro se va a compartr. Puede crear tambn uno nuevo:
mkdir p /var/n!s/publico
Una vez hecho esto, necestaremos estabecer qu drectoros en e sstema sern compartdos
con el resto de las m;#uinas de la redL o !ien a #u m;#uinasL de acuerdo al D)> o
=etc=$osts se permtr e acceso. stos deberemos agregaros en /etc=e2ports determnado con
qu mqunas y e modo en que se compartr e recurso. Se puede especfcar una dreccn IP o
ben nombrar aguna mquna, o ben un patrn comn con comodn para defnr qu mqunas
pueden acceder. Podemos utzar e sguente e|empo (a separacn de espacos se hace con un
tabuador):
327
/var/n!s/publico O@miredlocal@org(roBsync)
En e e|empo anteror se est defnendo que se compartr /var/nfs/pubco/ a todas as mqunas
cuyo nombre, de acuerdo a DNS o /etc/hosts, tene como patrn comn mi(red(local.org, en
modo de ectura escrtura. Se utz un astersco (*) como comodn, segudo de un punto y e
nombre de domno. Esto permtr que comoJseJllame.mi2red2local.org, comoJsea.mi2red2
local.org, loJqueJsea.mi2red2local.org, etc., podrn acceder a voumen /var/nfs/pubco/ en modo
de so ectura. S queremos que e accesos a este drectoro sea en modo de ectura y escrtura,
cambamos (ro) por (rw):
/var/n!s/publico O@miredlocal@org(rwBsync)
Ya que se defneron os vomenes a compartr, so resta ncar o rencar e servco nfs. Utce
cuaquera de as dos neas dependendo de caso:
service n!s start
service n!s restart
A fn de asegurar de que e servco de nfs est habtado, a prxma vez que se encenda e
equpo, de deber e|ecutar o sguente:
chkcon!ig level ?>8 n!s on
E mandato anteror hace que se habte nfs en os nvees de e|ecucn 3, 4 y 5.
Como medda de segurdad adcona, s tene un corta-fuegos o fire)all mpementado. Cerre,
para todo aqueo que no sea parte de su red oca, os puertos tcp y udp 2049, ya que stos son
utzados por NFS para escuchar petcones.
44.3.*. Con&igurando las m;#uinas clientes
Para probar a confguracn, es necesaro que as mqunas centes se encuentren defndas en e
DNS o en e archvo +etc+osts de servdor. S no hay un DNS confgurado en a red, debern
defnrse os nombres y dreccones IP correspondentes en e archvo /etc/hosts de todas as
mqunas que ntegran a red oca.
Como root, en e equpo cente, e|ecute e sguente mandato para consutar os vomenes
exportados (-e) a travs de NFS por un servdor en partcuar:
showmount e 175@164@1@58>
Lo anteror mostrar una sta con os nombres y rutas exactas a utzar. E|empo:
%xport list !or 175@164@1@58>"
/var/n!s/publico 175@164@1@#/5>
A contnuacn creamos, como root, desde cuaquer otra mquna de a red oca un punto de
monta|e:
mkdir /mnt/servidorn!s
328
Por tmo, para proceder a montar e voumen remoto, utzaremos a sguente nea de
mandato :
mount servidor@miredlocal@org"/var/n!s/publico /mnt/servidorn!s
S por aguna razn en e DNS de a red oca, o e archvo =etc=$osts de a mquna cente,
decd no asocar e nombre de a mquna que fungr como servdor NFS a su correspondente
dreccn IP, puede especfcar sta en ugar de nombre. E|empo:
mount t n!s 175@164@1@58>"/var/n!s/publico /mnt/servidorn!s
Podremos acceder entonces a dcho voumen remoto cambando a drectoro oca defndo como
punto de monta|e, de msmo modo que se hara con un dsquete o una undad de CDROM:
cd /mnt/servidorn!s
S queremos montar este voumen NFS con una smpe nea de mandato o ben hacendo dobe
cc en un cono sobre e escrtoro, ser necesaro agregar a correspondente nea en /etc/fstab.
E|empo:
servidor@miredlocal@org"/var/n!s/publico /mnt/servidorn!s n!s
userBexecBdevBnosuidBrwBnoauto # #
La nea anteror especfca que e drectoro /var/nfs/pubco/ de a mquna servdor.m-red-
oca.org ser montado en e drectoro oca /mnt/servdor/nfs, permtndoe a os usuaros poder
montaro, en modo de ectura y escrtura y que este voumen no ser montado durante e arranque
de sstema. Esto tmo es de mportanca, sendo que s e servdor no est encenddo a
momento de arrancar a mquna cente, ste se cogar durante agunos mnutos.
Una vez agregada a nea en /etc/fstab de a mquna cente, s utza GNOME-1.4 o superor, ste
ncorpora Nautus como admnstrador de archvos, msmo que auto-detecta cuaquer cambo
en /etc/fstab. Debe hacerse cc derecho sobre e escrtoro y posterormente seecconar e dsco
que se desee montar.
329
44.4. %nstalacin de ?),=inu2 a travs de un servidor )F>
Este es quzs e uso ms comn para un voumen NFS. Permte compartr un voumen que
contenga una copa de CD de nstaacn de aguna dstrbucn y reazar ncusve nstaacones
smutneas en varos equpos. Tene como venta|a que a nstaacn puede resutar ms rpda
que s se hcese con un CDROM, sendo que a tasa de trasferenca de archvos ser determnada
por e ancho de banda de a red oca, y nos permtr nstaar GNU/Lnux en mqunas que no
tengan undad de CDROM.
Una vez creado y confgurado un voumen a compartr coparemos todo e contendo de CD de
nstaacn en ste:
cp r /mnt/cdrom/O /var/n!s/publico/
En e drectoro images de CD encontraremos varas mgenes para crear dsquetes de arranque.
Utzaremos bootnet.mg para crear e nmero de dsquetes necesaros para cada mquna en a
que reazaremos una nstaacn y que nos permtrn acceder a a red. Inserte un dsquete y
e|ecute o sguente:
cd /var/n!s/publico/images/
dd i!)bootnet@img o!)/dev/!d# bs)1>>#k
Aada en /etc/hosts, o ben de de ata en e DNS, as dreccones IP, que sern utzadas por as
nuevas mqunas, asocadas a un nombre con e domno que especfco como rega de contro de
acceso en /etc/exports 2es decir K.mi2red2local.org2. Para /etc/hosts, puede quedar como sgue:
175@164@1@58> servidor@miredlocal@org servidor
175@164@1@5 algun-nombre@miredlocal@org algun-nombre
175@164@1@? otro-nombre@miredlocal@org otro-nombre
175@164@1@> otro-nombre-mas@miredlocal@org otro-nombre-mas
175@164@1@8 como-se-llame@miredlocal@org como-se-llame
175@164@1@6 como-sea@miredlocal@org como-sea
175@164@1@6 lo-Jue-sea@miredlocal@org lo-Jue-sea
175@164@1@4 nueva-maJuina@miredlocal@org nueva-maJuina
175@164@1@7 otra-nueva-maJuina@miredlocal@org otra-nueva-maJuina
Utce estos dsquetes para arrancar en os equpos, ngrese una dreccn IP y dems parmetros
para esta mquna y cuando se e pregunte ngrese a dreccn IP de servdor NFS y e drectoro
en ste en e que se encuentra a copa de CD de nstaacn. E resto contnuar como cuaquer
otra nstaacn.
330
45. Cmo con&igurar >am!a !;sico.
45.+. %ntroduccin.
45.+.+. Acerca del protocolo >:B.
>:B (acrnmo de >erver :essage Bock) es un protocoo, de )ivel de <resentacin de
modeo OSI de TCP/IP, creado en 1985 por IBM. Agunas veces es referdo tambn como C%F>
(Acrnmo de Common %nternet Fe >ystem, http://samba.org/cfs/) tras ser renombrado por
Mcrosoft en 1998. Entre otras cosas, Mcrosoft aad a protocoo soporte para enaces smbcos
y duros as como tambn soporte para archvos de gran tamao. Por mera concdenca esto
ocurr por a msma poca en que Sun Mcrosystems hzo e anzamento de WebNFS (una versn
extendda de )F>, http://www.sun.com/software/webnfs/overvew.xm).
>:B fue orgnamente dseado para traba|ar a travs de protocoo NetBIOS, e cua a su vez
traba|a sobre )etB",% (acrnmo de )etBIOS "xtended ,ser %nterface, que se traduce como
Interfaz de Usuaro Extendda de NetBIOS), %<D=><D (acrnmo de %nternet <acket
E2change/>equenced <acket E2change, que se traduce como %ntercam!io de pa#uetes inter(
red=%ntercam!io de pa#uetes secuenciales) o )B@, aunque tambn puede traba|ar
drectamente sobre @C<=%<.
45.+.*. Acerca de >am!a.
SAMBA es un con|unto de programas, orgnamente creados por Andrew Trdge y actuamente
mantendos por The SAMBA Team, ba|o a Lcenca Pubca Genera GNU, y que mpementan en
sstemas basados sobre UNIX e protocoo >:B. Srve como reempazo tota para Wndows NT,
Warp, NFS o servdores Netware.
Los procedmentos descrtos en este manua han sdo probados para poder apcarse en sstemas
con CentOS 5 o Red Hat Enterprse Lnux 5, o equvaentes o versones posterores, y a menos
>am!a 3.O.33 o versones posterores.
Necestar tener nstaados os sguentes paquetes:
samba: Servdor SMB.
samba-cent: Dversos centes para e protoco SMB.
samba-common: Archvos necesaros para cente y servdor.
331
S utza Cent0> 5 y 6 o 'ed Eata "nterprise inu2 5 o 6, y versones posterores, soo se
necesta e|ecutar o sguente para nstaar o actuazar e equpamento gco necesaro:
yum y install samba sambaclient sambacommon
En e caso de Cent0> 6 y 'ed Eata "nterprise inu2 6, se nstaar >am!a 3.5.4.
En e caso de Cent0> 5 y 'ed Eata "nterprise inu2 5, se nstaar >am!a 3.O.33, sn
embargo hay opcn a utzar en su ugar >am!a 3.5.4 nstaando os paquetes sam!a32,
sam!a32(client y sam!a32(common.
yum remove samba sambaclient sambacommon
yum y install samba?x sambaclient?x sambacommon?x
45.3.+. >"inu2 y el servicio sm!.
A fn de que SELnux permta a servco sm! funconar como Controador Prmaro de Domno
(<DC, <rmary Doman Controer), utce e sguente mandato:
setsebool ; samba-domain-controller 1
A fn de que SELnux permta a servco sm! compartr os drectoros de nco de os usuaros
ocaes de sstema, utce e sguente mandato:
setsebool ; samba-enable-home-dirs 1
Para defnr que un drectoro ser compartdo a travs de servco sm!, como por e|empo
=var=sam!a=pu!lico, y que se debe consderar como contendo tpo Samba, se utza e sguente
mandato:
chcon t samba-share-t /var/samba/publico
Cada nuevo drectoro que vaya a ser compartdo a travs de Samba, debe ser confgurado como
acaba de descrbrse antes de ser confgurado en e archvo =etc=sam!a=sm!.con&.
A fn de que SELnux permta a servco sm! compartr todos os recursos en modo de soo ectura,
utce e sguente mandato:
setsebool ; samba-export-all-ro 1
A fn de que SELnux permta a servco sm! compartr todos os recursos en modo de ectura y
escrtura, utce e sguente mandato:
setsebool ; samba-export-all-rw 1
332
45.3.*. Alta de cuentas de usuario.
Es mportante sncronzar as cuentas entre e servdor >am!a y as estacones Wndows. Es
decr, s en una mquna con Wndows ngresamos como e usuaro fuano con cave de acceso
123qwe, en e servdor >am!a deber exstr tambn dcha cuenta con ese msmo nombre y a
msma cave de acceso. Como a mayora de as cuentas de usuaro que se utzarn para acceder
haca >am!a no requeren acceso a ntrprete de mandatos de sstema, no es necesaro asgnar
cave de acceso con e mandato passPd y se deber defnr =s!in=nologin o ben =!in=&alse como
ntrprete de mandatos para a cuenta de usuaro nvoucrada.
useradd s /sbin/nologin s4r#o-*#n5o*s
smbpasswd a s4r#o-*#n5o*s
No hace fata se asgne una cave de acceso en e sstema con e mandato passPd puesto que a
cuenta no tendr acceso a ntrprete de mandatos.
S se necesta que as cuentas se puedan utzar para acceder haca otros servcos como seran
Tenet, SSH, etc, es decr, que se permta acceso a ntrprete de mandatos, ser necesaro
especfcar =!in=!as$ como ntrprete de mandatos y adems se deber asgnar una cave de
acceso en e sstema con e mandato passPd:
useradd s /bin/bash s4r#o-*#n5o*s
passwd s4r#o-*#n5o*s
smbpasswd a s4r#o-*#n5o*s
45.3.3. "l arc$ivo lm$osts
Es necesaro empezar resovendo ocamente os nombres )etB%0> asocndoos con dreccones
IP correspondentes en e archvo lm$osts (AN :anager $osts). Para fnes prctcos e nombre
NetBIOS debe tener un mxmo de 11 caracteres. Normamente se utza como referenca e
nombre corto de servdor o e nombre corto que se asgno como aas a a nterfaz de red. S se
edta e archvo =etc=sam!a=lm$osts, se encontrar un contendo smar a sguente:
156@#@#@1 localhost
Se pueden aadr os nombres y dreccones IP de cada uno de os anftrones de a red oca. Como
mnmo debe encontrarse e nombre de anftrn >am!a y su dreccn IP correspondente, y de
manera opcona e resto de os anftrones de a red oca. La separacn de espacos se hace con
un tabuador. E|empo:
156@#@#@1 localhost
175@164@6#@1 servidor
175@164@6#@5 Moel
175@164@6#@? blanca
175@164@6#@> aleMandro
175@164@6#@8 sergio
175@164@6#@6 isaac
175@164@6#@6 !inanCas
175@164@6#@4 direccion
333
45.3.4. <ar;metros principales del arc$ivo sm!.con&.
Se modfca e archvo =etc=sam!a=sm!.con& con cuaquer edtor de texto. Este nformacn que
ser de utdad y que est comentada con un smboo f y varos e|empos comentados con ^
(punto y coma), sendo estos tmos os que se pueden tomar como referenca.
45.3.4.+. <ar;metro PorKgroup.
Se estabece e grupo de traba|o defnendo e vaor de parmetro PorKgroup asgnando un
grupo de traba|o deseado:
workgroup ) ,'IR=;.
45.3.4.*. <ar;metro net!ios name.
De manera opcional, se puede estabecer con e parmetro net!ios name otro nombre dstnto
para e servdor, s acaso sto fuese necesaro, pero sempre tomando en cuenta que dcho nombre
deber corresponder con e estabecdo en e archvo =etc=sam!a=lm$osts:
netbios name ) maJuinalinux
45.3.4.3. <ar;metro server string.
E parmetro server string es de carcter descrptvo. Puede utzarse un comentaro breve que
de una descrpcn de servdor.
server string ) Servidor Samba Vv en V0
45.3.4.4. <ar;metro $osts alloP.
La segurdad es mportante y esta se puede estabecer prmeramente estabecendo a sta de
contro de acceso que defnr que mqunas o redes podrn acceder haca e servdor. E
parmetro $osts alloP srve para determnar esto. S a red consste en as mqunas con
dreccn IP desde 192.168.70.1 hasta 192.168.70.254, e rango de dreccones IP que se defnr
en $osts alloP ser +S*.+69.7O. de modo ta que soo se permtr e acceso dchas mqunas.
En e sguente e|empo se defnen as redes 192.168.70.0/24 y 192.168.37.0/24, defnendo os
tres prmeros octetos de a dreccn IP de red, as como cuaquer dreccn IP de a red
127.0.0.0/8 (retorno de sstema o oopback), sendo necesaro defnr soo e prmer octeto de
dcho segmento:
hosts allow ) 175@164@6#@B 175@164@?6@B 156@
45.3.4.5. <ar;metro inter&aces.
E parmetro inter&aces permte estabecer desde que nterfaces de red de sstema se
escucharn petcones. >am!a no responder a petcones provenentes desde cuaquer nterfaz
no especfcada. Esto es t cuando >am!a se e|ecuta en un servdor que srve tambn de puerta
de enace para a red oca, mpdendo se estabezcan conexones desde fuera de a red oca.
inter!aces ) loB eth1B 175@164@6#@58>/5>
334
45.3.5. <ar;metro remote announce.
La opcn remote announce se encarga de que e servco nm!d se anunce a s msmo de forma
perdca haca una red en partcuar y un grupo de traba|o especfco. Esto es partcuarmente t
s se necesta que e servdor >am!a aparezca no soo en e grupo de traba|o a que pertenece
sno tambn otros grupos de traba|o. E grupo de traba|o de destno puede estar en donde sea
mentras exsta una ruta y sea posbe a dfusn extosa de paquetes.
Los vaores que pueden ser utzados son dreccones IP de dfusn (!roadcast) de a red utzada
(es decr a tma dreccn IP de segmento de red) y/o nombres de grupos de traba|o. En e
sguente e|empo se defne que e servdor >am!a se anunce a travs de as dreccones IP de
dfusn +S*.+69.7O.*55 (red +S*.+69.7O.O=*4) y +S*.+69.*.*55 (red +S*.+69.*.O=*4) y
haca os grupos de traba|o D0:%)%0+ y D0:%)%0*.
remote announce ) 175@164@6#@588/$.,'+'.1B 175@164@5@588/$.,'+'.5
45.3.6. %mpresoras en >am!a.
Las mpresoras se comparten de modo predetermnado, as que soo hay que reazar agunos
a|ustes. S se desea que se pueda acceder haca a mpresora como usuaro nvtado sn cave de
acceso, basta con aadr pu!lic R bes (que es o msmo que guet oK R )o) en a seccn de
mpresoras de sguente modo:
DprintersE
comment ) %l comentario Jue guste@
path ) /var/spool/samba
printable ) :es
browseable ) +o
writable ) no
printable ) yes
.!)#6 = Wes
Se pude defnr tambn a un usuaro o ben un grupo (ggrupoQ#ueQsea) para a admnstracn
de as coas de as mpresoras, anterormente se haca con e parmetro printer admin.
Actuamente se hace e|ecutando o sguente desde termna:
net S ser"#5or = roo2 rpc rights grant !ulano Se;rint.perator;rivilege
45.3.7. Compartiendo directorios a travs de >am!a.
Para os drectoros o vomenes que se rn a compartr, en e msmo archvo de confguracn
encontrar dstntos e|empos para dstntas stuacones partcuares. En genera, puede utzar e
sguente e|empo que funconar para a mayora:
D0o-Jue-seaE
comment ) (omentario Jue se le ocurra
path ) /cualJuier/ruta/Jue/desee/compartir
E voumen puede utzar cuaquera de as sguentes opcones:
0pcin Descripcin
guest ok Defne s ser permtr e acceso como usuaro nvtado. E vaor puede
335
ser
:es
o
+o
.
public Es un e#uivalente de parmetro guest oK, es decr defne s ser
permtr e acceso como usuaro nvtado. E vaor puede ser
:es
o
+o
.
browseable Defne s se permtr mostrar este recurso en as stas de recursos
compartdos. E vaor puede ser
:es
o
+o
.
writable Defne s ser permtr a escrtura. Es e parmetro contraro de
read only
. E vaor puede ser
:es
o
+o
. E|empos:
\writable ) :es]
es lo mismo #ue
\read only ) +o]
. Obvamente
\writable ) +o]
es lo mismo #ue
336
\read only ) :es]
valid users Defne que usuaros o grupos pueden acceder a recurso compartdo.
Los vaores pueden ser nombres de usuaros separados por comas o
ben nombres de grupo anteceddos por una @. E|empo:
!ulanoB menganoB Sadministradores
write list Defne que usuaros o grupos pueden acceder con permso de
escrtura. Los vaores pueden ser nombres de usuaros separados por
comas o ben nombres de grupo anteceddos por una @. E|empo:
admin users Defne que usuaros o grupos pueden acceder con permsos
admnstratvos para e recurso. Es decr, podrn acceder haca e
recurso reazando todas as operacones como super-usuaros. Los
vaores pueden ser nombres de usuaros separados por comas o ben
nombres de grupo anteceddos por una @. E|empo:
directory mask Es o msmo que
directory mode
. Defne que permso en e sstema tendrn os subdrectoros creados
dentro de recurso. E|empos:
1666
create mask Defne que permso en e sstema tendrn os nuevos archvos creados
dentro de recurso. E|empo:
#6>>
En e sguente e|empo se compartr a travs de Samba e recurso denomnado datos, e cua
est ocazado en e drectoro =var=sam!a=datos de dsco duro. Se permtr e acceso a
cuaquera pero ser un recurso de soo ectura savo para os usuaros admnstrador y fuano.
Todo drectoro nuevo que sea creado en su nteror tendr permso 755 (drP2r(2r(2) y todo
archvo que sea puesto en su nteror tendr permsos 644 ((rP(r((r((.
Prmero se crea e nuevo drectoro =var=sam!a=datos, utzando e sguente mandato:
mkdir p /var/samba/datos
Luego se defne en SELnux que dcho drectoro debe ser consderado como contendo Samba.
chcon t samba-share-t /var/samba/datos
Se edta e archvo =etc=sam!a=sm!.con& y se aade hasta e fna de ste e sguente contendo:
DdatosE
comment ) $irectorio de de $atos
path ) /var/samba/datos
guest ok ) :es
read only ) :es
write list ) !ulanoB administrador
337
directory mask ) #688
create mask ) #6>>
45.3.7.+. 0cultando arc$ivos #ue inician con punto.
Es poco convenente que os usuaros puedan acceder o ben puedan ver a presenca de archvos
ocutos en e sstema, es decr archvos cuyo nombre comenza con un punto, partcuarmente s
acceden a su drectoro persona en e servdor >am!a (.bashrc, .bash_profe, .bash_hstory, etc.).
Puede utzarse e parmetro $ide dot &iles para manteneros ocutos.
hide dot !iles ) :es
Este parmetro es partcuarmente t para compementar a confguracn de os drectoros
personaes de os usuaros.
DhomesE
comment ) 1ome $irectories
browseable ) no
writable ) yes
3#5e 5o2 <#)es = Wes
45.4. %niciar el servicio y aadirlo al arran#ue del sistema.
Para ncar os servcos nm! y sm! por prmera vez reace o sguente:
service nmb start
service smb start
S reaza agn cambo en a confguracn de parmetro net!ios name, es necesaro rencar e
servco nm!, e cua es e encargado de proveer e servdor de nombres para os centes a travs
de NetBIOS sobre IP.
service nmb restart
S va a apcar agn cambo en cuaquer otro parmetro de a confguracn, como son os
recursos compartdos, soo es necesaro rencar e servco sm!:
service smb restart
Para que os servcos nm! y sm! ncen automtcamente |unto con e sstema, soo utce os
dos sguentes mandato:
chkcon!ig nmb on
chkcon!ig smb on
338
45.5. Compro!aciones.
45.5.+. :odo te2to.
45.5.+.+. Eerramienta sm!client.
Indudabemente e mtodo ms prctco y seguro es e mandato smbcent. Este permte acceder
haca cuaquer servdor Samba o Wndows, smar a mandato &tp en modo texto.
Para acceder a cuaquer recurso de aguna mquna Wndows o servdor Samba, determne
prmero que vomenes o recursos compartdos posee sta. Utce e mandato smbcent de
sguente modo:
smbclient = usuario 0 alguna-maJuina
Lo cua e devovera ms menos o sguente:
$omain)D,'$.,'+'.E .S)D=nixE Server)DSamba ?@#@61@?%E
Sharename /ype (omment

homes $isk 1ome $irectories
netlogon $isk +etwork 0ogon Service
datos $isk datos
';(F ';( ';( Service (Servidor Samba ?@#@61@?% en miservidor)
3$,'+F ';( ';( Service (Servidor Samba ?@#@61@?% en miservidor)
epl87## ;rinter (reated by redhatcon!igprinter #@6@x
hp588#bw ;rinter (reated by redhatcon!igprinter #@6@x
3nonymous login success!ul
$omain)D,'$.,'+'.E .S)D=nixE Server)DSamba ?@#@61@?%E
Server (omment

miservidor Servidor Samba ?@#@61@?% en miservidor
2orkgroup ,aster

,'$.,'+'. ,'S%R&'$.R
La sguente corresponde a a sntaxs bsca para poder navegar os recursos compartdos por a
mquna Wndows o e servdor SAMBA:
smbclient //alguna-maJuina/recurso = usuario
E|empo:
smbclient //0'+=X/$3/.S = !ulano
Despus de e|ecutar o anteror, e sstema soctar se proporcone a cave de acceso de usuaro
fuano en e equpo denomnado LINUX.
smbclient //0'+=X/$3/.S = !ulano
added inter!ace ip)175@164@6#@58> bcast)175@164@6#@588 nmask)588@588@588@#
339
;assword"
$omain)D!ulanoE .S)D=nixE Server)DSamba 5@5@1aE
smb" R
Pueden utzarse cas os msmos mandatos que en e ntrprete de ftp, como seran get, mget,
put, de, etc.
45.5.*. :odo gr;&ico
45.5.*.+. Desde el escritorio de ?)0:".
S utza GNOME 2.x o superor, ste ncuye un mduo para Nautus que permte acceder haca
os recursos compartdos a travs de Samba sn necesdad de modfcar cosa aguna en e sstema.
Soo hay que hacer cc en >ervidores de red en e men de GNOME.
45.5.*.*. Desde WindoPs.
Desde Wndows deber ser posbe acceder sn probemas haca cuaquer servdor >am!a, como
s fuese haca cuaquer otro sstema con Wndows.
340
46. Cmo con&igurar >am!a denegando acceso
a ciertos arc$ivos.
46.+. %ntroduccin.
En agunos casos puede ser necesaro denegar e acceso a certas extensones de archvos, como
archvos de sstema y archvos de mutmedos como MP3, MP4, MPEG y DvX.
Este documento consdera que usted ya ha edo prevamente, a detae y en su totadad e
manua Cmo confgurar Samba bsco. y que ha confgurado extosamente >am!a como
servdor de archvos.
E parmetro veto &iles se utza para especfcar a sta, separada por dagonaes, de aqueas
cadenas de texto que denegarn e acceso a os archvos cuyos nombres contengan estas
cadenas. En e sguente e|empo, se denegar e acceso haca os archvos cuyos nombres
ncuyan a paabra 0"ecurity1 y os que tengan extensn o termnen en 0.tmp1:
DhomesE
browseable ) no
writable ) yes
"e2o <#)es = +@Se6r#2y@+@.2/.+
En e sguente e|empo, se denegar e acceso haca os archvos que tengan as extensones o
termnen en 0.mpL1, 0.mpM1, 0.mpeg1 y 0.avi1 en todos os drectoros personaes de todos os
usuaros de sstema:
DhomesE
browseable ) no
writable ) yes
"e2o <#)es = +@./.3+@./.J+@./.7+@.4"#+@.2/.+
46.3. Aplicando los cam!ios.
Para hacer que os cambos hechos surtan efecto tras modfcar a confguracn, utce:
341
service smb restart
Con a fnazad de reazar pruebas, genere con e mandato ec$o de sstema un archvo
denomnado prue!a.mp3:
echo *archivo ,;? de pruebas* R prueba@mp?
S an no exstera, genere a usuaro &ulano:
useradd !ulano
Utce e mandato sm!passPd y asgne +*3#Pe como cave de acceso a usuaro &ulano:
smbpasswd a !ulano
Acceda con sm!client haca e servdor >am!a con e usuaro &ulano:
smbclient //156@#@#@1/!ulano =!ulanoV15?Jwe
$omain)D,#6>E .S)D=nixE Server)DSamba ?@5@#rc11>@7@el8@alE
smb" R
Utzando e mandato put de intrprete >:B, suba e archvo prue!a.t2t a drectoro persona
de fuano:
smb" R .2 .re!4./.3
Lo anteror debe devover una sada smar a a sguente ndcando e mensa|e
)@Q>@A@,>Q0BJ"C@Q)A:"Q)0@QF0,)D como respuesta, o cua ndca que no fue permtdo
subr e archvo prue!a.mp3:
smb" R put prueba@mp?
NT_STATUS_OBYECT_NAME_NOT_FOUND o.en#n7 re/o2e <#)e .re!4./.3
smb" R
Para sar de intrprete >:B utce e mandato e2it:
smb" R exit
342
47. Cmo con&igurar >am!a con <apelera de
'ecicla.e.
47.+. %ntroduccin.
En agunas crcunstancas, es necesaro aadr una <apelera de 'ecicla.e ('ecycle Bin) para
evtar a emnacn permanente de contendo de un drectoro compartdo a travs de >am!a. Es
partcuarmente t para os drectoros personaes de os usuaro.
Este documento consdera que usted ya ha edo prevamente, a detae y en su totadad e
servdor de archvos.
47.*. <rocedimientos
La <apelera de 'ecicla.e se actva aadendo a recurso a compartr os parmetros v&s o!.ects
y recycle-repository de modo e|empfcado a contnuacn:
DhomesE
browseable ) no
writable ) yes
"<s o!Ke62s = re6y6)e
re6y6)e?re.os#2ory = Re6y6)e B#n
Lo anteror creara e ob|eto recycle, que amacenar os contendos emnados desde e cente en
un subdrectoro denomnado 'ecycle Bin, e cua es creado s ste no exstera. S e contendo de
'ecycle Bin es emnado, ste se har de forma permanente.
En e caso de drectoros compartdos que sean acceddos por dstntos usuaros, e subdrectoro
'ecycle Bin se crea con permsos de acceso soo para e prmer usuaro que emne contendo. Lo
correcto es soo utzaro en drectoros compartdos que soo sean utzados por un soo usuaro.
De ser necesaro, se puede cambar e permso de acceso de subdrectoro 'ecycle Bin con e
mandato c$mod de O7OO a +777 para permtr a otros usuaros utzar ste, tomando en cuenta
que de esta forma e contendo conservar os prvegos de cada usuaro y os contendos soo
podrn ser emnados permanentemente por sus propetaros correspondentes.
343
Se pueden aadr ms opcones para ograr un comportamento ms smar a de una <apelera
de 'ecicla.e norma en WindoPs. E parmetro recycle-versions defne que s hay dos o ms
archvos con e msmo nombre, y estos son envados a a <apelera de 'ecicla.e, se mantendrn
todos donde os archvo ms recentes tendrn un nombre con e esquema HCopy f2 o& nom!re(
arc$ivoJ (es decr, Copia f2 del nom!re(arc$ivo). E parmetro recycle-Keeptree defne que
s se emna un drectoro con subdrectoros y contendo, se mantendr a estructura de stos.
DhomesE
browseable ) no
writable ) yes
v!s obMects ) recycle
recycle"repository ) Recycle 9in
re6y6)e?"ers#ons = Wes
re6y6)e?:ee.2ree = Wes
Se puede defnr adems que se excuyan archvos (recycle-e2clude) y drectoros
(recycle-e2cludeQdir) de ser envado a a <apelera de 'ecicla.e certo tpo de contendo y sea
emnado de forma permanente de nmedato. Las stas para archvos y drectoros son separadas
por tuberas (h), y aceptan comodnes (` y ?). En e sguente e|empo se excuyen os archvos con
extensones `.tmp, `.temp, `.o, `.o!., YZ`, `.Y??, `.log, `.trace y `.@:<, y os drectoros =tmp,
=temp y =cac$e.
DhomesE
browseable ) no
writable ) yes
recycle"versions ) :es
recycle"keeptree ) :es
re6y6)e?e;6)5e = @.2/.1@.2e/.1@.o1@.o!K1^_@1@.^``1@.)o71@.2r46e1@.TM8
re6y6)e?e;6)5e5#r = +2/.1+2e/.1+6463e
S no se quere que se guarden versones dstntas de archvos con e msmo nombre, para agunas
extensones, es posbe hacero defnendo e parmetro recycle-noversions y una sta de
extensones de archvos separados por tuberas (h). En e sguente e|empo, se ndca que no se
guarden dferentes versones de archvos con e msmo nombre que tengan as extensones `.doc,
`.ppt, `.dat y `.ini.
DhomesE
browseable ) no
writable ) yes
recycle"exclude ) O@tmpÔ@tempÔ@oÔ@obM^TFOÔ@TjjÔ@logÔ@traceÔ@/,;
recycle"excludedir ) /tmp^/temp^/cache
re6y6)e?no"ers#ons = @.5o61@...21@.5421@.#n#
344
Tambn es posbe defnr un mnmo y un mxmo de tamao en !ytes a travs de os
parmetros recycle-minsi8e, que defne un tamao mnmo, y recycle-ma2si8e, que defne un
tamao mxmo. Cuaquer archvo que est fuera de estos mtes estabecdos, ser emnado
permanentemente de forma nmedata. En e sguente e|empo se defne que soo podrn ser
envados a a <apelera de 'ecicla.e os archvos que tengan un tamao mnmo de 10 bytes y un
tamao mxmo de 5120 bytes (5 MB)
DhomesE
browseable ) no
writable ) yes
recycle"exclude ) O@tmpÔ@tempÔ@oÔ@obM^TFOÔ@TjjÔ@logÔ@traceÔ@/,;
recycle"excludedir ) /tmp^/temp^/cache
recycle"noversions ) O@docÔ@pptÔ@datÔ@ini
re6y6)e?/#ns#Be = -$
re6y6)e?/4;s#Be = 5-,$
47.3. Aplicando los cam!ios.
Para hacer que os cambos hechos surtan efecto tras modfcar a confguracn, utce:
service smb restart
Con a fnazad de reazar pruebas, genere con e mandato ec$o de sstema un archvo
denomnado prue!a.t2t:
echo *archivo de pruebas* R prueba@txt
S an no exstera, genere a usuaro &ulano:
useradd !ulano
Utce e mandato sm!passPd y asgne +*3#Pe como cave de acceso a usuaro &ulano:
smbpasswd a !ulano
Acceda con sm!client haca e servdor >am!a con e usuaro &ulano:
smbclient //156@#@#@1/!ulano =!ulanoV15?Jwe
$omain)D,#6>E .S)D=nixE Server)DSamba ?@5@#rc11>@7@el8@alE
smb" R
345
Utzando e mandato put de intrprete >:B, suba e archvo prue!a.t2t a drectoro persona
de fuano:
smb" R .2 .re!4.2;2
smb" R put prueba@txt
putting !ile prueba@txt as prueba@txt (#B> kb/s) (average #B> kb/s)
smb" R
Vsuace e contendo de drectoro actua desde e intrprete >:B utzando e mandato
dirpara verfcar que se ha subdo e archvo prue!a.t2t:
smb" R 5#r
smb" R dir
@ $ # 2ed aun 14 5#">>"?7 5##4
@@ $ # 2ed aun 14 5#"#>"1> 5##4
@bashrc 1 15> 2ed aun 14 5#"#>"1> 5##4
@bash-pro!ile 1 166 2ed aun 14 5#"#>"1> 5##4
@bash-logout 1 5> 2ed aun 14 5#"#>"1> 5##4
prueba@txt 3 17 2ed aun 14 5#">>"?7 5##4
?>16? blocks o! siCe 85>544@ 151>? blocks available
smb" R
Emne e archvo prue!a.t2t utzando e mandato de desde e intrprete >:B:
smb" R 5e) .re!4.2;2
smb" R
Vsuace de nuevo e contendo de drectoro con e mandato dir, o cua debe devover una sada
smar a a sguente donde ha desaparecdo e archvo prue!a.t2t y ahora aparece e drectoro
'ecycle Bin:
smb" R 5#r
@ $ # 2ed aun 14 5#"85">7 5##4
@@ $ # 2ed aun 14 5#"#>"1> 5##4
@bashrc 1 15> 2ed aun 14 5#"#>"1> 5##4
@bash-pro!ile 1 166 2ed aun 14 5#"#>"1> 5##4
@bash-logout 1 5> 2ed aun 14 5#"#>"1> 5##4
@Cshrc 1 684 2ed aun 14 5#"#>"1> 5##4
@kde $1 # 2ed aun 14 5#"#>"1> 5##4
@emacs 1 818 2ed aun 14 5#"#>"1> 5##4
Re6y6)e B#n $ # 2ed aun 14 5#"85">7 5##4
?>16? blocks o! siCe 85>544@ 151>? blocks available
smb" R
Acceda a drectoro 'ecycle Bin utzando e mandato cd:
346
smb" R smb" R 65 "Re6y6)e B#n"
Vsuace e contendo con e mandato dir, o cua debe devover una sada smar a a sguente
donde se muestra que e archvo prue!a.t2t, que fue emnado con e mandato del, ahora est
dentro de drectoro 'ecycle Bin.
smb" Re6y6)e B#nR 5#r
@ $ # 2ed aun 14 5#"85">7 5##4
@@ $ # 2ed aun 14 5#"85">7 5##4
.re!4.2;2 3 17 2ed aun 14 5#">>"?7 5##4
?>16? blocks o! siCe 85>544@ 151>1 blocks available
Para sar de intrprete >:B utce e mandato e2it:
smb" Recycle 9inR e;#2
347
49. Cmo instalar y con&igurar >am!a(Fscan en
Cent0> 5.
49.+. %ntroduccin.
49.*. Acerca de >am!a(Fscan.
>am!a(Fscan es un nteresante mduo desarroado por 0penAntivirus, como una prue!a de
concepto de mduo para e sstema de archvos vrtua de >am!a. Su desarroo an est en fase
expermenta, pero es o sufcentemente estabe para e uso daro, con un mnmo de faas.
Adems de ClamAF, ncuye soprote para otros antvrus como EGB"DF AntiFir (versn
servdor), F(<rot Daemon, >ymantec AntiFirus, IaspersKy AntiFirus, @rend :icro
File>canner=%nter>can FirusWall, )A%=:cA&ee uvscan y F(>ecure AntiFirus.
Este documento descrbe e procedmento de nstaacn y confguracn de >am!a(Fscan
utzando ClamAF y requere haber reazado prmero os procedmentos descrtos en e
documento de Alcance i!re ttuado HCmo con&igurar ClamdJ.
Es mportante seaar que sam!a(vscan O.3.6cBeta5 es ncompatbe con >am!a 3.*.2 y
versones posterores ()ota usuarios e#uipamiento lgico de Alcance i!re- samba-vscan
0.3.6cBeta5 es compatbe con A >erver, pero es ncompatbe con A DesKtop).
49.3. %nstalacin de e#uipamiento lgico necesario.
Instaar prmero os paquetes gcc, gbc-deve, camav-deve, pcre-deve y rpm(!uild. Este tmo
ser utzado para crear a estructura de drectoros de rpm!uild y que soo sern necesaros para
nstaar y preparar os fuentes RPM.
yum y install gcc glibcdevel rpmbuild clamavdevel pcredevel
Se debe descargar e paquete de fuentes de Samba de a sguente forma:
wget http"//mirrors@kernel@org/centos/8/updates/SR;,S/samba?@#@541@el8-5@1@src@rpm
Instaar e cdgo fuente:
348
rpm ivh samba?@#@541@el8-5@1@src@rpm
Cambarse a drectoro de archvos de especfcacn:
cd /usr/src/redhat/S;%(S/
Utzar rpmbud con as opcones (!p para descomprmr os fuentes de Samba.
rpmbuild bp samba@spec
Cambarse a subdrectoro sam!a(3.O.*9=source= que se encuentra dentro de drectoro de
compacn:
cd /usr/src/redhat/9='0$/samba?@#@54/source/
E|ecutar .=con&igure dentro de drectoro =usr=src=red$at=B,%D=sam!a(3.O.*9=source=.
@/con!igure
Lo anteror demorar agunos mnutos en competarse.
E|ecutar e mandato maKe proto para compar o mnmo necesaro para posterormente compar
>am!a(Fscan:
make proto
Cambarse a drectoro ..=e2amples=FF>=:
cd @@/examples/&<S
Descargar a versn O.3.6cBeta5 de >am!a(Fscan.
wget http"//www@openantivirus@org/download/sambavscan#@?@6cbeta8@tar@gC
Descomprmr sam!a(vscan(O.3.6c(!eta5.tar.g8:
tar Cxv! sambavscan#@?@6cbeta8@tar@gC
Cambarse a drectoro sam!a(vscan(O.3.6c(!eta5=:
cd sambavscan#@?@6cbeta8/
E|ecutar dentro de este drectoro .=con&igure:
@/con!igure
E|ecutar maKe clamav:
349
make clamav
Instaar vscan(clamav.so en =usr=li!=sam!a=v&s=:
install vscanclamav@so /usr/lib/samba/v!s/
Instaar clamav=vscan(clamav.con& en =etc=sam!a=:
install m #6>> clamav/vscanclamav@con! /etc/samba/
Es mportante menconar que e procedmento de compacn de sam!a(vscan debe repetirse
cada vez que se actuace Samba, de otra manera este servco de|ar de funconar.
S se sgu a pe de a etra a confguracn de Camd en e documento de Alcance i!re ttuado
HCmo con&igurar ClamdJ, edtar =etc=sam!a=vscan(clamav.con& y defnr
=var=run=clamd.local$ost=clamd.socK como zcao en e parmetro clamd socKet name.
Y socket name o! clamd (de!ault" /var/run/clamd)@ Setting will be ignored i!
Y libclamav is used
clamd socket name ) /var/run/clamd
Tambn es mportante defnr un drectoro para cuarentena de archvos nfectados a travs de
parmetro #uarantine directory. La recomendacn es utzar cuaquer otro drectoro dstnto
de =tmp y que haya sdo creado especfcamente para este fn.
Y where to put in!ected !iles you really want to change thisd
Juarantine directory ) /tmp
Y pre!ix !or !iles in Juarantine
Juarantine pre!ix ) vir
Para utzar sam!a(vscan en a confguracn de Samba, se aaden as sguentes dos neas a
cada recurso compartdo, defndo en e archvo =etc=sam!a=sm!.con&, donde se desee utzar
proteccn con antvrus:
v!s obMect ) vscanclamav
vscanclamav" con!ig!ile ) /etc/samba/vscanclamav@con!
E|empos:
DhomesE
browseable ) yes
writable ) yes
DpublicoE
comment ) $irectorio p`blico
path ) /var/samba/publico
writable ) no
printable ) no
browseable ) yes
350
public ) yes
Para probar, puede utzarse e archvo de prueba Ecarcom2 a travs de sm!client o ben nterfaz
grfca desde Lnux con Nautus o ben desde Wndows con Exporador de Wndows, sobre
cuaquer recurso compartdo que haya sdo confgurado con >am!a(Fscan.
351
4S. Cmo con&igurar >am!a como cliente o
servidor W%)>.
Sitio de Red:ttp*++))).alcancelibre.org+
4S.+. %ntroduccin.
W%)> (Wndows %nternet )ame >ervce) es un servdor de nombres de para NetBIOS, que se
encarga de mantener una taba con a correspondenca entre dreccones IP, y nombres )etB%0>,
de os equpos que conforman a red oca. Esta sta permte ocazar rpdamente a otro equpo
dentro de a red. A utzar un servdor W%)> se evta e reazar bsquedas nnecesaras a travs
de dfusn (!roadcast) reducendo sustancamente e trfco de red. La resoucn de nombres
em >am!ase eva a cabo reazando consutas en e sguente orden:
+. Servdor W%)>
*. Informacn de archvo =etc=sam!a=lm$osts
3. Informacn de archvo =etc=$osts
4. Dfusn (!roadcast)
Este documento consdera que usted ya ha edo prevamente, a detae, y en su totadad, e
servdor de archvos.
4S.*. <rocedimientos.
Todos os parmetros descrtos a contnuacn, se defnen en a seccn Tglo!alU de archvo
=etc=sam!a=sm!.con&.
vim /etc/samba/smb@con!
4S.*.+. <ar;metros Pins serverL y Pins support.
Se puede defnr que e servdor >am!a recn confgurado se converta en un servdor W%)>, o
ben utzar un servdor W%)> ya exstente. )o es posi!le ser clienteL y servidor al mismo
tiempo. Los parmetros Pins server, y Pins support, que se defnen en a seccn Tglo!alU de
archvo =etc=sam!a=sm!.con&, son mutuamente excuyentes.
S e sstema va ser utzado como servdor W%)>, debe habtarse e parmetro Pins support
con e vaor yes:
wins support ) :es
352
S e sstema va a utzar un servdor W%)> e2istente, debe habtarse e parmetro Pins
server, y como vaor se especfca a dreccn IP que utce e servdor W%)>. En e sguente
e|empo se defne a sstema con dreccn IP +S*.+69.+.+ como servdor W%)>:
wins server ) 175@164@1@1
4S.*.*. <ar;metro name resolve order
Defne en >am!a e orden de os mtodos a travs de os cuaes se ntentar resover os nombres
)etB%0>. Pueden defnrse hasta hasta cuatro vaores: wns, mhosts, hosts, y bcast, como se
muestra en e sguente e|empo.
name resolve order ) wins lmhosts hosts bcast
4S.*.3. <ar;metro Pins pro2y.
Cuando su vaor es yes, permte a >am!a como servdor ntermedaro (pro2y) para otro servdor
W%)>.
wins proxy ) yes
E vaor predetermnado de este parmetro es no.
4S.*.4. <ar;metro dns pro2y.
Cuando su vaor es yes, permte a >am!a reazar bsquedas en un servdor D)> s e es
mposbe determnar un nombre a travs de un servdor W%)>.
dns proxy ) yes
E vaor predetermnado de este parmetro es no.
4S.*.5. <ar;metro ma2 ttl.
E parmetro ma2 ttl defne e mxmo tempo de vda en segundos para os nombres )etB%0>
que han sdo consutados como cente W%)> en un servdor W%)>. su vaor predetermnado es
*5S*OO, que corresponde a tres das. <or lo general no es necesario modi&icar este
par;metro. S as dreccones IP de os equpos que ntegran a red oca camban demasado
frecuentemente, puede reducrse este tempo. En e sguente e|empo, se defnen 48 horas como
tempo mxmo de vda para os nombres )etB%0>:
max ttl ) 46>##
353
4S.*.6. <ar;metros ma2 Pins ttl y min Pins ttl.
Los parmetros ma2 Pins ttl, y min Pins ttl, corresponden a os tempos mxmo, y mnmo,
respectvamente, en escaa de segundos, que tendrn de vda os nombres )etB%0> que han sdo
asgnados por e servdor >am!a. E vaor predetermnado de ma2 Pins ttl, es 5+94OO, es decr,
6 das, y e vaor predetermnado de min Pins ttl, es *+6OO, es decr, 6 horas. <or lo general no
es necesario modi&icar estos par;metros. S as dreccones IP de os equpos que ntegran a
red oca camban muy frecuentemente, pueden modfcarse estos tempos. En e sguente
e|empo se redundan os vaores predetermnados:
max wins ttl ) 814>##
min wins ttl ) 516##
4S.3. Aplicando los cam!ios.
Para hacer que os cambos hechos surtan efecto tras modfcar a confguracn, rence os
servcos sm! y nm!:
service smb restart
service nmb restart
354
5O. a ingeniera social y los TincorrectosU
$;!itos del usuario
50.1. Introduccn.
E tan de Aques de cuaquer red o componen os usuaros que a ntegran. La me|or tecnooga
y segurdad de mundo es nservbe cuando un usuaro es ncapaz de mantener en secreto una
cave de acceso o nformacn confdenca. Es por ta motvo que tene partcuar reevanca e
mpusar una cutura de concencar a os usuaros acerca de os pegros de a Ingenera Soca en
a segurdad nformtca. E ms cebre persona|e que utz sta tan extosamente que durante
agn tempo se convrt en e hombre ms buscado por e FBI fue Kevn Mtnck.
Dngeniera "ocial es la prctica de obtener informaci#n confidencial a travs de la manipulaci#n de usuarios legtimos. :n ingeniero social usar
comBnmente el telfono o Dnternet para enga!ar a la gente y llevarla a revelar informaci#n sensible, o bien a violar las polticas de seguridad
tpicas. %on este mtodo, los ingenieros sociales aprovecan la tendencia natural de la gente a confiar en su palabra, antes que aprovecar
agujeros de seguridad en los sistemas informticos. Neneralmente se est de acuerdo en que Olos usuarios son el eslab#n dbilP en seguridadQ
ste es el principio por el que se rige la ingeniera social.
Wkpeda, a enccopeda bre.
Cscos e|empos de ataques extosos aprovechando a ngenera soca es e envo de os
ad|untos en e correo eectrnco (vrus, troyanos y gusanos) que pueden e|ecutar cdgo macoso
en una estacn de traba|o o computadora persona.
Lo anteror fue o que obg a os proveedores de equpamento gco a desactvar e e|ecucn
automtca de os ad|untos a abrr e mensa|e de correo eectrnco, por o que es necesaro que e
usuaro actve esta funconadad de modo expcto a fn de vover a ser vunerabe. Sn embargo,
a mayora de os usuaros smpemente hacen cc con e ratn a cuaquer cosa que egue en e
correo eectrnco, hacendo que ste mtodo de ngenera soca sea extoso.
Otro tpo de ataque de ngenera soca, e ncrebemente e ms fc de reazar, consste en
engaar a un usuaro hacndoe pensar que se trata de un admnstrador de a red donde se
abora soctando caves de acceso u otro tpo de nformacn confdenca. Buena parte de correo
eectrnco que ega a buzn de usuaro consste de engaos soctando caves de acceso,
nmero de tar|eta de crdto y otra nformacn, hacendo pensar que es con una fnadad
egtma, como sera e caso de reactvar o crear una cuenta o confguracn. Este tpo de ataque
se conoce actuamente como pising (pesca).
Lamentabemente muchos estudos muestran que os usuaros tenen una pobre concenca acerca
de a mportanca de a segurdad. Una encuesta de InfoSecurty arro| como resutados que 90%
de os ofcnstas reveara una cave de acceso a cambo de un bografo.
355
Un tpo de ngenera soca muy efectvo es ncur grandes cantdades de texto a un acuerdo de
cencamento. La gran mayora de os usuaros, ncuyendo admnstradores, rara vez een squera
una paabra contenda en dcho texto y sencamente dan cc en a aceptacn de cencamentos
y acuerdos. Esto reguarmente es aprovechado por Adware (equpamento gco que despega
anuncos comercaes) y Spyware (equpamento gco que espa a actvdad de usuaro). En
Latno Amrca este probema es an mayor debdo a vergonzoso y pobre ndce de ectura
(menos de un bro por ao).
La prncpa defensa contra a ngenera soca es a educacn de usuaro, empezando por os
propos admnstradores de redes. La me|or forma de combatr a ngenera soca es a prevencn.
5O.*. 'ecomendaciones para evitar ser vctimas de la
ingeniera social a travs del correo electrnico.
No utzar cuentas de correo eectrnco para uso persona para asuntos aboraes.
No utzar cuentas de correo eectrnco destnadas para uso abora para asuntos
personaes.
Adestrar a os usuaros para |amas pubcar cuentas de correo en reas pbcas que
permtan sean cosechadas por software para este fn.
Adestrar a usuaro para no pubcar cuentas de correo eectrnco en ugares pbcos.
Adestrar a usuaro para evtar proporconar cuentas de correo eectrnco y otros datos
personaes a personas u entdades que puedan utzar estos con otros fnes.
Evtar pubcar dreccones de correo eectrnco en formuaros destnados a recabar datos
de os centes utzando formuaros que ocuten a dreccn de correo eectrnco.
S es nevtabe, utzar una cuenta destnada y dedcada para ser mostrada a travs de
HTTP.
Adestrar a usuaro a utzar caves de acceso ms compe|as.
Adestrar a usuaro a no abrr y dar cc a todo o que egue por correo.
Adestrar a usuaro para |ams responder a un mensa|e de spam.
Adestrar a usuaro a no hacer cc en os enaces en os mensa|es de spam y que pueden
ser utzados para confrmar a spammer que se trata de una cuenta de correo actva.
356
5+. Cmo instalar y con&igurar >pamassassin.
5+.+. %ntroduccin.
5+.+.+. Acerca de >pamAssassin.
>pamAssassin es una mpementacn que utza un sstema de puntuacn, basado sobre
agortmos de tpo gentco, para dentfcar mensa|es que puderan ser sospechosos de ser correo
masvo no soctado, aadendo cabeceras a os mensa|es de modo que pueda ser ftrados por e
cente de correo eectrnco o :,A (:a ,ser Agent).
URL: http://spamassassn.apache.org/
5+.+.*. Acerca de <rocmail.
Procma es un programa que funcona como :DA (:a Devery Agent, o Agente de Entrega de
Correo) que se utza para gestonar a entrega de correo oca en e sstema. Adems de o
anteror, permte tambn reazar ftracn automtca de correo eectrnco, pre-ordenamento y
otras tareas.
Procma puede ser utzad ndstnta con Sendma y Postfx.
URL: http://www.procma.org
5+.*. "#uipamiento lgico necesario.
5+.*.+. %nstalacin a travs de yum.
S dspone de un servdor con Cent0> 5 o 6 o ben 'ed Eata "nterprise inu2 5 o 6, puede
utzar e sguente mandato:
yum y install spamassassin procmail
S se utza Sendma como servdor de correo eectrnco, procmail ya debe estar nstaado, pues
es dependenca de paquete sendmail. S se utza Postfx como servdor de correo eectrnco, es
necesaro edtar e archvo =etc=post&i2=main.c& y aadr o descomentar mail!o2Qcommand
R =usr=!in=procmail, o ben smpemente e|ecutar os sguentes dos mandatos.
postcon! e Xmailbox-command ) /usr/bin/procmailX
service post!ix restart
357
S se quere nstaar paquetes adconaes para ncrementar as capacdades de ftrado de
Spamassassn, se pude crear e archvo =etc=yum.repos.d=A(>erver.repo. S dspone de un
servdor con Cent0> 5 y 6 o 'ed Eata "nterprise inu2 4 y 5, puede utzar e e amacn YUM
de Alcance i!re para servdores en produccn, descargando e archvo
$ttp-==PPP.alcanceli!re.org=al=server=A(>erver.repo dentro de drectoro
=etc=yum.repos.d=:
cd /etc/yum@repos@d/
wget + http"//www@alcancelibre@org/al/server/30Server@repo
cd
Este archvo, que se guarda como =etc=yum.repos.d=A(>erver.repo, debe tener e sguente
contendo:
D30ServerE
gpgcheck)1
Hecho o anteror, ser posbe nstaar os paquetes perl(:ail(><F, perl('a8or(Agent, py8or,
spamassassin(Fu88y0cr, popler(utils y re*c:
yum y install perl,ailS;< perlRaCor3gent pyCor
yum y install spamassassin<uCCy.cr popplerutils re5c
5+.3. >"inu2 y el servicio spamasssassin.
5+.3.+. <olticas de >"linu2.
A fn de que SELnux permta a servco spamassassin conectarse a servcos externos, como
'a8or o <y8or, utce e sguente mandado:
setsebool ; spamassassin-can-network 1
A fn de que SELnux permta a os usuaros de sstema utzar spamassassin desde sus
drectoros de nco, utce e sguente mandato:
setsebool ; spamd-enable-home-dirs 1
S se desea desactvar toda gestn de SELnux sobre e servco spamassassin, hacendo que
todo o anteror perda sentdo y emnando a proteccn que brnda esta mpementacn, utce
e sguente mandato:
setsebool ; spamd-disable-trans 1
5+.3.*. 0tros a.ustes de >"inu2.
A fn de que SELnux permta a spamassassin aadr regstros a a btcora de servco de 'a8or,
es necesaro generar una nueva potca.
358
Genere un nuevo drectoro denomnado =usr=s$are=selinu2=pacKages=spamd:
mkdir +sr+s34re+se)#n;+.46:47es+s.4/5
Cambarse a drectoro =usr=s$are=selinu2=pacKages=spamd:
cd +sr+s34re+se)#n;+.46:47es+s.4/5
S se utza Cent0> 6 o 'ed Eat "nterprise inu2 6, Descargar e archvo
$ttp-==PPP.alcanceli!re.org=linu2=secrets=el6=spamd.te:
wget http"//www@alcancelibre@org/linux/secrets/el6/spamd@te
Edtar e archvo recn descargado:
vim spamd@te
Asegurarse que tenga e sguente contendo:
module spamd 1@#Y
reJuire Z
type spamc-tY
type admin-home-tY
type sendmail-tY
type spamd-tY
type root-tY
class lnk-!ile readY
class !i!o-!ile writeY
class !ile Z ioctl read open getattr append [Y
[
A))))))))))))) spamd-t ))))))))))))))
allow spamd-t root-t"!ile Z ioctl append [Y
allow spamd-t admin-home-t"!ile Z read ioctl open getattr append [Y
A))))))))))))) spamc-t ))))))))))))))
allow spamc-t sendmail-t"!i!o-!ile writeY
allow spamc-t admin-home-t"!ile Z read open [Y
Lo anteror fue obtendo de a sada de mandato dmesghgrep audithaudit*alloP (m
spamdispamd.te en un sstema donde SELnux mpeda a spamassassin reazar escrtura
sobre a btcora de Razor. En s, defne que se permta aadr contendo a archvo =ra8or(
agent.log.
S se utza Cent0> 5 o 'ed Eat "nterprise inu2 5, Descargar e archvo
$ttp-==PPP.alcanceli!re.org=linu2=secrets=el5=spamd.te:
wget http"//www@alcancelibre@org/linux/secrets/el8/spamd@te
359
vim spamd@te
module spamd 1@#Y
reJuire Z
type spamc-tY
type sendmail-tY
type spamd-tY
type root-tY
class !ile Z ioctl append [Y
[
A))))))))))))) spamd-t ))))))))))))))
A))))))))))))) spamc-t ))))))))))))))
A contnuacn, se genera un e archvo de mduo para SELnux (spamd.mod) utzando e
mandato c$ecKmodule de a sguente forma:
checkmodule , m o spamd@mod spamd@te
Luego, se procede a empaquetar e archvo spamd.mod como e archvo spamd.pp:
semodule-package o spamd@pp m spamd@mod
Fnamente se vncua e archvo spamd.pp obtendo con as potcas actuaes de SELnux y se
cargan stas en e nceo en e|ecucn:
semodule i /usr/share/selinux/packages/spamd/spamd@pp
Una vez cargadas as nuevas potcas, se pueden emnar os archvos spamd.te y spamd.mod,
pues soo ser necesaro que exsta e archvo bnaro spamd.pp.
5+.4. <rocedimientos.
5+.4.+. %niciar el servicio y aadirlo a los servicios de arran#ue del
sistema.
chkcon!ig spamassassin on
service spamassassin restart
Cabe seaar, que soo es necesaro utzar e servco spamassassin s e servdor de correo
eectrnco dspone de una gran cantdad de usuaros, o ben tene una eevada cantdad de
trfco. S se dspone de pocos usuaros, es posbe utzar e mandato spamassassin a travs de
archvo =etc=procmailrc o ben Y=.procmailrc.
360
5+.4.*. Con&iguracin de <rocmail.
Hay tres formas de utzar Procma para hacer uso de Spamassassn.
5+.4.*.+. ,tili8ando el mandato spamassassin.
La forma ms smpe de utzar Spamassassn es hacendo uso de mandato spamassassin.
Funcona ben soo s se tenen pocos usuaros, pues genera una nstanca de ste cada vez que se
utza o ega un mensa|e de correo eectrnco a sstema. La sguente es a confguracn
recomendada para e archvo =etc=procmailrc, s se desea que apque a todos os usuaros de
sstema, o ben e archvo Y=.procmailrc de drectoro de nco de un usuaro en partcuar, s soo
se desea que sea utzado por agunos usuaros:
"#!w
^ /usr/bin/spamassassin
S se dspone de muchos usuaros, es ms convenente utzar e mandato spamc, msmo que
requere est funconado e servco spamassassin. La sguente es a confguracn recomendada
para e archvo =etc=procmailrc, s se desea que apque a todos os usuaros de sstema, o ben e
archvo Y=.procmailrc de drectoro de nco de un usuaro en partcuar, s soo se desea que sea
utzado por agunos usuaros:
"#!w
^ /usr/bin/spamc
Todo o anteror hace que e correo eectrnco sea examnado y marcado como "pam s acanza
una cantdad sufcente de puntos. S se desea reazar un ftrado envando e correo cafcado
como "pam haca una capeta de correo (Y=mail=>pam), se puede utzar o sguente:
"#!w
^ /usr/bin/spamc
A 0os mensaMes marcados como spam se almacenan en carpeta de spam
?$?
@ aX-S.4/-S242s? Wes
_EOME+/4#)+S.4/
5+.4.3. Con&iguracin del arc$ivo =etc=mail=spamassassin=local.c&.
Se pueden confgurar y aadr parmetros con vaores en e archvo
=etc=mail=spamassassin=local.c&, donde, entre muchos otros, se pueden estabecer os
sguentes:
requred_hts Se utza para estabecer a cantdad de puntos
acumuados, y asgnados por >pamAssassin, en un
mensa|e para consderar e ste como Spam. E vaor
predetermnado es 5, acepta decmaes y se puede a|ustar
con un vaor nferor o mayor de acuerdo a crtero de
admnstrador. E|empo: 4.5
report_safe Determna s e mensa|e, s es cafcado como spam, se
ncuye en un ad|unto, con e vaor 1, o se de|a e mensa|e
361
ta y como est, con e vaor 0. E vaor predetermnado es
O.
rewrte_header Defne con que cadena de caracteres se aadr a mensa|e
para dentfcaro como Spam. E vaor predetermnado es
T><A:U, y puede cambarse por o que consdere apropado
e admnstrador. E|empo: rePriteQ$eader >u!.ect
T>pam?U
whtest_from Se utza para defnr que |ams se consdere como Spam
os mensa|es de correo eectrnco cuyo remtente sea un
domno o cuenta de correo eectrnco en partcuar. Se
pueden defnr varas neas. E|empo:
whtest_from *@mdomno.ago
whtest_from *@acancebre.org
whtest_from 201.161.1.226
whtest_to S utza una sta de correo eectrnco (ma.ordomo o
mailman), y se desea evtar que accdentamente se
consdere Spam un mensa|e de correo eectrnco emtdo
por una de estas stas, se puede defnr que nunca se
consdere Spam e correo emtdo por dcha sta. E|empo:
whtest_to maman-users@ago.ago
backst_from Se puede defnr que todo e correo eectrnco provenente
de un domno o cuenta de correo eectrnco en partcuar
sempre sea consderado como Spam. E|empo:
backst_from aguen@spammer.com
Hay una herramenta de confguracn de SpamAssassn, que permte generar e archvo
=etc=mail=spamassassin=local.c&, en http://www.yrex.com/spam/spamconfg.php.
De prmera nstanca, aada a archvo =etc=mail=spamassassin=local.c& sus dreccones IP
ocaes con e parmetro P$itelistQ&rom. E|empo:
A /hese values can be overridden by editing T/@spamassassin/user-pre!s@c!
A (see spamassassin(1) !or details)
A /hese should be sa!e assumptions and allow !or simple visual si!ting
A without risking lost emails@
reJuired-hits 8
report-sa!e #
rewrite-header SubMect DS;3,E
*3#2e)#s2_<ro/ -,I.$.$-
*3#2e)#s2_<ro/ -%,.-'8.-.%-
*3#2e)#s2_<ro/ ,$-.-'-.-.,,'
S se utza e mandato spamassassin en e archvo =etc=procmailrc o Y=.procmailrc, os
cambos surten efecto de nmedato. S se utza e mandato spamc, para que surtan efecto os
cambos se requere rencar e servco spamassassin:
362
5+.5. Conse.os para sacarle me.or provec$o a >pamassassin
utili8ando sa(learn.
Muchos admnstradores de servdores utzan Spamassassn para ftrar os mensa|es de correo
eectrnco que egan a sus servdores. S embargo, son muy pocos os que conocen y utzan a
herramenta sa(learn, ncuda con >pamassassin, msma que srve para entrenar y ensear a
dentfcar spam (o correo catarra) a propo >pamassassin.
Esencamente, e mandato sa(learn srve para entrenar a componente casfcador Bayesano de
Spamassassn.
La forma que sugero utzaro consste en utzar e cente de correo eectrnco y mover todos
os mensa|es que se consderen como spam a una carpeta destnada para ta fnadad, como por
e|empo Y=mail=>pam, y mover de a carpeta de spam todos aqueos mensa|es que se consderan
como egtmos a cuaquer otra carpeta de correo o ben e buzn de entrada.
Acto segudo, se utza e mandato sa(learn, con as opcones ((spam, para ndcar que se trata
de mensa|es de spam, y a opcn ((m!o2, para ndca que se trata de un buzn de correo en
formato m!o2, o cua permtr examnar todos os mensa|es contendos en ste:
salearn spam mbox T/mail/Spam
Para que os mensa|es que se casfcaron ncdentamente como spam, y que fueron movdos a
otra carpeta 8como por e|empo Y=mail=:ensa.es), o ben e buzn de entrada
(=var=spool=mail=usuario), se utza e mandato sa(learn con as opcones (($am, para ndcar
que es correo egtmo y que se debe de|ar de consderar ste como spam, y a opcn ((m!o2,
para ndca que se trata de un buzn de correo en formato m!o2, o cua permtr examnar todos
os mensa|es contendos en ste:
salearn ham mbox T/mail/,ensaMes
salearn ham mbox /var/spool/mail/usuario
De este modo, y consderando que e archvo Y=.promailrc, o cua soo apcara para e usuaro
utzado, o ben =etc=procmailrc, s se desea que apque para todos os usuaros de servdor,
contene ago smar a o sguente:
,3'0$'R)F1.,%/mail
0.I<'0%)F1.,%/mail/log
A send mail through spamassassin
"#!w
^ /usr/bin/spamassassin
A,ensMes marcados como spamB ponerlos en carpeta de spam
"#"
O WXSpamStatus" :es
Spam
Se consegur que a mayora os mensa|es de spam smares a os que se moveron a a carpeta
Y=mail=>pam, en adeante sern ms fces de dentfcar y ftrar, y os mensa|es que
ncdentamente se casfcaron como spam, de|arn de ser casfcados como taes, o ben ser
ms dfc que sean casfcados como spam.
363
Todo o anteror puede ser utzado como e usuaro root, o cua hara que os nuevos ftros
creados a entrenar a >pamassassin apquen para todos os usuaros, o ben como cuaquer
usuaro, o cua soo tendran efecto para ste en partcuar.
S aguen tene nters en aprender ms acerca de mandato sa(learn, puede hacero consutando
desde una termna de texto e|ecutando man sa(learn.
5+.6. %ncrementando las capacidades de &iltrado de
>pamassasin.
A fn de enrquecer a capacdad de deteccn de spam de >pamassassin, pueden nstaarse
paquetes opconaes como perl(:ail(><F, perl('a8or(Agent. Los tres brndan capacdades
adconaes de ftracn de spam, descrtas ms adeante, y pueden contrbur de manera
sgnfcatva a reducr a cantdad de spam que de otro modo podra pasar por ato
>pamassassin.
Para os todos os procedmentos descrtos a contnuacn, se consdera que en e servdor de
correo eectrnco se utza como sstema operatvo Cent0> 5 y 6 o 'ed Eat "nterprise inu2
4 y 5, se tenen nstaados os paquetes procmail (requsto de paquete sendmail y opcona para
e paquete post&i2) y spamassassin y que se tene confgurado a menos o sguente en e
archvo =etc=procmailrc:
A send mail through spamassassin
"#!w
^ /usr/bin/spamc
A 0os mensaMes marcados como Spam se almacenan en carpeta T/mail/Spam
"#"
O WXSpamStatus" :es
F1.,%/mail/Spam
Prmeramente, y con a fnadad de actuazar e |uego de regas y ftros de Spamassassn, es
convenente utzar e mandato sa(update de vez en cuando, a o sumo una o dos veces a mes.
Los |uegos de regas y ftros de Spamassassn reamente sufren pocos cambos a o argo de ao y
se amacenan en un sub-drectoro dentro de =var=li!=spamassassin=. Soo es necesaro conservar
e sub-drectoro con a versn ms recente. E sguente mandato reazar a consuta y
actuazacn de regas y ftros de Spamassassn y rencar e servco soamente s se descarg
una actuazacn:
saupdate kk service spamassassin restart
Para nstaar e con|unto de paquetes que enrquecern as capacdades de ftrado de
>pamassassin, consderando que tene confgurados os amacenes YUM para AL Server de
Acance Lbre, e|ecute o sguente:
yum y install perl,ailS;< perlRaCor3gent pyCor
yum y install spamassassin<uCCy.cr popplerutils
S se utzan paquetes provenentes de otros depstos YUM dstntos a os de Acance Lbre, e
compemento para <y8or ncudo dentro de >pamassassin requerr adems e paquete perl(
Digest(>EA:
364
yum y install perl$igestS13
A fn de que >pamassassin pueda utzar os compementos que hacen uso de estas
mpementacones, es necesaro rencar e servco spamassassin:
5+.6.+. 0ptimi8ando >pamassassin.
S se tene un servdor de correo eectrnco con mucha carga de traba|o, convene optmzar
spamasassassin compando as regas de ste para convertras a formato bnaro. Para ta fn es
necesaro que est nstaados os paquetes re*c y gcc:
yum y install re5c gcc
Y enseguda se e|ecuta e mandato sa-compe:
sacompile
S a sntaxs de archvo =etc=mail=spamassassin=local.c& est correcta, e sstema debe reazar
a compacn y amacenar os bnaros dentro de =var=li!=spamassassin=compiled=. Lo anteror
deber ser repetdo cada vez que se reacen modfcacones de archvo
=etc=mail=spamassassin=local.c& o ben se actuace e con|unto de regas con e mandato sa(
update.
5+.6.*. <or #u <erl(:ail(><FL <erl('a8or(AgentL <y8orL >pamassassin(
Fu88y0cr y poppler(utils?
5+.6.*.+. <erl(:ail(><F.
<erl(:ail(><F Impementa una proteccn contra a fasfcacn de dreccones en e envo de
correo eectrnco conocda como ><F (>ender <ocy Framework o Conveno de Remtentes).
Funcona reazando consutas a os servdores DNS en busca de regstro TXT para ><F que
especfca os servdores de correo eectrnco autorzados para envar correo eectrnco para un
domno en partcuar.
Para que un domno en partcuar, o ben e propo domno, sea excudo de este tpo de ftracn,
requere contar con un regstro smar a sguente, o cua estabece que pre&erentemente se
descartan como emsores de correo eectrnco todos aqueos servdores que carezcan de regstro
tpo MX o tpo A:
dominio@com@ '+ /X/ *v)sp!1 a mx Tall*
O ben, s se quere ago ms estrcto, donde se descartan por competo como emsores de correo
eectrnco todos aqueos servdores que carezcan de regstro tpo MX o tpo A:
dominio@com@ '+ /X/ *v)sp!1 a mx all*
365
5+.6.*.*. <erl('a8or(Agent.
<erl('a8or(Agent es a mpementacn Per de 'a8or, que es una red dstrbuda y coaboratva
dedcada a a deteccn y ftracn de spam. Consste en un cataogo de propagacn de spam que
es actuazado constantemente. Se compementa de manera mutua con <y8or.
5+.6.*.3. <y8or.
<y8or es smar a 'a8or, y funcona de a msma forma como una red dstrbuda y coaboratva
dedcada a a deteccn y ftracn de spam. A dferenca de <erl('a8or(Agent, est escrto en
Python. Se compementa de manera mutua con 'a8or.
5+.6.*.4. >pamassassin(Fu88y0cr.
Suee haber casos en os cuaes se envan mensa|es de spam que soo ncuyen una magen
ncrustada en e mensa|e, con e fn de evadr os ftros de os servdores de correo eectrnco.
Fu88y0cr es un compemento (plugin) para >pamassassin e cua est enfocado sobre este tpo
de spam. Utza ?0C' (%=: &ptical Caracter Recognition, o Reconocmento Optco de
Caracteres de GNU) y otros mtodos para anazar e contendo de as mgenes y poder dstngur
entre correo ordnaro y correo spam.
5+.6.*.5. <oppler(utils.
Este con|unto de herramentas es utzado por Spamassassn para gestonar os contendos de os
documentos en formato PDF, partcuarmente as herramentas como pd&tops, pstopnm y
pd&in&o. Es atamente recomendado nstaaro.
366
5*. %ntroduccin a los protocolos de correo
electrnico.
5*.+. %ntroduccin.
5*.+.+. <reparativos.
A fn de poder reazar todas as pruebas correspondentes a cada protocoo, nstae con e
mandato yum os paquetes netcat (nc), dovecot, y post&i2, o ben sendmail.
S ege utzar sendmail, e|ecute o sguente:
yum y install nc dovecot sendmail
S ege utzar post&i2, e|ecute o sguente:
yum y install nc dovecot post!ix
S utza Cent0> 5, o 'ed Eat "nterprise inu2 5, omta e sguente paso. S utza Cent0> 6,
o 'ed Eat "nterprise inu2 6, edte e archvo =etc=dovecot=con&.d=+O(mail.con&:
vim /etc/dovecot/con!@d/1#mail@con!
Arededor de a nea 30 de archvo =etc=dovecot=con&.d=+O(mail.con&, estabezca
m!o2-Y=mail-%)B0DR=var=mail=Vu como vaor de parmetro mailQlocation.
A See doc/wiki/&ariables@txt !or !ull list@ Some examples"
A
A mail-location ) maildir"T/,aildir
A mail-location ) mbox"T/mail"'+9.X)/var/mail/Vu
A mail-location ) mbox"/var/mail/Vd/V1n/Vn"'+$%X)/var/indexes/Vd/V1n/Vn
A
A _doc/wiki/,ail0ocation@txtR
A
mail-location ) /!o;?^+/4#)?LNBOX=+"4r+/4#)+b
Ince e servco dovecot:
367
service dovecot start
chkcon!ig dovecot on
Estabezca sendmail, o post&i2, como agente de transporte de correo (:@A, :a @ransport
Agent) predetermnado de sstema, utzando e mandato alternatives, de sguente modo:
alternatives con!ig mta
Lo anteror devover una sada smar a a sguente, donde deber eegr entre post&i2, y
sendmail como MTA predetermnado de sstema:
1ay 5 programas Jue proporcionan XmtaX@
SelecciQn (omando
1 /usr/sbin/sendmail@post!ix
ON 5 /usr/sbin/sendmail@sendmail
;resione 'ntro para mantener la selecciQn actualDNEB o escriba el n`mero de la selecciQn" 5
S eg utzar sendmail en ugar de post&i2, detenga este tmo (es e MTA predetermnado en
Cent0> 6, y 'ed Eat "nterprise inu2 6) e nce e servco sendmail:
service post!ix stop
chkcon!ig post!ix o!!
service sendmail start
chkcon!ig sendmail on
S eg utzar post&i2 en ugar de sendmail, detenga este tmo> (es e MTA predetermnado
en Cent0> 5, y 'ed Eat "nterprise inu2 5) e nce e servco post&i2:
service sendmail stop
chkcon!ig sendmail o!!
service post!ix start
chkcon!ig post!ix on
En todo momento podr conmutar de nuevo entre Sendma, o Postfx, como MTA predetermnado
de sstema, utzando este msmo procedmento.
5*.+.*. <rotocolos utili8ados.
5*.+.*.+. >:@< M>imple :ail @rans&er <rotocolN.
Es un protocolo est;ndar de Internet de )ivel de Aplicacin utzado para a transmsn de
correo eectrnco a travs de una conexn TCP/IP. Este es de hecho e nco protocoo utzado
para a transmsn de correo eectrnco a travs de Internet. Es un protocoo basado sobre texto,
y reatvamente smpe donde se especfcan uno ms destnataros en un mensa|e que es
transferdo. A o argo de os aos han sdo muchas as personas que han edtado, o contrbudo a
as especfcacones de >:@<, entre as cuaes estn |on Poste, Erc Aman, Dave Crocker, Ned
Freed, Randa Geens, |ohn Kensn, y Keth Moore.
368
Para determnar e servdor >:@< para un domno dado, se utzan os regstros :D (:a
E2changer) en a Zona de Autordad correspondente a ese msmo domno contestado por un
>ervidor D)>. Despus de estabecerse una conexn entre e remtente (e cente), y e
destnataro (e servdor), se nca una sesn >:@<, e|empfcada a contnuacn.
(liente"
F n6 -,I.$.$.- ,5
Servidor" /rying 156@#@#@1@@@
(onnected to localhost@localdomain (156@#@#@1)@
%scape character is XWEX@
55# nombre@dominio %S,/; Sendmail 4@1?@1/4@1?@1Y SatB 14 ,ar 5##6 16"#5"56 #6##
(liente" EELO )o64)3os2.)o64)5o/4#n
Servidor" 58# nombre@dominio 1ello localhost@localdomain D156@#@#@1EB pleased to meet you
(liente" MALL FROM?N<)4noO)o64)3os2.)o64)5o/4#nG
Servidor" 58# 5@1@# _!ulanoSlocalhost@localdomainR@@@ Sender ok
(liente" RC8T TO?Nroo2O)o64)3os2.)o64)5o/4#nG
Servidor" 58# 5@1@8 _rootSlocalhost@localdomainR@@@ Recipient ok
(liente" DATA
Servidor" ?8> %nter mailB end with *@* on a line by itsel!
(liente" S!Ke62? Mens4Ke 5e .re!4
Fro/? <)4noO)o64)3os2.)o64)5o/4#n
To? roo2O)o64)3os2.)o64)5o/4#n
Eo)4. Es2e es n /ens4Ke 5e .re!4.
A5#os.
.
Servidor" 58# 5@#@# k5',5RM3##?746 ,essage accepted !or delivery
(liente" ]ULT
Servidor" 551 5@#@# nombre@dominio closing connection
Servidor" (onnection closed by !oreign host@
La descrpcn competa de protocoo orgna >@:< est defndo en e 'FC 9*+, aunque e
protocoo utzado hoy en da, tambn conocdo como ">:@< ("xtended >mpe :a @ransfer
<rotoco), est defndo en e 'FC *9*+. >:@< traba|a sobre @C< en e puerto 25.
5*.+.*.*. <0<3 M<ost 0&&ice <rotocol version 3N.
Es un protocolo est;ndar de Internet de )ivel de Aplicacin que recupera e correo
eectrnco desde un servdor remoto a travs de una conexn TCP/IP desde un cente oca. E
dseo de <0<3, y sus predecesores es permtr a os usuaros recuperar e correo eectrnco a
estar conectados haca una red, y manpuar os mensa|es recuperados sn necesdad de
permanecer conectados. A pesar de que muchos centes de correo eectrnco ncuyen soporte
para de|ar e correo en e servdor, todos os centes de POP3 recuperan todos os mensa|es, y os
amacenan como mensa.es nuevos en a computadora, o anftrn, utzado por e usuaro,
emnan os mensa|es en e servdor, y termnan a conexn.
Despus de estabecerse una conexn entre e cente, y e servdor, se nca una sesn <0<3,
e|empfcada a contnuacn.
369
(liente"
F n6 -,I.$.$.- --$
N.H dovecot ready@
(liente" USER <)4no
Servidor" N.H
(liente" 8ASS clave de accceso
Servidor" N.H 0ogged in@
(liente" STAT
Servidor" N.H 1 654
(liente" LLST
Servidor" N.H 1 messages"
1 654
@
(liente" RETR -
Servidor" N.H 654 octets
Return;ath" _!ulanoSlocalhost@localdomainR
Received" !rom localhost@localdomain (localhost@localdomain D175@164@1@58>E)
by localhost@localdomain (4@1?@1/4@1?@1) with S,/; id k5',5RM3##?746
!or _rootSlocalhost@localdomainRY SatB 14 ,ar 5##6 16"#?"51 #6##
$ate" SatB 14 ,ar 5##6 16"#5"56 #6##
,essage'd" _5##6#?1455#?@k5',5RM3##?746Slocalhost@localdomainR
SubMect" ,ensaMe de prueba
<rom" !ulanoSlocalhost@localdomain
/o" rootSlocalhost@localdomain
Status" .
(ontent0ength" >?
0ines" 5
X='$" 5#5
XHeywords"
1ola@ %ste es un mensaMe de prueba@
3dios@
@
(liente" ]ULT
Servidor" N.H 0ogging out@
(onnection closed by !oreign host@
<0<3 est defndo en e 'FC +S3S. <0<3 traba|a sobre @C< en e puerto 110.
5*.+.*.3. %:A< M%nternet :essage Access <rotocolN.
Es un protocolo est;ndar de Internet de )ivel de Aplicacin utzado para acceder haca e
correo eectrnco en un servdor remoto a travs de una conexn TCP/IP desde un cente oca.
La versn ms recente de %:A< es a 4, revsn 1, y est defnda en e 'FC 35O+. %:A< traba|a
sobre @C< en e puerto 143.
Fue dseado por Mark Crspn en 1986 como una aternatva ms moderna que cubrera as
defcencas de <0<3. Las caracterstcas ms mportantes de %:A< ncuyen:
Soporte para os modos de operacn conectado (connected), y desconectado (dsconnected),
permtendo a os centes de correo eectrnco permanezcan conectados e tempo que su nterfaz
permanezca actva, descargando os mensa|es conforme se neceste.
A dferenca de <0<3, permte accesos smutneos desde mtpes centes, y proporcona os
mecansmos necesaros para stos para que se detecten os cambos hechos por otro cente de
correo eectrnco concurrentemente conectado en e msmo buzn de correo.
Permte a os centes obtener ndvduamente cuaquer parte :%:" (acrnmo de :ut-Purpose
%nternet :a "xtensons, o Extensones de correo de Internet de propstos mtpes), as como
tambn obtener porcones de as partes ndvduaes, o ben os mensa|es competos.
A travs de !anderas defndas en e protocoo, vgar a nformacn de estado de os mensa|es de
370
correo eectrnco que se mantengan en e servdor. Por e|empo s e estado de mensa|e es ledo,
no ledo, respondido, o eliminado.
Incuye soporte para soporte para mtpes buzones de correo eectrnco que permte crear,
renombrar, o emnar mensa|es de correo eectrnco presentados en e servdor dentro de
carpetas, y mover stos mensa|es entre dstntas cuentas de correo eectrnco. Esta caracterstca
tambn permte a servdor proporconar acceso haca os carpetas pbcas, y compartdas.
Incuye soporte para reazar bsquedas de ado de servdor a travs de mecansmos que permten
obtener resutados de acuerdo a varos crteros, permtendo evtar que os centes de correo
eectrnco tengan que descargar todos os mensa|es desde e servdor.
Las especfcacones de protocoo %:A< defnen un mecansmo expcto medante e cua puede
ser me|orada su funconadad a travs de extensones. Un e|empo es a extensn %:A< %D", a
cua permte sncronzar ente e servdor, y e cente a travs de avsos.
Despus de estabecerse una conexn entre e cente, y e servdor, se nca una sesn %:A<,
e|empfcada a contnuacn.
(liente"
F n6 -,I.$.$.- -J3
O .H dovecot ready@
N.H dovecot ready@
(liente" ; LOGLN <)4no clave de acceso
Servidor" x .H 0ogged in@
(liente" ; SELECT #n!o;
Servidor" O <03IS (P3nswered P<lagged P$eleted PSeen P$ra!t)
O .H D;%R,3+%+/<03IS (P3nswered P<lagged P$eleted PSeen P$ra!t PO)E <lags permitted@
O 1 %X'S/S
O # R%(%+/
O .H D=+S%%+ 1E <irst unseen@
O .H D='$&30'$'/: 11##867?45E ='$s valid
O .H D='$+%X/ 5#?E ;redicted next ='$
x .H DR%3$2R'/%E Select completed@
(liente" ; FETCE - &<)47s !o5yD3e45er.<#e)5s &s!Ke620F0
Servidor" O 1 <%/(1 (<03IS (PSeen) 9.$:D1%3$%R@<'%0$S (S=9a%(/)E Z?#[
)
x .H <etch completed@
@
(liente" ; FETCE - &!o5yD2e;2F0
Servidor" O 1 <%/(1 (9.$:D/%X/E Z>8[
3dios@
)
(liente" ; LOGOUT
Servidor" O 9:% 0ogging out
x .H 0ogout completed@
5*.*. 'e&erencias.
$ttp-==PPP.iet&.org=r&c=r&c****.t2t
$ttp-==PPP.iet&.org=r&c=r&c9*+.t2t
$ttp-==PPP.iet&.org=r&c=r&c*9*+.t2t
$ttp-==PPP.iet&.org=r&c=r&c+S3S.t2t
$ttp-==PPP.iet&.org=r&c=r&c35O+.t2t
371
53. Con&iguracin !;sica de >endmail.
53.+. %ntroduccin.
Es mprescndbe prmero estudar, y comprender, os conceptos descrtos en e documento
ttuado %ntroduccin a los protocolos de correo electrnico.
53.+.+. Acerca de >endmail.
Es e ms popuar agente de transporte de correo (MTA, o :a @ransport Agent), responsabe
quz de poco ms de 70% de correo eectrnco de mundo. Aunque por argo tempo se e ha
crtcado por muchos ncdentes de de segurdad, o certo es que stos sempre han sdo resuetos
en pocas horas.
URL: http://www.sendma.org/.
53.+.*. Acerca de Dovecot.
Dovecot es un servdor de POP3 e IMAP de fuente aberta que funcona en Lnux, y sstemas
basados sobre Unx, y dseado con a segurdad como prncpa ob|etvo. Dovecot puede utzar
tanto e formato m!o2 como maildir, y es compatbe con as mpementacones de os servdores
UW-IMAP, y Courer IMAP.
URL: http://dovecot.procontro.f/.
53.+.3. Acerca de >A>L y Cyrus >A>.
>A> (>mpe Authentcaton and >ecurty ayer) es un estructura para a segurdad de datos en
protocoos de Internet. Desempare|a mecansmos de a autentcacn desde protocoos de
apcacones, permtendo, en teora, cuaquer mecansmo de autentcacn soportado por SASL
para ser utzado en cuaquer protocoo de apcacn que capaz de utzar SASL. Actuamente
SASL es un protocoo de a IETF (%nternet "ngneerng @ask Force) que ha sdo propuesto como
estndar. Est especfcado en e 'FC **** creado por |ohn Meyers en a Unversdad Carnege
Meon.
Cyrus >A> es una mpementacn de >A> que puede ser utzada de ado de servdor, o de
ado de cente, y que ncuye como prncpaes mecansmos de autentcacn soportados a
ANONYMOUS, CRAM-MD5, DIGEST-MD5, GSSAPI, y PLAIN. E cdgo fuente ncuye tambn soporte
para os mecansmos LOGIN, SRP, NTLM, OPT, y KERBEROS_V4.
URL: http://asg.web.cmu.edu/sas/sas-brary.htm.
372
sendma make
sendma-cf cyrus-sas
dovecot (o ben map) cyrus-sas-md5
m4 cyrus-sas-pan
S se utza de Cent0> 5, o 'ed Eat "nterprise inu2 5, o versones posterores de stos, se
e|ecuta o sguente:
yum y install sendmail sendmailc! dovecot m> make
yum y install cyrussasl cyrussaslmd8 cyrussaslplain
S acaso estuvese nstaado, emne e paquete cyrus-sas-gssap, ya que este utza e mtodo de
autentcacn GSSAPI, msmo que requerra de a base de datos de cuentas de usuaro de un
servdor Kerberos:
yum remove cyrussaslgssapi
De gua manera, s estuvese nstaado, emne e paquete cyrus-sas-md5, ya que este utza os
mtodos de autentcacn CRAM-MD5, y Dgest-MD5, msmos que requeran asgnar as caves de
acceso para SMTP a travs de mandato saspasswd2. Outook carece de soporte para estos
mtodos de autentcacn.
yum remove cyrussaslmd8
53.3.+. De&iniendo >endmail como agente de transporte de correo
predeterminado.
E mandato alternatives, con a opcn alternatives--confg mta, se utza para conmutar e
servco de correo eectrnco de sstema y eegr que paquete utzar. So es necesaro utzar
ste s prevamente estaban nstaados Postfx o Exm. S este es e caso, e|ecute o sguente
desde una termna, y defna >endmail como agente de transporte de correo (:@A, :a
@ransport Agent), seecconado ste.
373
SelecciQn (omando
1 /usr/sbin/sendmail@post!ix
ON 5 /usr/sbin/sendmail@sendmail
S estuvera presente post&i2, detenga ste (es e :@A predetermnado en Cent0> 6, y 'ed Eat
"nterprise inu2 6) e nce e servco sendmail:
service post!ix stop
chkcon!ig post!ix o!!
53.3.*. Alta de cuentas de usuarioL y asignacin de claves de acceso.
E ata de usuaros es a msma que como con cuaquer otro usuaro de sstema. Sendma utzar
e servco saslaut$d para autentcar a os usuaros, con opcn a hacero a travs de Dgest-MD5,
o CRAM-MD5.
+
.
Ata de a cuenta de usuaro en e sstema, a cua se sugere se asgne =dev=null, o =s!in=nologin
como ntrprete de mandato:
useradd s /sbin/nologin !ulano
*
.
Asgnacn de caves de acceso en e sstema para permtr autentcar a travs de os mtodos
<A%), y 0?%) para autentcar >:@<, y a travs de os protocoos <0<3 e %:A<:
passwd usuario
3
.
Asgnacn de caves de acceso para autentcar >:@<, a travs de mtodos cfrados (C'A:(:D5,
y D%?">@(:D5), en sstemas con versn de Sendma compada contra >A>(* (Red Hat
Enterprse Lnux 5, CentOS 5, y versones posterores de stos), puede hacerse a travs de mandato
saslpassPd* de sguente modo, tomando en consderacn de 0utlooK carece de soporte para
autenticar claves de acceso a travs de este mtodoL y #ue se re#uiere tener instalado el
pa#uete cyrus(sasl(md5:
s4s).4ss*5, usuario
5
.
La autentcacn para >:@< a travs de cuaquer mecansmo requere se actve e nce e servco
de saslaut$d de sguente modo:
chkcon!ig saslauthd on
service saslauthd start
Puede mostrarse a sta de os usuaros con cave de acceso a travs de SASL-2 utzando e
mandato sasld!listusers*.
53.3.3. Dominios a administrar.
Estabecer domnos a admnstrar en e archvo =etc=mail=local($ost(names de sguente modo:
dominio@com
mail@dominio@com
miotrodominio@com
mail@miotrodominio@com
374
Estabecer domnos permtdos para poder envar correo en:
vi /etc/mail/relaydomains
Por defecto, no exste dcho archvo, hay que generaro. Para fnes generaes tene e msmo
contendo de =etc=mail=local($ost(names a menos que se desee excur agn domno en
partcuar.
dominio@com
mail@dominio@com
dominio5@com
mail@dominio5@com
53.3.4. Control de acceso
Defnr sta de contro de acceso en:
vi /etc/mail/access
Incur solo las %<s locales del servidor (as que devueva e mandato i&con&ig), y a sta negra
de dreccones de correo, domnos, y dreccones IP denegadas. Consdere que cuaquer IP que
vaya acompaada de R%03:, se e permtr envar correo sn necesdad de autentcar, o cua puede
ser t s se utza un cente de correo con nterfaz HTTP (Webma) en otro servdor. E|empos:
375
A (heck the /usr/share/doc/sendmail/R%3$,%@c! !ile !or a description
A o! the !ormat o! this !ile@ (search !or access-db in that !ile)
A /he /usr/share/doc/sendmail/R%3$,%@c! is part o! the sendmaildoc
A package@
A
A by de!ault we allow relaying !rom localhost@@@
(onnect"localhost@localdomain R%03:
(onnect"localhost R%03:
(onnect"156@#@#@1 R%03:
A
A $irecciQn '; del propio servidor@
(onnect"175@164@1@58> R%03:
A
A .tros servidores de correo en la 03+ a los Jue se les permitirc enviar
A correo libremente a traves del propio servidor de correo@
(onnect"175@164@1@58? R%03:
(onnect"175@164@1@585 R%03:
A
A $irecciones '; Jue solo podrcn entregar correo de !orma localB es decirB
A no pueden enviar correo !uera del propio servidor@
(onnect"175@164@5@5> .H
(onnect"175@164@5@5? .H
(onnect"175@164@5@58 .H
A
A 0ista negra
usuarioSmolesto@com R%a%(/
productoinutil@com@mx R%a%(/
1#@>@8@6 R%a%(/
A
A 9loJues de 3sia ;aci!ic +etworksB 'S; desde el cual se emite la mayor
A parte del Spam del mundo@
A 0as redes involucradas abarcan 3ustraliaB aapQnB (hinaB (orea del SurB
/aiwanB
A 1ong Hong e 'ndia por lo Jue bloJuear el correo de dichas redes signi!ica
A cortar comunicaciQn con estos pabsesB pero acaba con entre el 6#VB y 4#V
A del Spam@
555 R%a%(/
551 R%a%(/
55# R%a%(/
517 R%a%(/
514 R%a%(/
515 R%a%(/
511 R%a%(/
51# R%a%(/
5#? R%a%(/
5#5 R%a%(/
1>#@1#7 R%a%(/
1?? R%a%(/
61 R%a%(/
6# R%a%(/
87 R%a%(/
84 R%a%(/
53.3.5. Alias de la cuenta de root.
No es convenente estar autentcando a cuenta de root a travs de a red para revsar os
mensa|es orgnados por e sstema. Se debe defnr aas para a cuenta de root a donde re-
drecconar e correo en e archvo =etc=aliases de sguente modo:
root" !ulano
376
53.3.6. Con&iguracin de &unciones de >endmail.
Modfcar e archvo =etc=mail=sendmail.mc, y desactvar, o habtar funcones:
vi /etc/mail/sendmail@mc
53.3.6.+. con&>:@<Q0?%)Q:>?.
Este parmetro permte estabecer e mensa|e de benvenda a estabecer a conexn a servdor.
Es posbe ocutar e nombre, y a versn de Sendma, esto con e ob|eto de agregar segurdad por
secreto. Funcona smpemente hacendo que quen se conecte haca e servdor no pueda saber
que software, y versn de msmo se est utzando, y con eos dfcutar a un dencuente, o
abusador de servco, e determnar que vunerabdad especfca expotar. Recomendamos utzar
o sguente:
de!ine(gcon!S,/;-0.I'+-,SIXBgFM Y FbX)dnl
Lo anteror regresar ago como o sguente a reazar una conexn haca e puerto 25 de
servdor:
F nc 156@#@#@1 58
/rying 156@#@#@1@@@
(onnected to nombre@dominio@
55# nombre@dominio %S,/; Y ,onB 16 ,ay 5##> #5"55"57 #8##
Juit
551 5@#@# nombre@dominio closing connection
F
Est confguracn se puede poner |usto antes de a nea correspondente a parmetro
con&A,@EQ0<@%0)>.
53.3.6.*. con&A,@EQ0<@%0)>.
S se utza a sguente nea, habtada por defecto, se permtr reazar autentcacn a travs
de puerto 25 por cuaquer mtodo, ncuyendo PLAIN, e cua se reaza en texto smpe. Esto
mpca certo resgo de segurdad.
de!ine(gcon!3=/1-.;/'.+SXBg3X)dnl
S comenta a anteror nea con 5n), y se utza en cambo a sguente nea, se desactva a
autentcacn por de texto smpe en conexones no seguras (TLS), de modo ta que soo se podr
autentcar a travs de mtodos que utcen cframento, como sera CRAM-MD5, y DIGEST-MD5.
"sto o!liga a utili8ar clientes de correo electrnico con soporte para autenticacin a
travs de C'A:(:D5L y D%?">@(:D5 Mtodos los conocidosL e2cepto 0utlooKL y 0utlooK
"2pressNL tener instalado el pa#uete cyrus(sasl(md5L y asignar las claves de acceso para
>:@< a travs del mandato saslpassPd*.
de!ine(gcon!3=/1-.;/'.+SXBgA .X)dnl
377
53.3.6.3. @',>@QA,@EQ:"CEL y con&A,@EQ:"CEA)%>:>.
S se desea utzar SMTP autentcado para equpos no ncudos dentro de archvo
=etc=mail=access, se requeren des-comentar as sguentes dos neas, emnando e dnl que es
precede:
/R=S/-3=/1-,%(1(g%X/%R+30 $'I%S/,$8 (R3,,$8 0.I'+ ;03'+X)dnl
de!ine(gcon!3=/1-,%(13+'S,SXB g%X/%R+30 ISS3;' $'I%S/,$8 (R3,,$80.I'+ ;03'+X)dnl
53.3.6.4. DA":0)Q0<@%0)>.
De modo predefndo >endmail escucha petcones a travs de a nterfaz de retorno de sstema a
travs de %<v4 (127.0.0.1), y no a travs de otros dspostvos de red. Soo se necesta emnar as
restrccn de a nterfaz de retorno para poder recbr correo desde Internet, o a LAN. ocace a
sguente nea:
dnl A /he !ollowing causes sendmail to only listen on the ';v> loopback address
dnl A 156@#@#@1 and not on any other network devices@ Remove the loopback
dnl A address restriction to accept email !rom the internet or intranet@
dnl A
DAEMON_O8TLONS&c8or2=s/2.AA55r=-,I.$.$.-A N4/e=MTA905n)
dnl A
dnl A /he !ollowing causes sendmail to additionally listen to port 846 !or
dnl A mail !rom ,=3s that authenticate@ Roaming users who canXt reach their
dnl A pre!erred sendmail daemon due to port 58 being blocked or redirected !ind
dnl A this use!ul@
dnl A
$3%,.+-.;/'.+S(g;ort)submissionB +ame),S3B ,)%aX)dnl
dnl A
dnl A /he !ollowing causes sendmail to additionally listen to port >68B but
dnl A starting immediately in /0S mode upon connecting@ ;ort 58 or 846 !ollowed
Emne de dcho parmetro e vaor AddrR+*7.O.O.+, y a coma (,) que e antecede, de sguente
modo:
dnl A
DAEMON_O8TLONS&c8or2=s/2.A N4/e=MTA905n)
dnl A
dnl A this use!ul@
dnl A
dnl A
E puerto 587 (submsson), puede ser tambn utzado para envo de correo eectrnco. Por
estndar se utza como puerto aternatvo en os casos donde un cortafuegos mpde a os
usuaros acceder haca servdores de correo traba|ando por puerto 25. Para este fn, se requere
descomentar a nea que ncuye DA":0)Q0<@%0)>Mj<ortRsu!missionL )ameR:>AL
:R"a[Ndnl, como se ustra a contnuacn, resatado en negrita:
378
dnl A
$3%,.+-.;/'.+S(g;ort)smtpB +ame),/3X)dnl
dnl A
dnl A this use!ul@
dnl A
DAEMON_O8TLONS&c8or2=s!/#ss#onA N4/e=MSAA M=E4905n)
dnl A
53.3.6.5. F"A@,'"MjacceptQunresolva!leQdomains[N.
De modo predefndo, como una forma de permtr e correo de propo sstema en una
computadora de escrtoro, o una computadora portt, est se utza e parmetro
F"A@,'"MjacceptQunresolva!leQdomains[N. Sn embargo se recomenda desactvar esta
funcn a fn de mpedr aceptar correo de domnos nexstentes (generamente utzado para e
envo de correo masvo no soctado, o >pam), soo se necesta comentar esta confguracn
precedendo un dnl, de sguente modo:
5n) <%3/=R%(gaccept-unresolvable-domainsX)dnl
53.3.6.6. "nmascaramiento.
Habtar as sguentes neas, y adaptar vaores para defnr a mscara que utzar e servdor:
,3Sh=%R3$%-3S(g5o/#n#o.6o/X)dnl
<%3/=R%(masJuerade-envelope)dnl
<%3/=R%(masJuerade-entire-domain)dnl
S va a admnstrar mtpes domnos, decare os domnos que no se quera enmascarar con e
parmetro :A>B,"'AD"Q"DC"<@%0) de sguente modo:
,3Sh=%R3$%-3S(gdominio@comX)dnl
MAS]UERADE_EXCE8TLON&c5o/#n#o,.ne2905n)
MAS]UERADE_EXCE8TLON&c5o/#n#o3.or7905n)
MAS]UERADE_EXCE8TLON&c5o/#n#oJ.6o/./;905n)
<%3/=R%(masJuerade-envelope)dnl
<%3/=R%(masJuerade-entire-domain)dnl
53.3.7. Control del correo c$atarra M>pamN a travs de D)>Bs.
S se desea cargar listas negras para mtgar e Spam, pueden aadr a sguente nea para defnr
a sta negra de spamcop.net, |usto arrba de CAD&-?>smtpAdnl:
<%3/=R%(genhdnsblXB gbl@spamcop@netXB g*Spam blocked see" http"//spamcop@net/bl@shtmlj*FkZclient-addr[XB gtX)dnl
379
53.3.9. Con&iguracin de Dovecot.
53.3.9.+. <ar;metros del arc$ivo =etc=dovecot=dovecot.con& en Cent0> 6L y 'ed
Eat "nterprise inu2 6.
Cent0> 6, y 'ed Eat "nterprise inu2 6 utzan a versn *.O de Dovecot, y por o cua
camba radcamente a confguracn respecto de a versn +.O.2, utzada en Cent0> 5, y 'ed
Eat "nterprise inu2 5, y versones anterores. Edte e archvo =etc=dovecot=dovecot.con&, y
descomente e parmetro protocols, estabecendo como vaor pop3 imap lmtp.
A ;rotocols we want to be serving@
protocols ) imap pop? lmtp
53.3.9.*. <ar;metros del arc$ivo =etc=dovecot=con&.d=+O(mail.con& en Cent0> 6L
y 'ed Eat "nterprise inu2 6.
A See doc/wiki/&ariables@txt !or !ull list@ Some examples"
A
A mail-location ) maildir"T/,aildir
A mail-location ) mbox"T/mail"'+9.X)/var/mail/Vu
A mail-location ) mbox"/var/mail/Vd/V1n/Vn"'+$%X)/var/indexes/Vd/V1n/Vn
A
A _doc/wiki/,ail0ocation@txtR
A
mail-location ) /!o;?^+/4#)?LNBOX=+"4r+/4#)+b
Cabe seaar que a versn de dovecot ncuda en Cent0> 6, y 'ed Eata "nterprise inu2 6,
es obgatoro generar un certfcado, pues soo permtr conexones sn TLS desde 127.0.0.1. Sga
e procedmento descrto en e documento ttuado Cmo con&igurar >endmailL y Dovecot con
soporte >>=@>.
53.3.9.3. <ar;metros del arc$ivo =etc=dovecot=dovecot.con& en Cent0> 5L y 'ed
S utza Cent0> 5, o 'ed Eata "nterprise inu2 5, se debe modfcar e archvo
=etc=dovecot.con&, y habtar os servcos de map y/o pop3 de sguente modo (de modo
predefndo estn habtados map e maps):
A ;rotocols we want to be serving"
A imap imaps pop? pop?s
.ro2o6o)s = #/4. .o.3
53.3.S. Aadir al arran#ue del sistema e iniciar servicios dovecotL y
sendmail.
E servco dovecot, en cuaquera de as versones de os sstemas operatvos menconados, se
agrega a arranque de sstema de sguente modo:
380
Para ncar e servco, se e|ecuta o sguente:
E servco sendmail se agrega a arranque de sstema de sguente modo:
Para ncar e servco sendmail, se e|ecuta o sguente:
Para rencar servco sendmail soo bastar e|ecutar:
service sendmail restart
Probar servdor envando/recbendo mensa|es con CUALOUIER cente estndar de correo
eectrnco con soporte para POP3/IMAP/SMTP con soporte para autentcar a travs de SMTP
utzando os mtodos DIGEST-MD5, o CRAM-MD5.
Para depurar posbes errores, se puede examnar e contendo de a btcora de correo de sstema
en =var=log=maillog de sguente modo:
tail ! /var/log/maillog
os puertos 25 (smtp), 465 (smtps), y 587 (submsson), as como os puertos 110 (pop3), 143
(map), 993 (maps), y 995 (pop3s).
sguente, consderando que se abre e acceso para FTP desde cuaquer zona de muro
cortafuegos:
A3(/'.+ S.=R(% $%S/ ;R./. $%S/ S.=R(%
A ;.R/ ;.R/(S)1
3((%;/ all !w tcp 58B>68B846
3((%;/ all !w tcp 11#B1>?B77?@778
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
Se recomenda consutar os documentos ttuados Cmo con&igurar >endmailL y Dovecot con
soporte >>=@>, y Con&iguracin avan8ada de >endmail.
381
54. Cmo con&igurar >endmail y Dovecot con
soporte >>=@>.
54.+. %ntroduccin.
Este documento requere a ectura y comprensn preva de documento ttuado Con&iguracin
!;sica de >endmail.
54.+.+. Acerca de D>A.
D>A (Dgta >gnature Agorthm o Agortmo de Frma dgta) es un agortmo creado por e NIST
()atona %nsttute of >tandards and @echnoogy o Insttuto Nacona de Normas y Tecnooga de
EE.UU.), pubcado e 30 de agosto de 1991, como propuesta para e proceso de frmas dgtaes.
Se utza para frmar nformacn, ms no para cfrar sta.
URL: http://es.wkpeda.org/wk/DSA
54.+.*. Acerca de '>A.
'>A, acrnmo de os apedos de sus autores, Ron 'vest, Ad >hamr y Len Ademan, es un
en 1983 por e e Insttuto Tecnogco de Mchgan (:%@). '>A es utzado ampamente en todo e
mundo para os protocoos destnados para e comerco eectrnco.
54.+.3. Acerca de D.5OS.
%nfrastructure). Entre otras cosas, estabece os estndares para certfcados de caves pbcas y
un agortmo para vadacn de ruta de certfcacn. Este tmo se encarga de verfcar que a
382
54.+.4. Acerca de 0pen>>.
ayer o Nve de Zcao Seguro) y @> (@ransport ayer >ecurty, o Segurdad para Nve de
Transporte). Est basado sobre e extnto proyecto >>eay, ncado por Erc Young y Tm Hudson,
Todos os procedmentos deben reazarse como e usuaro root.
54.*.+. ?enerando &irma digital y certi&icado.
cd /etc/pki/tls/
Los servdores de correo eectrnco, como Sendma y Postfx, pueden utzar una frma dgta
creada con agortmo D>A de 1024 octetos. Para ta fn, se crea prmero un archvo de parmetros
D>A:
openssl dsaparam 1#5> out dsa1#5>@pem
A contnuacn, se utza este archvo de parmetros D>A para crear una ave con agortmo D>A
y estructura 25OS, as como tambn e correspondente certfcado. En e mandato de e|empo
mostrado a contnuacn, se estabece una vadez por 1095 das (tres aos) para e certfcado
creado.
openssl reJ x8#7 nodes newkey dsa"dsa1#5>@pem days 1#78 out 6er2s+s/2..6r2 keyout
.r#"42e+s/2..:ey
Estado o provnca.
Cudad.
Undad o seccn.
Nombre de anftrn.
Dreccn de correo.
Ienerating a 1#5> bit $S3 private key
writing new private key to Xsmtp@keyX

383
2hat you are about to enter is what is called a $istinguished +ame
or a $+@

.rganiCational =nit +ame (egB section) DE"D#re66#on Co/er6#4)
(ommon +ame (egB your name or your serverXs hostname) DE"@.5o/#n#o.6o/
%mail 3ddress DE"*e!/4s2erO5o/#n#o.6o/
S defn un nombre de anftrn absouto (e|empo: ma.domno.com), e certfcado soo ser
vdo cuando e servdor de correo eectrnco sea nvocado con e nombre defndo en e campo
Common )ame. Es decr, soo podr utzaro cuando se defna mail.dominio.com como
servdor >:@< con soporte @> desde e cente de correo eectrnco. Funconar
ncorrectamente s se nvoca a servdor como, por menconar un e|empo, dominio.com. Es por
eso que se sugere utzar `.dominio.com s se panea acceder haca e msmo servdor con
dferentes subdomnos de msmo domno.
A termnar, ya no ser necesaro conservar e archvo dsa+O*4.pem, msmo que puede
emnarse con pena segurdad.
rm ! dsa1#5>@pem
Es ndspensabe que todos os archvos de caves y certfcados tengan permsos de acceso de soo
ectura para e usuaro root:
chmod >## certs/smtp@crt private/smtp@key
Cambe a drectoro =etc=pKi=dovecot=.
cd /etc/pki/dovecot/
Emne os certfcados de prueba creados durante a nstaacn.
rm ! private/dovecot@pem certs/dovecot@pem
La creacn de a frma dgta y certfcado para Dovecot es ms smpe, pero requere utzar una
cave con agortmo '>A de 1024 octetos, con estructura D.5OS. En e e|empo a contnuacn, se
estabece una vadez por 1095 das (tres aos) para e certfcado creado.
openssl reJ x8#7 nodes newkey rsa"1#5> days 1#78 out certs/dovecot@pem keyout
private/dovecot@pem
De forma smar a como ocurr con e certfcado para e servdor correo eectrnco, o anteror
soctar se ngresen varos datos.
La sada devueta debe smar a a sguente:
384
Ienerating a 1#5> bit RS3 private key
@@@@@@@@@@@@@@@@NNNNNN
@NNNNNN
writing new private key to Xdovecot@pemX

or a $+@

(ommon +ame (egB your name or your serverXs hostname) DE" @.5o/#n#o.6o/
Nuevamente, s defn un nombre de anftrn absouto (e|empo: ma.domno.com), e certfcado
soo ser vdo cuando e servdor de correo eectrnco sea nvocado con e nombre defndo en e
campo Common )ame. Es decr, soo podr utzaro cuando se defna mail.dominio.com como
servdor <0<3 o %:A< con soporte @> desde e cente de correo eectrnco. Funconar
A fn de factar a os centes de correo eectrnco e poder gestonar una futura actuazacn de
certfcado, convene aadr una huea dstntva ndubtabe (fngerprnt) a certfcado.
openssl x8#7 subMect !ingerprint noout in certs/dovecot@pem
ectura para e usuaro root:
chmod >## private/dovecot@pem certs/dovecot@pem
cd
54.*.*. Con&iguracin de >endmail.
54.*.*.+. <ar;metros de =etc=mail=sendmail.mc.
Es necesaro confgurar os sguente parmetros en e archvo
/etc/ma/sendma.mc a fn de que Sendma utce a cave y certfcado recn creados:
de!ine(gcon!(3(%R/-;3/1XBg/etc/pki/tls/certsX)dnl
de!ine(gcon!(3(%R/XBg/etc/pki/tls/certs/cabundle@crtX)dnl
5e<#ne&c6on<SERHER_CERT9Ac+e26+.:#+2)s+6er2s+s/2..6r2905n)
5e<#ne&c6on<SERHER_(EW9Ac+e26+.:#+2)s+.r#"42e+s/2..:ey905n)
385
E acceso cfrado con TLS es opcona s se reazan conexones a travs de puerto 25, y obgatoro
s se hacen a travs de puerto 465. E puerto 587 (submsson), puede ser tambn utzado para
envo de correo eectrnco. Por estndar se utza como puerto aternatvo en os casos donde un
cortafuegos mpde a os usuaros acceder haca servdores de correo traba|ando por puerto 25. MS
Outook Express carece de soporte para usar TLS a travs de puerto 587, pero e resto de os
centes de correo eectrnco con soporte TLS s o tenen.
A fn de habtar e puerto 465 (smtps), a travs de TCP, se debe descomentar a nea que
contene DA":0)Q0<@%0)>Mj<ortRsmtpsL )ameR@>:@AL :Rs[Ndnl, como se muestra a
contnuacn, resatado en negrita:
dnl A
$3%,.+-.;/'.+S(g;ort)smtpB +ame),/3X)dnl
dnl A
dnl A this use!ul@
dnl A
dnl A
dnl A by S/3R//0S is pre!erredB but roaming clients using .utlook %xpress canXt
dnl A do S/3R//0S on ports other than 58@ ,oCilla ,ail can .+0: use S/3R//0S
dnl A and doesnXt support the deprecated smtpsY %volution _1@1@1 uses smtps
dnl A when SS0 is enabled S/3R//0S support is available in version 1@1@1@
dnl A
dnl A <or this to work your .penSS0 certi!icates must be con!igured@
dnl A
DAEMON_O8TLONS&c8or2=s/2.sA N4/e=TLSMTAA M=s905n)
A fn de que surtan efecto os cambos, es necesaro rencar e servco sendmail.
54.*.*.*. Compro!acin.
Reace una conexn con e mandato nc (netcat), o ben e mandato telnet, a puerto 25 de
sstema. Ingrese e mandato "E0 con e domno confgurado. La sada deber devover, entre
todas as funcones de servdor, una nea que ndca >@A'@@>. La sada puede ser smar a a
sguente:
n6 -,I.$.$.- ,5
55# dominio@com %S,/; Sendmail Y SatB 17 aun 5#1# 14"14"#5 #8##
e3)o 5o/#n#o.6o/
58#dominio@com 1ello localhost@localdomain D156@#@#@1EB pleased to meet you
58#%+13+(%$S/3/=S(.$%S
58#;';%0'+'+I
58#49'/,',%
58#S'G%
58#$S+
58#%/R+
58#3=/1 0.I'+ ;03'+
386
,5$-STARTTLS
58#$%0'&%R9:
58# 1%0;
]ULT
Pasa sar, soo escrba OUIT y puse a teca ENTER.
A reazar a confguracn de cente de correo eectrnco, deber especfcarse conexn por
TLS. Tras aceptar e certfcado, deber ser posbe autentcar, con nombre de usuaro y cave de
acceso, y envar correo eectrnco.
54.*.3. Con&iguracin de Dovecot.
54.*.3.+. Con&iguracin de Dovecot en Cent0> 6 y 'ed Eat "nterprise inu2 6.
Cent0> 6 y 'ed Eat "nterprise inu2 6 utzan a versn *.O de Dovecot, y por o cua
camba radcamente a confguracn respecto de a versn +.O.2, utzada en Cent0> 5 y 'ed
Edte e archvo =etc=dovecot=con&.d=+O(ssl.con&, y descomente as sguentes neas resatadas
en negrta:
A SS0//0S support" yesB noB reJuired@ _doc/wiki/SS0@txtR
ss) = yes
A ;%, encoded X@8#7 SS0//0S certi!icate and private key@ /heyXre opened be!ore
A dropping root privilegesB so keep the key !ile unreadable by anyone but
A root@ 'ncluded doc/mkcert@sh can be used to easily generate sel!signed
A certi!icateB Must make sure to update the domains in dovecotopenssl@cn!
ss)_6er2 = N+e26+.:#+5o"e6o2+6er2s+5o"e6o2..e/
ss)_:ey = N+e26+.:#+5o"e6o2+.r#"42e+5o"e6o2..e/
54.*.3.*. Con&iguracin de Dovecot en Cent0> 5 y 'ed Eat "nterprise inu2 5.
Edte e archvo =etc=dovecot.con&:
vim /etc/dovecot@con!
Asegrese que e parmetro protocols estn estabecdos como vaores: imap imaps pop3
pop3s.
protocols ) imap imaps pop? pop?s
De modo predetermnado, e soporte SSL de Dovecot est actvo. Verfque que e parmetro
sslQdisa!le tenga e vaor no, o ben soo est comentado.
Assl-disable ) no
Y se especfcan as rutas de certfcado y cave a travs de os parmetros sslQcertQ&ile y
sslQKeyQ&ile, de sguente modo:
ssl-cert-!ile ) /etc/pki/dovecot/certs/dovecot@pem
387
ssl-key-!ile ) /etc/pki/dovecot/private/dovecot@pem
Utce cuaquer cente de correo eectrnco con soporte para TLS y confgure ste para
conectarse haca e sstema a travs de %:A<> (puerto 993) o ben <0<3> (puerto 995). Tras
aceptar e certfcado de servdor, e sstema deber permtr autentcar, con nombre de usuaro y
cave de acceso, y reazar a ectura de correo eectrnco.
54.3.+. Con&iguracin de ?)0:" "volution.
Para GNOME Evouton, a confguracn de IMAP o POP3 se reaza seecconando e tpo de
servdor, defnendo e nombre de servdor utzado para crear e certfcado, nombre de usuaro, y
usar encrptacn segura TLS.
Confguracn IMAP, en GNOME Evouton.
Se hace o msmo para a confguracn de SMTP (utzar conexn segura TLS), pero consderando
adems que tambn se puede utzar e puerto 587 (submsson) en caso de que e proveedor de
acceso a Internet de cente haya restrngdo e uso de puerto 25 (smtp).
388
Confguracn SMTP, GNOME Evouton.
54.3.*. Con&iguracin :o8illa @$under!ird.
Para Moza Thunderbrd, se defne e nombre de servdor utzado para crear e certfcado,
usuaro y usar conexn segura TLS.
389
Confguracn IMAP, Moza Thunderbrd.
Confguracn SMTP, Moza Thunderbrd.
390
55. Con&iguracin avan8ada de >endmail.
55.+. Antes de continuar.
Este documento requere a ectura preva de os documentos ttuados %ntroduccin a los
protocolos de correo electrnicoCon&iguracin !;sica de >endmail, y Cmo con&igurar
>endmailL y Dovecot con soporte >>=@>.
55.*. ,suarios Firtuales.
S se desea brndar un servco de hospeda|e de domnos vrtuaes permtendo que os usuaros
enven, y recban correo utzando sus propos domnos, se deben aadr os sguentes
parmetros, resaltados en negrita, deba|o de a funcn de virtuserta!le de archvo
=etc=mail=sendmail.mc:
de!ine(gcon!/.-'$%+/XB g#X)dnl
dnl <%3/=R%(delay-checks)dnl
<%3/=R%(gno-de!ault-msaXB gdnlX)dnl
<%3/=R%(gsmrshXB g/usr/sbin/smrshX)dnl
<%3/=R%(gvirtusertableXBghash o /etc/mail/virtusertable@dbX)dnl
FEATURE&c7ener#6s24!)e9Ac34s3 -o +e26+/4#)+7ener#6s24!)e.5!905n)
GENERLCS_DOMALN_FLLE&c+e26+/4#)+7ener#6s-5o/4#ns905n)
<%3/=R%(redirect)dnl
<%3/=R%(always-add-domain)dnl
<%3/=R%(use-cw-!ile)dnl
<%3/=R%(use-ct-!ile)dnl
Se generan tres archvos nuevos dentro de drectoro /etc/mail:
touch /etc/mail/virtusertable
touch /etc/mail/genericstable
touch /etc/mail/genericsdomains
E archvo =etc=mail=virtuserta!le srve para defnr que cuentas de correo vrtuaes se entregan
en os buzones correspondentes. a separacin de columnas se $ace con ta!uladores. En e
e|empo se entrega e correo de )ebmasterRdominio7.net en a cuenta mengano, y e correo de
)ebmasterRdominioG.com, en e buzn de usuaro perengano:
webmasterSdominio1@net mengano
webmasterSdominio5@com perengano
391
Para hacer que e correo eetrnco de usuaro mengano saga de servdor como
)ebmasterRdominio7.net, y que e correo eectrnco de perengano saga como
)ebmasterRdominioG.com, es necesaro hacer e contendo contraro de =etc=mail=virtuserta!le
de sguente modo:
mengano webmasterSdominio1@net
perengano webmasterSdominio5@com
Para efector prctcos, se puede mantener sncronzados ambos archvos traba|ando drectamente
con =etc=mail=virtuserta!le, e|ecutando e sguente gun, e cua se encargar de pasar e texto
desde =etc=mail=virtuserta!le, con orden nvertdo de coumnas, haca =etc=mail=genericsta!le.
while read cuenta usuario garbage
do
echo e *FZusuario[PtFZcuenta[* RR /tmp/genericstable
done _ /etc/mail/virtusertable
mv /tmp/genericstable /etc/mail/genericstable
E archvo =etc=mail=generics(domains debe contener prctcamente o msmo que
=etc=mail=local($ost(names ms os domnos que vayan a estar sendo utzados por domnos
vrtuaes.
dominio@com
dominio1@net
dominio5@com
Invarabemente os archvos =etc=mail=virtuserta!le.d!, y =etc=mail=genericsta!le.d!, deben
actuazarse con e contendo de =etc=mail=virtuserta!le, y =etc=mail=genericsta!le,
respectvamente, cada vez que se se reacen cuaquer tpo de cambo, como actuazar, aadr, o
emnar, cuentas de correo vrtuaes.
!or ! in virtusertable genericstable
do
makemap hash /etc/mail/FZ![@db _ /etc/mail/FZ![
done
55.3. "ncaminamiento de dominios.
Sendma ncuye soporte para reazar en re-encamnamento de domnos de correo a travs de
parmetro F"A@,'"Mjmailerta!le[Lj$as$ (o =etc=mail=mailerta!le.d![N que debe estar
$a!ilitado de modo prede&inido en e archvo =etc=mail=sendmail.mc. Esta funcn permte a
Sendma reazar traduccn de domnos, especfcar un agente de entrega, y cambar e
encamnamento estabecdo en un DNS.
55.3.+. 'edundancia del servidor de correo.
Cuando se tene un domno de correo eectrnco que recbe mucho trfco, es convenente
estabecer redundanca en e servco para garantzar que e correo sempre ser recbdo, y egar
a os buzones de correo haca os que est destnado.
392
Se requeren dos servdores de correo. Uno deber estar regstrado en a zona de domno en e
DNS como servidor de correo primario (ma.domno.com), y otro deber estar regstrado en a
zona de domno en e DNS como servidor de correo secundario (ma2.domno.com) a fn de
contar con redundanca.
+.
Defna en a zona de DNS de domno.com un servdor de correo prmaro (ma.domno.com), y
un servdor de correo secundaro (ma2.domno.com)
*.
Confgure normamente e servdor de correo prmaro (ma.domno.com) para admnstrar e
correo de domno.com.
3.
Confgure e servdor de correo secundaro (ma2.domno.com) de msmo modo, pero no aada
domno.com en e archvo =etc=mail=local($ost(names ya que de otro modo e correo ser
tratado como oca, y |amas podr ser entregado en e servdor de correo prmaro.
4.
Debe de estar stado domno.com en e archvo =etc=mail=relay(domains en e servdor de
correo secundaro (ma2.domno.com) a fn de permtr a retransmsn de ste haca e servdor
de correo prmaro (ma.domno.com).
5.
En e servdor de correo secundaro (ma2.domno.com) modfque e archvo
=etc=mail=mailerta!le, y defna que domno.com ser entregado en e servdor de correo
prmaro utzando e nombre penamente resueto en a zona de DNS.
dominio@com smtp"mail@dominio@com
S o desea, puede especfcar a dreccn IP en ugar de nombre:
dominio@com smtp"D165@16@1@8#E
6.
Rence Sendma
7.
En adeante e correo de domno.com ser entregado normamente, y de prmera nstanca en e
servdor de correo prmaro (ma.domno.com), pero cuando ste, por aguna razn, se vea
mposbtado para recbr conexones, e servdor de correo secundaro (ma2.domno.com)
defndo en a zona de DNS recbr todo e correo de domno.com, y o entregar en e servdor
de correo prmaro (ma.domno.com) cuando ste re-estabezca operacones normamente.
55.3.*. >ervidor de correo intermediario.
Sendma puede servr de ntermedaro de correo eectrnco ya sea para ftrado de correo con un
antvrus, equpamento gco para ftrado de correo chatarra, o ben como ntermedaro entre
una red pbca, y un servdor en red oca. Se requeren dos servdores de correo. Uno que ser e
servdor de correo ntermedaro (proxy.domno.com), que de forma obgatora deber estar
defndo en a zona de DNS de domno como servdor de correo prmaro (un regstro MX), y otro
que servr como servdor de correo de destno (ma.domno.com).
+.
E servdor de correo que funconar como ntermedaro (proxy.domno.com) se confgura
normamente, pero no aada domno.com en e archvo =etc=mail=local($ost(names ya que de
otro modo e correo ser tratado como oca, y |amas podr ser entregado en e servdor de correo
de destno (ma.domno.com).
*.
Debe de estar stado domno.com en e archvo =etc=mail=relay(domains en e servdor de
correo ntermedaro (proxy.domno.com) a fn de permtr a retransmsn de ste haca e
servdor de correo prmaro (ma.domno.com).
3.
La dreccn P de servdor de destno (ma.domno.com) debe estar stada en e archvo
=etc=mail=access con '"Ab (retransmsn autorzada) de servdor de correo ntermedaro
(proxy.domno.com).
4.
La dreccn P de servdor de ntermedaro (proxy.domno.com) debe estar stada en e archvo
=etc=mail=access con '"Ab (retransmsn autorzada) de servdor de correo de destno
(ma.domno.com).
5.
En e servdor de correo ntermedaro (proxy.domno.com) modfque e archvo
=etc=mail=mailerta!le, y defna que domno.com ser entregado en e servdor de correo de
destno (ma.domno.com) utzando e nombre FBD) (Fuy Buafed Doman )ame), y
393
penamente resueto.
dominio@com smtp"mail@dominio@com
6.
S o desea, puede especfcar a dreccn IP en ugar de nombre:
dominio@com smtp"D165@16@1@8#E
7.
En e servdor de correo de destno (ma.domno.com), des-comente, y defna
pro2y.dominio.com como vaor para e parmetro
de&ineMj>:A'@QE0>@[Ljsmtp.your.provider[N, de modo que pro2y.dominio.com sea e
servdor de retransmsn (smart host:
de!ine(gS,3R/-1.S/XBgproxy@dominio@comX)
9.
Rence Sendma en ambos servdores de correo.
55.4. Feri&icando el servicio.
Desde una termna, e|ecute e mandato nc drgdo haca e puerto 25 de a dreccn IP prncpa
de sstema:
F nc 175@164@#@58> 58
S Sendma est funconando correctamente, se estabecer una conexn extosa, y deber
devover una sada smar a a sguente:
/rying 165@16@1@8#@@@
(onnected to nombre@dominio (165@16@1@8#)@
55# nombre@dominio %S,/; Sendmail 4@1?@1/4@1?@1Y SunB 8 ,ar 5##6 51">8"81 #6##
E|ecute e mandato E"0 segudo de nombre de anftrn:
1%0. nombre@dominio
Obtendr una sada smar a esta:
58# nombre@dominio 1ello nombre@dominio D165@16@1@8#EB pleased to meet you
E|ecute e mandato "E0 segudo de nombre de anftrn:
%10. nombre@dominio
Obtendr una sada smar a sta, y que mostrar as funcones de servdor:
58#nombre@dominio 1ello nombre@dominio D165@16@1@8#EB pleased to meet you
58#%+13+(%$S/3/=S(.$%S
58#;';%0'+'+I
58#49'/,',%
58#S'G%
58#$S+
58#%/R+
58#3=/1 $'I%S/,$8 (R3,,$8
58#$%0'&%R9:
58# 1%0;
394
E|ecute e mandato B,%@ para cerrar a conexn.
h='/
E servdor deber contestar o sguente a termnar a conexn:
La sada competa de todo e procedmento anteror debe ucr smar a esto (mandatos utzados
resatados en negrita):
D!ulanoSnombre TEF n6 -I,.-'.-.5$ ,5
/rying 165@16@1@8#@@@
55# nombre@dominio %S,/; Sendmail 4@1?@1/4@1?@1Y SunB 8 ,ar 5##6 51">8"81 #6##
EELO no/!re.5o/#n#o
EELO no/!re.5o/#n#o
58#nombre@dominio 1ello nombre@dominio D165@16@1@8#EB pleased to meet you
58#%+13+(%$S/3/=S(.$%S
58#;';%0'+'+I
58#49'/,',%
58#S'G%
58#$S+
58#%/R+
58#3=/1 $'I%S/,$8 (R3,,$8
58#$%0'&%R9:
58# 1%0;
]ULT
55.5. <rue!as de envo de correo.
55.5.+. ,tili8ando nc.
Utzar e mandato nc permte conocer, y examnar como funcona reamente a nteraccn entre
un servdor de correo, y un cente de correo.
Abra una sesn con nc drgdo haca e puerto 25 de a dreccn IP prncpa de sstema.
nc 165@16@1@8# 58
Saude a sstema con e mandato E"0 segudo de nombre de anftrn.
1%0. nombre@dominio
E servdor de correo deber contestare:
395
E|ecute e mandato :A% F'0: especfcando a cuenta de correo de un usuaro oca de sus
sstema de sguente modo:
,3'0 <R.," _!ulanoSnombre@dominioR
E servdor de correo deber contestare o sguente, a menos que especfque una cuenta de
correo con un domno dstnto a os especfcados en e archvo =etc=mail=relay(domains:
58# 5@1@# _!ulanoSnombre@dominioR@@@ Sender ok
E|ecute e mandato 'C<@ @0 especfcando una cuenta de correo exstente en e servdor de
sguente modo:
R(;/ /." _rootSnombre@dominioR
E servdor de correo deber contestare o sguente:
58# 5@1@8 _rootSnombre@dominioR@@@ Recipient ok
E|ecute e mandato DA@A:
$3/3
E servdor de correo deber contestare o sguente:
?8> %nter mailB end with *@* on a line by itsel!
Enseguda se ngresa e texto que desee ncur en e mensa|e de correo eectrnco. A termnar
fnace con un punto en una nueva nea.
1olaB este es un mensaMe de prueba@
@
E sstema deber contestare ago smar a o sguente:
58# 5@#@# k56?w%HH##65#7 ,essage accepted !or delivery
E|ecute e mandato B,%@:
h='/
E servdor deber contestar o sguente a termnar a conexn:
La sada competa de todo e procedmento anteror debe ucr smar a esto (mandatos utzados
resatados en negrita):
396
D!ulanoSnombre TEF n6 -I,.-'.-.5$ ,5
/rying 165@16@1@8#@@@
55# nombre@dominio %S,/; Sendmail 4@1?@1/4@1?@1Y SunB 8 ,ar 5##6 51"84"1>
#6##
EELO no/!re.5o/#n#o
MALL FROM? N<)4noOno/!re.5o/#n#oG
58# 5@1@# _!ulanoSnombre@dominioR@@@ Sender ok
RC8T TO? Nroo2Ono/!re.5o/#n#oG
58# 5@1@8 _rootSnombre@dominioR@@@ Recipient ok
DATA
?8> %nter mailB end with *@* on a line by itsel!
Eo)4A es2e es n /ens4Ke 5e .re!4.
.
58# 5@#@# k56?w%HH##65#7 ,essage accepted !or delivery
]ULT
55.5.*. ,tili8ando mutt.
Mutt, trmno utzado en a engua ngesa para referrse a perros mestzos, es un cente de
correo eectrnco (MUA, o :a ,ser Agent) para modo texto. Incuye soporte para coor, hos,
MIME, PGP/GPG, protocoos POP3, IMAP, y NNTP, y para os formatos de correo :aildir, y m!o2.
Basta e|ecutar mutt, y pusar as tecas ndcadas a nterfaz de texto para reazar dversas tareas.
Para envar un mensa|e de correo eectrnco sga este procedmento:
+. Como usuaro sn prvegos, e|ecute mutt.
*. Responda con a teca HsJ para confrmar que se crear Y=:ail.
3. Una vez ncada a nterfaz de texto de mutt, puse a teca HmJ para crear un nuevo mensa|e.
4.
En a parte nferor de a pantaa aparece un dogo para e destnataro (@o- ). Ingrese una
cuenta de correo eectrnco vda, o aguna que exsta a menos en e domno de a Red Loca
(A)).
5.
En a parte nferor de a pantaa aparece un dogo para ngresar e asunto de mensa|e
(>u!.ect- ). Ingrese un ttuo para e mensa|e.
6.
Enseguda mutt ncar vi para crear e texto que se envar en e mensa|e. Ince e modo de
insertar texto (i) de vi e ngrese agunas paabras. A termnar, guarde, y saga de vi (-P#).
7.
Tras termnar con e edtor de texto smpe vi, mutt presentar una vsta preva de mensa|e.
Confrme que os datos son os correctos, y puse a teca HyJ para envar e mensa|e. S necesta
cambar aguno de stos, puse HtJ para cambar e destnataro, o ben puse a teca HsJ, para
cambar e campo de asunto de mensa|e.
9.
Mutt e devover a a pantaa prncpa. S recbe un mensa|e de respuesta, seeccone ste, y
puse a teca ")@"' para vsuazar e contendo.
S. S desea responder e mensa|e, puse a teca HrJ, y repta os procedmentos de paso 4 a 7.
S o desea, tambn puede utzar mutt desde a nea de mandatos.
echo e P
*1olaB soy FZ=S%R[ en FZ1.S/+3,%[@PnP
;or !avor responde este mensaMe@PnPnSaludos@* P
^ mutt P
s *,ensaMe enviado desde FZ1.S/+3,%[* P
!ulanoSmaJuina@dominio
397
Lo anteror enva un mensa|e de correo eectrnco haca a cuenta fuano@maquna.domno, con
e asunto :ensa.e enviado desde nom!re.dominio con e sguente contendo como texto
de mensa|e:
1olaB soy s4r#o en no/!re.5o/#n#o
;or !avor responde este mensaMe@
Saludos@
398
56. 0pciones avan8adas de seguridad para
>endmail.
56.+. %ntroduccin.
Debdo a a naturaeza de correo eectrnco, es posbe para un atacante nundar fcmente e
servdor y desencadenar en una denegacn de servco. Fenmenos como e denomnado correo
masvo no soctado o Spam no hacen as cosas ms fces y as admnstracn de un servdor de
correo puede tornarse una pesada. Aadr opcones avanzadas de segurdad se converte en ago
ndspensabe.
56.*. Funciones.
Todas as funcones expcadas a contnuacn pueden ncurse en e archvo /etc/mail/sendmail@mc
|usto deba|o de a tma nea que ncuya de!ine y arrba de a prmera nea que ncuya <%3/=R%.
56.*.+. con&:ADQ'C<@>Q<"'Q:">>A?"
Este parmetro srve para estabecer un nmero mxmo de destnataros para un mensa|e de
correo eectrnco. De modo predefndo Sendma estabece un mxmo de 256 destnataros. En
e sguente e|empo se mtar e nmero de destnataros a 20:
de!ine(gcon!,3X-R(;/S-;%R-,%SS3I%XB g5#X)dnl
56.*.*. con&BADQ'C<@Q@E'0@@"
Este parmetro srve para estabecer e tempo de etargo que se utzar por cada destnataro
que sobrepase e mte estabecdo por con!,3X-R(;/S-;%R-,%SS3I%. De modo predefndo Sendma no
estabece tempo de etargo. En e sguente e|empo se estabecern 2 segundos de etargo por
cada destnataro rechazado por sobrepasar e mte de destnataros permtdos:
de!ine(gcon!93$-R(;/-/1R.//0%XB g5X)dnl
399
56.*.3. con&<'%FACbQFA?>
Cuando se estabece como vaor `goaway', se deshabtan varos mandatos SMTP como EXPN y
VRFY, os cuaes puderan ser utzados para revear os nombres de usuaros ocaes a un
spammer. Tambn deshabta as notfcacones de entrega, e cua es un mecansmo
comunmente utzado por quenes envan correo masvo no soctado para verfcar/confrmar a
exstenca de una cuenta actva, y hace que e sstema socte obgatoramente HELO o EHLO
antes de utzar e mandato MAIL. Muchos programas de utzados para envar correo masvo no
soctado n squera se moestan en utzar HELO o EHLO. De modo predefndo os vaores de
confPRIVACY_FLAGS son àuthwarnngs,novrfy,noexpn,restrctqrun', cambe por o sguente:
de!ine(gcon!;R'&3(:-<03ISXBggoawayX)dnl
56.*.4. con&:ADQE"AD"'>Q")?@E
Est parmetro se utza para defnr e tamao mxmo permtdo para a cabecera de un mensa|e
en bytes. Agunos programas utzados para envar spam tratan de mpedr que os MTA puedan
regstrar transaccones generando cabeceras muy grandes.
Lmtar e tamao de as cabeceras hace ms dfc a e|ecucn de gun que expote
vunerabdades recentes (desbordamentos de bfer) en UW IMAP, Outook y Outook Express.
La mayor parte de os mensa|es de correo eectrnco tendrn cabeceras de menos de 2 Kb (2048
bytes). Un mensa|e de correo eectrnco ordnaro, por muy exagerado que resute e tamao de
a cabecera, rara vez utzar una cabecera que sobrepase os 5 Kb o 6 Kb, es decr, de 5120 o
6144 bytes. En e sguente e|empo se mtar e tamao mxmo de a cabecera de un mensa|e a
16 Kb (requrerdo para MaScanner):
de!ine(gcon!,3X-1%3$%RS-0%+I/1XB g16?4>X)dnl
E vaor sugerdo es 16 Kb (16384 bytes). Aumente o dsmnuya e vaor a su dscresn.
56.*.5. con&:ADQ:">>A?"Q>%c"
Este parmetro srve para especfcar e tamao mxmo permtdo para un mensa|e de correo
eectrnco en bytes. Puede especfcarse o que e admnstrador consdera apropado. En e
sguente e|empo se mtar e tamao mxmo de un mensa|e a 3 MB:
de!ine(gcon!,3X-,%SS3I%-S'G%XB g?1>8654X)dnl
56.*.6. con&:ADQDA":0)QCE%D'")
Este parmetro srve para especfcar cuantos procesos h|os se permtrn smutneamente en e
servdor de correo. De modo predefndo sendma no estabece mtes para este parmetro. S se
sobre pasa e mte de conexones smutneas, e resto sern demoradas hasta que se termnen
as conexones exstentes y de|en ugar para nuevas conexones. En e sguente e|empo se
mtar e nmero de conexones smutneas haca e servdor a 5:
de!ine(gcon!,3X-$3%,.+-(1'0$R%+XB g8X)dnl
400
56.*.7. con&C0))"C@%0)Q'A@"Q@E'0@@"
Este parmetro srve para estabecer e numero de conexones mxmas por segundo. De modo
predefndo sendma no estabece mtes para este parmetro. En e sguente e|empo se mtar
a 4 conexones por segundo:
de!ine(gcon!(.++%(/'.+-R3/%-/1R.//0%XB g>X)dnl
401
57. Cmo instalar y con&igurar <ost&i2 y
Dovecot con soporte para @> y autenticacin.
57.+. %ntroduccin.
Es mprescndbe prmero estudar, y comprender, os conceptos descrtos en e documento
ttuado %ntroduccin a los protocolos de correo electrnico.
57.+.+. Acerca de <ost&i2.
<ost&i2, orgnamente conocdo por os nombres VMaer e IBM Secure Maer, es un popuar
agente de transporte de correo (MTA, o :a @ransport Agent), creado con a prncpa ntencn de
ser una aternatva ms rpda, fc de admnstrar, y segura que Sendma. Fue orgnamente
escrto por Wetse Venema durante su estanca en e Thomas |. Watson Research Center de IBM.
URL: http://www.postfx.org/.
57.+.*. Acerca de Dovecot.
Dovecot es un servdor de POP3 e IMAP de fuente aberta que funcona en Lnux, y sstemas
basados sobre Unx, y dseado con a segurdad como prncpa ob|etvo. Dovecot puede utzar
tanto e formato m!o2 como maildir, y es compatbe con as mpementacones de os servdores
UW-IMAP, y Courer IMAP.
URL: http://dovecot.procontro.f/.
57.+.3. Acerca de >A>L y Cyrus >A>.
>A> (>mpe Authentcaton and >ecurty ayer) es un estructura para a segurdad de datos en
protocoos de Internet. Desempare|a mecansmos de a autentcacn desde protocoos de
apcacones, permtendo, en teora, cuaquer mecansmo de autentcacn soportado por SASL
para ser utzado en cuaquer protocoo de apcacn que capaz de utzar SASL. Actuamente
SASL es un protocoo de a IETF (%nternet "ngneerng @ask Force) que ha sdo propuesto como
estndar. Est especfcado en e 'FC **** creado por |ohn Meyers en a Unversdad Carnege
Meon.
Cyrus >A> es una mpementacn de >A> que puede ser utzada de ado de servdor, o de
ado de cente, y que ncuye como prncpaes mecansmos de autentcacn soportados a
ANONYMOUS, CRAM-MD5, DIGEST-MD5, GSSAPI, y PLAIN. E cdgo fuente ncuye tambn soporte
para os mecansmos LOGIN, SRP, NTLM, OPT, y KERBEROS_V4.
402
URL: http://asg.web.cmu.edu/sas/sas-brary.htm.
57.+.4. Acerca de D>A.
D>A (Dgta >gnature Agorthm, o Agortmo de Frma dgta) es un agortmo creado por e NIST
()atona %nsttute of >tandards and @echnoogy, o Insttuto Nacona de Normas, y Tecnooga de
EE.UU.), pubcado e 30 de agosto de 1991, como propuesta para e proceso de frmas dgtaes.
Se utza para frmar nformacn, ms no para cfrar sta.
URL: http://es.wkpeda.org/wk/DSA
57.+.5. Acerca de '>A.
'>A, acrnmo de os apedos de sus autores, Ron 'vest, Ad >hamr, y Len Ademan, es un
%nfrastructure). Entre otras cosas, estabece os estndares para certfcados de caves pbcas, y
ayer, o Nve de Zcao Seguro), y @> (@ransport ayer >ecurty, o Segurdad para Nve de
Transporte). Est basado sobre e extnto proyecto >>eay, ncado por Erc Young, y Tm Hudson,
Instaar os paquetes post&i2, dovecot, cyrus(sasl, y cyrus(sasl(plain:
yum y install post!ix dovecot cyrussasl cyrussaslplain
S acaso estuvese nstaado, emne e paquete cyrus-sas-gssap, ya que este utza e mtodo de
autentcacn GSSAPI, msmo que requerra de a base de datos de cuentas de usuaro de un
servdor Kerberos:
403
yum remove cyrussaslgssapi
De gua manera, s estuvese nstaado, emne e paquete cyrus-sas-md5, ya que este utza os
mtodos de autentcacn CRAM-MD5, y Dgest-MD5, msmos que requeran asgnar as caves de
acceso para SMTP a travs de mandato saspasswd2. Outook carece de soporte para estos
mtodos de autentcacn.
yum remove cyrussaslmd8
Todos os procedmentos deben reazarse como e usuaro root.
57.3.+. De&iniendo <ost&i2 como agente de transporte de correo
predeterminado.
E mandato alternatives, con a opcn alternatives--confg mta, se utza para conmutar e
servco de correo eectrnco de sstema y eegr que paquete utzar. So es necesaro utzar
ste s prevamente estaban nstaados Sendma o Exm. S este es e caso, e|ecute o sguente
desde una termna, y defna <ost&i2 como agente de transporte de correo (:@A, :a @ransport
Agent), seecconado ste.
SelecciQn (omando
ON 1 /usr/sbin/sendmail@post!ix
5 /usr/sbin/sendmail@sendmail
S estuvera presente sendmail, detenga ste (es e :@A predetermnado en Cent0> 5, y 'ed
Eat "nterprise inu2 5) e nce postfx:
service sendmail stop
chkcon!ig sendmail o!!
service post!ix start
57.3.*. >"inu2L y <ost&i2.
A fn de que SELnux permta a Postfx escrbr e e drectoro de entrada de correo eectrnco
(=var=spool=mail=), es necesaro habtar a sguente potca:
setsebool ; allow-post!ix-local-write-mail-spool 1
404
Soo en Cent0> 5, y 'ed Eat "nterpise inu2 5, a fn de que SELnux permta a ectura de
correo eectrnco, es necesaro habtar a sguente potca:
setsebool ; mail-read-content 1
En Cent0> 6, y 'ed Eat "nterpise inu2 6, esta potca de| de exstr, pues se vov
nnecesara.
57.3.*.+. ?enerando &irma digitalL y certi&icado.
cd /etc/pki/tls/
Los servdores de correo eectrnco, como Sendma, y Postfx, pueden utzar una frma dgta
creada con agortmo D>A de 1024 octetos. Para ta fn, se crea prmero un archvo de parmetros
D>A:
openssl dsaparam 1#5> out dsa1#5>@pem
A contnuacn, se utza este archvo de parmetros D>A para crear una ave con agortmo D>A,
y estructura 25OS, as como tambn e correspondente certfcado. En e e|empo a contnuacn,
se estabece una vadez por 1095 das (tres aos) para e certfcado creado.
openssl reJ x8#7 nodes newkey dsa"dsa1#5>@pem days 1#78 out 6er2s+s/2..6r2 keyout
.r#"42e+s/2..:ey
Estado, o provnca.
Cudad.
Nombre de a empresa, o razn soca.
Undad, o seccn.
Nombre de anftrn.
Dreccn de correo.
405
Ienerating a 1#5> bit $S3 private key
writing new private key to Xsmtp@keyX

or a $+@

(ommon +ame (egB your name or your serverXs hostname) DE"@.5o/#n#o.6o/
S defn un nombre de anftrn absouto (e|empo: ma.domno.com), e certfcado soo ser
vdo cuando e servdor de correo eectrnco sea nvocado con e nombre defndo en e campo
Common )ame. Es decr, soo podr utzaro cuando se defna mail.dominio.com como
servdor >:@< con soporte @> desde e cente de correo eectrnco. Funconar
A termnar, ya no ser necesaro conservar e archvo dsa+O*4.pem, msmo que puede
emnarse con pena segurdad.
rm ! dsa1#5>@pem
Es ndspensabe que todos os archvos de caves, y certfcados tengan permsos de acceso de
soo ectura para e usuaro root:
chmod >## certs/smtp@crt private/smtp@key
Cambe a drectoro =etc=pKi=dovecot=.
cd /etc/pki/dovecot/
Emne os certfcados de prueba creados durante a nstaacn.
rm ! private/dovecot@pem certs/dovecot@pem
La creacn de a frma dgta, y certfcado para Dovecot es ms smpe, pero requere utzar
una cave con agortmo '>A de 1024 octetos, con estructura D.5OS. En e e|empo a
contnuacn, se estabece una vadez por 1095 das (tres aos) para e certfcado creado.
openssl reJ x8#7 nodes newkey rsa"1#5> days 1#78 out certs/dovecot@pem keyout
private/dovecot@pem
openssl x8#7 subMect !ingerprint noout in certs/dovecot@pem
406
De forma smar a como ocurr con e certfcado para e servdor correo eectrnco, o anteror
soctar se ngresen varos datos.
La sada devueta debe smar a a sguente:
@@@@@@@@@@@@@@@@NNNNNN
@NNNNNN
writing new private key to Xdovecot@pemX

or a $+@

(ommon +ame (egB your name or your serverXs hostname) DE" @.5o/#n#o.6o/
Nuevamente, s defn un nombre de anftrn absouto (e|empo: ma.domno.com), e certfcado
soo ser vdo cuando e servdor de correo eectrnco sea nvocado con e nombre defndo en e
campo Common )ame. Es decr, soo podr utzaro cuando se defna mail.dominio.com como
servdor <0<3, o %:A<, con soporte @> desde e cente de correo eectrnco. Funconar
Es ndspensabe que todos os archvos de caves, y certfcados tengan permsos de acceso de
soo ectura para e usuaro root:
chmod >## private/dovecot@pem certs/dovecot@pem
cd
57.3.3. Con&iguracin de <ost&i2.
57.3.3.+. Arc$ivo de con&iguracin =etc=post&i2=master.c&.
Edtar e archvo =etc=post&i2=master.c&:
vim /etc/post!ix/master@c!
S utza Cent0> 5, o 'ed Eat "nterprise inu2 5, debe descomentar as sguentes neas
resatadas en negrita:
407
smtp inet n n smtpd
s!/#ss#on #ne2 n - n - - s/2.5
-o s/2.5_en<or6e_2)s=yes
-o s/2.5_s4s)_423_en4!)e=yes
-o s/2.5_6)#en2_res2r#62#ons=.er/#2_s4s)_423en2#642e5AreKe62
s/2.s #ne2 n - n - - s/2.5
-o s/2.5_2)s_*r4..er/o5e=yes
-o s/2.5_s4s)_423_en4!)e=yes
S utza Cent0> 6, o 'ed Eat "nterprise inu2 6, debe descomentar as sguentes neas
resatadas en negrita:
smtp inet n n smtpd
s!/#ss#on #ne2 n - n - - s/2.5
-o s/2.5_2)s_se6r#2y_)e"e)=en6ry.2
-o s/2.5_s4s)_423_en4!)e=yes
-o /#)2er_/46ro_54e/on_n4/e=ORLGLNATLNG
s/2.s #ne2 n - n - - s/2.5
-o s/2.5_2)s_*r4..er/o5e=yes
-o s/2.5_s4s)_423_en4!)e=yes
-o /#)2er_/46ro_54e/on_n4/e=ORLGLNATLNG
57.3.3.*. Arc$ivo de con&iguracin =etc=post&i2=main.c&.
A contnuacn, se debe edtar e archvo =etc=post&i2=main.c&:
vim /etc/post!ix/main@c!
'espetando el resto del contenido original de este arc$ivo, y asumendo que e nombre de
anftrn de servdor es mail.dominio.com, y que se va a utzar para gestonar e correo
eectrnco de dominio.com, soo se deben locali8arL y con&igurar os sguentes parmetros:
408
A /odo lo siguiente solo reJuiere descomentarseB o bien modi!icar la lbnea
A correspondiente Jue este descomentada@
A $e!inir el nombre de an!itriQn del sistema (hostname)@
myhostname ) mail@5o/#n#o.6o/
A $e!inir el dominio principal a gestionar@
mydomain ) 5o/#n#o.6o/
myorigin ) Fmydomain
A $e!inir se trabaMe por todas las inter!aces@
A $e modo predeterminado solo trabaMa por la inter!aC de retorno del sistema
A (loopback)B es decirB solo escucha peticiones a traves de sobre 156@#@#@1
Ainet-inter!aces ) localhost
inet-inter!aces ) all
A Si se van a maneMar mcs dominios de correo electrQnicoB aUadirlos tambien@
mydestination ) FmyhostnameB FmydomainB localhost@localdomainB localhost
A $e!inir tus redes localesB eMemplo asume Jue tu 03+ es 175@164@1@#/5>
mynetworks ) 175@164@1@#/5>B 156@#@#@#/4
A Si se van a maneMar mcs dominios de correo electrQnicoB aUadirlos tambien@
relay-domains ) Fmydestination
A 'mportante para poder utiliCar .ro6/4#) para !iltrar correo@
mailbox-command ) /usr/bin/procmail
A /odo lo siguiente estc ausente en la con!iguraciQn@
A 3Uadir todo al !inal del archivo main@c!
A
smtpd-tls-security-level ) may
smtpd-tls-(3!ile ) /etc/pki/tls/certs/cabundle@crt
A 0as rutas deben corresponder a las del certi!icadoB y !irma digital creados@
smtpd-tls-key-!ile ) /etc/pki/tls/private/smtp@key
smtpd-tls-cert-!ile ) /etc/pki/tls/certs/smtp@crt
smtpd-tls-auth-only ) no
smtp-use-tls ) yes
smtpd-use-tls ) yes
smtp-tls-note-starttls-o!!er ) yes
smtpd-tls-loglevel ) 1
smtpd-tls-received-header ) yes
smtpd-tls-session-cache-timeout ) ?6##s
tls-random-source ) dev"/dev/urandom
A Soporte para autenticar a traves de S3S0@
A smtpd-sasl-local-domain ) A Solo como re!erencia@
smtpd-sasl-auth-enable ) yes
smtpd-sasl-security-options ) noanonymous
broken-sasl-auth-clients ) yes
smtpd-sasl-authenticated-header ) yes
smtpd-recipient-restrictions )
permit-sasl-authenticatedBpermit-mynetworksBreMect-unauth-destination
A fn de ahorrar tempo reazando bsqueda de os parmetros anterores, todo o anteror
tambn se puede confgurar utzando e mandato postcon&, de sguente modo:
409
postcon! e Xmyhostname ) mail@5o/#n#o.6o/X
postcon! e Xmydomain ) 5o/#n#o.6o/X
postcon! e Xmyorigin ) FmydomainX
postcon! e Xinet-inter!aces ) allX
postcon! e Xmydestination ) FmyhostnameB FmydomainB localhost@localdomainB localhostX
postcon! e Xmynetworks ) -%,.-'8.-.$+,JB 156@#@#@#/4X
postcon! e Xrelay-domains ) FmydestinationX
postcon! e Xmailbox-command ) /usr/bin/procmailX
postcon! e Xsmtpd-tls-(3!ile ) /etc/pki/tls/certs/cabundle@crtX
postcon! e Xsmtpd-tls-key-!ile ) /etc/pki/tls/private/smtp@keyX
postcon! e Xsmtpd-tls-cert-!ile ) /etc/pki/tls/certs/smtp@crtX
postcon! e Xsmtpd-tls-auth-only ) noX
postcon! e Xsmtp-use-tls ) yesX
postcon! e Xsmtpd-use-tls ) yesX
postcon! e Xsmtp-tls-note-starttls-o!!er ) yesX
postcon! e Xsmtpd-tls-loglevel ) 1X
postcon! e Xsmtpd-tls-received-header ) yesX
postcon! e Xsmtpd-tls-session-cache-timeout ) ?6##sX
postcon! e Xtls-random-source ) dev"/dev/urandomX
postcon! e Xsmtpd-sasl-auth-enable ) yesX
postcon! e Xsmtpd-sasl-security-options ) noanonymousX
postcon! e Xbroken-sasl-auth-clients ) yesX
postcon! e Xsmtpd-sasl-authenticated-header ) yesX
postcon! e Xsmtpd-recipient-restrictions )
permit-sasl-authenticatedBpermit-mynetworksBreMect-unauth-destinationX
57.3.3.3. Arc$ivo de con&iguracin =etc=aliases.
Se debe edtar tambn e archvo =etc=aliases:
vim /etc/aliases
Se debe defnr que e correo de usuaro root se entregue al cual#uier otro usuario del
sistema. "l o!.etivo de esto es #ue .am;s se tenga necesidad de utili8ar la cuenta del
usuario rootL y se pre&iera en su lugar una cuenta de usuario sin privilegios. >olo se
re#uiere descomentar la 1ltima lnea de este arc$ivoL #ue como e.emplo entrega el
correo del usuario root al usuario marcL y de&inir un usuario e2istente en el sistema
Aroot" marc
roo2? <)4no
A termnar, se e|ecuta e mandato postalias para generar e archvo =etc=aliases.d! que ser
utzado por <ost&i2:
postalias /etc/aliases
57.3.4. Con&iguracin de Dovecot en Cent0> 5L y 'ed Eat "nterprise
inu2 5.
57.3.4.+. <ar;metros del arc$ivo =etc=dovecot.con&.
Edtar e archvo =etc=dovecot.con&:
vim /etc/dovecot@con!
En e parmetro protocols, se deben actvar todos os servcos (map, maps, pop3, y pop3s).
protocols ) imap imaps pop? pop?s
410
De modo predetermnado, e soporte SSL de Dovecot est actvo. Verfque que e parmetro
sslQdisa!le tenga e vaor no, o ben soo est comentado.
Assl-disable ) no
Y se especfcan as rutas de certfcado, y cave a travs de os parmetros sslQcertQ&ile, y
sslQKeyQ&ile, de sguente modo:
ssl-cert-!ile ) /etc/pki/dovecot/certs/dovecot@pem
ssl-key-!ile ) /etc/pki/dovecot/certs/dovecot@pem
57.3.5. Con&iguracin de Dovecot en Cent0> 6L y 'ed Eat "nterprise
inu2 6.
Cent0> 6, y 'ed Eat "nterprise inu2 6 utzan a versn *.O de Dovecot, y por o cua
camba radcamente a confguracn respecto de a versn +.O.2, utzada en Cent0> 5, y 'ed
57.3.5.+. <ar;metros del arc$ivo =etc=dovecot=dovecot.con&.
Edte e archvo =etc=dovecot=dovecot.con&, y descomente e parmetro protocolos,
estabecendo como vaor pop3 imap lmtp.
protocols ) imap pop?
57.3.5.*. <ar;metros del arc$ivo =etc=dovecot=con&.d=+O(mail.con&.
mail-location ) mbox"T/mail"'+9.X)/var/mail/Vu
57.3.5.3. <ar;metros del arc$ivo =etc=dovecot=con&.d=+O(ssl.con&.
En e archvo =etc=dovecot=con&.d=+O(ssl.con&, descomente as sguentes neas resatadas en
negrta:
A SS0//0S support" yesB noB reJuired@ _doc/wiki/SS0@txtR
ss) = yes
A ;%, encoded X@8#7 SS0//0S certi!icate and private key@ /heyXre opened
be!ore
A dropping root privilegesB so keep the key !ile unreadable by anyone but
A root@ 'ncluded doc/mkcert@sh can be used to easily generate sel!signed
A certi!icateB Must make sure to update the domains in dovecotopenssl@cn!
ss)_6er2 = N+e26+.:#+5o"e6o2+6er2s+5o"e6o2..e/
ss)_:ey = N+e26+.:#+5o"e6o2+.r#"42e+5o"e6o2..e/
411
57.3.6. %niciar serviciosL y aadir stos al arran#ue del sistema.
Se deben aadr a arranque de sstema e ncar (o rencar) os servcos saslaut$d, dovecot, y
post&i2:
57.3.7. >oporte para :@<.
S utza Cent0> 6, o 'ed $at "nterprise inu2 6, es decr Dovecot *.O, y <ost&i2 *.6.6,
podr utzar :@< (oca :a @ransfer <rotoco), o protocoo de transporte oca de correo. Este
protocoo esta basado sobre e protocoo SMTP, y est dseado como una aternatva a SMTP para
stuacones donde e ado receptor carece de coa de correo (queue mail), como un MTA que
entende conversacones SMTP. Puede ser utzado como una forma aternatva, y ms efcente
para e transporte de correo entre Postfx, y Dovecot.
Edte e archvo =etc=dovecot=dovecot.con&, y aada lmtp a os vaores de parmetro
protocolos, de a sguente forma.
protocols ) imap pop? )/2.
A fn de poder hacer uso de :@< de manera apropada, es necesaro aadr e sguente
parmetro en e archvo =etc=post&i2=main.c&:
virtual-transport ) lmtp"unix"/var/run/dovecot/lmtp
O ben e|ecutar o sguente:
postcon! e Xvirtual-transport ) lmtp"unix"/var/run/dovecot/lmtpX
Y rencar os servcos dovecot, y post&i2.
service dovecot restart
57.3.9. :odi&icaciones necesarias en el muro corta&uegos.
S se utza un cortafuegos con potcas estrctas, como por e|empo >$orePall, es necesaro
abrr, adems de os puertos 25, 110, 143, y 587 por TCP (>:@<, <0<3, %:A<, y >u!mission,
respectvamente), os puertos 465, 993, y 995 por TCP (>:@<>, %:A<, y <0<3>,
respectvamente).
Edtar e archvo =etc=s$orePall=rules:
vim /etc/shorewall/rules
412
sguente:
A3(/'.+ S.=R(% $%S/ ;R./. $%S/ S.=R(%
A ;.R/ ;.R/(S)1
ACCE8T ne2 <* 26. ,5A--$A-J3AJ'5A58IA%%3A%%5
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
Para que tomen efecto os cambos, hay que rencar e servco Shorewa.
57.3.S. 'e#uisitos en la 8ona de reenvo en el servidor D)>.
Es ndspensabe que exsta un DNS que resueva correctamente e domno, y apunte e servco de
correo eectrnco haca a IP de servdor de correo eectrnco recn confgurado. Asumendo que
se hzo correctamente todo o menconado en este documento, a nca forma en que se
mposbtara a egada y/o sada de correo eectrnco se est utzando un enace ADSL con IP
dnmca (restrngdo por e proveedor para utzar e puerto 25), o ben que e servdor DNS que
resueve e domno, est apuntando haca otra dreccn IP para e servco de correo eectrnco.
En e DNS se requeren a menos os sguentes regstros, donde 22.22.22.22 corresponde a a IP
de servdor de correo eectrnco.
F//0 46>##
S '+ S.3 dns1@isp@com alguien@algo@com (
5#1##617#1 Y +`mero de serie
544## Y /iempo de re!resco
65## Y /iempo entre reintentos
6#>4## Y tiempo de espiraciQn
46>## Y /iempo total de vida
)
S '+ +S dns1@isp@com@
S '+ +S dns5@isp@com@
S '+ 3 a@b@c@d
O LN MX -$ /4#)
O LN TXT ""=s.<- 4 /; -4))"
/4#) LN A ;;.;;.;;.;;
www '+ 3 a@b@c@d
!tp '+ 3 a@b@c@d
57.4.+. A travs de terminal.
Reace una conexn con e mandato nc (netcat), o ben e mandato telnet, a puerto 25 de
sstema. Ingrese e mandato "E0 con e domno confgurado. La sada deber devover, entre
todas as funcones de servdor, una nea que ndca >@A'@@>. La sada puede ser smar a a
sguente:
413
n6 -,I.$.$.- ,5
55# emachine@alcancelibre@org %S,/; ;ost!ix
EELO 5o/#n#o.6o/
58#mail@dominio@com
58#;';%0'+'+I
58#S'G% 1#5>####
58#&R<:
58#%/R+
,5$-STARTTLS
,5$-AUTE 8LALN LOGLN
,5$-AUTE=8LALN LOGLN
58#%+13+(%$S/3/=S(.$%S
58#49'/,',%
58# $S+
]ULT
Para sar, soo escrba OUIT, y puse a teca ENTER.
57.4.*. A travs de clientes de correo electrnico.
Utce cuaquer cente de correo eectrnco con soporte para TLS/SSL, y confgure ste para
conectarse haca e sstema a travs de %:A<> (puerto 993), o ben <0<3> (puerto 995). Tras
aceptar e certfcado de servdor, e sstema deber permtr autentcar, con nombre de usuaro, y
cave de acceso, y reazar a ectura de correo eectrnco.
57.4.*.+. Con&iguracin de ?)0:" "volution.
Para GNOME Evouton, a confguracn de IMAP, o POP3, se reaza seecconando e tpo de
servdor, defnendo e nombre de servdor utzado para crear e certfcado, nombre de usuaro, y
usar encrptacn segura TLS.
414
Confguracn IMAP, en GNOME Evouton.
415
Confguracn SMTP, GNOME Evouton.
57.4.*.*. Con&iguracin :o8illa @$under!ird.
Para Moza Thunderbrd, se defne e nombre de servdor utzado para crear e certfcado,
usuaro, y usar conexn segura TLS.
416
Confguracn IMAP, Moza Thunderbrd.
Confguracn SMTP, Moza Thunderbrd.
417
abrr, adems de os puertos 25, 110, 143, y 587 por TCP (>:@<, <0<3, %:A<, y >u!mission,
respectvamente), os puertos 465, 993, y 995 por TCP (>:@<>, %:A<, y <0<3>,
respectvamente).
La rega para e archvo =etc=s$orePall=rules de >$orePall correspondera a ago smar a o
sguente:
A3(/'.+ S.=R(% $%S/ ;R./. $%S/ S.=R(%
A ;.R/ ;.R/(S)1
3((%;/ all !w tcp 58B11#B1>?B>68B846B77?B778
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
418
59. Cmo instalar y con&igurar Amavisd(neP
con <ost&i2 en Cent0> 5.
59.+. %ntroduccin.
Este documento permtr confgurar Postfx para utzar amavsd-new para e contro de vrus y
correo spam. Se requere haber confgurado prevamente Postfx de a forma en que se descrbe en
e documento ttuado %#mo instalar y configurar Eostfi5 en %entS" 3 con soporte para T&" y
autenticaci#n.1
59.+.+. Acerca de Amavisd(neP.
Amavisd(neP es una nterfaz confabe y de ato desempeo entre e agente de trasporte de
correo (:@A, :a @ransport Agent) y uno o ms supervsores de contendo, como es e caso de
supervsores ant-vrus, y/o SpamAssassn. Est escrto en Per para asegurar su ata confabdad,
portabdad y facdad de mantenmento.
Funcona comuncndose con e MTA a travs de ">:@< ("xtended Smpe :a @ransfer <rotoco,
o Protocoo Smpe de Transferenca de Correo) o ben :@< (oca :a @ransfer <rotoco, o
Protocoo de Transferenca Loca de Correo), a travs de programas auxares, con un dseo que
mpde se puede parder correo eectrnco de manera ncdenta.
URL: http://www.|s.s/software/amavsd/
59.*.+. Creacin del usuario para ClamAF.
De modo predetermnado, en os paquetes RPM basados sobre os dsponbes para Fedora, e
usuaro para CamAV se asgna a travs de os mandatos &edora(groupadd y &edora(useradd e
UID y GID 4 en e sstema. A fn de prevenr un confcto de UID/GID con otros usuaros y grupos de
sstema, se recomenda crear prevamente a grupo y usuaro correspondentes para CamAV:
groupadd r clamav
useradd r s /sbin/nologin d /var/lib/clamav , c X(lamav 3ntivirusX g clamav
clamav
419
59.*.*. Con&iguracin de depsitos b,: para Cent0> 5 y 'ed Eat
"nterprise inu2 5.
Se pueden utzar e sguente depsto YUM para a pataforma Enterprse Lnux 5.
D30ServerE
name)%nterprise 0inux Freleasever Fbasearch 30 Server
Instaar os paquetes necesaros se utza e sguente mandato:
yum y install amavisdnew clamavupdate clamavserver cabextract tne!
yum y install arM lha unCoo p6Cip p6Cipplugins
Lo anteror tambn nstaar todas as dependencas necesaras.
59.3.+. Con&iguracin de >"inu2.
59.3.+.+. <rocedimiento para crear poltica.
Crear e drectoro /usr=s$are=selinu2=pacKages=amavisd:
mkdir /usr/share/selinux/packages/amavisd
Cambarse a drectoro /usr=s$are=selinu2=pacKages=amavisd:
cd /usr/share/selinux/packages/amavisd
Descargar desde Alcance i!re e archvo
$ttp-==PPP.alcanceli!re.org=linu2=secrets=amavisd.te:
wget http"//www@alcancelibre@org/linux/secrets/amavisd@te
Edtar e archvo amavisd.te:
vim 4/4"#s5.2e
Verfcar que e archvo amavisd.te tenga e sguente contendo:
module amavisd 1@#Y
reJuire Z
type traceroute-port-tY
type amavis-tY
type clamd-tY
type spamd-tY
420
type initrc-var-run-tY
type amavis-var-run-tY
type root-tY
class dir Z write search add-name [Y
class udp-socket name-bindY
class !ile Z ioctl append read lock [Y
[
A))))))))))))) amavis-t ))))))))))))))
allow amavis-t initrc-var-run-t"!ile Z read lock [Y
allow amavis-t traceroute-port-t"udp-socket name-bindY
A))))))))))))) clamd-t ))))))))))))))
allow clamd-t amavis-var-run-t"dir Z write search add-name [Y
A))))))))))))) spamd-t ))))))))))))))
Crear e archvo de mduo amavisd.mod a partr de archvo amavisd.te:
checkmodule , m o amavisd@mod amavisd@te
Crear e archvo de potca amavisd.pp a partr de archvo amavisd.mod
semodule-package o amavisd@pp m amavisd@mod
Incur a potca a sstema:
semodule i /usr/share/selinux/packages/amavisd/amavisd@pp
59.3.*. Con&iguracin de Amavisd(neP.
Edtar e archvo /etc=amavisd=amavisd.con&
vim /etc/amavisd/amavisd@con!
Locazar a sguente nea:
Fmydomain ) Xexample@comXY A a convenient de!ault !or other settings
Cambar por o sguente:
Fmydomain ) Xdominio@comXY A a convenient de!ault !or other settings
59.3.3. Con&iguracin de <ost&i2.
Edtar e archvo /etc=post&i2=master.c&
vim /etc/post!ix/master@c!
Aadr a fna de ste todo o sguente:
421
A (on!iguraciQn de amavisdnew
amavis!eed unix n 5 lmtp
o lmtp-data-done-timeout)15##
o lmtp-send-x!orward-command)yes
o disable-dns-lookups)yes
o max-use)5#
156@#@#@1"1##58 inet n n smtpd
o content-!ilter)
o smtpd-delay-reMect)no
o smtpd-client-restrictions)permit-mynetworksBreMect
o smtpd-helo-restrictions)
o smtpd-sender-restrictions)
o smtpd-recipient-restrictions)permit-mynetworksBreMect
o smtpd-data-restrictions)reMect-unauth-pipelining
o smtpd-end-o!-data-restrictions)
o smtpd-restriction-classes)
o mynetworks)156@#@#@#/4
o smtpd-error-sleep-time)#
o smtpd-so!t-error-limit)1##1
o smtpd-hard-error-limit)1###
o smtpd-client-connection-count-limit)#
o smtpd-client-connection-rate-limit)#
o receive-override-options)no-header-body-checksBno-unknown-recipient-checksBno-miltersBno-add
ress-mappings
o local-header-rewrite-clients)
o smtpd-milters)
o local-recipient-maps)
o relay-recipient-maps)
Edtar e archvo /etc=post&i2=main.c&:
vim /etc/post!ix/main@c!
Aadr a fna de ste o sguente:
content-!ilter ) amavis!eed"D156@#@#@1E"1##5>
Lo anteror se puede defnr automtcamente en e archvo /etc=post&i2=main.c& e|ecutando:
postcon! e Xcontent-!ilter ) amavis!eed"D156@#@#@1E"1##5>X
Edtar e archvo /etc=aliases:
vim /etc/aliases
Defnr un aas para a cuenta virusalert:
virusalert" !ulano
Para que surtan efecto os cambos, e|ecutar:
postalias /etc/aliases
59.3.4. %niciarL detener y reiniciar el servicio spamass(milter.
Aadr os servcos clamd.amavisd y amavisd a os servcos de arranque de sstema:
chkcon!ig clamd@amavisd on
chkcon!ig amavisd on
422
Incar os servcos clamd.amavisd y amavisd:
service clamd@amavisd start
service amavisd start
Rencar e servco post&i2:
59.3.5. <ost&i2 con dominios virtuales y Amavisd(neP.
Para poder utzar Postfx con dominios virtuales y Amavsd-new, es ndspensabe edtar e
archvo /etc=amavisd=amavisd.con&:
vim /etc/amavisd/amavisd@con!
Y modfcar os vaores de parmetro @localQdomainsQmaps. E vaor predetermnado es e
sguente:
Slocal-domains-maps ) ( D*@Fmydomain*E )Y
Se deben agregar os domnos vrtuaes de a sguente manera:
Slocal-domains-maps ) ( D*@Fmydomain*B *dominio@com*B *otrodominio@net*B *otrodominio@org*E )Y
Y para que surtan efecto os cambos, se debe rencar e servco amavisd:
service amavisd restart
423
5S. Cmo con&igurar <ost&i2 en Cent0> 5 para
utili8ar dominios virtuales con usuarios del
sistema.
5S.+. %ntroduccin.
Este documento permtr confgurar Postfx para utzar mtpes domnos vrtuaes, utzando
os usuaros ocaes de sstema. Se requere haber confgurado prevamente Postfx de a forma en
que se descrbe en e documento ttuado 0%#mo instalar y configurar Eostfi5 en %entS" 3 con
soporte para T&" y autenticaci#n.1 Se recomenda eer, estudar y apcar tambn os
procedmentos descrtos en e documento ttuado 0%#mo instalar y configurar Amavisd2ne) con
Eostfi5 en %entS" 3.1
5S.*. <rocedimientos.
5S.*.+. Con&iguracin de >"inu2.
Por o genera, a mayora de os documentos dsponbes en Internet recomendan desactvar
SELnux, sn mayores argumento o expcacones. Sn embargo, hacer sto mpca renuncar a una
magnfca proteccn que brnda a sstema esta mportante mpementacn de segurdad. Tengo
un ema persona que me gusta ctar para expcar m opnn respecto de SELnux:
Cs vale tenerlo y jams necesitarlo, que necesitarlo y carecer de ste.
S es posbe utzar SELnux |unto con domnos vrtuaes. Cuando se quere mpementar un
servco de hospeda|e con domnos vrtuaes, y se utza =$ome para crear os drectoros de nco
de os domnos vrtuaes, se requeren pocos o nngn a|uste en SELnux. Sn embargo, hay
escenaros donde se utza =var=PPP para crear os drectoros de nco de os domnos vrtuaes.
S se hace de este modo, y s se quere mantener SELnux actvo, es necesaro generar una potca
que permta a os servcos de Postfx o Sendma, Dovecot, Pyzor y Spamassassn poder reazar
ectura, escrtura y otros atrbutos sobre drectoros y archvos con contexto
$ttpdQsysQcontentQt. E sguente procedmento srve para crear a potca necesara.
5S.*.+.+. <rocedimiento para crear poltica.
Crear e drectoro =usr=s$are=selinu2=pacKages=virtualmail:
mkdir /usr/share/selinux/packages/virtualmail
Cambarse a drecrtoro =usr=s$are=selinu2=pacKages=virtualmail:
424
cd /usr/share/selinux/packages/virtualmail
$ttp-==PPP.alcanceli!re.org=linu2=secrets=virtualmail.te:
wget http"//www@alcancelibre@org/linux/secrets/virtualmail@te
Edtar e archvo virtualmail.te:
vim "#r24)/4#).2e
Verfcar que e archvo virtualmail.te tenga e sguente contendo:
module virtualmail 1@#Y
reJuire Z
type pyCor-tY
type sendmail-tY
type post!ix-local-tY
type post!ix-postdrop-tY
type post!ix-master-tY
type procmail-tY
type spamc-tY
type dovecot-tY
type tmp-tY
type httpd-log-tY
type httpd-sys-content-tY
type httpd-con!ig-tY
type spamd-tY
type system-mail-tY
class !ile Z read lock rename create write getattr link unlink append [Y
class dir Z search read write getattr remove-name add-name [Y
[
A))))))))))))) dovecot-t ))))))))))))))
allow dovecot-t httpd-sys-content-t"dir Z write search read remove-name getattr add-name [Y
allow dovecot-t httpd-sys-content-t"!ile Z write getattr link rename read lock create unlink [Y
A))))))))))))) post!ix-local-t ))))))))))))))
allow post!ix-local-t httpd-sys-content-t"dir searchY
A))))))))))))) post!ix-postdrop-t ))))))))))))))
allow post!ix-postdrop-t tmp-t"!ile Z getattr append [Y
allow post!ix-postdrop-t httpd-log-t"!ile getattrY
A))))))))))))) post!ix-master-t ))))))))))))))
allow post!ix-master-t httpd-con!ig-t"dir searchY
A))))))))))))) procmail-t ))))))))))))))
allow procmail-t httpd-sys-content-t"dir searchY
A))))))))))))) pyCor-t ))))))))))))))
allow pyCor-t httpd-sys-content-t"dir Z write search [Y
A))))))))))))) spamc-t ))))))))))))))
A))))))))))))) spamd-t ))))))))))))))
allow spamd-t httpd-sys-content-t"dir Z write search getattr [Y
allow spamd-t httpd-sys-content-t"!ile Z read getattr [Y
A))))))))))))) system-mail-t ))))))))))))))
allow system-mail-t httpd-sys-content-t"!ile appendY
Crear e archvo de mduo virtualmail.mod a partr de archvo virtualmail.te:
425
checkmodule , m o virtualmail@mod virtualmail@te
Crear e archvo de potca virtualmail.pp a partr de archvo virtualmail.mod
semodule-package o virtualmail@pp m virtualmail@mod
semodule i /usr/share/selinux/packages/virtualmail/virtualmail@pp
5S.*.*. Con&iguracin de <ost&i2.
5S.*.*.+. Arc$ivo =etc=post&i2=main.c&.
Edtar e archvo =etc=post&i2=main.c&:
vim +e26+.os2<#;+/4#n.6<
Defnr os sguentes parmetros:
A %stablecer el valor de myhostname como localhost@localdomain
A /ambien se puede de!inir cualJuier otro dominioB siempre y cuando sea distinto
A a cualJuiera de los de!inidos en los valores de virtual-alias-domains o en
A virtual-alias-maps@
/y3os2n4/e = )o64)3os2.)o64)5o/4#n
A $e!inir el valor predeterminado para mydomain
/y5o/4#n = )o64)3os2.)o64)5o/4#n
A $e!inir los valores predeterminados para mydestination y relay-domains
/y5es2#n42#on = _/y3os2n4/eA )o64)3os2._/y5o/4#nA )o64)3os2
re)4y_5o/4#ns = _/y5es2#n42#on
A Recomendado@
A aunto con virtual-alias-mapsB reemplaCa a virtual-maps
A Se utiliCa para declarar los dominios virtuales@
A Se puede prescindir de este si se aUaden dominios en /etc/post!ix/virtual@
"#r24)_4)#4s_5o/4#ns = _"#r24)_4)#4s_/4.s
A .bligatorio@
A aunto con virtual-alias-domainsB reemplaCa a virtual-maps
A Se utiliCa para declarar la reescritura de direcciones@ %Memplo"
A MbarriosSdominio@com Moel
A %Memplo hace Jue todo correo para MoelSdominio@com se entregue a Moel
A Si se Juiere precindir de utiliCar "#r24)_4)#4s_5o/4#nsB aUadir tambien los
A dominios en este !ormato"
A dominio@com dominio@com
A otrodominio@net otrodominio@net
A otrodominio@org otrodominio@org
A Si se hace lo anteriorB comentar "#r24)_4)#4s_5o/4#ns@
"#r24)_4)#4s_/4.s = 34s3?+e26+.os2<#;+"#r24)
A Recomendado@
A %s la contraparte de 4)#4s_5424!4se = +e26+4)#4ses
A Se utiliCa para reescritura de direcciones de salida@ %Memplo"
A Moel Moel@barrios
A %Memplo hace Jue todo el correo de Moel salga como Moel@barrios
canonical-maps ) hash"/etc/post!ix/canonical
A Recomendado@
A Se utiliCa solo para reescribir la direcciQn de salida de una cuenta@
426
A %Memplo"
A Moel MbarriosSdominio@com
A %Memplo hace Jue todo el correo de Moel salga como MbarriosSdominio@com
sen5er_64non#64)_/4.s = 34s3?+e26+.os2<#;+sen5er_64non#64)
A .pcional@
A ;oco utiliCado@ =tiliCar virtual-alias-maps en su lugar@
A (onsiderar Jue se procesa antes Jue canonical-maps@
A Se utiliCa solo para reescribir solo la direcciQn de entrada de una cuenta@
A %Memplo"
A MbarriosSdominio@com Moel
A %Memplo hace Jue todo correo para MbarriosSdominio@com se entregue a Moel
recipient-canonical-maps ) hash"/etc/post!ix/recipient-canonical
Todo o anteros se puede reazar tambn e|ecutando e mandato postcon& para cada parmetro:
postcon! e Xmyhostname ) localhost@localdomainX
postcon! e Xmydomain ) localhost@localdomainX
postcon! e Xmydestination ) FmyhostnameB localhost@FmydomainB localhostX
postcon! e Xrelay-domains ) FmydestinationX
postcon! e Xvirtual-alias-domains ) Fvirtual-alias-mapsX
postcon! e Xvirtual-alias-maps ) hash"/etc/post!ix/virtualX
postcon! e Xcanonical-maps ) hash"/etc/post!ix/canonicalX
postcon! e Xsender-canonical-maps ) hash"/etc/post!ix/sender-canonicalX
postcon! e Xrecipient-canonical-maps ) hash"/etc/post!ix/recipient-canonicalX
A termnar, genere os archvos =etc=post&i2=senderQcanonical y
=etc=post&i2=recipientQcanonical:
touch /etc/post!ix/sender-canonical
touch /etc/post!ix/recipient-canonical
5S.*.*.*. Arc$ivos =etc=post&i2=virtual y =etc=post&i2=senderQcanonical.
Edtar e archvo =etc=post&i2=virtual:
vim +e26+.os2<#;+"#r24)
Crear a taba de cuentas de correo eectrnco vrtuaes de entrada, especfcando a que cuenta
de usuaro oca se entrega cada dreccn.
dominio@com dominio@com
otrodominio@net otrodominio@net
otrodominio@org otrodominio@org
MoelSdominio@com Moel
MuanSdominio@com Muan
pabloSdominio@com pablo
pedroSdominio@com pedro
hugoSotrodominio@net hugo
luisSotrodominio@org luis
webmasterSdominio@com MoelSdominio@com
webmasterSotrodominio@net hugoSotrodominio@net
webmasterSotrodominio@org luisSotrodominio@org
Edtar e archvo =etc=post&i2=senderQcanonical:
vim +e26+.os2<#;+sen5er_64non#64)
427
Crear a taba de cuentas de correo eectrnco vrtuaes de sada, especfcando as dreccones de
sada que utzar cada usuaro. Es decr, cas o contraro a o estabecdo en /etc/postfx/vrtua,
pero especfcando un nco usuaro para cada cuenta de correo eectrnco. |ams se especfque
ms de un usuaro por cuenta de correo eectrnco, n ms de una cuenta de correo eectrnco
por usuaro.
Moel MoelSdominio@com
Muan MuanSdominio@com
pablo pabloSdominio@com
pedro pedroSdominio@com
hugo hugoSotrodominio@net
luis luisSotrodominio@org
Utzar e mandato postmap con os archvos =etc=post&i2=canonical,
=etc=post&i2=recipientQcanonical, =etc=post&i2=senderQcanonical y =etc=post&i2=virtual a fn
de generar os archvos .db correspondentes y que surtan efecto os cambos uego de rencar e
servco post&i2:
postmap /etc/post!ix/canonical
postmap /etc/post!ix/recipient-canonical
postmap /etc/post!ix/sender-canonical
postmap /etc/post!ix/virtual
5S.*.3. 'einiciar el servicio post&i2.
A fn de que surtan efecto todos os cambos, se debe rencar e servco post&i2:
428
6O. Cmo con&igurar Cyrus %:A<.
6O.+. %ntroduccin.
Proyecto que do nco en 1994, en a ,niversidad Carnegie :ellon, e servdor Cyrus %:A< se
dstngue de resto de os equpamentos gcos con a msma fnadad en que utza un formato
para os buzones de correo que me|ora e rendmento y escaabdad de formato :aildir,
utzado por otros equpamentos gcos como Dovecot. Este formato amacena os datos por
partes de sstema de archvos y que soo pueden ser acceddos por e servco de Cyrus %:A<.
Esto permte gestonar grandes cantdades de datos de forma efcente y con un ntrprete de
mandatos para su admnstracn. Incuye soporte para os protocoos %:A<, %:A<, <0<3 y
<0<3>, as como soporte para stas de contro de acceso y cuotas en a |erarqua de buzones.
URL: http://asg.web.cmu.edu/cyrus/mapd/
cirus(imapd: servdor %:A<, %:A<, <0<3 y <0<3>.
cyrus(imapd(utils: herramentas de admnstracn.
cyrus(sasl: servco de autentcacn.
cyrus(sasl(plain: soporte para autentcacn a travs de texto smpe.
cyrus(sasl(md5: soporte para autentcacn a travs de mtoos cfrados.
S utza Cent0> 4 o W$ite Bo2 "nterprise inu2 4, y versones posterores, soo se necesta
reazar o sguente para nstaar o actuazar e equpamento gco necesaro:
yum y install cyrusimapd cyrusimapdutils cyrussasl cyrussaslplain cyrussaslmd8
6O.*.*. %nstalacin a travs de up*date.
up5date i cyrusimapd cyrusimapdutils cyrussasl cyrussaslplain cyrussaslmd8
429
Cyrus %:A< no requere modfcar archvo aguno de confguracn. Los vaores predetermnados
permten su funconamento norma. Sn embargo, requere de agunos procedmentos adconaes
en reacn a otros equpamentos gcos.
>e de!e asignar una clave de acceso para e usuaro admnstrador de Cyrus %:A<, a fn de
mpedr accesos no autorzados a ntrprete de mandatos para admnstracn. Esto se reaza a
travs de mandato passPd, de sguente modo:
passwd cyrus
6O.3.+. Alta de cuentas de usuario y asignacin de claves de acceso.
E ata de usuaros a travs de este mtodo ser dferente a a manera tradcona, debdo a que
para utzar e mtodo de autentcacn para acceder haca os servcos %:A<, %:A<>, <0<3 y
<0<3>, Cyrus %:A< utzar >A>. Por ta motvo, e ata de cuentas de usuaro de correo
deber de segur e sguente procedmento:
+. Ata de a cuenta de usuaro en e sstema, a cua se sugere no deber tener acceso a ntrprete
de mandato aguno:
useradd s /sbin/nologin !ulano
*. Asgnacn de caves de acceso en e sstema para permtr autentcar a travs de os mtodos
<A%) y 0?%) para autentcar a travs de os protocoos <0<3 e %:A<:
passwd usuario
3. Asgnacn de caves de acceso para autentcar %:A<, %:A<>, <0<3 y <0<3> a travs de
mtodos cfrados (C'A:(:D5 y D%?">@(:D5) en sstemas con versn de Cyrus %:A<
compada contra >A>(* (Red Hat Enterprse Lnux 4, CentOS 4 o Whte Box Enterprse Lnux 4),
requeren utzar e mandato saslpassPd* de sguente modo:
s4s).4ss*5, usuario
4. Acceder haca e ntrprete de mandatos para admnstracn de Cyrus %:A<D, cyradm, de
sguente modo:
cyradm user cyrus auth login localhost
5. Crear os buzones de correo para e usuaro a travs de ntrprete de mandatos para
admnstracn de Cyrus %:A<D, cyradm, de sguente modo:
createmailbox user@usuario
Para mostrar a sta de buzones exstentes, se utza e mandato listmail!o2. Para sar de
ntrprete, soo se ngresa e mandato e2it
6. La autentcacn para %:A<, %:A<>, <0<3 y <0<3> a travs de cuaquer mecansmo requere se
actve e nce e servco de saslaut$d de sguente modo:
En e caso en que se haya decddo utzar mtodos cfrados (C'A:(:D5 y D%?">@(:D5), puede
mostrarse a sta de os usuaros con cave de acceso a travs de SASL-2 utzando e mandato
sasld!listusers*. Puede mostrarse a sta de os usuaros con cave de acceso a travs de SASL-1
utzando e mandato sasld!listusers. S ya se cuenta con un grupo de caves de acceso de
usuaros dados de ata en SASL-1, se pueden convertr haca SASL-2 con e mandato d!converter(
*.
430
6O.3.*. %niciarL detener y reiniciar el servicio cyrus(imapd.
Para ncar por prmera vez e servco cyrus(imapd, utce:
/sbin/service cyrusimapd start
Para hacer que os cambos hechos a a confguracn de servco cyrus(imapd surtan efecto,
utce:
/sbin/service cyrusimapd restart
Para detener e servco cyrus(imapd, utce:
/sbin/service cyrusimapd stop
6O.3.3. Agregar el servicio cyrus(imapd al arran#ue del sistema.
Para hacer que e servco de cyrus(imapd est actvo con e sguente nco de sstema, en todos
os nvees de e|ecucn (2, 3, 4, y 5), se utza o sguente:
/sbin/chkcon!ig cyrusimapd on
6O.3.4. %ntegracin con >endmail.
Para hacer que e correo que ega a travs de >endmail sea amacenado en su totadad en os
buzones de Cyrus %:A< a travs de :@< (oca :a @ransfer <rotoco o Protocoo de
trasferenca de correo oca, descrto en e RFC 2033), es necesaro descomentar/agregar as
sguentes neas de confguracn en e archvo =etc=mail=sendmail.mc, |usto antes de
DA":0)Q0<@%0)>Mj<ortRsmtpL )ameR:@A[Ndnl.
de!ine(gcon!0.(30-,3'0%RXB gcyrusv5X)dnl
de!ine(g(:R=S&5-,3'0%R-3RISXB g<'0% /var/lib/imap/socket/lmtpX)dnl
Y descomentar/agregar a sguente nea a fna de archvo =etc=mail=sendmail.mc, |usto deba|o
de :A%"'MprocmailNdnl.
,3'0%R(cyrusv5)dnl
Tras reazado o anteror, soo se necesta rencar e servco sendmail.
6O.4. Compro!aciones.
Enve un mensa|e de correo eectrnco utzando e mandato mail y estabezca una conexn
entre e cente y e servdor a travs de <0<3, como se e|empfcada a contnuacn.
431
(liente"
F 2e)ne2 -,I.$.$.- --$
N.H localhost@localdomain (yrus ;.;? v5@5@15'nvocaR;,5@5@15?@R1%0>@1 server ready@
(liente" USER <)4no
Servidor" N.H
(liente" 8ASS clave de accceso
Servidor" N.H 0ogged in@
(liente" STAT
Servidor" N.H 1 654
(liente" LLST
Servidor" N.H 1 messages"
1 654
@
(liente" RETR -
Servidor" N.H 654 octets
Return;ath" _!ulanoSlocalhost@localdomainR
Received" !rom localhost@localdomain (localhost@localdomain D175@164@1@58>E)
by localhost@localdomain (4@1?@1/4@1?@1) with S,/; id k5',5RM3##?746
!or _rootSlocalhost@localdomainRY SatB 14 ,ar 5##6 16"#?"51 #6##
$ate" SatB 14 ,ar 5##6 16"#5"56 #6##
,essage'd" _5##6#?1455#?@k5',5RM3##?746Slocalhost@localdomainR
<rom" !ulanoSlocalhost@localdomain
/o" rootSlocalhost@localdomain
Status" .
(ontent0ength" >?
0ines" 5
X='$" 5#5
XHeywords"
3dios@
@
(liente" ]ULT
Servidor" N.H 0ogging out@
Repta e procedmento, esta vez estabecendo conexn entre e cente y e servdor a travs de
%:A<, como se e|empfcada a contnuacn.
432
(liente"
F 2e)ne2 -,I.$.$.- -J3
O .H localhost@localdomain (yrus ',3;> v5@5@15'nvocaR;,5@5@15?@R1%0>@1 server ready@
N.H dovecot ready@
(liente" ; LOGLN <)4no clave de acceso
Servidor" x .H 0ogged in@
(liente" ; SELECT #n!o;
Servidor" O <03IS (P3nswered P<lagged P$eleted PSeen P$ra!t)
O .H D;%R,3+%+/<03IS (P3nswered P<lagged P$eleted PSeen P$ra!t PO)E <lags permitted@
O 1 %X'S/S
O # R%(%+/
O .H D=+S%%+ 1E <irst unseen@
O .H D='$&30'$'/: 11##867?45E ='$s valid
O .H D='$+%X/ 5#?E ;redicted next ='$
x .H DR%3$2R'/%E Select completed@
(liente" ; FETCE - &<)47s !o5yD3e45er.<#e)5s &s!Ke620F0
Servidor" O 1 <%/(1 (<03IS (PSeen) 9.$:D1%3$%R@<'%0$S (S=9a%(/)E Z?#[
)
@
(liente" ; FETCE - &!o5yD2e;2F0
Servidor" O 1 <%/(1 (9.$:D/%X/E Z>8[
3dios@
)
(liente" ; LOGOUT
Servidor" O 9:% 0ogging out
x .H 0ogout completed@
433
6+. Apndice- "nviar correo a todos los usuarios
del sistema
6+.+. <rocedimientos
1. Lo prmero ser generar un archvo en e sstema, e cua tendr como contendo una sta
de os usuaros de sstema a os que se quere envar un mensa|e. ste puede ocazarse en
cuaquer ugar de sstema, como por e|empo /etc/mail/allusers. Puede edtarse e archvo
/etc/mail/allusers y aadr ndvduamente cada usuaro que se desee conforme esa sta o
ben, s se quere aadr a todos os usuaros de sstema, e|ecutar o sguente:
awk <" XF? R 8## Z print F1 [X /etc/passwd R /etc/mail/allusers
2. A contnuacn, debe modfcarse e archvo /etc/aliases y aadr a fna de msmo:
allusers" "include"/etc/mail/allusers
1. A termnar so debe e|ecutarse e mandato newaliases o ben rencar e servco de
Sendma (e gun de nco se encarga de hacer todo o necesaro).
3. Para probar, bastar con envar un mensa|e de correo eectrnco a a cuenta allusers de
servdor.
6+.*. Acerca de la seguridad
Evte a toda costa utzar allusers o paabras muy obvas como aas de correo para envar a todas
as cuentas. Seguramente quenes se dedcan a envar correo masvo no soctado o correo
chatarra ("pam), tratarn de envar correo a este aas en e servdor. No es facte e traba|o a
esas personas y trate de utzar un aas ofuscado o en cave. E|empo: TjjLUsjeiTUV.
434
6*. Cmo instalar y con&igurar el programa
vacation para responder avisos autom;ticos en
vacaciones.
6*.+. %ntruccin.
Facation es un pequeo pero t programa que permte confgurar cuentas de correo eectrnco
para que respondan automtcamente con un mensa|e que ndca que e usuaro se encuentra de
vacacones.
Proceda a confgurar e depsto YUM de Acance Lbre que ncuye e paquete modfcado de squd
con soporte para dreccones MAC:
cd
S utza Cent0> 5, 'ed Eata "nterprise inu2 5 o W$ite Bo2 "nterprise inu2 5, soo se
necesta reazar o sguente para nstaar o actuazar e equpamento gco necesaro:
yum y install vacation
6*.*.*. %nstalacin a travs de up*date.
Edte e archvo =etc=syscon&ig=r$n=sources.
vim /etc/syscon!ig/rhn/sources
Aada e sguente contendo.
yum 30Server http"//www@alcancelibre@org/al/server/>/
435
up5date i vacation
Es ndspensabe que e usuaro tenga acceso a ntrprete de mandatos a fn de poder utzar e
programa vacation. Asgne como ntrprete de mandatos =!in=!as$ o ben =!in=s$ a usuaro:
usermod s /bin/bash usuario
Cambe a a sesn de usuaro:
su l usuario
Utce vm para crear e archvo Y=.vacation.msg:
vim T/@vacation@msg
Puse a teca %nsert.
Cooque dentro de archvo un contendo smar a sguente, evtando utzar acentos y a etra :
SubMect" %stoy de vacaciones@
<rom" como se llame _usuaarioSmidominio@com@mxR
Reply/o" como se llame _usuaarioSmidominio@com@mxR
9uen diaB por el momento no me encuentro en la o!icinaB estoy de regreso el
proximo $$ de ,,,, de 3333@
Reciba un cordial saludo@
3tentamente
0ic@ como se llame
+./3" ,ensaMe OintencionalmenteO enviado sin acentos@
Puse a teca "sc, guarde cambos y saga de vm pusando a combnacn de tecas -2 y uego a
teca = (")@"').
Utce vm para crear e archvo Y=.&orPard:
vim T/@!orward
Puse a teca %nsert.
Aada e sguente contendo, tomando en cuenta que a omsn de a barra nvertda (\) a nco
har que e programa vacation fae rremedabemente:
PusuarioB *^/usr/bin/vacation usuario*
teca = (")@"').
436
Cambe os permsos de archvo para que soo permtan a ectura y escrtura a usuaro propetaro
de ste.
chmod 6## T/@!orward
Como usuaro e|ecute e sguente mandato, a fn de ncar e programa.
vacation '
Saga de a sesn de usuaro.
exit
A partr de este momento, todo e correo eectrnco que se env a a cuenta de usuaro, ser
responddo automtcamente con un avso que ncur e texto defndo en e archvo
=$ome=usuario=.vacation.msg.
Para desactvar e programa, soo es necesaro ngresar nuevamente a sstema como root y
emnar o renombrar e archvo =$ome=usuario=.&orPard.
mv /home/usuario/@!orward /home/usuario/@!orward@old
Y defnr de nuevo =dev=null, =!in=&alse o =s!in=nologin como ntrprete de mandatos para e
usuaro.
usermod s /sbin/nologin usuario
437
63. Cmo con&igurar clamav(milter.
63.+. %ntroduccin.
63.+.+. Acerca de clamav(milter.
Clamav(milter es un componente para aadr (<lug(in) para a bboteca de ftros de correo
(li!milter) de >endmail, que se encarga de hacer pasar todo e correo entrante, ncuyendo todo
o que se recba a travs de rmail=,,C<, a travs de ClamAF, que a su vez es un poderoso, y
robusto motor, con cencamento bre, para a deteccn de gusanos, troyanos, y vrus. Verfca e
correo eectrnco durante a conexn con e servdor de correo que remte ste utmo, y o
rechaza automtcamente s ste ncuye agn gusanos, troyanos o vrus.
A gua que clamav(milter, e cua es utzado para a ftracn de Spam, representa una
exceente aternatva pues tene un ba|o consumo de recursos de sstema, hacndoo dneo para
servdores con sustento fsco obsoeto, o donde otras apcacones tene mayor prordad en a
utzacn de recursos de sstema.
63.+.*. Acerca de ClamAF.
ClamAF es un con|unto de herramentas antvrus, bre, y de cdgo fuente aberto, que tene as
sguente caracterstcas:
Dstrbudo ba|o os trmnos de a Lcenca Pubca Genera GNU versn 2.

Cumpe con as especfcacones de fama de estndares <0>%D (<ortabe 0peratng >ystem
%nterface for UNID o nterfaz portabe de sstema operatvo para Unx).
Exporacn rpda.
Detecta ms de 720 m vrus, gusanos, y troyanos, ncuyendo vrus para MS Offce.

Capacdad para examnar contendo de archvos ZIP, RAR, Tar, Gzp, Bzp2, MS OLE2, MS Cabnet,
MS CHM, y MS SZDD.
Soporte para exporar archvos comprmdos con UPX, FSG, y Pette.

Avanzada herramenta de actuazacn con soporte para frmas dgtaes, y consutas basadas
sobre DNS.
438
sendma (prevamente confgurado) sendma-cf
make m4
camav camav-mter
63.*.+. Creacin del usuario para ClamAF.
De modo predetermnado, en os paquetes RPM basados sobre os dsponbes para Fedora, e
usuaro para CamAV se asgna a travs de os mandatos &edora(groupadd, y &edora(useradd e
UID, y GID 4 en e sstema. A fn de prevenr un confcto de UID/GID con otros usuaros, y grupos
de sstema, se recomenda crear prevamente a grupo, y usuaro correspondentes para CamAV:
groupadd r clamav
useradd r s /sbin/nologin d /var/lib/clamav , c X(lamav 3ntivirusX g clamav clamav
63.*.*. %nstalacin a travs de yum.
S dspone de un servdor con Cent0> 5, y 6 o 'ed Eata "nterprise inu2 5, y 6, puede utzar
e e amacn YUM de Alcance i!re para servdores en produccn, descargando e archvo
$ttp-==PPP.alcanceli!re.org=al=server=A(>erver.repo dentro de drectoro
=etc=yum.repos.d=:
cd
Este archvo, que se guarda como =etc=yum.repos.d=A(>erver.repo, debe tener e sguente
contendo:
D30ServerE
gpgcheck)1
La nstaacn a travs de mandato yum requere utzar o sguente:
yum y install clamavmilter clamavmiltersysv clamavdataempty clamavupdate clamav
scanner clamavscannersysvinit
63.3.+. >"inu2L y el servicio clamav(milter.
63.3.+.+. Cent0> 5L y 'ed Eat "nterprise inu2 5.
En CentOS 5 ,y Red Hat Enterprse Lnux 5 se debe crear una potca para permtr a servco
clamd.scan utzar J%@, y a funcn e5ecmem>A.
Genere un nuevo drectoro denomnado =usr=s$are=selinu2=pacKages=clamd:
439
mkdir +sr+s34re+se)#n;+.46:47es+6)4/5
Cambarse a drectoro =usr=s$are=selinu2=pacKages=clamd:
cd +sr+s34re+se)#n;+.46:47es+6)4/5
Descargar e archvo $ttp-==PPP.alcanceli!re.org=linu2=secrets=clamd.te:
wget http"//www@alcancelibre@org/linux/secrets/clamd@te
vim clamd@te
module clamd 1@#Y
reJuire Z
type clamd-tY
class process execmemY
[
A))))))))))))) clamd-t ))))))))))))))
allow clamd-t sel!"process execmemY
Lo anteror fue obtendo de a sada de mandato cat =var=log=audit=audit.loghgrep audith
audit*alloP (m clamdiclamd.te en un sstema donde SELnux mpeda a clamav(milter utzar
a funcn e5ecmem>A.
A contnuacn, se genera un e archvo de mduo para SELnux (clamd.mod) utzando e
checkmodule , m o clamd@mod clamd@te
Luego, se procede a empaquetar e archvo clamd.mod como e archvo clamd.pp:
semodule-package o clamd@pp m clamd@mod
Fnamente se vncua e archvo clamd.pp obtendo con as potcas actuaes de SELnux, y se
cargan stas en e nceo en e|ecucn:
semodule i /usr/share/selinux/packages/clamd/clamd@pp
Una vez cargadas as nuevas potcas, se pueden emnar os archvos clamd.te, y clamd.mod,
pues soo ser necesaro que exsta e archvo bnaro clamd.pp.
A fn de evtar reazar todo o anteror, permtr que e servco clamd.scan pueda utzar a
funcn e5ecmem>A, y que SELnux mpda as conexones de servco clamav(milter haca e
servco clamd.scan, utce e sguente mandato:
440
setsebool ; clamd-disable-trans 1
Para que SELnux permta a servco clamav(milter funconar normamente, y que permta
reazar a revsn de correo eectrnco, utce e sguente mandato:
setsebool ; clamscan-disable-trans 1
Para que SELnux permta a mandato &res$clam funconar normamente, y que permta actuazar
a base de datos de frmas dgtaes, utce e sguente mandato:
setsebool ; !reshclam-disable-trans 1
63.3.+.*. Cent0> 6L y 'ed Eat "nterprise inu2 6.
En CentOS 6, y Red Hat Enterprse Lnux 6 soo exste una potca a confgurar, y es
clamdQuseQ.it, a cua permte a servco clamd.scan utzar J%@, y a funcn e5ecmem>A.
setsebool ; clamd-use-Mit on
63.3.*. 'e#uisitos previos.
Se requere un servdor de correo con >endmail, prevamente confgurado, y funconando para
envar, y recbr correo eectrnco. Para ms detaes a respecto, consutar e documento ttuado
0%onfiguraci#n bsica de "endmail >Earte DA.1.
63.3.3. Arc$ivo =etc=mail=sendmail.mc.
Es necesaro agregar e sguente contendo en e archvo =etc=mail=sendmail.mc, |usto arrba de
a nea :A%"'MsmtpNdnl.
'+;=/-,3'0-<'0/%R(gclamavXB gS)local"/var/run/clamavmilter/clamav@sockB <)B /)S">mYR">mX)dnl
de!ine(gcon!'+;=/-,3'0-<'0/%RSXB g6)4/4"X)dnl
S se combna con >pamassassin :ilter, quedara de sguente modo:
'+;=/-,3'0-<'0/%R(gclamavXB gS)local"/var/run/clamavmilter/clamav@sockB <)B /)S">mYR">mX)dnl
'+;=/-,3'0-<'0/%R(gspamassassinXB gS)unix"/var/run/spamassmilter/spamassmilter@sockB <)B
/)("18mYS">mYR">mY%"1#mX)dnl
de!ine(gcon!,'0/%R-,3(R.S-(.++%(/XBgtB bB MB -B B B X)dnl
de!ine(gcon!,'0/%R-,3(R.S-1%0.XBgsB B B B B X)dnl
de!ine(gcon!'+;=/-,3'0-<'0/%RSXB gs.4/4ss4ss#nB6)4/4"X)dnl
63.3.4. Con&iguracin.
Clamav(milter depende totamente de a base de datos de ClamAF. E funconamento estndar,
que consste en rechazar correo eectrnco que contenga vrus, y otros programas magnos,
funcona sn necesdad de parmetros adconaes. Las banderas de nco para camav-mter estn
defndas en e archvo =etc=syscon&ig=clamav(milter, msmo que permte funconar
normamente sn necesdad de modfcar un soo parmetro, a menos que se neceste especfcar
aguna opcn avanzada defnda en a pgna de manua de camav-mter.
man clamavmilter
441
63.3.5. %niciarL detenerL y reiniciar el servicio clamav(milter.
Desde a versn 0.95, CamAV-mter requere est funconando camdscan como servco. Los
paquetes de CamAV ncuyen o necesaro a travs de camav-scanner. Soo se requere agregar a
arranque de sstema, y se nca os servcos clamd.scan, y clamav(milter de sguente modo, y
orden:
chkcon!ig clamd@scan on
service clamd@scan start
chkcon!ig clamavmilter on
service clamavmilter start
E archvo =etc=&res$clam.con& de os paquetes dstrbudos por Alcance i!re ya ncuye as
modfcacones necesaras para permtr e funconamento de mandato &res$clam. Sn embargo,
s se utzan paquetes para Fedora, es necesaro edtar este archvo, y comentar o emnar a nea
9, que ncuye smpemente a paabra ngesa -5ample, y que de otro mod mpedra utzar e
mandato &res$clam:
AA
AA %xample con!ig !ile !or !reshclam
AA ;lease read the !reshclam@con!(8) manual be!ore editing this !ile@
AA
A (omment or remove the line below@
V E;4/.)e
E archvo =etc=syscon&ig=&res$clam de os paquetes dstrbudos por Alcance i!re ya ncuye
as modfcacones necesaras para permtr a actuazacn automtca de a base de datos de
ClamAF. S se utzan paquetes de Fedora, y a fn de mantener actuazada a base de datos de
frmas dgtaes, es necesaro edtar e archvo =etc=syscon&ig=&res$clam con e ob|eto de permtr
as actuazacones automtcas:
AAA ddddd R%,.&% ,% dddddd
AAA R%,.&% ,%" 9y de!aultB the !reshclam update is disabled to avoid
AAA R%,.&% ,%" network access without prior activation
V FRESECLAM_DELAW=5#s4!)e5-*4rn V REMOHE ME
Antes de poner en operacn e servdor, es recomendabe actuazar manuamente, y de manera
nmedata, a base de datos de frmas utzando e mandato &res$clam, desde cuaquer termna
como root.
!reshclam
A termnar, consderando que est nstaado e paquete sendmail(mc, e cua permte
reconfgurar >endmail a partr de archvo =etc=mail=sendmail.mc, se debe rencar e servco
sendmail para que surtan efectos os cambos.
442
64. Cmo con&igurar spamass(milter.
64.+. %ntroduccin.
64.+.+. 'e#uisitos previos.
Se requere un servdor de correo con >endmail, prevamente confgurado y funconando para
envar y recbr correo eectrnco. Para ms detaes a respecto, consutar e documento ttuado
0%onfiguraci#n bsica de "endmail1.
Se requere adems eer y estudar prevamente a nformacn de documento ttuado 0%#mo
instalar y configurar "pamassassin.1
64.+.*. Acerca de spamass(milter.
>pamass(milter es un componente adcona (<lug(in) para a bboteca de ftros de correo
(li!milter) de >endmail, que se encarga de hacer pasar todo e correo entrante, ncuyendo todo
o que se recba a travs de rmail=,,C<, a travs de >pamAssassin, que a su vez es un
poderoso y robusto componente de ftrado de correo.
Representa una exceente aternatva pues tene un ba|o consumo de recursos de sstema,
hacndoo dneo para servdores con sustento fsco obsoeto, o donde otras apcacones tene
mayor prordad en a utzacn de recursos de sstema.
URL: http://savannah.nongnu.org/pro|ects/spamass-mt/
64.+.3. Acerca de >pamAssassin.
>pamAssassin es una mpementacn que utza un sstema de puntuacn, basado sobre
agortmos de tpo gentco, para dentfcar mensa|es que puderan ser sospechosos de ser correo
masvo no soctado, aadendo cabeceras a os mensa|es de modo que puedan ser ftrados por e
cente de correo eectrnco o :,A (:a ,ser Agent).
URL: http://spamassassn.apache.org/
sendma (prevamente confgurado) sendma-cf
make m4
spamassassn spamass-mter
443
per-Ma-SPF per-Razor-Agent
pyzor
S dspone de un servdor con Cent0> 4 o 5 o ben 'ed Eata "nterprise inu2 4 o 5, puede
utzar e depsto yum de Alcance i!re para servdores en produccn:
D30ServerE
gpgcheck)1
La nstaacn soo requere utzar o sguente:
yum y install spamassmilter perl,ailS;< perlRaCor3gent pyCor
64.3.+. >"inu2 y el servicio spamass(milter.
A fn de que SELnux permta a servco spamassassin conectarse a servcos externos, como
razor o Pyzor, utce e sguente mandado:
setsebool ; spamassassin-can-network 1
A fn de que SELnux permta a os usuaros de sstema utzar spamassassin desde sus
drectoros de nco, utce e sguente mandato:
setsebool ; spamd-enable-home-dirs 1
S se desea desactvar toda gestn de SELnux sobre os servcos spamass(milter y
spamassassin, hacendo que todo o anteror perda sentdo y emnando a proteccn que
brnda esta mpementacn, utce os sguentes mandatos:
setsebool ; spamd-disable-trans 1
setsebool ; spamass-milter-disable-trans 1
64.3.+.+. A.ustes adicionales.
Actuazacones recentes en as potcas de SELnux mpedrn que e servco spamass(milter
pueda squera ncar. Por o tanto, es mperatvo nstaar as potcas de SELnux
correspondentes.
Genere un nuevo drectoro denomnado =usr=s$are=selinu2=pacKages=spamassmilter:
mkdir +sr+s34re+se)#n;+.46:47es+s.4/4ss/#)2er
Cambarse a drectoro =usr=s$are=selinu2=pacKages=spamassmilter:
444
cd +sr+s34re+se)#n;+.46:47es+s.4/4ss/#)2er
S utza Cent0> 5 o 'ed Eat "nterprise inu2 5, descargar e archvo
$ttp-==PPP.alcanceli!re.org=linu2=secrets=el5=spamassmilter.te:
wget http"//www@alcancelibre@org/linux/secrets/el8/spamassmilter@te
vim spamassmilter@te
module spamassmilter 1@#Y
reJuire Z
type spamass-milter-data-tY
type spamass-milter-tY
type pyCor-tY
type spamd-tY
class dir Z search read create write getattr remove-name add-name [Y
class !ile Z read create ioctl write getattr unlink append [Y
[
A))))))))))))) pyCor-t ))))))))))))))
allow pyCor-t spamass-milter-data-t"dir Z write search create getattr add-name [Y
allow pyCor-t spamass-milter-data-t"!ile Z read write create getattr [Y
A))))))))))))) spamass-milter-t ))))))))))))))
allow spamass-milter-t initrc-var-run-t"!ile Z write getattr [Y
A))))))))))))) spamd-t ))))))))))))))
allow spamd-t spamass-milter-data-t"dir Z write search read remove-name create getattr add-name [Y
allow spamd-t spamass-milter-data-t"!ile Z write getattr read create unlink ioctl append [Y
audit*alloP (m spamassmilterispamassmilter.te en un sstema Cent0> 5 donde SELnux
mpeda a spamass(milter funconar correctamente.
S utza Cent0> 6 o 'ed Eat "nterprise inu2 6, descargar e archvo
$ttp-==PPP.alcanceli!re.org=linu2=secrets=el6=spamassmilter.te:
wget http"//www@alcancelibre@org/linux/secrets/el6/spamassmilter@te
vim spamassmilter@te
module spamassmilter 1@#Y
reJuire Z
type spamass-milter-data-tY
445
type spamass-milter-tY
type pyCor-tY
type spamc-tY
type spamd-tY
class dir Z search read create write open getattr remove-name add-name [Y
class !ile Z read create ioctl write open getattr unlink append [Y
[
A))))))))))))) pyCor-t ))))))))))))))
allow pyCor-t spamass-milter-data-t"dir Z write search create getattr add-name [Y
allow pyCor-t spamass-milter-data-t"!ile Z read write create getattr [Y
A))))))))))))) spamass-milter-t ))))))))))))))
allow spamass-milter-t initrc-var-run-t"!ile Z write getattr [Y
A))))))))))))) spamd-t ))))))))))))))
allow spamd-t spamass-milter-data-t"dir Z write open search read remove-name create getattr
add-name [Y
allow spamd-t spamass-milter-data-t"!ile Z write open getattr read create unlink ioctl append [Y
A))))))))))))) spamc-t ))))))))))))))
allow spamc-t spamass-milter-data-t"!ile openY
audit*alloP (m spamassmilterispamassmilter.te en un sstema Cent0> 6 donde SELnux
mpeda a spamass(milter funconar correctamente.
A contnuacn, se genera un e archvo de mduo para SELnux (spamassmilter.mod) utzando
e mandato c$ecKmodule de a sguente forma:
checkmodule , m o spamassmilter@mod spamassmilter@te
Luego, se procede a empaquetar e archvo spamassmilter.mod como e archvo
spamassmilter.pp:
semodule-package o spamassmilter@pp m spamassmilter@mod
Fnamente se vncua e archvo spamassmilter.pp obtendo con as potcas actuaes de SELnux
y se cargan stas en e nceo en e|ecucn:
semodule i /usr/share/selinux/packages/spamassmilter/spamassmilter@pp
Una vez cargadas as nuevas potcas, se pueden emnar os archvos spamassmilter.te y
spamassmilter.mod, pues soo ser necesaro que exsta e archvo bnaro spamassmilter.pp.
64.3.*. Arc$ivo =etc=mail=sendmail.mc.
Edtar e archvo =etc=mail=sendmail.mc:
vim +e26+/4#)+sen5/4#)./6
Es necesaro agregar e sguente contendo en e archvo =etc=mail=sendmail.mc, |usto arrba de
:A%"'MsmtpNdnl.
dnl ,3Sh=%R3$%-$.,3'+(localhost)dnl
446
dnl ,3Sh=%R3$%-$.,3'+(localhost@localdomain)dnl
dnl ,3Sh=%R3$%-$.,3'+(mydomainalias@com)dnl
dnl ,3Sh=%R3$%-$.,3'+(mydomain@lan)dnl
LN8UT_MALL_FLLTER&cs.4/4ss4ss#n9A cS=n#;?+"4r+rn+s.4/4ss-/#)2er+s.4/4ss-/#)2er.so6:A F=A
T=C?-5/[S?J/[R?J/[E?-$/905n)
5e<#ne&c6on<MLLTER_MACROS_CONNECT9Ac2A !A KA _A A A 905n)
5e<#ne&c6on<MLLTER_MACROS_EELO9AcsA A A A A 905n)
,3'0%R(smtp)dnl
,3'0%R(procmail)dnl
dnl ,3'0%R(cyrusv5)dnl
S se combna con ClamAF :ilter, quedara de sguente modo:
dnl ,3Sh=%R3$%-$.,3'+(localhost)dnl
dnl ,3Sh=%R3$%-$.,3'+(localhost@localdomain)dnl
dnl ,3Sh=%R3$%-$.,3'+(mydomainalias@com)dnl
dnl ,3Sh=%R3$%-$.,3'+(mydomain@lan)dnl
LN8UT_MALL_FLLTER&c6)4/4"9A cS=)o64)?+"4r+rn+6)4/4"-/#)2er+6)4/4".so6:A F=A T=S?J/[R?J/905n)
LN8UT_MALL_FLLTER&cs.4/4ss4ss#n9A cS=n#;?+"4r+rn+s.4/4ss-/#)2er+s.4/4ss-/#)2er.so6:A F=A
T=C?-5/[S?J/[R?J/[E?-$/905n)
5e<#ne&c6on<MLLTER_MACROS_CONNECT9Ac2A !A KA _A A A 905n)
5e<#ne&c6on<MLLTER_MACROS_EELO9AcsA A A A A 905n)
5e<#ne&c6on<LN8UT_MALL_FLLTERS9A cs.4/4ss4ss#nA6)4/4"905n)
,3'0%R(smtp)dnl
,3'0%R(procmail)dnl
dnl ,3'0%R(cyrusv5)dnl
64.3.3. Arc$ivo =etc=syscon&ig=spamass(milter.
Edtar e archvo =etc=syscon&ig=spamass(milter:
vim +e26+sys6on<#7+s.4/4ss-/#)2er
E archvo =etc=syscon&ig=spamass(milter ncuye e sguente contendo:
AAA .verride !or your di!!erent local con!ig
AS.(H%/)/var/run/spamassmilter/spamassmilter@sock
AAA Standard parameters !or spamassmilter are"
AAA ; /var/run/spamassmilter@pid (;'$ !ile)
AAA
AAA +ote that the ! parameter !or running the milter in the background
AAA is not reJuired because the milter runs in a wrapper script that
AAA backgrounds itsel!
AAA
AAA :ou may add another parameters hereB see spamassmilter(1)
A%X/R3-<03IS)*m r 18*
De forma predetermnada, a travs de parmetro (m, spamass(milter desactva a modfcacn
de asunto de mensa|e (>u!.ect-) y a cabecera Content(@ype-, o cua es convenente para
aadr cabeceras y se procesado posterormente, y, a travs de parmetro (r +5, rechaza os
mensa|es de correo eectrnco cuando stos tenen asgnados 15 puntos o ms. Se pueden
modfcar e nmero de puntos mnmos para rechazar drectamente e correo eectrnco
sospechoso de ser "pam ncrementando e vaor para e parmetro (r. La recomendacn es
asgnar un vaor mayor a defndo en e archvo =etc=mail=spamassassin=local.c&. S, por
e|empo, se estabece en ste tmo re#uiredQ$its 4.5 y rePriteQ$eader >u!.ect y en e
archvo =etc=syscon&ig=spamass(milter se estabece "D@'AQFA?>R/(m (r +O/, ocurrr o
sguente:
+ Todos os mensa|es marcados con 4.4 puntos o menos, se entregarn nmedatamente a usuaro sn
447
. modfcacones vsbes.
*
.
Todos os mensa|es marcados desde 4.5 hasta 9.9 puntos se entregarn a usuaro con e asunto
modfcado aadendo a ste a nco.
3
.
Todos os mensa|es que estn marcados con 10.0 puntos o ms sern rechazados automtcamente.
Basado sobre e e|empo menconado, e contendo de archvo =etc=syscon&ig=spamass(milter
quedara de sguente modo:
AAA .verride !or your di!!erent local con!ig
AS.(H%/)/var/run/spamassmilter/spamassmilter@sock
AAA Standard parameters !or spamassmilter are"
AAA ; /var/run/spamassmilter@pid (;'$ !ile)
AAA
AAA +ote that the ! parameter !or running the milter in the background
AAA is not reJuired because the milter runs in a wrapper script that
AAA backgrounds itsel!
AAA
AAA :ou may add another parameters hereB see spamassmilter(1)
EXTRA_FLAGS="-/ -r -$"
64.3.4. Arc$ivo =etc=procmailrc.
S se desea que e correo marcado con una mnma puntuacn para ser consderado >pam (gua
o superor a vaor defndo para e parmetro re#uiredQ$its de archvo
/etc/ma/spamassassn/oca.cf) se entregue en una carpeta dferente a buzn de entrada, para
ser consutado a travs de un webma (Squrrema o GroupOffce) o ben un cente con soporte
IMAP (Mcrosoft Outook, GNOME Evouton o Moza Thunderbrd), se puede crear e archvo
=etc=procmailrc:
vim +e26+.ro6/4#)r6
Y aadre e sguente contendo:
A 1acer pasar el correo por spamassassin
"#!w
^ /usr/bin/spamc
A ,over mensaMes positivos a Spam hacia la capeta T/mail/Spam del usuario
"#"
O WXSpamStatus" :es
F1.,%/mail/Spam
Lo anteror defne una rega condconada a que a cabecera de mensa|e ncuya D(>pam(>tatus-
bes, e cua es agregado por >pamAssassin cuando hay casos que superan e mnmo de puntos
para ser consderado >pam, de modo que todo correo que ncuya esta cabecera ser amacenado
en a carpeta mail=>pam propedad de usuaro a quen sea destnado e mensa|e. A estar en
=etc=procmailrc, esta rega se apca a todas a cuentas de usuaro en e servdor. Combnado con
todo o anteror, ocurrr o sguente:
+
.
Todos os mensa|es marcados con 4.4 puntos o menos, se entregarn nmedatamente a usuaro sn
modfcacones vsbes.
*
.
Todos os mensa|es marcados desde 4.5 hasta 9.9 puntos se entregarn a usuaro con e asunto
modfcado aadendo a ste a nco y se amacenarn en a capeta Y=mail=>pam de usuaro.
448
3
.
Todos os mensa|es que estn marcados con 10.0 puntos o ms sern rechazados automtcamente.
64.3.5. Arc$ivo =etc=syscon&ig=spamassassin.
A fn de que spamass(milter y spamassassin traba|en |untos, es necesaro exsta e drectoro de
confguracn para e usuaro sa(milt que se utzar para ncar spamd, e cua corresponde a
servco spamassassin. Por o genera, este drectoro se crea automtcamente a nstaar e
paquete spamassassin.
Este drectoro debe pertenecer a usuaro sa(milt y grupo sa(milt.
chown R samilt"samilt /var/lib/spamassassin
Se edta e archvo =etc=syscon&ig=spamassassin:
vim +e26+sys6on<#7+s.4/4ss4ss#n
Y se aaden as opcones (u sa(milt (2 ((virtual(con&ig(dirR=var=li!=spamassassin, as cuaes
especfcan que se ncar como e usuaro sa(milt, que se desactvar a confguracn por
usuaro y que se utzar =var=li!=spamassassin como drectoro vrtua de confguracn. De ta
modo, e archvo debe quedar de a sguente forma:
A .ptions to spamd
S8AMDO8TLONS="-5 -6 -/5 -E - s4-/#)2 -; --"#r24)-6on<#7-5#r=+"4r+)#!+s.4/4ss4ss#n"
64.3.6. %niciarL detener y reiniciar el servicio spamass(milter.
Se agrega a arranque de sstema y se nca e servco spamassasin de sguente modo:
chkcon!ig spamassassin on
service spamassassin start
E servco spamass(milter se agrega a arranque de sstema y se nca de sguente modo:
chkcon!ig spamassmilter on
service spamassmilter start
A termnar, consderando que est nstaado e paquete sendmail(mc, e cua permte apcar
cambos en a confguracn >endmail a partr de archvo =etc=mail=sendmail.mc, se debe
rencar e servco sendmail para que surtan efectos os cambos reazado en e archvo
menconado.
A fn de mantener actuazado e |uego de regas y ftros de Spamassassn, es convenente
actuazar stos de vez en cuando, a o sumo una o dos veces a mes. Los |uegos de regas y ftros
de Spamassassn reamente sufren pocos cambos a o argo de ao y se amacenan en un sub-
drectoro dentro de =var=li!=spamassassin=. Soo es necesaro conservar e sub-drectoro con a
versn ms recente. E sguente mandato reazar a consuta y actuazacn de regas y ftros
de Spamassassn y rencar e servco soamente s se descarg una actuazacn:
449
saupdate kk service spamassassin restart
450
65. Cmo con&igurar un servidor )%>
65.+. %ntroduccin.
Anterormente conocdo como >un belloP <ages (b< o Pgnas Amaras), )%> ()etwork
%nformaton >ervce o Sstema de Informacn de Red) es un protocoo para servco de drectoros
cente/servdor para a dstrbucn de datos, como pueden ser nombres de usuaros, caves de
acceso, drectoros de usuaro y nombres de anftrones, utzados por sstemas comuncados en
una red. Orgnamente fue desarroado por >un :icrosystems y est est basado sobre 0)C
'<C. Consta de un servdor, una bboteca para os centes y herramentas de
admnstracn. Actuamente NIS est ncudo como mpementacn bre en todas as
dstrbucones de Lnux y varantes de Unx, e ncuso exsten mpementacones bres.
Este documento consdera as sguentes varabes que debern ser reempazadas por vaores
reaes:
domno.net: susttuya por e domno que se desee confgurar.
servdor.domno.net: susttuya por e nombre de anftrn de servdor NIS.
192.168.0.254: Dreccn IP de servdor NIS
192.168.0.0: Dreccn de red
255.255.255.0: Mscara de subred.
%nstalacin del e#uipamiento lgico necesario en el servidor )%>.
65.*.+.+. %nstalacin a travs de yum.
S utza Cent0> 4 y 5, W$ite Bo2 "nterprise inu2 4 y 5 o 'ed Eat "nterprise inu2 5, y
versones posterores, soo se necesta reazar o sguente para nstaar o actuazar e
equpamento gco necesaro:
yum y install ypbind yptools ypserv
65.*.+.*. %nstalacin a travs de up*date.
up5date i install ypbind yptools ypserv
451
65.*.*. Con&iguracin del servidor )%>.
65.*.*.+. Con&iguracin del arc$ivo =etc=yp.con&
Edte e archvo /etc/yp.conf:
vi /etc/yp@con!
Aada a sguente nea:
domain dominio@net server 175@164@#@58>
65.*.*.*. Con&iguracin del arc$ivo =etc=ypserv.con&
Edte e archvo /etc/ypserv.conf
vi /etc/ypserv@con!
Aada o verfque que est presente e sguente contendo:
dns" no
!iles" ?#
x!r-check-port" yes
O " O " shadow@byname " port
O " O " passwd@adMunct@byname " port
65.*.*.3. Con&iguracin del arc$ivo =etc=syscon&ig=netPorK
Edte e archvo /etc/sysconfg/network
vi /etc/syscon!ig/network
Aada e sguente contendo:
+'S$.,3'+)*dominio@net*
Para ntegrarse a domno recn confgurado, es necesaro utzar os sguente mandatos.
domainname dominio@net
ypdomainname dominio@net
65.*.*.4. Creacin y contenido del arc$ivo =var=yp=securenets.
Edte e archvo /var/yp/securenets:
vi /var/yp/securenets
452
Defnr a dreccn IP de retorno de sstema y a mscara de subred y dreccn IP de red
correspondente a a red con a que se est traba|ando. E e e|empo a contnuacn, se est
utzando una red +S*.+69.O.O con mscara de subred *55.*55.*55.O (24 bts):
host 156@#@#@1
588@588@588@# 175@164@#@#
65.*.*.5. %nicio y reinicio de servicios portmap y ypserv.
E servco de portmap se debe rencar para reconozca a servco ypserv recn nstaado.
service portmap restart
E servco ypserv es ncado (o rencado s ya estuvera e|ecutndose) y agregado a arranque
de sstema.
service ypserv start
chkcon!ig ypserv on
Para hacer comprobar que e servco est funconado ypserv correctamente, utce:
rpcin!o u localhost ypserv
el programa 1####> versiQn 1 estc listo y a la espera
el programa 1####> versiQn 5 estc listo y a la espera
65.*.*.6. Creacin de mapas )%>.
Deben crearse os mapas NIS donde se amacenar a nformacn de servco.
/usr/lib/yp/ypinit m
Lo anteror deber devover una sada smar a o sguente, donde soo deber agregarse e
nombre de anftrn de sstema:
3t this pointB we have to construct a list o! the hosts which will run +'S
servers@ servidor##@cchnaucalpan@mx is in the list o! +'S server hosts@ ;lease
continue to add
the names !or the other hostsB one per line@ 2hen you are done with the
listB type a _control $R@
next host to add" locahost@localdomain
next host to add"
E e tmo campo ngrese e nombre de anftrn de sstema y puse CTRL-D a termnar:
3t this pointB we have to construct a list o! the hosts which will run +'S
servers@ servidor##@cchnaucalpan@mx is in the list o! +'S server hosts@ ;lease
continue to add
the names !or the other hostsB one per line@ 2hen you are done with the
listB type a _control $R@
next host to add" localhost@localdomain
453
next host to add" servidor@dominio@net
65.*.*.7. Arran#ue de servicios yp!indL yppassPdd y yp2&&rd
Ince os servcos ypbnd, yppasswdd y ypxffrd.
service ypbind start
service yppasswdd start
service ypx!rd start
Aada stos servcos a arranque de sstema
chkcon!ig ypbind on
chkcon!ig yppasswdd on
chkcon!ig ypx!rd on
65.*.3. %nstalacin del e#uipamiento lgico necesario en el cliente )%>.
65.*.3.+. %nstalacin a travs de yum.
S utza Cent0> 4 y 5, W$ite Bo2 "nterprise inu2 4 y 5 o 'ed Eat "nterprise inu2 5, y
versones posterores, soo se necesta reazar o sguente para nstaar o actuazar e
equpamento gco necesaro:
yum y install ypbind yptools
65.*.3.*. %nstalacin a travs de up*date.
up5date i install ypbind yptools
65.*.4. Con&iguracin del cliente )%>.
65.*.4.+. Con&iguracin de arc$ivos =etc=syscon&ig=netPorKL =etc=yp.con&
y =etc=$osts.
Edte e archvo /etc/sysconfg/network:
vi /etc/syscon!ig/network
Aada a sguente nea:
+'S$.,3'+)internal
Edte e archvo /etc/yp.conf:
vi /etc/yp@con!
454
Consderando que e domno a utzar es dominio.net y que a dreccn IP de servdor es
+S*.+69.O.*54, aada a sguente nea:
domain dominio@net server 175@164@#@8>
Edte e archvo /etc/hosts:
vi /etc/hosts
Asegrese que est defndo un regstro que asoce a dreccn IP prncpa de sstema con e
nombre de anftrn de sstema. Consderando que a IP de servdor es +S*.+69.O.*54, y que e
nombre de anftrn es servidor.dominio.net, deber encontrar o aadr un regstro smar a
sguente:
175@164@#@58> servidor@dominio@net servidor
65.*.4.*. "sta!lecer el domino )%>.
Es necesaro ntegrar e sstema a domno NIS. Utce os sguentes dos mandatos para ograr
sto:
domainname dominio@net
ypdomainname dominio@net
65.*.4.3. A.ustes en los arc$ivos =etc=nssPitc$.con&L =etc=$osts.alloP
y =etc=$osts.deny.
Edte e archvo /etc/nsswtch.conf:
vi /etc/nsswitch@con!
Aada as sguentes neas a fna de este archvo:
passwd" !iles nis
shadow" !iles nis
group" !iles nis
A fn de estabecer una segurdad apropada, es necesaro denegar e acceso a todo en e
archvo /etc/hosts.deny. Edte ste archvo:
vi /etc/hosts@deny
Aada a sguente nea:
portmap"300
Edte e archvo /etc/hosts.aow:
v /etc/hosts.aow
455
Defna os anftrones y redes que tendrn permtdo acceder a os servcos confgurados:
portmap"156@#@#@1
portmap"175@164@#@#/588@588@588@#
65.*.4.4. %niciar servicio yp!ind.
Ince y aada a arranque de sstema e servco ypbnd:
service ypbind start
chkcon!ig ypbind on
65.*.4.5. Compro!aciones.
Para asegurarse de que todo funcona correctamente, utce e sguente mandato que reazar
una soctud RPC para soctar nformacn de servco ypbnd:
rpcin!o u localhost ypbind
E mandato anteror deber regresar una sada smar a a sguente. S acaso regresa ago dstnto
o conexn rehusada, deben revsarse todos os procedme|ntos reazados hasta este punto.
el programa 1####6 versiQn 1 estc listo y a la espera
el programa 1####6 versiQn 5 estc listo y a la espera
Utce e sguente mandato para consutar todos os datos que estn sendo dstrbudos por e
servco ypserv de servdor NIS.
ypcat passwd
Lo anteror debe devover una sada smar a a sguente, que consste en todo e contendo de
/etc/passwd.
usuario1"F1Fnie,1n3/FSc.$/$w4lpog65Jl#?ah##"8>1">4""/home/usuario1"/bin/bash
usuario5"F1Fnie,1n3/FSc.$/$w4lpog65Jl#?ah##"81#">4""/home/usuario5"/bin/bash
vusuario?"F1Fnie,1n3/FSc.$/$w4lpog65Jl#?ah##"8>6">4""/home/usuario?"/bin/bash
456
66. Cmo con&igurar 0penDA< como servidor
de autenticacin
66.+. %ntroduccin.
DA< (ghtweght Drectory Access <rotoco) es un protocoo para consuta y modfcacn de
servcos de drectoro que se desempean sobre TCP/IP. DA< utza e modeo X.500 para su
estructura, es decr, se estructura rbo de entradas, cada una de as cuaes consste de un
con|unto de atrbutos con nombre y que a su vez amacenan vaores.
URL: http://en.wkpeda.org/wk/LDAP
opendap-2.2.13
opendap-cents-2.2.13
opendap-servers-2.2.
authconfg-4.6.10
authconfg-gtk-4.6.10 (opcona)
yum y install openldap openldapclients openldapservers authcon!ig authcon!iggtk
nss-ldap
66.*.*. %nstalacin a travs de up*date.
up5date i openldap openldapclients openldapservers authcon!ig authcon!iggtk
457
66.3.+. >"inu2 y el servicio ldap.
Para que SELnux permta a servco ldap funconar normamente, hacendo que se perda toda a
proteccn que brnda esta mpementacn, utce e sguente mandato:
setsebool ; slapd-disable-trans 1
66.3.*. Creacin de directorios.
Con fnes de organzacn se crear un drectoro especfco para este drectoro y se confgurar
con permsos de acceso excusvamente a usuaro y grupo dap.
mkdir /var/lib/ldap/autenticar
chmod 6## /var/lib/ldap/autenticar
chown ldap"ldap /var/lib/ldap/autenticar
Se requere adems copar e archvo =etc=openldap=DBQC0)F%?.e2ample dentro de
=var=li!=ldap=address!ooK= como e archvo DBQC0)F%?:
cp /etc/openldap/$9-(.+<'I@example /var/lib/ldap/autenticar/$9-(.+<'I
66.3.3. ?eneracin de claves de acceso para DA<.
Crear a cave de acceso que se asgnar en LDAP para e usuaro admnstrador de drectoro.
Basta e|ecutar desde una termna:
slappasswd
Lo anteror debe dar como sada un crptograma como o mostrado a contnuacn:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Cope y respade este crptograma. E texto de a sada ser utzado ms adeante en e archvo
=etc=openldap=slapd.con& y se defnr como cave de acceso para e usuaro Administrador,
quen tendr todos os prvegos sobre e drectoro.
66.3.4. Arc$ivo de con&iguracin =etc=openldap=slapd.con&.
Se edta e archvo =etc=openldap=slapd.con& y se verfca que os archvos de esquema mnmos
requerdos estn presentes. De ta modo, a nco de archvo debe haber ago smar a o
sguente:
A
A See slapd@con!(8) !or details on con!iguration options@
A /his !ile should +./ be world readable@
A
#n6)5e +e26+o.en)54.+s63e/4+6ore.s63e/4
#n6)5e +e26+o.en)54.+s63e/4+6os#ne.s63e/4
458
#n6)5e +e26+o.en)54.+s63e/4+#ne2or7.erson.s63e/4
#n6)5e +e26+o.en)54.+s63e/4+n#s.s63e/4
A 3llow 0$3;v5 client connections@ /his is +./ the de!ault@
allow bind-v5
Se aade a archvo =etc=openldap=slapd.con& o sguente con e fn de defnr e nuevo drectoro
que en adeante se utzar para autentcar a toda a red oca:
database bdb
su!!ix *dc)s-5o/#n#oBdc)com*
rootdn *cn)3dministradorBdc)s-5o/#n#oBdc)com*
rootpw XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
directory /var/lib/ldap/autenticar
A 'ndices to maintain !or this database
index obMect(lass eJBpres
index ouBcnBmailBsurnameBgivenname eJBpresBsub
index uid+umberBgid+umberBloginShell eJBpres
index uidBmember=id eJBpresBsub
index nis,ap+ameBnis,ap%ntry eJBpresBsub
66.3.5. %nicio del servicio ldap.
Ince e servco de DA< y aada ste a resto de os servcos que arrancan |unto con e sstema:
service ldap start
chkcon!ig ldap on
66.3.6. :igracin de cuentas e2istentes en el sistema.
Edte e archvo =usr=s$are=openldap=migration=migrateQcommon.p$ y modfque os os
vaores de as varabes ZD"FA,@Q:A%QD0:A%) y F$%<3=0/-93S% a !in de Jue Jueden del
siguiente modo"
A $e!ault $+S domain
F$%<3=0/-,3'0-$.,3'+ ) *s-5o/#n#o.6o/*Y
A $e!ault base
F$%<3=0/-93S% ) *56=s-5o/#n#oA56=6o/*Y
A contnuacn hay que crear e ob|eto que a su vez contendr e resto de os datos en e
drectoro. Genere un archvo base.df de sguente modo:
/usr/share/openldap/migration/migrate-base@pl R base@ldi!
Se utzar ldapadd para nsertar os datos necesaros. Las opcones utzadas con este mandato
son as sguentes:
x autenticaciQn simple
2 solicitar clave de acceso
$ binddn +ombre $istinguido (dn) a utiliCar
h an!itriQn Servidor 0$3; a acceder
! archivo archivo a utiliCar
459
Una vez entenddo o anteror, se procede a nsertar a nformacn generada en e drectoro
utzando o sguente:
ldapadd x 2 $ Xcn)3dministradorB dc)s-5o/#n#oB dc)comX h 156@#@#@1 ! base@ldi!
Una vez hecho o anteror, se podr comenzar a pobar e drectoro con datos. Lo prmero ser
mportar os grupos y usuaros exstentes en e sstema. Reace a mportacn de usuaros
utzando os guones correspondentes de sguente modo:
/usr/share/openldap/migration/migrate-group@pl /etc/group group@ldi!
/usr/share/openldap/migration/migrate-passwd@pl /etc/passwd passwd@ldi!
Lo anteror crear os archvos group.ldi& y passPd.ldi&, os cuaes ncurn a nformacn de os
grupos y cuentas en e sstema, ncuyendo as caves de acceso. Los datos se podrn nsertar en e
drectoro LDAP utzando o sguente:
ldapadd x 2 $ Xcn)3dministradorB dc)s-5o/#n#oB dc)comX h 156@#@#@1 ! group@ldi!
ldapadd x 2 $ Xcn)3dministradorB dc)s-5o/#n#oB dc)comX h 156@#@#@1 ! passwd@ldi!
Antes de confgurar e sstema para utzar LDAP para autentcar, es convenente verfcar que
todo funcona correctamente.
E sguente mandato verfca que drectoros dsponbes exsten en e servdor 127.0.0.1.
ldapsearch h 156@#@#@1 x b XX s base X(obMectclass)O)X naming(ontexts
Lo anteror debe devover una sada smar a o sguente:
A extended 0$'<
A
A 0$3;v?
A base _R with scope base
A !ilter" (obMectclass)O)
A reJuesting" naming(ontexts
A
A
dn"
naming(ontexts" dc)s-5o/#n#oBdc)com
A search result
search" 5
result" # Success
A numResponses" 5
A num%ntries" 1
E sguente mandato debe devover toda a nformacn de todo e drectoro soctado (dc=su(
dominio,dc=com).
ldapsearch x b Xdc)s-5o/#n#oBdc)comX X(obMectclass)O)X
460
Otro e|empo es reazar una bsqueda especfca para un usuaro en partcuar. Suponendo que
en e sstema se tene un usuaro denomnado fulano, puede e|ecutarse o sguente:
ldapsearch x b Xuid)!ulanoBou);eopleBdc)s-5o/#n#oBdc)comX
Lo anteror debe regresar ago como o sguente:
A extended 0$'<
A
A 0$3;v?
A base s-5o/#n#oBdc)com with scope sub
A !ilter" (obMectclass)O)
A reJuesting" 300
A
A !ulanoB ;eopleB sudominio@com
dn" uid)!ulanoBou);eopleBdc)s-5o/#n#oBdc)com
uid" !ulano
cn" !ulano
obMect(lass" account
obMect(lass" posix3ccount
obMect(lass" top
obMect(lass" shadow3ccount
user;assword"" xxxxxxxxxxxx
shadow0ast(hange" 1587>
shadow,ax" 77777
shadow2arning" 6
loginShell" /bin/bash
uid+umber" 8#8
gid+umber" 8#8
home$irectory" /home/!ulano
A search result
search" 5
result" # Success
A numResponses" 5
A num%ntries" 1
66.5. Con&iguracin de clientes.
De manera obgatora, os centes GNU/Lnux requeren tener nstaado e paquete nssQldap,
authconfg y opendap-cents:
yum y install authcon!ig openldapclients nss-ldap
Defna os vaores para os parmetros $ost y !ase a fn de estabecer haca que servdor y a que
drectoro conectarse en e archvo =etc=ldap.con&. Para fnes prctcos, e vaor de parmetro
$ost corresponde a a dreccn IP de servdor LDAP y e vaor de parmetro !ase debe ser e
msmo que se especfc en e archvo =etc=openldap=slapd.con& para e parmetro su&&i2.
Consderando que e servdor LDAP tene a dreccn IP 192.168.0.1, se puede defnr o sguente
en e archvo =etc=openldap=slapd.con&:
A :our 0$3; server@ ,ust be resolvable without using 0$3;@
A ,ultiple hosts may be speci!iedB each separated by a
A space@ 1ow long nss-ldap takes to !ailover depends on
461
A whether your 0$3; client library supports con!igurable
A network or connect timeouts (see bind-timelimit)@
3os2 -%,.-'8.$.-
A /he distinguished name o! the search base@
base 56=s-5o/#n#oA56=6o/
Lo que sgue es utzar ya sea aut$con&ig, aut$con&ig(tui o aut$con&ig(gtK para confgurar e
sstema a fn de que se utce e servdor LDAP para autentcar.
66.5.+. aut$con&ig Mmodo(te2toN
Suponendo que e servdor LDAP tene a dreccn IP 192.168.0.1, utce e sguente mandato
para confgurar a cente remoto a fn de que autentque en e drectoro LDAP.
authcon!ig useshadow enablemd8 nostart P
--en4!)e)54. --en4!)e)54.423 --)54.ser"er=)54.?++-%,.-'8.$.-+ P
--)54.!4se5n=56=s-5o/#n#oA56=6o/ update
66.5.*. aut$con&ig(tui Mmodo te2toN
Habte as casas ,tili8ar DA< y ,tili8ar Autenticacin DA< y puse a teca @a! hasta
>iguiente y puse a teca "nter y verfque que os datos de servdor y e drectoro a utzar
sean os correctos.
authconfg-tu, pantaa prncpa.
462
authconfg-tu, pantaa confguracn dap.
66.5.3. aut$con&ig(gtK Mmodo gr;&icoN
S se utza authconfg-gtk se deben habtar as casas de Soporte LDAP. Antes de cerrar a
ventana en a pestaas de Informacn de usuaro y Autentcacn. Antes de dar cc en Aceptar,
haga cc en Con&igurar DA< y verfque que os datos de servdor y e drectoro a utzar sean
os correctos.
authconfg-gtk, pestaa de Informacn de usuaro.
463
authconfg-gtk, pestaa de Autentcacn.
authconfg-gtk, ventana Confgurar LDAP.
66.6. Administracin.
Hay una gran cantdad de programas para acceder y admnstrar servdores LDAP, pero a mayora
soo srven para admnstrar usuaros y grupos de sstema como dradmn y e mduo de LDAP de
Webmn. La me|or herramenta de admnstracn de drectoros LDAP que podemos recomendar
es PHP LDAP Admn.
66.7. 'espaldo de datos.
Debe detenerse e servco de LDAP antes de proceder con e respado de datos.
service ldap stop
A contnuacn, se utza a herramenta slapcat, utzando e archvo de confguracn
=etc=openldap=slapd.con&.
slapcat v ! /etc/openldap/slapd@con! l respaldoF(date NV:VmVd)@ldi!
464
Concudo e proceso de respado de datos, puede ncarse de nuevo e servco de ldap.
service ldap start
66.9. 'estauracin de datos.
E procedmento requere detener e servco.
service ldap stop
Debe emnarse os datos de drectoro a restaurar.
rm ! /var/lib/ldap/autenticar/O
A contnuacn, se utza a herramenta slapadd para cargar os datos desde un archvo *.df de
respado.
slapadd v c l respaldo5##61##?@ldi! ! /etc/openldap/slapd@con!
Se debe e|ecutar a herramenta slapinde2, que se utza para regenerar os ndces LDAP.
slapindex
Concudo e proceso de restauracn de datos, puede ncarse de nuevo e servco de ldap.
service ldap start
66.S. :odi&icaciones necesarias en el muro corta&uegos.
e puerto 389 por TCP (DA<).
sguente:
A3(/'.+ S.=R(% $%S/ ;R./. $%S/ S.=R(%
A ;.R/ ;.R/(S)1
3((%;/ net !w tcp ?47
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
465
67. Cmo con&igurar 0penDA< como li!reta de
direcciones.
67.+. %ntroduccin.
DA< (ghtweght Drectory Access <rotoco) es un protocoo para consuta y modfcacn de
servcos de drectoro que se desempean sobre TCP/IP. DA< utza e modeo X.500 para su
estructura, es decr, se estructura rbo de entradas, cada una de as cuaes consste de un
con|unto de atrbutos con nombre y que a su vez amacenan vaores.
opendap-2.2.13
opendap-cents-2.2.13
opendap-servers-2.2.13
evouton-data-server-1.x (o ben smpemente de archvo evoutonperson.schema que ncuye
dcho paquete)
yum y install openldap openldapclients openldapservers evolutiondataserver
up5date i openldap openldapclients openldapservers evolutiondataserver
466
67.3.+. >"inu2 y el servicio ldap.
Para que SELnux permta a servco ldap funconar normamente, hacendo que se perda toda a
proteccn que brnda esta mpementacn, utce e sguente mandato:
setsebool ; slapd-disable-trans 1
67.3.*. Creacin de directorios.
Con fnes de organzacn se crear un drectoro especfco para este drectoro y se confgurar
con permsos de acceso excusvamente a usuaro y grupo ldap.
mkdir /var/lib/ldap/addressbook
chmod 6## /var/lib/ldap/addressbook
chown ldap"ldap /var/lib/ldap/addressbook
Se requere adems copar e archvo =etc=openldap=DBQC0)F%?.e2ample dentro de
=var=li!=ldap=address!ooK= como e archvo DBQC0)F%?:
cp /etc/openldap/$9-(.+<'I@example /var/lib/ldap/addressbook/$9-(.+<'I
67.3.3. ?eneracin de claves de acceso para DA<.
Crear a cave de acceso que se asgnar en LDAP para e usuaro admnstrador de drectoro.
Basta e|ecutar desde una termna:
slappasswd
Lo anteror debe dar como sada un crptograma como o mostrado a contnuacn:
ZSS13[XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Cope y respade este crptograma. E texto de a sada ser utzado ms adeante en e archvo
=etc=openldap=slapd.con& y se defnr como cave de acceso para e usuaro Administrador,
quen tendr todos os prvegos sobre e drectoro.
67.3.4. Arc$ivo de es#uemas.
E texto de a sada ser utzado ms adeante en e archvo =etc=openldap=slapd.con& y se
defnr a usuaro Administrador para como e utzado para acceder con todos os prvegos a
drectoro.
Se copa e archvo de esquema de evolution(data(server dentro de drectoro
=etc=openldap=sc$ema=:
cp /usr/share/evolutiondataserverO/evolutionperson@schema
/etc/openldap/schema/
467
67.3.5. Arc$ivo de con&iguracin =etc=openldap=slapd.con&.
Edte e archvo =etc=openldap=slapd.con& y agregue entre as prmeras neas de archvo e
esquema de datos nstaado con e paquete evolution(data(server:
A
A See slapd@con!(8) !or details on con!iguration options@
A /his !ile should +./ be world readable@
A
include /etc/openldap/schema/core@schema
include /etc/openldap/schema/cosine@schema
include /etc/openldap/schema/inetorgperson@schema
include /etc/openldap/schema/nis@schema
#n6)5e +e26+o.en)54.+s63e/4+e"o)2#on.erson.s63e/4
A 3llow 0$3;v5 client connections@ /his is +./ the de!ault@
allow bind-v5
Independentemente de o que ya se tenga confgurado, y que no ser tocado, se aade a fna de
archvo =etc=openldap=slapd.con& o sguente con e fn de defnr e nuevo drectoro que en
adeante se utzar como breta de dreccones, donde dc=su(dominio,dc=net corresponde a
nombre nco y excusvo para e nuevo drectoro. |ams utce e msmo nombre de otro
drectoro exstente.
database bdb
su!!ix *dc)s-5o/#n#oBdc)net*
rootdn *cn)3dministradorBdc)s-5o/#n#oBdc)net*
rootpw ZSS13[XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
directory /var/lib/ldap/addressbook
A 'ndices to maintain !or this database
index obMect(lass eJBpres
index ouBcnBmailBsurnameBgivenname eJBpresBsub
index uid+umberBgid+umberBloginShell eJBpres
index uidBmember=id eJBpresBsub
index nis,ap+ameBnis,ap%ntry eJBpresBsub
67.3.6. %nicio del servicio ldap.
Ince e servco de LDAP y aada ste a resto de os servcos que arrancan |unto con e sstema:
service ldap start
chkcon!ig ldap on
67.3.7. Aadir datos al directorio.
A contnuacn hay que crear e ob|eto que a su vez contendr e resto de os datos en e
drectoro. Genere un archvo address!ooK.ldi& a cua agregar e sguente contendo, de cua
soo reempace a cadena de texto su(dominio por e domno deseado:
dn" dc)s-5o/#n#oB dc)net
obMectclass" top
obMectclass" dc.bMect
obMectclass" organiCation
o" +ombre completo de su compaUia
dc" s-5o/#n#o
468
dn" ou)3ddressbookB dc)s-5o/#n#oB dc)net
ou" 3ddressbook
obMect(lass" top
obMect(lass" organiCational=nit
Es mportante seaar que s se omte e rengln vaco entre dc- su(dominio y dn-
ouRAddress!ooKL dcRsu(dominioL dcRnet, ocurrr un rremedabe error de sntaxs cuando
se ntente cargar os datos en e drectoro. Respete os espacos, sgnos de puntuacn, as
mayscua y as mnscuas.
Se utzar ldapadd para nsertar os datos necesaros. Las opcones utzadas con este mandato
son as sguentes:
x autenticaciQn simple
2 solicitar clave de acceso
$ binddn +ombre $istinguido (dn) a utiliCar
h an!itriQn Servidor 0$3; a acceder
! archivo archivo a utiliCar
Una vez entenddo o anteror, se procede a nsertar a nformacn generada en e drectoro
utzando o sguente:
ldapadd x 2 $ Xcn)3dministradorB dc)s-5o/#n#oB dc)netX h 156@#@#@1 !
addressbook@ldi!
Una vez hecho o anteror, se podr comenzar a pobar e drectoro con datos. Genere e archvo
su-usuaro.df con os sguentes datos, donde reempazar os vaores por reaes. "limine los
campos #ue #ueden vacos o sean de poca utilidadL por#ue de otra manera DA<
impedir; insertar stos. Es mportante destacar que deben estar ncudas as cases top,
person, organi8ational<erson, inet0rg<erson y evolution<erson, ya que de otro modo no
ser posbe utzar os campos de nformacn necesaros para que e drectoro funcone como
breta de dreccones.
dn" cn)+ombre (ompletoB ou)3ddressbookB dc)s-5o/#n#oB dc)net
o!Ke62C)4ss? 2o.
o!Ke62C)4ss? .erson
o!Ke62C)4ss? or74n#B42#on4)8erson
o!Ke62C)4ss? #ne2Or78erson
o!Ke62C)4ss? e"o)2#on8erson
cn" +ombre (ompleto
given+ame" +ombre
sn" 3pellidos
display+ame" 3podo
title" Sr@
mail" sucuentadecorreoSs-5o/#n#o@com
initials" '@+@'@(@'@3@0@%@S@
o" +ombre (ompleto de su compaUba@
ou" $epartamento o SecciQn a la Jue pertenece
businessRole" ;uesto Jue desempeUa en su empresa
home;ostal3ddress" $omicilio de su hogar@
postal3ddress" $omicilio de su empresa@
l" (iudad
st" %stado
A (Qdigo postal
postal(ode" 15?>8
469
A /ele!ono empresa
telephone+umber" 8888888888
A /ele!ono principal
primary;hone" 8888888888
A /ele!ono mQvil
mobile" 8888888888
A /ele!ono hogar
home;hone" 8888888888
A .tro tele!ono
other;hone" 8888888888
labeled=R'" http"//www@alcancelibre@org/
A Su !echa de nacimiento
birth$ate" 176##55#
!ile3s" 3pellidosB +ombre
category" (ualJuiercategorbaJueJueiracrear
manager+ame" +ombre de su Me!eB si lo tiene
assistant+ame" +ombre de su asistenteB si lo tiene@
A /ele!ono de su asistenteB si lo tiene
assistant;hone" 8888888888
spouse+ame" +ombre de su esposa(o)B si lo tiene@
A !echa en Jue celebra su aniversario de bodasB si aplica
anniversary" 5####1#1
Los datos se podrn nsertar utzando o sguente:
ldapadd x 2 $ Xcn)3dministradorB dc)s-5o/#n#oB dc)netX h 156@#@#@1 ! su
usuario@ldi!
67.4. Con&iguracin de clientes.
Acceda haca e drectoro con cuaquer cente que tenga soporte para acceder haca drectoros
LDAP.
67.4.+. )ovell "volution.
Hacer cc en Archvo Nuevo Lbreta de dreccones.
470
Propedades de a breta de dreccones, pestaa Genera.
S en ugar de autentcar de manera annma (modo de soo ectura) o hace con
cnRAdministradorL dcRsu(dominioL dcRnet (modo de ectura y escrtura), podr reazar
modfcacones y aadr fcmente nuevos regstros en a breta de dreccones.
471
Propedades de a breta de dreccones, pestaa Detaes.
67.4.*. :o8illa @$under!ird.
Hacer cc en Archvo Nuevo Drectoro LDAP
472
Propedades de servdor de drectoro, pestaa Genera.
A gua que con Nove Evouton, s en ugar de autentcar de manera annma (modo de soo
ectura) o hace con cnRAdministradorL dcRsu(dominioL dcRnet (modo de ectura y escrtura),
podr reazar modfcacones y aadr fcmente nuevos regstros en a breta de dreccones.
Propedades de servdor de drectoro, pestaa Avanzado.
67.4.3. >#uirrelmail.
Hay que edtar e archvo =etc=s#uirrelmail=con&ig.p$p y aadr/edtar:
Fldap-serverD#E ) array(
XhostX )R X156@#@#@1XB
XbaseX )R Xou)3ddressbookBdc)s-5o/#n#oBdc)netXB
473
XnameX R) X3ddressbookX
)Y
67.5. Administracin.
Hay una gran cantdad de programas para acceder y admnstrar servdores LDAP, pero a mayora
soo srven para admnstrar usuaros y grupos de sstema como dradmn y e mduo de LDAP de
Webmn. La me|or herramenta de admnstracn de drectoros LDAP que podemos recomendar
es PHP LDAP Admn.
67.6. 'espaldo de datos.
Debe detenerse e servco de LDAP antes de proceder con e respado de datos.
service ldap stop
A contnuacn, se utza a herramenta slapcat, utzando e archvo de confguracn
=etc=openldap=slapd.con&.
slapcat v ! /etc/openldap/slapd@con! l respaldoF(date NV:VmVd)@ldi!
Concudo e proceso de respado de datos, puede ncarse de nuevo e servco de ldap.
service ldap start
67.7. 'estauracin de datos.
E procedmento requere detener e servco.
service ldap stop
Debe emnarse os datos de drectoro a restaurar.
rm ! /var/lib/ldap/addressbook/O
A contnuacn, se utza a herramenta slapadd para cargar os datos desde un archvo *.df de
respado.
slapadd v c l respaldo5##61##?@ldi! ! /etc/openldap/slapd@con!
Se debe e|ecutar a herramenta slapinde2, que se utza para regenerar os ndces LDAP.
slapindex
Concudo e proceso de restauracn de datos, puede ncarse de nuevo e servco de ldap.
service ldap start
474
e puerto 389 por TCP (DA<).
sguente:
A3(/'.+ S.=R(% $%S/ ;R./. $%S/ S.=R(%
A ;.R/ ;.R/(S)1
3((%;/ net !w tcp ?47
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&
475
69. Cmo con&igurar 0penDA< con soporte
>>=@>.
69.+. %ntroduccin.
Este documento requere a ectura y comprensn preva de cuaquera de os sguentes temas:
Cmo confgurar OpenLDAP como breta de dreccones.
Cmo confgurar OpenLDAP como servdor de autentcacn.
69.+.+. Acerca de DA< en modo >>=@>.
E nco de a operacn StartTLS en un servdor LDAP, estabece a comuncacn @> (@ransport
ayer >ecurty, o Segurdad para Nve de Transporte) a travs de msmo puerto 389 por TCP.
Provee confdencadad en e transporte de datos e proteccn de a ntegrdad de datos. Durante
a negocacn, e servdor enva su certfcado con estructura X.509 para verfcar su dentdad.
Opconamente puede estabecerse a comuncacn. La conexn a travs de puerto 389 y 636
dfere en o sguente:
1. A reazar a conexn por puerto 636, tanto e cente como e servdor estabecen TLS
antes de que se transfera cuaquer otro dato, sn utzar a operacn >tat@>.
2. La conexn a travs de puerto 636 debe cerrarse a termnar TLS.
69.+.*. Acerca de '>A.
476
69.*.+. ?enerando clave y certi&icado.
cd /etc/openldap/cacerts
La creacn de a ave y certfcado para 0penDA< requere utzar una cave con agortmo '>A
de 1024 octetos y estructura 25OS. En e e|empo a contnuacn, se estabece una vadez por 730
das (dos aos) para e certfcado creado.
openssl reJ x8#7 nodes newkey rsa"1#5> days 6?# out s)4.5.6r2 keyout s)4.5.:ey
Estado o provnca.
Cudad.
Undad o seccn.
Nombre de anftrn.
Dreccn de correo.
@@@@@@@@@@@@@@@@NNNNNN
@NNNNNN
writing new private key to Xdovecot@keyX
477
or a $+@

.rganiCation +ame (egB company) D,y (ompany 0tdE"
M# e/.res4A S.A. 5e C.H.
(ommon +ame (egB your name or your serverXs hostname) DE"
/#5o/#n#o.or7
%mail 3ddress DE"*e!/4s2erO/#5o/#n#o.or7
E certfcado soo ser vdo cuando e servdor DA< sea nvocado con e nombre defndo en e
campo Common )ame. Es decr, soo podr utzaro cuando se defna midominio.org como
servdor DA< con soporte >>=@>. No funconar s se nvoca a servdor como, por menconar
un e|empo, directorio.midominio.org.
ectura para e usuaro ldap:
chown ldap@ldap /etc/openldap/cacerts/slapd@O
chmod >## /etc/openldap/cacerts/slapd@O
69.*.*. <ar;metros de =etc=openldap=slapd.con&.
Se deben descomentar os parmetros @>CACerti&icateFile, @>Certi&icateFile y
@>Certi&icateIeyFile estabecendo as rutas haca e certfcado y cave. Opconamente se
puede descomentar a drectva re&erral para ndcar e ,'% (,nform 'esource %dentfer o
Identfcador Unforme de Recursos) de servco de drectoro superor como ldaps en ugar de
ldap.
/0S(3(erti!icate<ile /etc/pki/tls/certs/cabundle@crt
/0S(erti!icate<ile /etc/openldap/cacerts/s)4.5.6r2
/0S(erti!icateHey<ile /etc/openldap/cacerts/s)4.5.:ey
re!erral )54.s?//midominio@org
A fn de que surtan efecto os cambos, es necesaro rencar e servco ldap.
service ldap restart
69.*.3. Compro!acin.
Confgure cuaquer cente LDAP para utzar SSL en e puerto 636. Tras aceptar e certfcado, en
e caso de que ste no haya sdo frmado por un 'A ('egstraton Authorty o Autordad de
Regstro), servdor LDAP deber permtr competar a conexn y reazar cuaquer tpo de
consuta y/o manpuacn de regstros.
478
69.*.4. Con&iguracin de ?)0:" "volution.
Se debe estabecer e msmo nombre de servdor utzado para crear e certfcado, y conexn por
SSL.
Confguracn LDAP, GNOME Evouton.
69.*.5. Con&iguracin de :o8illa @$under!ird.
SSL.
479
Confguracn LDAP, Moza Thunderbrd.
69.*.6. Con&iguracin DA< BroPser.
SSL.
Confguracn LDAP Browser.
69.*.7. Con&iguracin DA< Administration @ool.
SSL.
480
Confguracn LDAP Admnstraton Too.
S se utza un cortafuegos con potcas estrctas, como por e|empo >$orePall, adems de
puerto 389 por TCP, es necesaro abrr e puerto 636 por TCP (DA<>).
Las regas para e archvo /etc=s$orePall=rules de >$orePall correspondera a ago smar a o
sguente:
A3(/'.+ S.=R(% $%S/ ;R./. $%S/ S.=R(%
A ;.R/ ;.R/(S)1
3((%;/ net !w tcp ?47B6?6
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
481
6S. Cmo instalar y con&igurar :y>Ba.
6S.+. %ntroduccin.
6S.+.+. Acerca de :y>Ba.
:y>Ba es un DB:> (DataBase :anagement >ystem) o sstema de gestn de base de datos
>B (>tructured Buery anguage o Lengua|e Estructurado de Consuta) mutusuaro y mutho
con cenca ?),=?<.
:y>Ba es propedad y patrocno de :y>B AB, compaa fundada por Davd Axmark, Aan
Larsson y Mchae Wdenus, con base de operacones en Sueca, a cua posee os derechos de
autor de cas todo e cdgo que o ntegra. :y>B AB desarroa y mantene e sstema vendendo
servcos de soporte y otros vaores agregados, as como cencamento propetaro para os
desarroos de equpamento gco que requeren mantener cerrado su cdgo.
:y>Ba es actuamente e servdor de base de datos ms popuar para os desarroos a travs
de a red munda, con una estmacn de ms de dez mones de nstaacones. Es muy rpdo y
sdo.
URL: http://www.mysq.com/
yum y install mysJl mysJlserver
6S.*.*. %nstalacin a travs de up*date.
up5date i mysJl mysJlserver
482
6S.3.+. >"inu2 y el servicio mys#ld.
S utza Cent0> 4, 'ed Eata "nterprise inu2 4 o W$ite Bo2 "nterprise inu2 4 o
versones posterores de estos sstemas operatvos, actve a potca mys#ldQdisa!leQtrans con
e mandato setse!ool para permtr funconar a servco mys#ld. De otro modo, e servco
mys#ld |ams podr ncar.
setsebool ; mysJld-disable-trans 1
Para que SELnux permta utzar e cente mys#l para estabecer conexones haca servdores
MySOL, utce e sguente mandato:
setsebool ; allow-user-mysJl-connect 1
6S.3.*. %niciarL detener y reiniciar el servicio mys#ld.
Para ncar por prmera vez e servco mys#ld y generar a base de datos nca (mys#l), utce:
/sbin/service mysJld start
Para rencar e servco mys#ld, utce:
/sbin/service mysJld restart
Para detener e servco mys#ld, utce:
/sbin/service mysJld stop
6S.3.3. Agregar el servicio mys#ld al arran#ue del sistema.
Para hacer que e servco de mys#ld est actvo con e sguente nco de sstema, en todos os
/sbin/chkcon!ig mysJld on
6S.3.4. Asignacin de clave de acceso al usuario root.
E usuaro root en MySOL%trade;, no tene asgnada cave de acceso aguna despus de ncado e
servco por prmera vez. Por razones de segurdad, es muy mportante asgnar una cave de
acceso.
6S.3.4.+. :todo corto.
La forma ms smpe de asgnar una cave de acceso a usuaro root de :y>Ba soo requere de
un nco mandato, descrto a contnuacn.
483
mysJladmin u root password nuevaclavedeacceso
En adeante, ser necesaro aadr a opcn (p a cuaquer sentenca de nea de mandatos para ,
mys#ladmin y mys#ldump para ngresar a cave de acceso de usuaro root y poder, de esta
forma, reazar dversas tareas admnstratvas.
6S.3.4.*. :todo largo.
La forma compcada de reazar o anteror se descrbe soo con fnes ddctcos y como prue!a
de concepto. No es de todo prctco reazar asgnacn de a cave de acceso de usuaro root
con este mtodo, pero srve para entender e funconamento en cuanto a asgnacn de caves de
acceso.
Como root, utce e mandato mys#l:
A mysJl
Dentro de ntrprete de mandatos de MySOL, ndque con e mandato use mys#l que utzar
nca base de datos exstente, mys#l:
R use mysJl
Socte con e mandato s$oP ta!les que se muestren as tabas de a base de datos mys#l:
R show tablesY
Con e mandato select ` &rom user se mostrar e contendo de a taba user de a base de datos
actua:
R select O !rom userY
Esto har que se vea, entre otras muc$as cosas, o sguente:
NNNNN
^ 1ost ^ =ser ^ ;assword ^ Select-priv ^
NNNNN
^ localhost ^ root ^ ^ : ^
NNNNN
Como se podr observar, e usuaro root no tene asgnada una cave de acceso, por o que
cuaquera que se dentfque como root en e sstema tendr acceso a todo en MySOL. Se asgnar
una cave de acceso de sguente modo:
R update user set ;assword);3SS2.R$(Xnuevo-passwordX) where user)XrootXY
Utce de nuevo e mandato select ` &rom user y vueva observar e campo que correspondera a
de a cave de acceso de usuaro root:
R select O !rom userY
484
Deber aparecer ahora un crptograma en e campo que corresponde a a cave de acceso de
usuaro root.
NNNNN
^ 1ost ^ =ser ^ ;assword ^ Select-priv ^
NNNNN
^ localhost ^ root ^>87?56>b4e#d64M485^ : ^
NNNNN
Se recomenda reazar refresco de os prvegos a fn de que tomen efecto os cambos.
R !lush privileges
Para probar, soo hay que sar de ntrprete de MySOL.
R Juit
Intente ngresar de nuevamente a ntrprete de mandatos de MySOL:
mysJl
Notar que ya no se puede acceder como antes, y regresa un mensa|e de error.
%RR.R 1#>8" 3ccess denied !or user" XrootSlocalhostX (=sing password" +.)
E|ecute ahora e msmo mandato, pero especfcando un usuaro ((u root) y soctando se
pregunte por una cave de acceso ((p):
mysJl u root p
A contnuacn se e pedr ngrese una cave de e acceso, tras o cua obtendr de nuevo acceso
a ntrprete de mandatos de MySOL
6S.4. Creando y destruyendo !ases de datos.
Para crear una nueva base de datos, puede utzarse e mandato mys#ladmin con e parmetro
create:
mysJladmin u root p create dbeMemplo
S queremos emnar dcha base de datos, utzamos e parmetro drop en ugar de create.
mysJladmin u root p drop dbeMemplo
6S.5. 0torgando permisos a los usuarios.
En adeante e usuaro root soo se utzar para tareas admnstratvas y creacn de nuevas
bases de datos. Resutar convenente deegar a os usuaros ordnaros e mane|o de sus propas
bases de datos.
485
Una vez generada una base de datos, debemos determnar con que usuaro y desde que equpo en
a red oca, se podr tener acceso, as como os prvegos para modfcar esta. Lo ms comn, y
seguro, es asgnar e acceso soo desde e msmo servdor (localost), a menos que e desarroo
web o apcacn se ocace en otro equpo.
Genere un base de datos denomnada directorio:
mysJladmin u root p create directorio
Se accede haca e ntrprete de mandatos de :y>Ba y se utza o sguente, suponendo que
se desea asgnar permsos select (seecconar), insert (nsertar), update (actuazar), create
(crear), alter (adetar), delete (emnar) y drop (descartar) sobre as tabas de a base de datos
directorio a usuaro prue!a desde e anftrn local$ost (equpo oca):
IR3+/ selectB insertB updateB createB alterB deleteB drop .+ directorio@O /.
pruebaSlocalhost '$%+/'<'%$ 9: Xpassword-del-usuario-pruebaXY
A concur, se tendr una base de datos denomnada directorio que podr ser utzada y
modfcada por e usuaro prue!a desde e anftrn local$ost. Esto estabecer un nve de
segurdad apropado, y garantzar que de verse comprometda a segurdad, a cave de acceso de
un usuaro no podr ser utzada desde un sstema remoto.
S, por mencionar un e.emplo, se requere permtr e acceso haca a base de datos directorio
desde otro equpo en a red oca, con fnes admnstratvos, se puede otorgar e acceso y permsos
a usuaro .pere8 desde e anftrn 192.168.1.253, es decr .pere8g+S*.+69.+.*53.
IR3+/
selectB insertB updateB createB alterB deleteB drop
.+
directorio@O
/.
MpereCS175@164@1@58?
'$%+/'<'%$ 9:
Xclave-de-acceso-para-MpereCXY
6S.6. :odi&icaciones necesarias en el muro corta&uegos.
e puerto 3306 por TCP (mys#l).
Las regas para e archvo =etc=s$orePall=rules de >$orePall en un sstema con una zona (net),
correspondera a o sguente:
A3(/'.+ S.=R(% $%S/ ;R./. $%S/ S.=R(%
A ;.R/ ;.R/(S)1
3((%;/ net !w tcp ??#6
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
Las regas para e archvo =etc=s$orePall=rules de >$orePall en un sstema con dos zonas (net y
loc), donde soo se va a permtr e acceso a servco mys#ld desde a red oca, correspondera a
o sguente:
A3(/'.+ S.=R(% $%S/ ;R./. $%S/ S.=R(%
A ;.R/ ;.R/(S)1
486
3((%;/ loc !w tcp ??#6
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
487
7O. Con&iguracin !;sica de Apac$e.
7O.+. %ntroduccin.
7O.+.+. Acerca del protocolo E@@<.
HTTP (Eypertext @ransfer <rotoco, o Protocoo de Trasferenca de Hpertext), es e mtodo
utzado para transferr o transportar nformacn en a Red Munda (WWW, Word Wde Web). Su
propsto orgna fue e proveer una forma depubcar y recupertar documentos HTML.
E desarroo de protocoo fue coordnado por Word Wde Web Consortum y a %"@F (%nternet
"ngneerng @ask Force, o Fuerza de Traba|o en Ingenera de Internet), cumnando con a
pubcacn de varso RFC ('equest For Comments), de entre os que destaca e RFC 2616, msmo
que defne a versn 1.1 de protocoo, que es e utzado hoy en da.
E@@< es un protocoo de soctud y respuesta a travs de @C<, entre agentes de usuaro
(Navegadores, motores de ndce y otras herramentas) y servdores, reguarmente utzando e
puerto 80. Entre a comuncacn entre stos puede ntervenr como servdores Intermedaros
(Proxes), puertas de enace y tnees.
URL: http://toos.etf.org/htm/rfc2616
7O.+.*. Acerca de Apac$e.
Apache es un servdor HTTP, de cdgo aberto y cencamento bre, que funcona en Lnux,
sstemas operatvos dervados de Unx, Wndows, Nove Netware y otras pataformas. Ha
desempeado un pape muy mportante en e crecmento de a red munda, y contnua sendo e
servdor HTTP ms utzado, sendo adems e servdor de facto contra e cua se reazan as
pruebas comparatvas y de desempeo para otros productos competdores. Apache es
desarroado y mantendo por una comundad de desarroadores auspcada por Apache Software
Foundaton.
URL: http://www.apache.org/
S se utza de Cent0> 4, 'ed Eat "nterpirse inu2 5 o W$ite Bo2 "nterprise inu2 4 o
versones posterores de stos, soo se necesta utzar o sguente:
488
yum y install httpd
S se desea que Apache ncuya soporte para <E</:y>B, <erl, <yt$on y >>/@>, soo bastar
e|ecutar:
yum y install php phpmysJl mod-perl mod-python mod-ssl
7O.*.*. %nstalacin a travs de ,p*date
S se utza de Red Hat Enterprse Lnux 4, soo se necesta utzar o sguente:
up5date i httpd
S se desea que Apache ncuya soporte para PHP/MySOL, Per, Python y SSL, soo bastar utzar:
up5date i php phpmysJl mod-perl mod-python mod-ssl
7O.3. %niciar servicio y aadir el servicio al arran#ue del
sistema.
Apache es un servco que por fortuna soo es necesaro nstaar e ncar. No requere
modfcacones adconaes para su funconamento bsco. Para aadr e servco a os servcos
que ncan |unto con e sstema, soo se necesta e|ecuta:
chkcon!ig httpd on
Para ncar e servco por prmera vez, soo se necesta utzar:
service httpd start
Para rencar e servco, consderando que se nterrumprn todas as conexones estabecdas en
ese momento, soo se necesta utzar:
service httpd restart
S e servco ya est traba|ando, tambn puede utzar reload a fn de que Apache vueva a eer y
cargar a confguracn sn nterrumpr e servco, y, por ende, as conexones estabecdas.
service httpd reload
Para detener e servco, soo se necesta utzar:
service httpd stop
489
7O.4.+. >"inu2 y Apac$e.
S utza aguna dstrbucn con nceo 2.6 basada sobre Red Hat Enterprse Lnux 4.0, como
seran CentOS 4.0 o Whte Box Enterprse Lnux 4.0 en adeante, stas ncuyen SELnux que aade
segurdad adcona a Apache, sn embargo agunas opcones mpedrn utzar certas funcones
en Apache, como drectoros vrtuaes.
Para permtr a Apache poder envar correo eectrnco desde aguna apcacn, utce e sguente
mandato:
setsebool ; httpd-can-sendmail 1
Para permtr a Apache poder e|ecutar guones CGI, utce e sguente mandato:
setsebool ; httpd-enable-cgi 1
Para permtr as ncusones de ado de servdor (>>%, >erver >de %ncudes), utce e sguente
mandato:
setsebool ; httpd-ssi-exec 1
Para permtr que Apache se pueda conectar a travs de red haca un servdor de bases de datos,
setsebool ; httpd-can-network-connect-db 1
Para permtr a Apache reazar conexones de red haca otro servdor, utce e sguente mandato:
setsebool ; httpd-can-network-connect 1
Para permtr que os usuaros ocaes tengan puedan utzar un drectoro pbco (pu!licQ$tml),
setsebool ; httpd-enable-homedirs 1
Para desactivar a e|ecucn de PHP y otros engua|es de programacn para HTTP a travs de
Apache, utce e sguente mandato:
setsebool ; httpd-builtin-scripting #
Para consutar que otras potcas dsponbes exsten para Apache, utce e sguente mandato:
getsebool a ^grep httpd
490
Para defnr que un drectoro o archvo fuera de /var=PPP=$tml, como por
e|empo /var=PPP=dominio=$tml se debe consderar como contendo HTTP, se utza e sguente
mandato:
chcon t httpd-sys-content-t /var/www/dominio/html
Para defnr que se permte e|ecutar un gun CGI en partcuar, como por
e|empo /var=PPP=dominio=cgi(!in=&ormulario.pl, se utza e sguente mandato:
chcon t httpd-sys-script-exec-t /var/www/dominio/cgibin/!ormulario@pl
Para defnr que un programa, que por e|empo puede estar ecrto en PHP
como /var=PPP=dominio=$tml=leer.p$p, soo pueda reazar procedmentos de ectura de datos
y nunca de escrtura, utce e sguente mandato:
chcon t httpd-sys-script-ro-t /var/www/dominio/html/leer@php
Para defnr que un programa, que por e|empo puede estar ecrto en PHP
como /var=PPP=dominio=$tml=escri!ir.p$p, pueda reazar procedmentos de ectura y
escrtura de datos, utce e sguente mandato:
chcon t httpd-sys-script-rw-t /var/www/dominio/html/leer@php
Para defnr que se desactve a proteccn de SELnux para Apache, hacendo que todo o
anterormente descrto en esta seccn perda sentdo, utce e sguente mandato:
setsebool ; httpd-disable-trans 1
7O.4.*. ,@F(9 y codi&icacin de documentos.
UTF-8
UTF-8 es un mtodo de codfcacn de ASCII para Uncode (ISO-10646), e
Con|unto de Caracteres Unversa o UCS. ste codfca a mayora de os
sstemas de escrtura de mundo en un soo con|unto de caracteres,
permtendo a mezca de engua|es y guones en un msmo documento sn a
necesdad de a|ustes para reazar os cambos de con|untos de caracteres.
Cuaquer sto de red que haga uso de bases de datos y documentos HTML suee toparse con
probemas cuando se trata de dar con e tpo de codfcacn (UTF-8, ISO-8859-1, etc.), puesto
que en agunos casos, por ctar un e|empo, os caracteres atnos se muestran ncorrectamente
por e cambo de codfcacn.
Debdo a su convenenca actuamente se est adoptando UTF-8 como codfcacn para todo, sn
embargo an hay mucho matera codfcado en, por e|empo, ISO-8859-1.
Lo correcto es codfcar os documentos codfcados en ISO8859-1 y otras tabas de caracteres
haca en UTF-8, utzando mtodos como e sguente:
cd /var/www/html/
!or ! in O@html
491
do
vi c *"wJd NNenc)ut!4* F!
done
S desea contnuar viviendo en el pasado y no aceptar e nuevo estndar, tambn puede
desactvar a funcn en Apache que estabece UTF-8 como codfcacn predefnda. Edte e
archvo /etc=$ttpd=con&=$ttpd.con& y ocace o sguente:
3dd$e!ault(harset =/<4
Cambe o anteror por esto otro:
3dd$e!ault(harset .!!
7O.4.3. Arc$ivos de con&iguracin.
Cuaquer a|uste que se requera reazar, ya sea para confgurar Stos de Red vrtuaes u otra
funconadad adcona, se puede reazar sn tocar e archvo prncpa de confguracn, utzando
cuaquer archvo con extensn *.con& dentro de drectoro /etc=$ttpd=con&.d=.
7O.4.4. Directorios virtuales.
S, por e|empo, se qusera aadr e aas para un drectoro ocazado
en /var=contenidos=varios= y e cua queremos vsuazar como e drectoro /varios= en Apache,
o prmero ser crear e drectoro:
mkdir p /var/contenidos/varios
A contnuacn se confgura e contexto en SELnux de dcho drectoro a fn de que sea tratado
como un ob|eto (o!.ectQr) creado por usuaro de sstema (systemQu) y que es contendo de
Apache ($ttpdQsysQcontentQt):
chcon u system-u /var/contenidos/varios
chcon r obMect-r /var/contenidos/varios
chcon t httpd-sys-content-t /var/contenidos/varios
Y se crea un archvo que se denomnar arbtraramente como /etc=$ttpd=con&.d=aliases.con&
con e sguente contendo:
3lias /varios /var/contenidos/varios
S trata de acceder haca este nuevo drectoro vrtua con e navegador, notar que no est
permtdo e acceso. Para poder acceder deber haber un documento ndce en e nteror
(ndex.htm, ndex.php, etc) o ben que dcho drectoro sea confgurado para mostrar e contendo
de sguente modo:
_$irectory */var/contenidos/varios*R
O.2#ons Ln5e;es
_/$irectoryR
492
E parmetro %nde2es ndca que se deber mostrar e ndce de contendo de drectoro. S se
requere que este drectoro tenga mayor funconadad, se pueden aadr ms opcones, como por
e|empo:
_$irectory */var/contenidos/varios*R
.ptions 'ndexes Ln6)5es Fo))o*Sy/L#n:s
A))o*O"err#5e 4))
_/$irectoryR
E parmetro FolloP>yminKs posbta poder coocar enaces smbcos dentro de drectoro os
cuaes se segurn. E parmetro %ncludes especfca que se permte a utzacn de os SSI
(Server Sde Incudes) que posbtan utzar funcones como autentcacn. E parmetro
AlloP0verride all posbta utzar archvos .$taccess.
Rence o recargue Apache y acceda haca ttp*++7GU.4.4.7+varios+ con cuaquer navegador de red
y vsuace e resutado.
7O.4.5. 'edireccin de directorios.
Cuando sea necesaro, es posbe confgurar un drectoro en partcuar para Apache redr|a de
modo transparente ste y su contendo haca cuaquer otra dreccn.
Redirect ?#1 /webmail http"//mail@sudominio@net/
En e e|empo anteror, se ndca que s se trata de acceder haca e subdrectoro / Pe!mail en e
servdor, Apache deber redrgr haca ttp*++mail.su2dominio.net+. E nmero 301 corresponde a
mensa|e de protocoo HTTP para ndcar que a redreccn es permanente. S por e|empo hubese
un ob|eto en /webma, como por e|empo /Pe!mail=estadisticas=estadisticas.p$p, Apache
reazar e re-drecconamento transparente haca ttp*++mail.su2
dominio.net+estadisticas+estadisticas.pp.
7O.4.6. @ipos de :%:".
S por e|empo se qusera aadr agn tpo de extensn y tpo MIME, como por e|empo Ogg, se
podra generar un archvo que denomnaremos arbtraramente como e
archvo /etc=$ttpd=con&.d=e2tensiones.con& con e sguente contendo:
3dd/ype application/ogg @ogg
3dd$escription *.gg &orbis 3udio* @ogg
3dd'con /icons/sound5@png @ogg
7O.4.7. >oporte para C?% con e2tensin `.cgi
S se qusera aadr que se reconocera a extensn *.cgi como un gun C?% (Common ?ateway
%nterface), soo bastar aadr un archvo que denomnaremos,
arbtraramente, /etc=$ttpd=con&.d=cgi.con& con e sguente contendo:
3dd1andler cgiscript @cgi
493
7O.4.7.+. <ro!ando la con&iguracin.
Utce e edtor de texto de su preferenca para crear e archvo /var=PPP=cgi(!in=tiempo.cgi.
Este deber evar o sguente como contendo:
Ad/usr/bin/perl
print *contenttype" text/htmlPnPn*Y
print scalar localtimeY
print *Pn*Y
Deberemos de cambar e permso de archvo anteror con a sguente nea de mandato:
chmod 688 /var/www/cgibin/tiempo@cgi
Utce e navegador de red que prefera y apunte ste haca ttp*++7GU.4.4.7+cgi2bin+tiempo.cgi. S
e navegador nos da una sada smar a a sguente, se habr confgurado extosamente Apache
para e|ecutar guones CGI:
/ue aul #8 55"1#">1 5##8
7O.4.7.*. <ro!lemas posteriores
Antes escrbre a autor de este documento, de recurrr a as stas de soporte o grupos y foros de
dscusn soctando ayuda para hacer traba|ar un gun CGI en partcuar, ea cudadosamente a
documentacn que acompaa a este y verfque que se han estabecdo apropadamente os
permsos de ectura, escrtura y e|ecucn, que se han reazado as modfcacones necesaras en
os parmetros para e uso de gun en su servdor y que e gun CGI no contenga errores.
Recurra a autor de gun CGI o bnaro s necesta ayuda.
7O.4.7.3. "rror m;s com1n n1mero +.
<orbidden
:ou donXt have permission to access /algun/directorio/guion@cgi on this server
Sgnfca que e archvo no cuenta con os permsos apropados de ectura, escrtura y e|ecucn. La
mayora guones CGI que encontrar en Internet necestarn a menos permso 755 para poder ser
utzados.
7O.4.7.4. "rror m;s com1n n1mero *.
'nternal Server %rror
/he server encountered an internal error or miscon!iguration and was unable to complete
your reJuest@
Sgnfca que hay probemas con e gun CGI en s y no con Apache. En a mayora de os casos
se trata de archvos que fueron eaborados desde un edtor de texto en Wndows, cuyo retorno
de carro es dstnto a de os sstemas operatvos basados sobre UNIX, por o cua se deber
utzar e mandato dos*uni2 sobre dchos archvos. En otros casos, ago menos frecuente, se
requerr que e admnstrador revse nea por nea para ocazar un posbe error o parmetro
ncorrecto. Cuando apque, verfque que a prmera nea de gun que apunta haca donde se
encuentra e mandato perl sea correcta. Verfque tambn s e drectoro que abergue e gun
CGI requere agn permso en partcuar, como sera 777 en e caso de agunos guones CGI.
494
7O.4.9. 'o!o de im;genes.
Suee ocurrr que os admnstradores de agunos stos encuentran fc utzar mgenes, y otros
tpos de contendo, vncuando desde sus documentos haca os ob|etos en e servdor. Esto
consume ancho de banda adcona y es una prctca poco tca. En e sguente e|empo,
consderando que se tene un drectoro /var=PPP=$tml=imagenes, y se desea proteger ste para
que soo se permta utzar su contendo s es referdo desde e msmo servdor, se utzara o
sguente:
A Se permite acceder directamente a la imagen o bien si se omite
A en el navegador la in!ormaciQn del re!erente@
Set%nv'!+o(ase Re!erer *WF* local-re!eral)1
A Se permite al propio servidor
Set%nv'!+o(ase Re!erer *Whttp"//(localhost@)jlocaldomain* local-re!eral)1
Set%nv'!+o(ase Re!erer *Whttp"//(www@)jmidominio@org* local-re!eral)1
A Se permite utiliCar las imcgenes a otro servidor
Set%nv'!+o(ase Re!erer *Whttp"//(www@)jamigo@org/* local-re!eral)1
_$irectory */var/www/html/imagenes/*R
.rder $enyB3llow
$eny !rom all
3llow !rom env)local-re!eral
_/$irectoryR
La confguracn anteror puede aadrse en cuaquer archvo *.con& dentro de
drectoro /etc=$ttpd=con&.d=.
S se hace o anteror en un archvo .$taccess, quedara de sguente modo:
A Se permite acceder directamente a la imagen o bien si se omite
A en el navegador la in!ormaciQn del re!erente@
Set%nv'!+o(ase Re!erer *WF* local-re!eral)1
A Se permite al propio servidor
Set%nv'!+o(ase Re!erer *Whttp"//(localhost@)jlocaldomain* local-re!eral)1
Set%nv'!+o(ase Re!erer *Whttp"//(www@)jmidominio@org* local-re!eral)1
A Se permite utiliCar las imcgenes a otro servidor
Set%nv'!+o(ase Re!erer *Whttp"//(www@)jamigo@com/* local-re!eral)1
.rder $enyB3llow
$eny !rom all
3llow !rom env)local-re!eral
7O.5. :odi&icaciones necesarias en el muro corta&uegos.
e puerto 80 por TCP (E@@<).
sguente:
A3(/'.+ S.=R(% $%S/ ;R./. $%S/ S.=R(%
A ;.R/ ;.R/(S)1
3((%;/ all !w tcp 4#
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
495
7O.6. Apndice- Con&iguracin de >itios de 'ed virtuales en
Apac$e.
Puede generarse cuaquer archvo con extensn K.conf dentro de drectoro +etc+ttpd+conf.d+ de
Apache 2.0.x. Puede ncurse contendo como e sguente:
A $e!iniciQn del Sitio de Red principal
+ame&irtual1ost 175@164@1@58>
_&irtual1ost 175@164@1@58>R
Server3dmin webmasterSdominio@com
$ocumentRoot /var/www/html/
Ser"erN4/e ***.5o/#n#o.6o/
_/&irtual1ostR
A 2eb virtual con de!iniciQn de directorio para (I'
_&irtual1ost 175@164@1@58>R
$ocumentRoot /var/www/lpt/html
Ser"erN4/e ***.4)7n-5o/#n#o.6o/
Ser"erA)#4s 4)7n-5o/#n#o.6o/
Ser"erA5/#n *e!/4s2erO4)7n-5o/#n#o.6o/
%rror0og /var/www/algundominio/logs/error-log
(ustom0og /var/www/algundominio/logs/access-log combined
Script3lias /cgibin/ */var/www/algundominio/cgibin/*
_$irectory */var/www/algundominio/cgibin*R
3llow.verride +one
.ptions +one
.rder allowBdeny
3llow !rom all
_/$irectoryR
3dd1andler cgiscript @cgi
_/&irtual1ostR
A ,cs Sitios de Red virtuales
_&irtual1ost 175@164@1@58>R
Server3dmin *e!/4s2erO5o/#n#o.6o/
$ocumentRoot /usr/share/sJuirrelmail/
Server+ame webmail@dominio@com
%rror0og logs/webmail@dominio@comerror-log
(ustom0og logs/webmail@dominio@comaccess-log combined
_/&irtual1ostR
_&irtual1ost 175@164@1@58>R
Server3dmin *e!/4s2erO!e24.5o/#n#o.6o/
$ocumentRoot /var/www/beta/
Ser"erN4/e !e24.5o/#n#o.6o/
%rror0og /var/www/beta/logs/beta@dominio@comerror-log
(ustom0og /var/www/beta/logs/beta@dominio@comaccess-log combined
_/&irtual1ostR
_&irtual1ost 175@164@1@58>R
Server3dmin *e!/4s2erO5o/#n#o.6om
$ocumentRoot /usr/share/sJuirrelmail/
Ser"erN4/e /4#).5o/#n#o.6o/
%rror0og logs/mail@dominio@comerror-log
(ustom0og logs/mail@dominio@comaccess-log combined
_/&irtual1ostR
_&irtual1ost 175@164@1@58>R
496
Server3dmin *e!/4s2erO5o/#n#o.ne2
$ocumentRoot /var/www/midominio/
Ser"erN4/e ***.5o/#n#o.ne2
%rror0og /var/www/midominio/logs/www@dominio@neterror-log
(ustom0og /var/www/midominio/logs/www@dominio@netaccess-log combined
_/&irtual1ostR
497
7+. Cmo $a!ilitar los arc$ivos .$taccess y >>% N
>erver >ide %ncludesN en Apac$e *.2.
7+.+. %ntroduccin.
Apache 2.x tene me|ores meddas de segurdad que as versones anterores, debdo a que su
confguracn predetermnada vene de ta modo que deshabta muchas cosas que podrn
consderarse de certo resgo. Parte de esa segurdad ncuye deshabtar os >>% (>erver >de
%ncudes o Incusones de Lado de Servdor) y e uso de os archvos .$taccess. Estos tmos
srven para modfcar o agregar funcones a drectoros.
Bscamente soo se necesta agregar as sguentes neas a cuaquer defncn de drectoro que
se desee utzar:
.ptions Ln6)5es
3llow.verride 3ll
7+.*. <rocedimientos.
7+.*.+. Autenticacin de directorios.
La autentcacn para un drectoro, contra un archvo que ncuye caves de acceso, se reaza a
travs de a sguente sntaxs en cuaquer archvo .$taccess.
3uth+ame *3cceso solo usuarios autoriCados*
3uth/ype 9asic
reJuire validuser
3uth=ser<ile /cualJuier/ruta/hacia/archivo/de/claves
7+.*.+.+. ".emplo.
Se procede a crear un drectoro que ser vsto desde cuaquer navegador como
ttp*++7GU.4.4.7+privado+.
Genere e archvo =etc=$ttpd=con&.d=e.emplo(autenticar.con& con e sguente contendo:
3lias /privado +"4r+***+.r#"45o
_$irectory *+"4r+***+.r#"45o*R
.ptions Ln6)5es
3llow.verride 3ll
.rder allowBdeny
498
3llow !rom all
_/$irectoryR
Genere e drectoro =var=PPP=privado= reazando o sguente:
mkdir p /var/www/privado
?enere e archvo =var=PPP=privado=.$taccess reazando o sguente:
touch /var/www/privado/@hta66ess
"dite e archvo =var=PPP=privado=.$taccess y agregue e sguente contendo:
3uth+ame *Solo usuarios autoriCados*
3uth/ype 9asic
reJuire validuser
3uth=ser<ile /var/www/claves
?enere e archvo de caves de acceso como =var=PPP=claves, utzando e sguente
procedmento:
touch /var/www/claves
Con e fn de estabecer a segurdad necesara, cambe os atrbutos de ectura y escrtura soo
para e usuaro apac$e:
chmod 6## /var/www/claves
chown apache"apache /var/www/claves
Agregue agunos usuarios virtuales a archvo de caves, =var=PPP=claves, utzando e
sguente procedmento con e mandato $tpassPd:
htpasswd /var/www/claves !ulano
htpasswd /var/www/claves mengano
Rence e servco $ttpd:
Acceda con cuaquer navegador de red haca ttp*++7GU.4.4.7+privado+ y compruebe que funcona
e acceso con autentcacn en dcho subdrectoro utzando cuaquera de os dos usuaros
vrtuaes que gener con e mandato $tpassPd, es decr fuano o mengano.
lynx 322.?++-,I.$.$.-+.r#"45o+
499
7+.*.*. Asignacin de directivas para <E<.
Sueen darse os casos donde una apcacn, escrta en <E<, requere agunas drectvas de <E<
en partcuar. En muchos casos se egan a necestar varabes que pueden comprometer a
segurdad de otras apcacones hospedadas en e servdor. Para ta fn es que se puede evtar
modfcar e archvo =etc=p$p.ini utzando e parmetro p$pQ&lag en un archvo .$taccess. La
sguente sntaxs es a sguente:
php-!lag directiva-php valor
7+.*.*.+. ".emplo
Se proceder a asgnar as drectvas registerQglo!als, magicQ#uotesQruntime,
magicQ#uotesQgpc, y uploadQma2Q&ilesi8e a drectoro en a ruta =var=PPP=aplicacion, msmo
que ser vsuazado desde Apache como ttp*++7GU.4.4.7+aplicacion+. E vaor para
registerQglo!als ser 0n, e vaor para magicQ#uotesQruntime ser 0n, e vaor para
magicQ#uotesQgpc ser 0n y e vaor para uploadQma2Q&ilesi8e ser 4:.
Genere e archvo =etc=$ttpd=con&.d=e.emplo(directivas(p$p.con& con e sguente contendo:
3lias /aplicacion +"4r+***+4.)#646#on
_$irectory *+"4r+***+4.)#646#on*R
.ptions Ln6)5es
3llow.verride 3ll
.rder allowBdeny
3llow !rom all
_/$irectoryR
?enere e archvo =var=PPP=aplicacion=.$taccess reazando o sguente:
touch /var/www/aplicacion/@hta66ess
"dite e archvo =var=PPP=aplicacion=.$taccess y agregue e sguente contendo:
php-!lag register-globals .n
php-!lag magic-Juotes-gpc .n
php-!lag magic-Juotes-runtime .n
php-value upload-max-!ilesiCe >,
?enere e archvo =var=PPP=aplicacion=in&o.p$p, una funcn que muestra toda a nformacn
acerca de <E< en e servdor, a fn de corroborar os vaores de as drectvas de <E< en reacn
a drectoro, con e sguente contendo:
_jphpin!o()jR
500
Acceda con cuaquer navegador de red haca ttp*++7GU.4.4.7+aplicacion+info.pp y corrobore que
os vaores para as varabes de <E< para e drectoro nvoucrado reamente han sdo asgnadas.
En a sub-seccn <E< Core de a seccn Con&iguration, hay tres coumnas: Directive, e cua
corresponde a a drectvas <E<, ocal Falue, e cua corresponde a os vaores de as drectvas
de <E< para e drectoro actua, y :aster Falue, que corresponde a os vaores de as drectvas
generaes como estn defndas en e archvo =etc=p$p.ini.
Directive ocal Falue :aster Falue
magicQ#uotesQgpc On Off
magicQ#uotesQruntime On Off
registerQglo!als On Off
uploadQma2Q&ilesi8e 4M 4M
501
7*. Cmo con&igurar Apac$e con soporte
>>=@>.
Autor: $oel Barrios 'ue!a
7*.+. %ntroduccin.
7*.+.+. Acerca de E@@<>.
E@@<> es a versn segura de protocoo E@@<, nventada en 1996 por Netscape Communcatons
Corporaton. No es un protocoo separado de E@@<. Se trata de una combnacn de este tmo
con un mecansmo de transporte >> o @>, garantzando una proteccn razonabe durante a
comuncacn cente-servdor. Es ampamente utzado en a red munda (WWW o Word Wde
Web) para comuncacones como transaccones bancaras y pago de benes y servcos.
E servco utza e puerto 443 por TCP para reazar as comuncacones (a comuncacn norma
para HTTP utza e 80 por TCP). E esquema ,'% (,nform 'esource %dentfer o Identfcador
Unforme de Recursos) es, comparando sntaxs, dntco a de E@@< (http:), utzndose como
$ttps-J segudo de subcon|unto denomnado ,' (,nform 'esource ocator o Locazador
Unforme de Recursos). E|empo: ttps*++))).dominio.org+
URL: http://es.wkpeda.org/wk/HTTPS y http://wp.netscape.com/eng/ss3/draft302.txt
7*.+.*. Acerca de '>A.
7*.+.3. Acerca de @riple D">.
@riple D">, o @D">, es un agortmo que reaza un trpe cfrado DES, desarroado por IBM en
1978. Su orgen tuvo como fnadad e agrandar a ongtud de una cave sn necesdad de cambar
e agortmo de cframento, o cua o hace ms seguro que e agortmo D">, obgando a un
atacante e tener que trpcar e nmero de operacones para poder hacer dao. A pesar de que
actuamente est sendo reempazado por e agortmo A"> (Advanced "ncrypton >tandard,
tambn conocdo como 'i.ndael), sgue sendo estndar para as tar|etas de crdto y
operacones de comerco eectrnco.
URL: http://es.wkpeda.org/wk/Trpe_DES
502
7*.+.4. Acerca de D.5OS.
7*.+.5. Acerca de 0pen>>.
7*.+.6. Acerca de modQssl.
:odQssl es un mduo para e servdor HTTP Apache, e cua provee soporte para SSL versones 2
y 3 y TLS versn 1. Es una contrbucn de Raf S. Engescha, dervado de traba|o de Ben Laure.
URL: http://www.apache-ss.org/ y http://httpd.apache.org/docs/2.2/mod/mod_ss.htm
7*.*. 'e#uisitos.
Es necesaro dsponer de una dreccn IP pbca para cada sto de red vrtua que se quera
confgurar con soporte >>/@>. Debdo a a naturaeza de os protocoos >> y @>, no es posbe
utzar mtpes stos de red vrtuaes con soporte >>/@> utzando una msma dreccn IP.
Cada certfcado utzado requerr una dreccn IP ndependente en e anftrn vrtua.
E paquete mod_ss nstaa e archvo /etc=$ttpd=con&.d=ssl.con&, msmo que no es necesaro
modfcar, puesto que se utzarn archvos de ncusn, con extensn *.conf, dentro de
drectoro /etc=$ttpd=con&.d=, a fn de respetar a confguracn predetermnada y podre contar
con a msma, que es funcona, brndando un punto de retorno en e caso de que ago saera ma.
7*.3. "#uipamiento lgico necesario.
7*.3.+. %nstalacin a travs de yum.
S se utza de Cent0> 5 o 6, o ben 'ed Eat "nterprise inu2 5 o 6, e|ecute o sguente:
yum y install mod-ssl
503
7*.4.+. ?enerando &irma digital y certi&icado.
Acceda a sstema como e usuaro root.
Acceda a drectoro /etc=pKi=tls=.
cd /etc/pki/tls
En caso de que exsteran prevamente, debe emnar os archvos certs=dominio.org.crt,
certs=dominio.org.crs, private=dominio.org.Key y private=dominio.org.pem.
rm ! certs/dominio@org@crt private/dominio@org@key
rm ! certs/dominio@org@csr private/dominio@org@pem
Se debe crear una cave con agortmo '>A de 2048 octetos y estructura 25OS, a cua se cfra
utzado @riple D"> (Data "ncrypton >tandard), amacenado en formato <": de modo que sea
nterpretabe como texto ASCII. se soctar una cave de acceso para asgnar a a frma dgta, por
o que se recomienda utili8ar una muy !uena clave de acceso, a cua, mentras ms
compcada y dfc sea, me|or.
openssl genrsa des? out .r#"42e+5o/#n#o.or7.:ey 5#>4
S se utza este archvo (domno.org.key) para a confguracn de sto vrtua, se requerr de
nteraccn de admnstrador cada vez que se tenga que ncar, o rencar, e servco httpd,
ngresando a cave de acceso de a frma dgta. Este es e procedmento ms seguro, sn
embargo, debdo a que resutara poco prctco tener que ngresar una cave de acceso cada vez
que se nce e servco httpd, resuta ms convenente generar una frma dgta '>A, a cua
permta ncar normamente y sn nteraccn aguna, a servco httpd.
openssl rsa in .r#"42e+5o/#n#o.or7.:ey out .r#"42e+5o/#n#o.or7..e/
E archvo dominio.org.pem ser e que se especfque ms adeante como vaor de parmetro
>>Certi&icateIeyFile en a confguracn de Apache.
A contnuacn, genere e archvo C>' (Certfcate >gnng 'equest), e cua es e archvo de
soctud que se hace egar a una 'A ('egstraton Authorty o Autordad de Regstro), como
Ferisign, quenes, tras e correspondente pago, envan de vueta un certfcado (para ser utzado
como e archvo dominio.org.crt) frmado por dcha autordad certfcadora.
openssl reJ new key .r#"42e+5o/#n#o.or7.:ey out 6er2s+5o/#n#o.or7.6sr
Estado o provnca.
Cudad.
Undad o seccn.
504
Nombre de anftrn. Debe ser e nombre con e que se acceder haca e servdor, y dcho nombre
deber estar resueto en un DNS. SI o desea, puede utzar tambn *.dominio.org.
Dreccn de correo eectrnco vda de admnstrador de sstema.
De manera opcona se puede aadr otra cave de acceso y nuevamente e nombre de a empresa.
Poco recomendado, a menos que quera ngresar sta cada vez que se nce o rence e servco
$ttpd.
2hat you are about to enter is what is called a $istinguished +ame or
a $+@

.rganiCational =nit +ame (egB section) DE"$ireccion (omercial
(ommon +ame (egB your name or your serverXs hostname) DE"O@5o/#n#o.or7
%mail 3ddress DE"*e!/4s2erO5o/#n#o.or7
;lease enter the !ollowing XextraX attributes
to be sent with your certi!icate reJuest
3 challenge password DE"
3n optional company name DE"
S requere un certi&icado auto(&irmado, en ugar de un certfcado frmado por un 'A, puede
generarse ste utzando e archvo de petcn C>' (domno.org.csr). En e e|empo a
contnuacn, se crea un certfcado con estructura X.509 en e que se estabece una vadez por
730 das (dos aos).
openssl x8#7 reJ days 6?# in certs/dominio@org@csr signkey private/dominio@org@key out
6er2s+5o/#n#o.or7.6r2
Con a fnadad de que soo e usuaro root pueda acceder a os archvos creados, se deben
cambar os permsos de stos a soo ectura para root.
chmod >## private/dominio@org@key private/dominio@org@pem
chmod >## certs/dominio@org@csr certs/dominio@org@crt
7*.4.*. Con&iguracin de Apac$e.
Crear a estructura de drectoros para e anftrn vrtua.
mkdir p /var/www/5o/#n#o.or7/
De todos drectoros creados, soo /var=PPP=dominio.org=$tml, /var=PPP=dominio.org=etc
y /var=PPP=dominio.org=cgi(!in pueden pertenecer a un usuaro sn prvegos, quen
admnstrar este anftrn vrtua.
Crear e archvo /etc=$ttpd=con&.d=dominio.con& con e sguente contendo, donde a.!.c.d
corresponde a una dreccn IP, y dominio.org corresponde a nombre de domno a confgurar
para e anftrn vrtua:
505
AAA 5o/#n#o.or7 AAA
+ame&irtual1ost 4.!.6.5"4#
_&irtual1ost 4.!.6.5"4#R
Server3dmin webmasterS5o/#n#o.or7
$ocumentRoot /var/www/5o/#n#o.or7/html
Server+ame www@5o/#n#o.or7
Server3lias 5o/#n#o.or7
Redirect ?#1 / https"//www@5o/#n#o.or7/
(ustom0og logs/5o/#n#o.or7access-log combined
%rrorlog logs/5o/#n#o.or7error-log
_/&irtual1ostR
+ame&irtual1ost 4.!.6.5">>?
_&irtual1ost 4.!.6.5">>?R
Server3dmin webmasterS5o/#n#o.or7
$ocumentRoot /var/www/5o/#n#o.or7/html
Server+ame www@5o/#n#o.or7
Script3lias /cgibin/ /var/www/5o/#n#o.or7/cgibin/
_$irectory */var/www/5o/#n#o.or7/cgibin*R
SS0.ptions NStd%nv&ars
_/$irectoryR
SS0%ngine on
SS0;rotocol all SS0v5
SS0(ipherSuite 300"d3$1"d%X;.R/"dSS0v5"R(>NRS3"N1'I1"N,%$'=,"N0.2
SS0(erti!icate<ile /etc/pki/tls/certs/5o/#n#o.or7@crt
SS0(erti!icateHey<ile /etc/pki/tls/private/5o/#n#o.or7@pem
Set%nv'! =ser3gent *@O,S'%@O* P
nokeepalive ssluncleanshutdown P
downgrade1@# !orceresponse1@#
(ustom0og logs/5o/#n#o.or7ssl-reJuest-log P
*Vt Vh Vx Vx P*VrP* Vb*
%rrorlog logs/5o/#n#o.or7ssl-error-log
/rans!er0og logs/5o/#n#o.or7ssl-access-log
0og0evel warn
_/&irtual1ostR
A fn de que surtan efecto os cambos, es necesaro rencar e servco $ttpd.
Lo anteror deber de proceder sn soctar a cave de acceso de a frma dgta (a que asgn
cuando se creo dominio.org.Key). En caso contraro, sgnfca que estabec dominio.org.Key
como vaor de parmetro >>Certi&icateIeyFile en a confguracn de Apache.
7*.4.3. Compro!acin.
Soo basta drgr cuaquer navegador HTTP haca $ttps-==PPP.dominio.org= a fn de verfcar
que todo est traba|ando correctamente. Tras aceptar e certfcado, en e caso de que ste no
haya sdo frmado por un 'A, deber poderse observar un sgno en a barra de estado de
navegador, e cua ndca que se trata de una conexn segura.
7*.4.4. :odi&icaciones necesarias en el muro corta&uegos.
abrr, adems de puerto 80 por TCP (E@@<), e puerto 443 por TCP (E@@<>).
506
sguente:
A3(/'.+ S.=R(% $%S/ ;R./. $%S/ S.=R(%
A ;.R/ ;.R/(S)1
3((%;/ all !w tcp 4#B>>?
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
507
73. Cmo con&igurar un servidor de nom!res de
dominio MD)>N
Autor: $oel Barrios 'ue!a
73.+. %ntroduccin.
73.+.+. Bind MBerKeley %nternet )ame DomainN.
B%)D (acrnmo de Berkeey %nternet )ame Doman) es una mpementacn de protocoo DNS y
provee una mpementacn bre de os prncpaes componentes de Sstema de Nombres de
Domno, os cuaes ncuyen:
Un servdor de sstema de nombres de domno (named).
Una bboteca resoutora de sstema de nombres de domno.
Herramentas para verfcar a operacn adecuada de servdor DNS (bnd-uts).
E Servdor DNS BIND utzado de manera ampa en Internet (99% de os servdores DNS)
proporconando una robusta y estabe soucn.
73.+.*. D)> MDomain )ame >ystemN.
D)> (acrnmo de Doman )ame >ystem) es una base de datos dstrbuda y |errquca que
amacena a nformacn necesara para os nombre de domno. Sus usos prncpaes son a
asgnacn de nombres de domno a dreccones IP y a ocazacn de os servdores de correo
eectrnco correspondentes para cada domno. E D)> nac de a necesdad de factar a os
seres humanos e acceso haca os servdores dsponbes a travs de Internet permtendo hacero
por un nombre, ago ms fc de recordar que una dreccn %<.
Los >ervidores D)> utzan @C< y ,D< en e puerto 53 para responder as consutas. Cas todas
as consutas conssten de una soa soctud ,D< desde un Cliente D)> seguda por una soa
respuesta ,D< de servdor. @C< ntervene cuando e tamao de os datos de a respuesta
exceden os 512 bytes, ta como ocurre con tareas como trans&erencia de 8onas.
508
73.+.3. )%C M)etPorK %n&ormation CenterN.
)%C (acrnmo de )etwork %nformaton Center o Centro de Informacn sobre a Red) es una
nsttucn encargada de asgnar os nombres de domno en Internet, ya sean nombres de domno
genrcos o por pases, permtendo personas o empresas montar stos de Internet medante a
travs de un %>< medante un DNS. Tcncamente exste un )%C por cada pas en e mundo y cada
uno de stos es responsabe por todos os domnos con a termnacn correspondente a su pas.
Por e|empo: NIC Mxco es a entdad encargada de gestonar todos os domnos con termnacn
.m2, a cua es a termnacn correspondente asgnada a os domnos de Mxco.
73.+.4. FBD) MFully Buali&ied Domain )ameN.
FBD) (acrnmo de Fuy Buafed Doman )ame o Nombre de Domno Penamente Cafcado)
es un Nombre de Domno ambguo que especfca a poscn absouta de nodo en e rbo
|errquco de DNS. Se dstngue de un nombre reguar porque eva un punto a fna.
Como e|empo: suponendo que se tene un dspostvo cuyo nombre de anftrn es maquna1 y
un domno amado domno.com, e FBD) sera ma#uina+.dominio.com., as es que se
defne de forma nca a dspostvo mentras que puderan exstr muchos anftrones amados
maquna1, soo puede haber uno amado ma#uina+.dominio.com.. La ausenca de punto
a fna defnra que se pudera tratar tan soo de un pref|o, es decr ma#uina+.dominio.com
pudera ser un domno de otro ms argo como ma#uina+.dominio.com.m2.
La ongtud mxma de un FBD) es de 255 bytes, con una restrccn adcona de 63 bytes para
cada etqueta dentro de nombre de domno. Soo se permten os caracteres A-Z de ASCII, dgtos
y e carcter - (gun medo). Sn dstncn de mayscuas y mnscuas.
Desde 2004, a soctud de varos pases de Europa, exste e estndar %D) (acrnmo de
%nternatonazed Doman )ame) que permte caracteres no-ASCII, codfcando caracteres
'nicode dentro de cadenas de bytes dentro de con|unto norma de caracteres de FBD). Como
resutado, os mtes de ongtud de os nombres de domno %D) dependen drectamente de
contendo msmo de nombre.
73.+.5. Componentes de un D)>.
Los DNS operan a travs de tres componentes: Centes DNS, Servdores DNS y Zonas de
Autordad.
73.+.5.+. Clientes D)>.
Son programas que e|ecuta un usuaro y que generan petcones de consuta para resover
nombres. Bscamente preguntan por a dreccn IP que corresponde a un nombre determnado.
73.+.5.*. >ervidores D)>.
Son servcos que contestan as consutas reazadas por os Clientes D)>. Hay dos tpos de
servdores de nombres:
>ervidor :aestro: Tambn denomnado <rimario. Obtene os datos de domno a partr de un
archvo ao|ado en e msmo servdor.
>ervidor "sclavo: Tambn denomnado >ecundario. A ncar obtene os datos de domno a
travs de un Servdor Maestro (o prmaro), reazando un proceso denomnado trans&erencia de
8ona.
509
Un gran nmero de probemas de operacn de servdores DNS se atrbuyen a as pobres opcones
de servdores secundaros para as zona de DNS. De acuerdo a 'FC *+9*, e DNS requere que al
menos tres servidores e2istan para todos os domnos deegados (o zonas).
Una de as prncpaes razones para tener al menos tres servidores para cada zona es permtr
que a nformacn de a zona msma est dsponbe sempre y forma confabe haca os Clientes
D)> a travs de Internet cuando un servdor DNS de dcha zona fae, no est dsponbe y/o est
nacanzabe.
Contar con mtpes servdores tambn facta a propagacin de a zona y me|oran a efcenca
de sstema en genera a brndar opcones a os Clientes D)> s acaso encontraran dfcutades
para reazar una consuta en un >ervidor D)>. En otras paabras: tener mtpes servdores para
una zona permte contar con redundancia y respaldo del servicio.
Con mtpes servdores, por o genera uno acta como >ervidor :aestro o <rimario y os
dems como >ervidores "sclavos o >ecundarios. Correctamente confgurados y una vez
creados os datos para una zona, no ser necesaro coparos a cada >ervidor "sclavo o
>ecundario, pues ste se encargar de transferr os datos de manera automtca cuando sea
necesaro.
Los >ervidores D)> responden dos tpos de consutas:
Consultas %terativas Mno recursivasN: E cente hace una consuta a >ervidor D)> y este e
responde con a me|or respuesta que pueda darse basada sobre su cach o en as zonas ocaes. S
es mposbe dar una respuesta, a consuta se reenva haca otro Servdor DNS reptndose este
proceso hasta encontrar a >ervidor D)> que tene a cona de Autoridad capaz de resover a
consuta.
Consultas 'ecursivas: E >ervidor D)> asume toda a carga de proporconar una respuesta
competa para a consuta reazada por e Cliente D)>. E >ervidor D)> desarroa entonces
Consultas %terativas separadas haca otros >ervidores D)> (en ugar de hacero e Cliente
D)>) para obtener a respuesta soctada.
73.+.5.3. conas de Autoridad.
Permten a >ervidor :aestro o <rimario cargar a nformacn de una zona. Cada cona de
Autoridad abarca a menos un domno y posbemente sus sub-domnos, s estos tmos no son
deegados a otras zonas de autordad.
La nformacn de cada cona de Autoridad es amacenada de forma oca en un archvo en e
>ervidor D)>. Este archvo puede ncur varos tpos de regstros:
@ipo de 'egistro. Descripcin.
A (Address)
Regstro de dreccn que resueve un nombre de un anftrn haca una
dreccn %<v4 de 32 bts.
AAAA
Regstro de dreccn que resueve un nombre de un anftrn haca una
dreccn %<v6 de 128 bts.
C)A:" (Canonca )ame)
Regstro de nombre cannco que hace que un nombre sea aas de otro. Los
domnos con aas obtene os sub-domnos y regstros DNS de domno
orgna.
:D (:a E2changer)
Regstro de servdor de correo que srve para defnr una sta de servdores de
correo para un domno, as como a prordad entre stos.
<@' (<onter)
Regstro de apuntador que resueve dreccones %<v4 haca e nombre
anftrones. Es decr, hace o contraro a regstro A. Se utza en zonas de
'esolucin %nversa.
510
@ipo de 'egistro. Descripcin.
)> ()ame >erver)
Regstro de servdor de nombres que srve para defnr una sta de servdores
de nombres con autordad para un domno.
>0A (>tart o& Authorty)
Regstro de nco de autordad que especfca e >ervidor D)> Maestro (o
Prmaro) que proporconar a nformacn con autordad acerca de un domno
de Internet, dreccn de correo eectrnco de admnstrador, nmero de sere
de domno y parmetros de tempo para a zona.
>'F (>ervce)
Regstro de servcos que especfca nformacn acerca de servcos dsponbes
a travs de domno. Protocoos como >%< (>esson %ntaton <rotoco) y D:<<
(E2tensbe :essagng and <resence <rotoco) sueen requerr regstros >'F en
a zona para proporconar nformacn a os centes.
@D@ (@e2t)
Regstro de texto que permte a admnstrador nsertar texto arbtraramente en
un regstro DNS. Este tpo de regstro es muy utzado por os servdores de
stas negras D)>B (D)>-based Backhoe st) para a ftracn de Spam.
Otro e|empo de uso son as VPN, donde suee requerrse un regstro @D@ para
defnr una ave que ser utzada por os centes.
Las zonas que se pueden resover son:
conas de 'eenvo.
Devueven direcciones %< para as bsquedas hechas para nombres FBD) (Fuy Buafed
Doman )ame).
En e caso de domnos pbcos, a responsabdad de que exsta una cona de Autoridad
para cada cona de 'eenvo corresponde a a autordad msma de domno, es decr, y por
o genera, quen est regstrado como autordad de domno tras consutar una base de
datos WE0%>. Ouenes compran domnos a travs de un )%C (por e|empo: www.nc.mx),
son quenes deben hacerse cargo de as conas de 'eenvo, ya sea a travs de su propo
>ervidor D)>, o ben a travs de os >ervidores D)> de su %><.
Savo que se trate de un domno para uso en una red oca, todo domno debe ser prmero
tramtado con un )%C, como requsto para tener derecho ega a utzaro y poder propagaro
a travs de Internet.
conas de 'esolucin %nversa.
Devueven nombres FBD) (Fuy Buafed Doman )ame) para as bsquedas hechas para
direcciones %<.
En e caso de segmentos de red pbcos, a responsabdad de que exsta una cona de
Autoridad para cada cona de 'esolucin %nversa corresponde a a autordad msma de
segmento, es decr, y por o genera, quen est regstrado como autordad de segmento tras
consutar una base de datos WE0%>.
Los grandes %><, y en agunos casos agunas empresas, son quenes se hacen cargo de as
conas de 'esolucin %nversa.
73.+.6. Eerramientas de !1s#ueda y consulta.
73.+.6.+. :andato $ost.
E mandato $ost una herramenta smpe para hacer bsquedas en >ervidores D)>. Es utzada
para convertr nombres en dreccones IP y vceversa.
511
De modo predefndo reaza as bsquedas en as >ervidores D)> defndos en e archvo
=etc=resolv.con&, pudendo defnrse de manera opcona e >ervidor D)> a consutar.
host www@alcancelibre@org
Lo anteror reaza una bsqueda en os >ervidores D)> defndos en e archvo =etc=resolv.con&
de sstema, devovendo como resutado una dreccn IP.
host www@alcancelibre@org 5##@??@1>6@516
Lo anteror reaza una bsqueda en os >ervidor D)> en a dreccn IP 200.33.146.217,
devovendo una dreccn IP como resutado.
73.+.6.*. :andato dig.
E mandato dig (doman informaton groper) es una herramenta fexbe para reazar consutas en
>ervidores D)>. Reaza bsquedas y muestra as respuestas que son regresadas por os
servdores que fueron consutados. Debdo a su fexbdad y cardad en a sada es que a
mayora de os admnstradores utzan dig para dagnostcar probemas de DNS.
De modo predefndo reaza as bsquedas en as >ervidores D)> defndos en e archvo
=etc=resolv.con&, pudendo defnrse de manera opcona e >ervidor D)> a consutar. La sntaxs
bsca sera:
dig Sservidor nombre /';.
Donde servidor corresponde a nombre o dreccn IP de >ervidor D)> a consutar, nom!re
corresponde a nombre de regstro de recurso que se est buscando y @%<0 corresponde a tpo
de consuta requerdo (ANY, A, MX, SOA, NS, etc.)
E|empo:
dig S5##@??@1>6@5#7 alcancelibre@org MX
Lo anteror reaza una bsqueda en e >ervidor D)> en a dreccn IP 200.33.146.209 para os
regstros :D para e domno alcancelibre.org.
dig alcancelibre@org NS
Lo anteror reaza una bsqueda en os >ervidores D)> defndos en e archvo =etc=resolv.con&
de sstema para os regstros )> para e domno alcancelibre.org.
dig S5##@??@1>6@516 alcancelibre@org +S
Lo anteror reaza una bsqueda en os >ervidor D)> en a dreccn IP 200.33.146.217 para os
regstros )> para e domno alcancelibre.org.
512
73.+.6.3. :andato .P$ois MP$oisN.
E mandato .P$ois es una herramenta de consuta a travs de servdores WE0%>. La sntaxs
bsca es:
Mwhois dominio
E|empo:
Mwhois alcancelibre@org
Loa anteror regresa a nformacn correspondente a domno alcancelibre.org.
<a#uete. Descripcin.
!ind Incuye e >ervidor D)> (named) y herramentas para verfcar su funconamento.
!ind(li!s
Bboteca compartda que consste en rutnas para apcacones para utzarse cuando se
nteracte con >ervidores D)>.
!ind(c$root
Contene un rbo de archvos que puede ser utzado como una |aua croot para named
aadendo segurdad adcona a servco.
!ind(utils Coeccn de herramentas para consutar >ervidores D)>.
cac$ing(nameserver
Archvos de confguracn que harn que e >ervidor D)> acte como un cach para e
servdor de nombres. Este paquete desaparece en Cent0> 6 y 'ed Eata "nterprise
inu2 6, pues su contendo se ncorpor en e paquete prncpa de !ind.
S se utza de Cent0> 6 o 'ed Eata "nterprise inu2 6, se puede nstaar Bind S.7 utzando
o sguente:
yum y install bind bindchroot bindutils
S se utza de Cent0> 5 o 'ed Eata "nterprise inu2 5, se puede nstaar Bind S.3.6
utzando o sguente:
yum y install bind bindchroot bindutils cachingnameserver
S se utza de Cent0> 5 o 'ed Eata "nterprise inu2 5, puede nstaar, de manera opcona,
Bind S.7, e cua ncuye soporte para D)>>"C, utzando o sguente:
yum remove bindlibs bindutils bind bindchroot cachingnameserver
yum y install bind76 bind76chroot bind76utils
En os sstemas operatvos menconados, e paquete !ind(c$root requere mover manuamente
os componentes de paquete !ind haca de as rutas correspondentes dentro
=var=named=c$root, y generar os enaces smbcos necesaros. E|ecute o sguente:
513
cd /var/named
!or ! in named@O data dynamic slaves
do
mv F! chroot/var/named/
ln s /var/named/chroot/var/named/F! /var/named/
done
cd /etc
!or ! in named@O rndc@key
do
mv F! /var/named/chroot/etc/
ln s /var/named/chroot/etc/F! /etc/
done
cd /root
73.3.+. >"inu2 y el servicio named.
A medados de 2008, Common Vunerabtes and Exposures Lst y US-CERT reportaron que e
nvestgador Dan IaminsKy descubr que varas mpementacones de D)> (BIND 8 y 9 antes de
9.5.0-P1, 9.4.2-P1, y 9.3.5-P1; Mcrosoft DNS en todas as versones de Wndows 2000 SP4, XP SP2
y SP3, y Server 2003 SP1 y SP2).
La vunerabdad permte a atacantes remotos fasfcar trfco DNS a travs de certas tcncas de
contamnacn de cache contra servdores de resoucn recursva (es decr cuando se usa a
opcn allo)2recursion aberta a todo e mundo, como ocurre en os servdores DNS pbcos), y se
reacona a nsufcente aeatoredad de as ID de transaccn y puertos de orgen. Es decr,
vunerabdad de entropa de nsufcenca de zcaos (soc(ets) de DNS (D)> %nsu&&icient >ocKet
"ntropy Fulnera!ility). En otras paabras, un atacante puede contamnar e cache de un servdor
DNS y hacer que os centes se conecten haca dreccones fasas. Es mportante acarar que esta
es reamente una vunerabdad de protocoo DNS.
SELnux protege cas por competo a servco named contra a vunerabdad anterormente
descrta. Es por ta motvo que es mportante utzar SELnux.
A fn de que SELnux permta a servco named traba|ar con permsos de escrtura para zonas
maestras, es decr un esquema de servdor maestro con servdores escavos, o ben como servdor
DNS dnmco, utce e sguente mandato:
setsebool ; named-write-master-Cones 1
Para defnr que se desactve a proteccn de SELnux para e servco named, hacendo que todo
o anterormente descrto en esta seccn perda sentdo, y que e servdor sea parcamente
suscepti!le a la vulnera!ilidad descu!ierta por IaminsKi, utce e sguente mandato:
setsebool ; named-disable-trans 1
S reaza e procedmento anteror, es mportante confgurar a funcn de consutas recursvas
excusvamente para redes en a que se confe penamente.
514
S se utza Cent0> 5 o 'ed Eata "nterprise inu2 5 y se va a confgurar un DNS dnmco,
SELnux mpedr crear os archvos `..nl (journal, archvos de regstro por daro)
correspondentes. Las zonas de DNS dnmcas deben ser amacenadas en drectoros especfcos
que soo contengan zonas dnmcas. Se debe crear e drectoro
=var=named=c$root=var=named=dynamic para ta fn y confgurar ste para qu pertenezca a
usuaro y grupo named, tenga permsos de ectura, escrtura y e|ecucn para e usuaro y grupo
named (770) y tenga os contextos de SELnux de usuaro de sstema (systemQu), ro de ob|eto
(o!.ectQr) y tpo cache de servco named (namedQcac$eQt) a fn de permtr escrtura en este
drectoro.
cd /var/named/chroot/var/named/
mkdir dynamic/
chmod 66# dynamic/
chown named"named dynamic/
chcon u system-u r obMect-r t named-cache-t dynamic/
)ota- Este drectoro vene ncudo en a nstaacn estndar de Bind S.7 en Cent0> 6 o 'ed
Eata "nterprise inu2 6, por o cua es nnecesaro reazar e procedmento anteror.
Cuaquer archvo de zona que se vaya a utzar a travs de servco named, debe contar con os
contextos de SELnux de usuaro de sstema (systemQu), ro de ob|eto (o!.ectQr) y tpo zona de
servco named (namedQ8oneQt). En e sguente e|empo se utza e mandato c$con para
cambar os contextos de archvo mi(dominio.8one y defnr os contextos de SELnux
menconados:
cd /var/named/chroot/var/named/data/
chcon u system-u r obMect-r t named-Cone-t midominio@Cone
73.3.*. <reparativos.
Ideamente se deben defnr prmero os sguente datos:
+. Domno a resover.
*.
Servdor de nombres prncpa (SOA). kste de!e ser un nom!re #ue ya est plenamente
resueltoL y debe ser un FBD) (Fuy Buafed Doman )ame).
3.
Lsta de todos os servdores de nombres (NS) que se utzarn para efectos de redundanca. kstos
de!en ser nom!res #ue ya estn plenamente resueltos, y deben ser adems FBD) (Fuy
Buafed Doman )ame).
4.
Cuenta de correo de admnstrador responsabe de esta zona. Dic$a cuenta de!e e2istir y no
de!e pertenecer a la misma 8ona #ue se est; tratando de resolver.
5. A menos un servdor de correo (MX), con un regstro A, nunca C)A:".
6. IP predetermnada de domno.
7.
Sub-domnos dentro de domno (www, ma, ftp, ns, etc.) y as dreccones IP que estarn
asocadas a estos.
Es mportante tener ben en caro que os puntos 2, 3 y 4 nvoucran datos que de!en e2istir
previamente y estar penamente resuetos por otro servdor DNS; Lo anteror quere decr no
pueden utzar datos que sean parte o dependan de msmo domno que se pretende resover. De
gua modo, e servdor donde se mpementar e D)> deber contar con un nombre FBD) y que
est preva y penamente resueto en otro DNS.
515
Como rega genera, se generar una zona de reenvo por cada domno sobre e cua se tenga
autordad pena y absouta y se generar una zona de resoucn nversa por cada red sobre a cua
se tenga pena y absouta autordad. Es decr, s se es e propetaro de domno
0cualquiercosa.com1, se deber generar e archvo de zona correspondente a fn de resover dcho
domno. Por cada red con dreccones IP prvadas sobre a cua se tenga contro y pena y absouta
autordad, se deber generar un archvo de zona de resoucn nversa a fn de resover
nversamente as dreccones IP de dcha zona.
Reguarmente a resoucn nversa de as dreccones IP pbcas es responsabdad de os
proveedores de servco ya que son estos quenes tenen a autordad pena y absouta sobre
dchas dreccones IP.
Todos os archvos de zona deben pertenecer a usuaro named a fn de que e servco named
pueda acceder a estos o ben modfcar stos en e caso de tratarse de zonas escavas.
73.3.*.+. Con&iguracin mnima para =etc=named.con& en Cent0> 6 y 'ed Eata
"nterprise inu2 6.
La confguracn mnma de archvo =etc=named.con&, y que permtr utzar e servco para
todo tpo de uso, es a sguente:
516
options Z
directory */var/named*Y
dump!ile */var/named/data/cache-dump@db*Y
statistics!ile */var/named/data/named-stats@txt*Y
memstatistics!ile */var/named/data/named-mem-stats@txt*Y
<or*4r5ers Z
8.8.8.8[
8.8.J.J[
\[
<or*4r5 <#rs2[
5nsse6-en4!)e yes[
5nsse6-"4)#542#on yes[
5nsse6-)oo:4s#5e 42o[
!#n5:eys-<#)e "+e26+n4/e5.#s65)".:ey"[
[Y
)o77#n7 Z
634nne) 5e<4)2_5e!7 Z
<#)e "5424+n4/e5.rn"[
se"er#2y 5yn4/#6[
\[
\[
controls Z
inet 156@#@#@1 allow Z 156@#@#@1Y [ keys Z *rn56-:ey*Y [Y
[Y
include */etc/rndc@key*Y
view *local* Z
matchclients Z
156@#@#@#/4Y
1#@#@#@#/4Y
165@16@#@#/15Y
175@164@#@#/16Y
[Y
recursion yesY
include */etc/named@r!c1715@Cones*Y
Bone "." LN Z
2y.e 3#n2[
<#)e "n4/e5.64"[
\[
[Y
Lo anteror defne como opcones que e drectoro predetermnado ser =var=named (ruta reatva
a =var=named=c$root), de defne un archvo conde se amacena a nformacn de cach en
=var=named=data=cac$eQdump.d!; un archvo de estadstcas en
=var=named=data=namedQstats.t2t, un archvo de estadstcas especfcas en o concernente a
uso de a memora en =var=named=data=namedQmemQstats.t2t; consutas recursvas permtdas
soo a 127.0.0.1 y 192.168.1.0/24, se defnen como e.emplos de servdores DNS para reenvar
consutas a 9.9.9.9 y 9.9.4.4 (servdores DNS pbcos de Googe, reempla8ar stos por los
servidores D)> del proveedor de acceso a %nternet utili8ado); se defne que a prmera
opcn a reazar una consuta ser reenvar a os DNS que se acaban de defnr; se ncuyen os
archvos de confguracn =etc=named.r&c+S+*.8ones, que corresponde a as zonas de 'FC
+S+*, y a frma dgta nca que se gener automtcamente tras nstaar e paquete bnd; Se
defne que os controes se reazan soo desde 127.0.0.1 haca 127.0.0.1 utzando a frma dgta
nca: Se defne que se utzar DNSSEC, utzando a frma dgta ocazada en
=etc=named.iscdlv.Key.
517
Tome en consderacn que os cambos en Cent0> 6 y 'ed Eata "nterprise inu2 6 respecto
de Cent0> 5 y 'ed Eata "nterprise inu2 5, conssten en que se utza rndc(Key en ugar de
rndcKey en a confguracn de a frma dgta, se aaden as neas correspondentes a a
confguracn de D)>>"C, se aade confguracn para e regstro en btcora y a zona de os
servdores raz va separada de archvo named.r&c+S+*.8ones. Cent0> 5 y 'ed Eata
"nterprise inu2 5 puede utzar exactamente a msma confguracn nstaando os paquetes
!indS7, !indS7(c$root, !indS7(li!s y !indS7(utils (desaparece e paquete cac$ing(
nameserver, cuyo contendo se ntegr a paquete !indS7).
Convene asegurarse que e archvo =etc=named.con& tenga os contextos correspondentes para
SELnux a fn de evtar potencaes probemas de segurdad.
chcon u system-u r obMect-r t named-con!-t /var/named/chroot/etc/named@con!
73.3.3. Creacin de los arc$ivos de 8ona.
Los sguentes corresponderan a os contendos para os archvos de zona requerdos para a red
oca y por e NIC con e que se haya regstrado e domno. Cabe seaar que en as zonas de
reenvo sempre se especfca a menos un regstro >0A y un regstro )>. De manera opcona, y
en caso de que exsta un servco de correo eectrnco, aada a menos un regstro :D (Ma
Exchanger o ntercambador de correo). Soo necestar susttur nombres y dreccones IP, y quz
aadr nuevos regstros para compementar su red oca.
73.3.3.+. Con&iguracin mnima para =var=named=c$root=etc=named.con& en
Cent0> 5 y 'ed Eata "nterprise inu2 5.
La confguracn mnma de archvo =var=named=c$root=etc=named.con&, y que permtr
utzar e servco para todo tpo de uso, es a sguente:
518
options Z
<or*4r5ers Z
8.8.8.8[
8.8.J.J[
\[
<or*4r5 <#rs2[
[Y
view *local* Z
matchclients Z
156@#@#@#/4Y
1#@#@#@#/4Y
165@16@#@#/15Y
175@164@#@#/16Y
[Y
recursion yesY
[Y
controls Z
inet 156@#@#@1 allow Z 156@#@#@1Y [ keys Z *rndckey*Y [Y
[Y
Lo anteror defne como opcones que e drectoro predetermnado ser =var=named (ruta reatva
a =var=named=c$root), de defne un archvo conde se amacena a nformacn de cach en
=var=named=data=cac$eQdump.d!; un archvo de estadstcas en
=var=named=data=namedQstats.t2t, un archvo de estadstcas especfcas en o concernente a
uso de a memora en =var=named=data=namedQmemQstats.t2t; consutas recursvas permtdas
soo a 127.0.0.1 y 192.168.1.0/24, se defnen como e.emplos de servdores DNS para reenvar
consutas a 9.9.9.9 y 9.9.4.4 (servdores DNS pbcos de Googe, reempla8ar stos por los
servidores D)> del proveedor de acceso a %nternet utili8ado); se defne que a prmera
opcn a reazar una consuta ser reenvar a os DNS que se acaban de defnr; se ncuyen os
archvos de confguracn =etc=named.r&c+S+*.8ones, que corresponde a as zonas de 'FC
+S+*, y a frma dgta nca que se gener automtcamente tras nstaar e paquete bnd; Se
defne tambn que os controes se reazan soo desde 127.0.0.1 haca 127.0.0.1 utzando a
frma dgta nca.
Convene asegurarse que e archvo =var=named=c$root=etc=named.con& tenga os contextos
correspondentes para SELnux a fn de evtar potencaes probemas de segurdad.
519
73.3.3.*. ".emplo de cona de reenvo red local
=var=named=c$root=var=named=data=red(local.8one.
F//0 46>##
S '+ S.3 dns@redlocal@ alguien@gmail@com@ (
5##7#71##1Y n`mero de serie
544## Y tiempo de re!resco
65## Y tiempo entre reintentos de consulta
6#>4## Y tiempo tras el cual expira la Cona
46>## Y tiempo total de vida
)
S '+ +S dns@redlocal@net@
S '+ ,X 1# mail
S '+ /X/ *v)sp!1 a mx all*
S '+ 3 175@164@1@1
intranet '+ 3 175@164@1@1
maJuina5 '+ 3 175@164@1@5
maJuina? '+ 3 175@164@1@?
maJuina> '+ 3 175@164@1@>
www '+ 3 175@164@1@1
mail '+ 3 175@164@1@1
!tp '+ (+3,% intranet
dns '+ (+3,% intranet
73.3.3.3. cona de resolucin inversa red local
=var=named=c$root=var=named=data=+.+69.+S*.in(addr.arpa.8one
F//0 46>##
S '+ S.3 dns@redlocal@ alguien@gmail@com@ (
5##7#71##1 Y n`mero de serie
)
S '+ +S dns@redlocal@
1 '+ ;/R intranet@redlocal@
5 '+ ;/R maJuina5@redlocal@
? '+ ;/R maJuina?@redlocal@
> '+ ;/R maJuina>@redlocal@
73.3.3.4. cona de reenvo del dominio
=var=named=c$root=var=named=data=dominio.com.8one
Suponendo que hpottcamente se es a autordad para e domno Hdominio.comJ, se puede
crear una cona de 'eenvo con un contendo smar a sguente:
520
F//0 46>##
S '+ S.3 <C5n.5o/#n#o-rese)2o. alguien@gmail@com@ (
5##7#71##1Y n`mero de serie
)
S '+ +S <C5n.5o/#n#o-rese)2o.
S '+ ,X 1# mail
S '+ /X/ *v)sp!1 a mx all*
S '+ 3 5#1@161@1@556
servidor '+ 3 5#1@161@1@556
www '+ 3 5#1@161@1@556
mail '+ 3 5#1@161@1@556
!tp '+ (+3,% servidor
dns '+ (+3,% servidor
73.3.3.5. cona de resolucin inversa del dominio
=var=named=c$root=var=named=data=+.+6+.*O+.in(addr.arpa.8one
Suponendo que hpottcamente se es a autordad para e segmento de red *O+.+6+.+.O=*4
(reguarmente o debe de hacer e proveedor de servco de acceso haca Internet), se puede crear
una cona de 'esolucin %nversa con un contendo smar a sguente:
F//0 46>##
S '+ S.3 <C5n.5o/#n#o-rese)2o. alguien@gmail@com@ (
5##7#71##1 Y n`mero de serie
)
S '+ +S <C5n.5o/#n#o-rese)2o.
1 '+ ;/R servidor@dominio@com@
5 '+ ;/R maJuina5@dominio@com@
? '+ ;/R maJuina?@dominio@com@
> '+ ;/R maJuina>@dominio@com@
Cada vez que haga agn cambo en agn archvo de zona, deber cambar e nmero de sere a
fn de que tomen efecto os cambos de nmedato cuando se rence e servco named, ya que de
otro modo tendra que rencar e equpo, ago poco convenente.
Las zonas de resoucn nversa que nvoucran dreccones IP pbcas son responsabdad de os
ISP (proveedores de servco de acceso haca Internet). Crear una zona de resoucn nversa sn
ser a autordad de dcha zona tene efecto soo para quen use e servdor DNS recn confgurado
como nco DNS.
73.3.3.6. Con&iguracin de par;metros en el arc$ivo =etc=named.con&
options Z
<or*4r5ers Z
8.8.8.8[
521
8.8.J.J[
\[
<or*4r5 <#rs2[
dnssecenable yesY
dnssecvalidation yesY
dnsseclookaside autoY
bindkeys!ile */etc/named@iscdlv@key*Y
[Y
logging Z
channel de!ault-debug Z
!ile *data/named@run*Y
severity dynamicY
[Y
[Y
controls Z
[Y
view *local* Z
matchclients Z
156@#@#@#/4Y
1#@#@#@#/4Y
165@16@#@#/15Y
175@164@#@#/16Y
[Y
recursion yesY
Cone *@* '+ Z
type hintY
!ile *named@ca*Y
[Y
Bone "re5-)o64)" Z
2y.e /4s2er[
<#)e "5424+re5-)o64).Bone"[
4))o*-.542e Z none[ \[
[Y
Bone "-.-'8.-%,.#n-455r.4r.4" Z
2y.e /4s2er[
<#)e "5424+-.-'8.-%,.#n-455r.4r.4.Bone"[
4))o*-.542e Z none[ \[
[Y
[Y
73.3.4. >eguridad adicional en D)> para uso p1!lico.
Ouenes hayan utzado en recentes fechas os servcos de DNS Report, habrn notado que e
dagnstco en nea devueve ahora un error que, en resumen, ndca que e servdor puede ser
susceptbe de sufrr/partcpar en un ataque DDo> (Dstrbuted Dena of >ervce o denegacn de
servco dstrbudo).
522
Un DDo> (Dstrbuted Dena of >ervce) es una ampacn de ataque Do>, se efecta con a
nstaacn de varos agentes remotos en muchas computadoras que pueden estar ocazadas en
dferentes puntos de mundo. E atacante consgue coordnar esos agentes para as, de forma
masva, ampfcar e voumen de saturacn de nformacn (flood), pudendo darse casos de un
ataque de centos o mares de computadoras drgdo a una mquna o red ob|etvo. Esta tcnca
se ha reveado como una de as ms efcaces y sencas a a hora de coapsar servdores, a
tecnooga dstrbuda ha do hacendo ms sofstcada hasta e punto de otorgar poder de causar
daos seros a personas con escaso conocmento tcnco.
La faa reportada por a herramenta en nea de DNS Report, para un servdor DNS que permte
consutas recursvas, ndcar ago como o sguente:
0-??S?* Sne or more of your nameservers reports tat it is an open '=" server. Tis usually means tat anyone in te )orld can query it for
domains it is not autoritative for >it is possible tat te '=" server advertises tat it does recursive loo(ups )en it does not, but tat
souldnFt appenA. Tis can cause an e5cessive load on your '=" server. Alos, it is strongly discouraged to ave a '=" server be bot
autoritative for your domain and be recursive >even if it is not openA, due to te potential for cace poisoning >)it no recursion, tere is no
cace, and it is impossible to poison itA. Alos, te bad guys could use your '=" server as part of an attac(, by forging teir DE address1
Sgnfca que e servdor DNS puede permtr a cuaquera reazar consutas recursvas. S se trata
de un DNS que se desea pueda ser consutado por cuaquera, como puede ser e caso de DNS de
un ISP, esto es norma y esperado. S se trata de un servdor que soo debe consutar a red oca, o
ben que se utza para propagar domnos ao|ados de manera oca, s es convenente tomar
meddas a respecto.
Soucn a probema es modfcar e archvo named.con&, donde se aade en a seccn de vsta
oca (vew "oca") a opcn recursion yes^ y una o ms neas que defnan a a red o as redes
que tendrn permtdo reazar todo tpo de consutas.
options Z
!orwarders Z175@164@#@1Y [Y
!orward !irstY
dnssecenable yesY
[Y
logging Z
severity dynamicY
[Y
[Y
controls Z
[Y
view *local* Z
matchclients Z
156@#@#@#/4Y
1#@#@#@#/4Y
165@16@#@#/15Y
175@164@#@#/16Y
523
[Y
recursion yesY
Cone *@* '+ Z
type hintY
!ile *named@ca*Y
[Y
[Y
Lo anteror hace que soo se puedan reazar consutas recursvas en e DNS desde 127.0.0.0/8,
10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16, ya sea para un nombre de domno ao|ado de manera
oca y otros domnos resuetos en otros servdores (e|empo: www.yahoo.com, www.googe.com,
www.acancebre.org, etc). E resto de mundo soo podr reazar consutas sobre os domnos
ao|ados de manera oca y que estn confgurado para permtro.
En a sguente confguracn de e|empo, se pretende ograr o sguente:
Red Loca: cuaquer tpo de consuta haca domnos externos y ocaes (es decr, www.yahoo.com,
www.googe.com, acancebre.org, adems de "ido"inio.co").
Resto de mundo: soo puede hacer consutas para a zona de "ido"inio.co"
De este modo se mpde que haya consutas recursvas y con esto mpedr a posbdad de
sufrr/partcpar de un ataque DDoS.
options Z
!orward !irstY
dnssecenable yesY
[Y
logging Z
severity dynamicY
[Y
[Y
controls Z
[Y
view *publico* Z
matchclients Z anyY [Y
recursion noY
Cone *midominio.com* Z
type masterY
!ile *data/midominio.com@Cone*Y
allowupdate Z noneY [Y
allowtrans!er Z 5##@66@148@585Y 5##@66@148@581Y [Y
524
[Y
[Y
view *local* Z
matchclients Z
156@#@#@#/4Y
1#@#@#@#/4Y
165@16@#@#/15Y
175@164@#@#/16Y
[Y
recursion yesY
Cone *@* '+ Z
type hintY
!ile *named@ca*Y
[Y
Cone *miredlocal* Z
type masterY
!ile *data/miredlocal@Cone*Y
allowtrans!er Z 175@164@#@5Y [Y
[Y
[Y
Un DDo> (Dstrbuted Dena of >ervce) es una ampacn de ataque Do>, se efecta con a
nstaacn de varos agentes remotos en muchas computadoras que pueden estar ocazadas en
dferentes puntos de mundo. E atacante consgue coordnar esos agentes para as, de forma
masva, ampfcar e voumen de saturacn de nformacn (food), pudendo darse casos de un
ataque de centos o mares de computadoras drgdo a una mquna o red ob|etvo. Esta tcnca
se ha reveado como una de as ms efcaces y sencas a a hora de coapsar servdores, a
tecnooga dstrbuda ha do hacendo ms sofstcada hasta e punto de otorgar poder de causar
daos seros a personas con escaso conocmento tcnco.
La faa reportada por a herramenta en nea de DNS Report, para un servdor DNS que permte
consutas recursvas, ndcar ago como o sguente:
0-??S?* Sne or more of your nameservers reports tat it is an open '=" server. Tis usually means tat anyone in te )orld can query it for
domains it is not autoritative for >it is possible tat te '=" server advertises tat it does recursive loo(ups )en it does not, but tat
souldnFt appenA. Tis can cause an e5cessive load on your '=" server. Alos, it is strongly discouraged to ave a '=" server be bot
autoritative for your domain and be recursive >even if it is not openA, due to te potential for cace poisoning >)it no recursion, tere is no
cace, and it is impossible to poison itA. Alos, te bad guys could use your '=" server as part of an attac(, by forging teir DE address1
Sgnfca que e servdor DNS puede permtr a cuaquera reazar consutas recursvas. S se trata
de un DNS que se desea pueda ser consutado por cuaquera, como puede ser e caso de DNS de
un ISP, esto es norma y esperado. S se trata de un servdor que soo debe consutar a red oca, o
ben que se utza para propagar domnos ao|ados de manera oca, s es convenente tomar
meddas a respecto.
Soucn a probema es modfcar e archvo named.con&, donde se aade en a seccn de vsta
oca (vew "oca") a opcn recursion yes^ y una o ms neas que defnan a red o as redes que
tendrn permtdo reazar todo tpo de consutas.
525
options Z
!orwarders Z 175@164@6#@1Y [Y
!orward !irstY
dnssecenable yesY
[Y
logging Z
severity dynamicY
[Y
[Y
controls Z
[Y
view *local* Z
matchclients Z
156@#@#@#/4Y
1#@#@#@#/4Y
165@16@#@#/15Y
175@164@#@#/16Y
[Y
recursion yesY
Cone *@* '+ Z
type hintY
!ile *named@ca*Y
[Y
[Y
Lo anteror hace que soo se puedan reazar todo tpo de consutas en e DNS desde 127.0.0.0/8,
10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16, ya sea para un nombre de domno ao|ado de manera
oca y otros domnos resuetos en otros servdores (e|empo: ))).yaoo.com, ))).google.com,
))).alcancelibre.org, etc). E resto de mundo soo podr reazar consutas sobre os domnos
ao|ados de mane|a oca y que estn confgurado para permtro.
En a sguente confguracn de e|empo, se pretende ograr o sguente:
Red Loca: cuaquer tpo de consuta haca domnos externos y ocaes (es decr,
www.yahoo.com, www.googe.com, acancebre.org, adems de "ido"inio.co").
Resto de mundo: soo puede hacer consutas para a zona de "ido"inio.co"
De este modo se mpde que haya consutas recursvas y con esto mpedr a posbdad de
sufrr/partcpar de un ataque DDoS.
526
options Z
!orward !irstY
dnssecenable yesY
[Y
logging Z
severity dynamicY
[Y
[Y
controls Z
[Y
view *publico* Z
recursion noY
Cone *midominio.com* Z
type masterY
!ile *data/midominio.com@Cone*Y
allowtrans!er Z 5#>@1?@5>7@68Y 5#4@64@67@68Y 71@174@55@68Y [Y
[Y
[Y
view *local* Z
matchclients Z
156@#@#@#/4Y
1#@#@#@#/4Y
165@16@#@#/15Y
175@164@#@#/16Y
[Y
recursion yesY
Cone *@* '+ Z
type hintY
!ile *named@ca*Y
[Y
Cone *miredlocal* Z
type masterY
!ile *data/miredlocal@Cone*Y
allowtrans!er Z 175@164@#@5Y [Y
[Y
[Y
527
73.3.5. >eguridad adicional en D)> para uso e2clusivo en red local.
S se va a tratar de un servdor de nombres de domno para uso excusvo en red oca, y se
queren evtar probemas de segurdad de dferente ndoe, puede utzarse e parmetro alloP(
#uery, e cua servr para especfcar que soo certas dreccones podrn reazar consutas a
servdor de nombres de domno. Se pueden especfcar drectamente dreccones IP, redes
competas o stas de contro de acceso que debern defnrse antes de cuaquer otra cosa en e
archvo =etc=named.con&.
528
73.3.5.+. Arc$ivo =etc=named.con&
options Z
directory */var/named/*Y
!orwarders Z
4@4@4@4Y
4@4@>@>Y
[Y
!orward !irstY
dnssecenable yesY
[Y
logging Z
severity dynamicY
[Y
[Y
controls Z
[Y
view *local* Z
matchclients Z
156@#@#@#/4Y
1#@#@#@#/4Y
165@16@#@#/15Y
175@164@#@#/16Y
[Y
recursion yesY
Cone *@* '+ Z
type hintY
!ile *named@ca*Y
[Y
Cone *redlocal* Z
type masterY
!ile *data/redlocal@Cone*Y
[Y
Cone *1@164@175@inaddr@arpa* Z
type masterY
!ile *data/1@164@175@inaddr@arpa@Cone*Y
[Y
[Y
529
73.3.6. as 8onas esclavas.
Las zonas escavas se referen a aqueas hospedadas en servdores de nombres de domno
secundaros y que hacen as funcones de redundar as zonas maestras en os servdores de
nombres de domno prmaros. E contendo de archvo de zona es e msmo que en servdor
prmaro. La dferenca est en a seccn de texto utzada en named.con&, donde as zonas se
defnen como escavas y defnen os servdores donde est hospedada a zona maestra.
73.3.6.+. Arc$ivo named.con& >ervidor D)> secundario.
view *publico* Z
recursion noY
Cone *dominio@com* Z
2y.e s)4"e[
!ile *dominio@com@Cone*Y
/4s2ers Z -%,.-'8.-.,5J[ \[
[Y
[Y
view *local* Z
matchclients Z
156@#@#@#/4Y
1#@#@#@#/4Y
165@16@#@#/15Y
175@164@#@#/16Y
[Y
recursion yesY
Cone *@* '+ Z
type hintY
!ile *named@ca*Y
[Y
Cone *redlocal* Z
2y.e s)4"e[
/4s2ers Z -%,.-'8.-.,5J[ \[
[Y
2y.e s)4"e[
/4s2ers Z -%,.-'8.-.,5J[ \[
[Y
[Y
Adconamente, s desea ncrementar segurdad y desea especfcar en el >ervidor D)>
<rimario que servdores tendrn permtdo ser servdores de nombres de domno secundaro, es
decr, hacer transferencas, puede utzar e parmetro alloP(trans&er de sguente modo:
530
73.3.6.*. Arc$ivo named.con& >ervidor D)> <rimario.
view *publico* Z
recursion noY
Cone *dominio@com* Z
type masterY
!ile *dominio@com@Cone*Y
4))o*-2r4ns<er Z
,$$.33.-J'.,-I[
,$$.33.-J'.,$%[
\[
[Y
[Y
view *local* Z
matchclients Z
156@#@#@#/4Y
1#@#@#@#/4Y
165@16@#@#/15Y
175@164@#@#/16Y
[Y
recursion yesY
Cone *@* '+ Z
type hintY
!ile *named@ca*Y
[Y
Cone *redlocal* Z
type masterY
4))o*-2r4ns<er Z
-%,.-'8.-.-5[
-%,.-'8.-.-'[
\[
[Y
type masterY
4))o*-2r4ns<er Z
-%,.-'8.-.-5[
-%,.-'8.-.-'[
\[
[Y
[Y
73.3.7. >eguridad adicional para trans&erencias de 8ona.
Cuando se gestonan domnos a travs de redes pbcas, es mportante consderar que s se
tenen esquemas de servdores maestros y esclavos, sempre ser ms convenente utzar una
clave ci&rada en ugar de una dreccn IP, debdo a que esta tma puede ser fasfcada ba|o
certas crcunstancas.
531
Comnmente se defnen as dreccones IP desde as cuaes se permtr transferencas de zonas,
utzando una confguracn en e archvo =var=named=c$root=etc=named.con& como a
e|empfcada a contnuacn, donde os servdores escavos corresponden a os servdores con
dreccones IP 192.168.1.11 y 192.168.1.12:
Cone *midominio@org* Z
type masterY
!ile *data/midominio@org@Cone*Y
allowupdate Z noneY ["
allowtrans!er Z 175@164@1@11Y 175@164@1@15Y [Y
[Y
Lo anteror permte a transferenca de zona para os servdores con dreccones IP 192.168.1.11 y
192.168.1.12, os cuaes utzan a sguente confguracn en e archvo
=var=named=c$root=etc=named.con&, e|empfcada a contnuacn, donde e servdor prmaro
(zonas maestras) corresponde a servdor con dreccn IP 192.168.1.1:
type slaveY
masters Z 175@164@1@1Y [Y
[Y
E nconvenente de esquema anteror es que es fc fasfcar as dreccones IP. A fn de evtar
que esto ocurra, e mtodo recomendado ser utzar una cave cfrada que ser vadada en ugar
de a dreccn IP. La ave se crea con e mandato dnssec(Keygen, especfcando un agortmo,
que puede ser '>A:D5 o '>A, D>A, DE (Dffe Eeman) o E:AC(:D5, e tamao de a ave en
octetos (bts), e tpo de a ave, que puede ser ZONE, HOST, ENTITY o USER y e nombre especfco
para a cave cfrada. DSA y RSA se utzan para D)> >eguro (D)>>"C), en tanto que E:AC(
:D5 se utza para @>%? (@ransfer >%?nature o transferenca de frma). Lo ms comn es utzar
@>%?. En e sguente e|empo, se generar en e drectoro de traba|o actua a cave mi(
dominio.org, utzando =dev=random como fuente de datos aeatoros, un agortmo E:AC(:D5
tpo E0>@ de 128 octetos (bts):
dnsseckeygen r /dev/random a 1,3(,$8 b 154 n 1.S/ midominio@org
Lo anteror devueve una sada smar a a sguente:
Hmidominio@org@N186N?5?55
A msmo tempo se generaran dos archvos en e drectoro =var=named=c$root=var=named=, que
corresponderan a Imi(dominio.org.G+57G3*3**.Key y Imi(dominio.org.
G+57G3*3**.private. Imi(dominio.org.G+57G3*3**.Key deber tener un contendo como e
sguente, e cua corresponde a regstro que se aade dentro de archvo de zona:
midominio@org@ '+ H%: 815 ? 186 +;u+uxvG3Mtd?mriuyg/4h))
Imi(dominio.org.G+57G3*3**.private deber tener un contendo como e sguente:
;rivatekey!ormat" v1@5
3lgorithm" 186 (1,3(-,$8)
Hey" +;u+uxvG3Mtd?mriuyg/4h))
532
En ambos casos, )<u)u2vcA.td3mriuyg@9BRR corresponde a a cave cfrada. Ambos deben
tener a msma cave.
Los dos archvos soo deben tener atrbutos de ectura para e usuaro named.
chmod >## Hmidominio@org@N186N?5?55@O
chown named@named Hmidominio@org@N186N?5?55@O
A fn de poder ser utzados, ambos archvos deben ser movdos haca e drectoro
=var=named=c$root=var=named=data=.
mv Hmidominio@org@N186N?5?55@O /var/named/chroot/var/named/data/
A contnuacn, restaure os atrbutos predetermnados para estos archvos utzando e mandato
restorecon, de sguente modo:
restorecon R /var/named/chroot/var/named/data/
En e servdor prmaro (zonas maestras), se aade a sguente confguracn en e archvo
=var=named=c$root=etc=named.con&:
key midominio@org Z
algorithm 1,3(,$8Y
secret *+;u+uxvG3Mtd?mriuyg/4h))*Y
[Y
type masterY
allowtrans!er Z key midominio@orgY [Y
[Y
Los servdores escavos utzaran a sguente confguracn en e archvo
=var=named=c$root=etc=named.con&, en donde se defne a cave y que sta ser utzada para
reazar conexones haca e servdor prmaro (zonas maestras) (192.168.1.1, en e e|empo):
:ey /#-5o/#n#o.or7 Z
4)7or#23/ EMAC-MD5[
se6re2 "N8N;"MAK253/r#y7T8]=="[
\[
ser"er -%,.-'8.-.- Z
:eys Z /#-5o/#n#o.or7[ \[
\[
type slaveY
masters Z 175@164@1@1Y [Y
[Y
533
73.3.7.+. Compro!aciones.
Tanto en e servdor prmaro (zonas maestras) como en os servdores escavos, utce e mandato
tail para ver a sada de archvo =var=log=messages, pero soo aqueo que contenga a cadena
de caracteres named:
tail ! /var/log/messages ^grep named
A rencar e servco named en servdor prmaro (zonas maestras), se debe mostrar una sada
smar a a sguente cuando un servdor escavo reaza una transferenca:
Sep 1# #1"86"># servidor namedD6#>5E" listening on ';v> inter!ace eth#B 175@164@1@6>A8?
Sep 1# #1"86"># servidor namedD6#>5E" command channel listening on 156@#@#@1A78?
Sep 1# #1"86"># servidor namedD6#>5E" Cone #@inaddr@arpa/'+" loaded serial >5
Sep 1# #1"86"># servidor namedD6#>5E" Cone #@#@156@inaddr@arpa/'+" loaded serial 1776#556##
Sep 1# #1"86"># servidor namedD6#>5E" Cone 588@inaddr@arpa/'+" loaded serial >5
Sep 1# #1"86"># servidor namedD6#>5E" Cone
#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@ip6@arpa/'+" loaded serial 1776#556##
Sep 1# #1"86"># servidor namedD6#>5E" Cone localdomain/'+" loaded serial >5
Sep 1# #1"86"># servidor namedD6#>5E" Cone localhost/'+" loaded serial >5
Sep 1# #1"86"># servidor namedD6#>5E" Cone midominio@org/'+" loaded serial 5##7#71##1
Sep 1# #1"86"># servidor named" 'niciaciQn de named succeeded
Sep 1# #1"86"># servidor namedD6#>5E" running
Sep 1# #1"86"># servidor namedD6#>5E" Cone midominio@org/'+" sending noti!ies (serial 5##7#71##1)
Se. -$ $-?5%?J% ser"#5or n4/e5D'$J,F? 6)#en2 -%,.-'8.-.--V3,8-I? 2r4ns<er o< 9/#-5o/#n#o.or7+LN9?
AXFR s24r2e5
A rencar e servco named en os servdores escavos, se debe mostrar una sada smar a a
sguente:
Sep 1# #1"84"18 servidor namedD8#4#E" listening on ';v> inter!ace eth#B 175@164@1@58?A8?
Sep 1# #1"84"18 servidor namedD8#4#E" command channel listening on 156@#@#@1A78?
Sep 1# #1"84"18 servidor namedD8#4#E" Cone #@inaddr@arpa/'+" loaded serial >5
Sep 1# #1"84"18 servidor namedD8#4#E" Cone #@#@156@inaddr@arpa/'+" loaded serial 1776#556##
Sep 1# #1"84"18 servidor namedD8#4#E" Cone 588@inaddr@arpa/'+" loaded serial >5
Sep 1# #1"84"18 servidor namedD8#4#E" Cone
#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@ip6@arpa/'+" loaded serial 1776#556##
Sep 1# #1"84"18 servidor namedD8#4#E" Cone localdomain/'+" loaded serial >5
Sep 1# #1"84"18 servidor namedD8#4#E" Cone localhost/'+" loaded serial >5
Sep 1# #1"84"18 servidor namedD8#4#E" running
Sep 1# #1"84"18 servidor named" 'niciaciQn de named succeeded
Se. -$ $-?58?-5 ser"#5or n4/e5D5$8$F? Bone /#-5o/#n#o.or7+LN? 2r4ns<erre5 ser#4) ,$$%$%-$$-
Se. -$ $-?58?-5 ser"#5or n4/e5D5$8$F? 2r4ns<er o< 9/#-5o/#n#o.or7+LN9 <ro/ -%,.-'8.-.-V53? en5 o<
2r4ns<er
Se. -$ $-?58?-5 ser"#5or n4/e5D5$8$F? Bone /#-5o/#n#o.or7+LN? sen5#n7 no2#<#es &ser#4) ,$$%$%-$$-0
73.3.9. 'einiciar servicio y depuracin de con&iguracin.
A termnar de edtar todos os archvos nvoucrados, soo bastar rencar e servdor de nombres
de domno.
S queremos que e servdor de nombres de domno quede aaddo entre os servcos en e
arranque de sstema, deberemos reazar o sguente a fn de habtar named |unto con e
arranque de sstema:
chkcon!ig named on
Reace prueba de depuracn y verfque que a zona haya cargado con nmero de sere:
534
tail 4# /var/log/messages ^grep named
Lo anteror, s est funconando correctamente, debera devover ago parecdo a o mostrado a
contnuacn:
Sep 1# #5"18"18 servidor namedD?#614E" starting 9'+$ 7@5@5 u named
Sep 1# #5"18"18 servidor namedD?#614E" using 1 (;=
Sep 1# #5"18"18 servidor named" 'niciaciQn de named succeeded
Sep 1# #5"18"18 servidor namedD?#655E" loading con!iguration !rom X/etc/named@con!X
Sep 1# #5"18"18 servidor namedD?#655E" no ';v6 inter!aces !ound
Sep 1# #5"18"18 servidor namedD?#655E" listening on ';v> inter!ace loB 156@#@#@1A8?
Sep 1# #5"18"18 servidor namedD?#655E" listening on ';v> inter!ace eth#B 175@164@1@1A8?
Sep 1# #5"18"18 servidor namedD?#655E" command channel listening on 156@#@#@1A78?
Sep 1# #5"18"16 servidor namedD?#655E" Cone #@#@156@inaddr@arpa/'+" )o45e5 ser#4) 3
Sep 1# #5"18"16 servidor namedD?#655E" Cone 1@164@175@inaddr@arpa/'+" )o45e5 ser#4) ,$$%$%-$$-
Sep 1# #5"18"16 servidor namedD?#655E" Cone localhost/'+" )o45e5 ser#4) -
Sep 1# #5"18"16 servidor namedD?#655E" Cone midominio@com@mx/'+" )o45e5 ser#4) ,$$%$%-$$-
Sep 1# #5"18"16 servidor namedD?#655E" running
Sep 1# #5"18"16 servidor namedD?#655E" Cone 1@164@175@inaddr@arpa/'+" sending noti!ies (serial
5##7#71##1)
Sep 1# #5"18"16 servidor namedD?#655E" Cone midominio@com@mx/'+" sending noti!ies (serial
5##7#71##1)
535
74. Cmo con&igurar >#uid- <ar;metros !;sicos
para >ervidor %ntermediario M<ro2yN
74.+. %ntroduccin.
74.+.+. Bu es >ervidor %ntermediario M<ro2yN?
E trmno en nges H<ro2yJ tene un sgnfcado muy genera y a msmo tempo ambguo,
aunque nvarabemente se consdera un snnmo de concepto de H%ntermediarioJ. Se suee
traducr, en e sentdo estrcto, como delegado o apoderado (e que tene e que poder sobre
otro).
Un >ervidor %ntermediario (Proxy) se defne como una computadora o dspostvo que ofrece un
servco de red que consste en permtr a os centes reazar conexones de red ndrectas haca
otros servcos de red. Durante e proceso ocurre o sguente:
Cente se conecta haca un >ervidor %ntermediario (Proxy).
Cente socta una conexn, archvo u otro recurso dsponbe en un servdor dstnto.
>ervidor %ntermediario (Proxy) proporcona e recurso ya sea conectndose haca e servdor
especfcado o srvendo ste desde un cach.
En agunos casos e >ervidor %ntermediario (Proxy) puede aterar a soctud de cente o ben a
respuesta de servdor para dversos propstos.
Los >ervidores %ntermediarios (Proxes) generamente se hacen traba|ar smutneamente como
muro cortafuegos operando en e )ivel de 'ed, actuando como ftro de paquetes, como en e
caso de ipta!les, o ben operando en e )ivel de Aplicacin, controando dversos servcos,
como es e caso de @C< Wrapper. Dependendo de contexto, e muro cortafuegos tambn se
conoce como B<D o Border <rotecton Devce o smpemente &iltro de pa#uetes.
Una apcacn comn de os >ervidores %ntermediarios (Proxes) es funconar como cach de
contendo de Red (prncpamente HTTP), proporconando en a proxmdad de os centes un cach
de pgnas y archvos dsponbes a travs de a Red en servdores HTTP remotos, permtendo a
os centes de a red oca acceder haca stos de forma ms rpda y confabe.
536
Cuando se recbe una petcn para un recurso de Red especfcado en un ,' (,nform 'esource
ocator) e >ervidor %ntermediario busca e resutado de ,' dentro de cach. S ste es
encontrado, e >ervidor %ntermediario responde a cente proporconado nmedatamente e
contendo soctado. S e contendo soctado no estuvera dsponbe en e cach, e >ervidor
%ntermediario o traer desde servdor remoto, entregndoo a cente que o soct y
guardando una copa en e cach. E contendo en e cach es emnado uego a travs de un
agortmo de expracn de acuerdo a a antgedad, tamao e hstora de respuestas a
solicitudes (hts) (e|empos: ',, F,DA y ?D>F).
Los >ervidores %ntermediarios para contendo de Red (Web Proxes) tambn pueden actuar
como ftros de contendo servdo, apcando potcas de censura de acuerdo a crteros arbtraros.
74.+.*. Acerca de >#uid.
>#uid es un >ervidor %ntermediario (Proxy) de ato desempeo que se ha vendo desarroando
desde hace varos aos y es hoy en da un muy popuar y ampamente utzado entre os sstemas
operatvos como GNU/Lnux y dervados de Unx. Es muy confabe, robusto y verst y se
dstrbuye ba|o os trmnos de a Lcenca Pbca Genera GNU (?),=?<). Sendo equpamento
gco li!re, est dsponbe e cdgo fuente para quen as o requera.
Entre otras cosas, >#uid puede funconar como >ervidor %ntermediario (Proxy) y cac$ de
contenido de 'ed para os protocoos E@@<, F@<, ?0<E"' y WA%>, Proxy de >>, cach
transparente, WWC<, aceeracn E@@<, cach de consutas DNS y otras muchas ms como
ftracn de contendo y contro de acceso por IP y por usuaro.
>#uid consste de un programa prncpa como servdor, un programa para bsqueda en
servdores D)>, programas opconaes para reescrbr soctudes y reazar autentcacn y
agunas herramentas para admnstracn y y herramentas para centes. A ncar >#uid da
orgen a un nmero confgurabe (5, de modo predefndo a travs de parmetro dnsQc$ildren)
de procesos de bsqueda en servdores D)>, cada uno de os cuaes reaza una bsqueda nca
en servdores D)>, reducendo a cantdad de tempo de espera para as bsquedas en servdores
D)>.
)0@A "><"C%A- >#uid no de!e ser utili8ado como >ervidor
%ntermediario M<ro2yN para protocoos como >:@<, <0<3,
@")"@, >>E, %'C, etc. S se requere ntermedar para cual#uier
protocolo distinto a E@@<, E@@<>, F@<, ?0<E"' y WA%> se
requerr mpementar obgatoramente un enmascaramento de IP o
)A@ ()etwork Address @ransaton) o ben hacer uso de un servdor
>0CI> como Dante (http://www.net.no/dante/).
URL: http://www.squd-cache.org/
74.+.*.+. Algoritmos de cac$ utili8ados por >#uid.
A travs de un parmetro (cac$eQreplacementQpolicy) >#uid ncuye soporte para os sguentes
agortmos para e cach:
', Acrnmo de east 'ecenty ,sed, que traduce como :enos 'ecientemente
,tili8ado. En este agortmo os ob|etos que no han sdo acceddos en mucho tempo
son emnados prmero, mantenendo sempre en e cach a os ob|etos ms
recentemente soctados. ksta poltica es la utili8ada por >#uid de modo
prede&inido.
537

F,DA Acrnmo de east Frequenty ,sed wth Dynamc Agng, que se traduce como :enos
Frecuentemente ,tili8ado con "nve.ecimiento Din;mico. En este agortmo os
ob|etos ms soctados permanecen en e cach sn mportar su tamao optmzando a
e&iciencia (ht rate) por octetos (Bytes) a expensas de a efcenca msma, de modo
que un ob|eto grande que se socte con mayor frecuenca mpedr que se pueda hacer
cach de ob|etos pequeos que se socten con menor frecuenca.

?D>F Acrnmo de ?reedyDua >ze Frequency, que se traduce como Frecuencia de tamao
%reed()ual (codicioso dual), que es e agortmo sobre e cua se basa ?D>F. Optmza
a e&iciencia (ht rate) por ob|eto mantenendo en e cach os ob|etos pequeos ms
frecuentemente soctados de modo que hay me|ores posbdades de ograr respuesta
a una solicitud (ht). Tene una efcenca por octetos (Bytes) menor que e agortmo
F,DA debdo a que descarta de cach ob|etos grandes que sean soctado con
frecuenca.
Para poder evar a cabo os procedmentos descrtos en este y otros documentos reaconados,
usted necestar tener nstaado a menos o sguente:
A menos squd-2.5.STABLE6
httpd-2.0.x (Apache), como auxar de cach con aceeracn.
@odos os parches de segurdad dsponbes para a versn de sstema operatvo que est
utzando. No es convenente utzar un sstema con posbes vunerabdades como Servdor
Intermedaro.
Debe tomarse en consderacn que, de ser posbe, se debe utzar siempre as versones
estabes ms recentes de todo equpamento gco que vaya a ser nstaado para reazar os
procedmentos descrtos en este manua, a fn de contar con os parches de segurdad necesaros.
)inguna versin de >#uid anterior a la *.5.>@AB"6 se considera como apropiada debdo
a faas de segurdad de gran mportanca.
>#uid no se nstaa de manera predetermnada a menos que especfque o contraro durante a
nstaacn de sstema operatvo, sn embargo vene ncudo en cas todas as dstrbucones
actuaes. E procedmento de nstaacn es exactamente e msmo que con cuaquer otro
equpamento gco.
S cuenta con un sstema con CentOS o Whte Box Enterprse Lnux 3 o versones posterores,
utce o sguente y se nstaar todo o necesaro |unto con sus dependencas:
yum y install sJuid httpd
S cuenta con un sstema con Red Hat Enterprse Lnux 3 o versones posterores, utce o
sguente y se nstaar todo o necesaro |unto con sus dependencas:
up5date i sJuid httpd
538
74.*.3. 0tros componentes necesarios.
E mandato ipta!les se utzar para generar as regas necesaras para e gun de
Enmascaramento de IP. Se nstaa de modo predefndo en todas as dstrbucones actuaes que
utcen n1cleo (kerne) versones 2.4 y 2.6.
Es mportante tener actuazado e nceo de sstema operatvo por dversas cuestones de
segurdad. No es recomendabe utzar versones de kerne anterores a a *.6.+9. Actuace e
nceo a a versn ms recente dsponbe para su dstrbucn.
S cuenta con un sstema con CentOS o Whte Box Enterprse Lnux 3 o versones posterores,
utce o sguente para actuazar e nceo de sstema operatvo e ipta!les, s acaso fuera
necesaro:
yum y update kernel iptables
S cuenta con un sstema con Red Hat Enterprse Lnux 3 o versones posterores, utce o
sguente para actuazar e nceo de sstema operatvo, e ipta!les s acaso fuera necesaro:
up5date u kernel iptables
74.3. >"inu2 y el servicio s#uid.
A fn de que SELnux permta a servco s#uid que os centes se conecten desde cuaquer
dreccn IP, e|ecutar o sguente.
setsebool ; sJuid-connect-any 1
Para que SELnux permta a servco s#uid funconar normamente, hacendo que todo o
anterormente descrto en esta seccn perda sentdo, utce e sguente mandato:
setsebool ; sJuid-disable-trans 1
74.4. Antes de continuar.
Tenga en cuenta que este manua ha sdo comprobado varas veces y ha funconado en todos os
casos y s ago no funcona soo sgnfca que usted no o ey a detae y no sgu correctamente
as ndcacones.
Evte de|ar espacios vacos en ugares ndebdos. E sguente es un e|empo de como no se debe
habtar un parmetro.
Ma
A .pciQn #n6orre624/en2e habilitada
http-port ?154
E sguente es un e|empo de como si se debe habtar un parmetro.
Ben
A .pciQn 6orre624/en2e habilitada
539
http-port ?154
74.5. Con&iguracin !;sica.
>#uid utza e archvo de confguracn ocazado en =etc=s#uid=s#uid.con&, y podr traba|ar
sobre este utzando su edtor de texto smpe preferdo. Exsten un gran nmero de parmetros,
de os cuaes recomendamos confgurar os sguentes:
http_port
cache_dr
A menos una ista de Control de Acceso
A menos una 'egla de Control de Acceso
httpd_acce_host
httpd_acce_port
httpd_acce_wth_proxy
74.5.+. <ar;metro $ttpQport- Bue puerto utili8ar para >#uid?
De acuerdo a as asgnacones hechas por %A)A y contnuadas por a %CA)) desde e 21 de marzo
de 2001, os <uertos 'egstrados (rango desde 1024 hasta 49151) recomendados para
>ervidores %ntermediarios (Proxes) pueden ser e 3128 y 8080 a travs de @C<.
De modo predefndo >#uid utzar e puerto 3128 para atender petcones, sn embargo se
puede especfcar que o haga en cuaquer otro puerto dsponbe o ben que o haga en varos
puertos dsponbes a a vez.
En e caso de un >ervidor %ntermediario (Proxy) Transparente, reguarmente se utzar e
puerto 80 o e 8000 y se vadr de re-drecconamento de petcones de modo ta que no habr
necesdad aguna de modfcar a confguracn de os clientes E@@< para utzar e >ervidor
%ntermediario (Proxy). Bastar con utzar como puerta de enace a servdor. Es mportante
recordar que os >ervidores E@@<, como Apache, tambn utzan dcho puerto, por o que ser
necesaro vover a confgurar e servdor E@@< para utzar otro puerto dsponbe, o ben
desnstaar o desactvar e servdor HTTP.
Hoy en da puede no ser de todo prctco e utzar un >ervidor %ntermediario M<ro2yN
@ransparente, a menos que se trate de un servco de Ca& %nternet u ofcna pequea, sendo
que uno de os prncpaes probemas con os que dan os admnstradores es e ma uso y/o
abuso de acceso a Internet por parte de persona. Es por esto que puede resutar ms
convenente confgurar un >ervidor %ntermediario (Proxy) con restrccones por cave de acceso,
o cua no puede hacerse con un >ervidor %ntermediario M<ro2yN @ransparente, debdo a que
se requere un dogo de nombre de usuaro y cave de acceso.
Reguarmente agunos programas utzados comnmente por os usuaros sueen traer de modo
predefndo e puerto 8080 Mservicio de cac$eo WWWN para utzarse a confgurar que
>ervidor %ntermediario (Proxy) utzar. S queremos aprovechar esto en nuestro favor y
ahorrarnos e tener que dar expcacones nnecesaras a usuaro, podemos especfcar que >#uid
escuche petcones en dcho puerto tambn. Sendo as ocace a seccn de defncn de
$ttpQport, y especfque:
A
A :ou may speci!y multiple socket addresses on multiple lines@
A
A $e!ault" http-port ?154
http-port ?154
http-port 4#4#
540
S desea ncrementar a segurdad, puede vncuarse e servco a una IP que soo se pueda acceder
desde a red oca. Consderando que e servdor utzado posee una IP 192.168.1.254, puede
hacerse o sguente:
A
A
http-port 175@164@1@58>"?154
http-port 175@164@1@58>"4#4#
En e caso de Squd 2.6 y versones posterores (Cent0> 5, 'ed Eat "nterprise inu2 5 y W$ite
Bo2 "nterprise inu2 5), e parmetro http_port se utza tambn para especfcar s se utza
un proxy transparente, especfcando e parmetro transparent, de a sguente forma:
A
A
http-port 175@164@1@58>"4#4# 2r4ns.4ren2
74.5.*. <ar;metro cac$eQmem.
E parmetro cac$eQmem estabece a cantdad dea de memora para o sguente:
Ob|etos en trnsto.
Ob|etos frecuentemente utzados (/ot).
Ob|etos negatvamente amacenados en e cach.
Los datos de estos ob|etos se amacenan en boques de 4 Kb. E parmetro cac$eQmem especfca
un mte mxmo en e tamao tota de boques acomodados, donde os ob|etos en trnsto tenen
mayor prordad. Sn embargo os ob|etos Eot y aqueos negatvamente amacenados en e cach
podrn utzar a memora no utzada hasta que esta sea requerda. De ser necesaro, s un ob|eto
en trnsto es mayor a a cantdad de memora especfcada, >#uid exceder o que sea necesaro
para satsfacer a petcn.
De modo predefndo se estabecen 8 MB. Puede especfcarse una cantdad mayor s as se
consdera necesaro, dependendo esto de os hbtos de os usuaros o necesdades estabecdas
por e admnstrador.
S se posee un servdor con a menos 128 MB de RAM, estabezca 16 MB como vaor para este
parmetro:
cache-mem 16 ,9
74.5.3. <ar;metro cac$eQdir- Cuanto desea almacenar de %nternet en el
disco duro?
Este parmetro se utza para estabecer que tamao se desea que tenga e cach en e dsco duro
para >#uid. Para entender esto un poco me|or, responda a esta pregunta: Cuanto desea
almacenar de %nternet en el disco duro? De modo predefndo >#uid utzar un cach de 100
MB, de modo ta que encontrar a sguente nea:
cache-dir u!s /var/spool/sJuid -$$ 16 586
541
Se puede ncrementar e tamao de cach hasta donde o desee e admnstrador. Mentras ms
grande sea e cach, ms ob|etos se amacenarn en ste y por o tanto se utzar menos e
ancho de banda. La sguente nea estabece un cach de 700 MB:
cache-dir u!s /var/spool/sJuid I$$ 16 586
Los nmeros +6 y *56 sgnfcan que e drectoro de cach contendr 16 drectoros subordnados
con 256 nvees cada uno. )o modi&i#ue esto n1merosL no $ay necesidad de $acerlo.
Es muy mportante consderar que s se especfca un determnado tamao de cach y ste excede
a espaco rea dsponbe en e dsco duro, >#uid se boquear nevtabemente. Sea cauteoso con
e tamao de cach especfcado.
74.5.4. <ar;metro &tpQuser.
A acceder a un servdor FTP de manera annma, de modo predefndo >#uid envar como cave
de acceso >#uidg. S se desea que e acceso annmo a os servdores FTP sea ms nformatvo, o
ben s se desea acceder a servdores FTP que vadan a autentcdad de a dreccn de correo
especfcada como cave de acceso, puede especfcarse a dreccn de correo eectrnco que uno
consdere pertnente.
!tp-user proxySsudominio@net
74.5.5. Controles de acceso.
Es necesaro estabecer istas de Control de Acceso que defnan una red o ben certas
mqunas en partcuar. A cada sta se e asgnar una 'egla de Control de Acceso que
permtr o denegar e acceso a >#uid. Procedamos a entender como defnr unas y otras.
74.5.5.+. istas de control de acceso.
Reguarmente una sta de contro de acceso se estabece con a sguente sntaxs:
acl Dnombre de la listaE src Dlo Jue compone a la listaE
S se desea estabecer una sta de contro de acceso que abarque a toda a red oca, basta defnr
a IP correspondente a a red y a mscara de a sub-red. Por e|empo, s se tene una red donde as
mqunas tenen dreccones IP 192.168.1.n con mscara de sub-red 255.255.255.0, podemos
utzar o sguente:
acl miredlocal src 175@164@1@#/588@588@588@#
Tambn puede defnrse una ista de Control de Acceso especfcando un archvo ocazado en
cuaquer parte de dsco duro, y a cua contene una sta de dreccones IP. E|empo:
acl permitidos src */etc/sJuid/permitidos*
E archvo =etc=s#uid=permitidos contendra ago como sguente:
175@164@1@1
175@164@1@5
542
175@164@1@?
175@164@1@18
175@164@1@16
175@164@1@5#
175@164@1@>#
Lo anteror estara defnendo que a ista de Control de Acceso denomnada permitidos
estara compuesta por as dreccones IP ncudas en e archvo =etc=s#uid=permitidos.
74.5.5.*. 'eglas de Control de Acceso.
Estas defnen s se permte o no e acceso haca >#uid. Se apcan a as istas de Control de
Acceso. Deben coocarse en a seccn de regas de contro de acceso defndas por e
admnstrador, es decr, a partr de donde se ocaza a sguente eyenda:
A
A '+S%R/ :.=R .2+ R=0%(S) 1%R% /. 300.2 3((%SS <R., :.=R (0'%+/S
A
La sntaxs bsca es a sguente:
http-access Ddeny o allowE Dlista de control de accesoE
En e sguente e|empo consderamos una rega que estabece acceso permtdo a >#uid a a ista
de Control de Acceso denomnada permitidos:
http-access allow permitidos
Tambn pueden defnrse regas vandose de a expresn e, a cua sgnfca no. Pueden
defnrse, por e|empo, dos stas de contro de acceso, una denomnada lista+ y otra denomnada
lista*, en a msma rega de contro de acceso, en donde se asgna una expresn a una de estas.
La sguente estabece que se permte e acceso a >#uid a o que comprenda lista+ excepto
aqueo que comprenda lista*:
http-access allow lista1 dlista5
Este tpo de regas son tes cuando se tene un gran grupo de IP dentro de un rango de red a que
se debe permitir acceso, y otro grupo dentro de a msma red a que se debe denegar e acceso.
74.5.6. Aplicando istas y 'eglas de control de acceso.
Una vez comprenddo e funconamento de a Lstas y as Rega de Contro de Acceso,
procederemos a determnar cuaes utzar para nuestra confguracn.
74.5.6.+. Caso +.
Consderando como e|empo que se dspone de una red 192.168.1.0/255.255.255.0, s se desea
defnr toda a red oca, utzaremos a sguente nea en a seccn de istas de Control de
Acceso:
acl todalared src 175@164@1@#/588@588@588@#
543
Habendo hecho o anteror, a seccn de stas de contro de acceso debe quedar ms o menos de
sguente modo:
istas de Control de Acceso- de&inicin de una red local completa
A
A Recommended minimum con!iguration"
acl all src #@#@#@#/#@#@#@#
acl manager proto cache-obMect
acl localhost src 156@#@#@1/588@588@588@588
46) 2o54)4re5 sr6 -%,.-'8.-.$+,55.,55.,55.$
A contnuacn procedemos a apcar a rega de contro de acceso:
http-access allow todalared
Habendo hecho o anteror, a zona de regas de contro de acceso debera quedar ms o menos
de este modo:
'eglas de control de acceso- Acceso a una ista de Control de Acceso.
A
A '+S%R/ :.=R .2+ R=0%(S) 1%R% /. 300.2 3((%SS <R., :.=R (0'%+/S
A
http-access allow localhost
322._466ess 4))o* 2o54)4re5
http-access deny all
La rega $ttpQaccess alloP todalared permte e acceso a >#uid a a ista de Control de
Acceso denomnada todalared, a cua est conformada por 192.168.1.0/255.255.255.0. Esto
sgnfca que cuaquer mquna desde 192.168.1.1 hasta 192.168.1.254 podr acceder a >#uid.
74.5.6.*. Caso *.
S soo se desea permtr e acceso a >#uid a certas dreccones IP de a red oca, deberemos
crear un archvo que contenga dcha sta. Genere e archvo =etc=s#uid=listas=redlocal, dentro
de cua se ncurn soo aqueas dreccones IP que desea confrmen a Lsta de Contro de
acceso. E|empo:
175@164@1@1
175@164@1@5
175@164@1@?
175@164@1@18
175@164@1@16
175@164@1@5#
175@164@1@>#
Denomnaremos a esta sta de contro de acceso como redlocal:
acl redlocal src */etc/sJuid/listas/redlocal*
Habendo hecho o anteror, a seccn de stas de contro de acceso debe quedar ms o menos de
sguente modo:
544
istas de Control de Acceso- de&inicin de una red local completa
A
acl all src #@#@#@#/#@#@#@#
46) re5)o64) sr6 "+e26+sC#5+)#s24s+re5)o64)"
A contnuacn procedemos a apcar a rega de contro de acceso:
http-access allow redlocal
de este modo:
'eglas de control de acceso- Acceso a una ista de Control de Acceso.
A
A '+S%R/ :.=R .2+ R=0%(S) 1%R% /. 300.2 3((%SS <R., :.=R (0'%+/S
A
322._466ess 4))o* re5)o64)
La rega $ttpQaccess alloP redlocal permte e acceso a >#uid a a ista de Control de
Acceso denomnada redlocal, a cua est conformada por as dreccones IP especfcadas en e
archvo =etc=s#uid=listas=redlocal. Esto sgnfca que cuaquer mquna no ncuda en
=etc=s#uid=listas=redlocal no tendr acceso a >#uid.
74.5.7. <ar;metro c$ac$eQmgr.
De modo predefndo, s ago ocurre con e cach, como por e|empo que muera e procesos, se
envar un mensa|e de avso a a cuenta Pe!master de servdor. Puede especfcarse una dstnta
s acaso se consdera convenente.
cache-mgr MosepereCSmidominio@net
74.5.9. <ar;metro cac$eQpeer- cac$es padres y $ermanos.
E parmetro cache_peer se utza para especfcar otros >ervidores %ntermediarios (Proxes)
con cach en una |erarqua como padres o como $ermanos. Es decr, defnr s hay un >ervidor
%ntermediario (Proxy) adeante o en paraeo. La sntaxs bsca es a sguente:
cache-peer servidor tipo http-port icp-port opciones
".emplo- S su cach va a estar traba|ando detrs de otro servdor cache, es decr un cach padre,
y consderando que e cach padre tene una IP 192.168.1.1, escuchando petcones E@@< en e
puerto 8080 y petcones ICP en puerto 3130 Mpuerto utili8ado de modo prede&inido por
>#uidN ,especfcando que no se amacenen en cach os ob|etos que ya estn presentes en e
cach de >ervidor %ntermediario (Proxy) padre, utce a sguente nea:
545
cache-peer 175@164@1@1 parent 4#4# ?1?# proxyonly
Cuando se traba|a en redes muy grandes donde exsten varos Servdores Intermedaros (Proxy)
hacendo cach de contendo de Internet, es una buena dea hacer traba|ar todos os cach entre
s. Confgurar caches vecnos como si!ling (hermanos) tene como benefco e que se consutarn
estos caches ocazados en a red oca antes de acceder haca Internet y consumr ancho de
banda para acceder haca un ob|eto que ya podra estar presente en otro cach vecno.
".emplo- S su cach va a estar traba|ando en paraeo |unto con otros caches, es decr caches
hermanos, y consderando os caches tenen IP 10.1.0.1, 10.2.0.1 y 10.3.0.1, todos escuchando
petcones E@@< en e puerto 8080 y petcones ICP en puerto 3130, especfcando que no se
amacenen en cach os ob|etos que ya estn presentes en os caches hermanos, utce as
sguentes neas:
cache-peer 1#@1@#@1 sibling 4#4# ?1?# proxyonly
cache-peer 1#@?@#@1 sibling 4#4# ?1?# proxyonly
Pueden hacerse combnacones que de manera ta que se podran tener caches padres y hermanos
traba|ando en con|unto en una red oca. E|empo:
cache-peer 1#@#@#@1 parent 4#4# ?1?# proxyonly
cache-peer 1#@?@#@1 sibling 4#4# ?1?# proxyonly
74.6. Cac$ con aceleracin.
Bo2 "nterprise inu2 5), esta seccn queda obsoeta, pues desaparecen httpd_acce_host,
httpd_acce_port, httpd_acce_wth_proxy y httpd_acce_uses_host_header.
En versones de >#uid 2.5 y anterores, cuando un usuaro hace petcn haca un ob|eto en
Internet, este es amacenado en e cach de >#uid. S otro usuaro hace petcn haca e msmo
ob|eto, y este no ha sufrdo modfcacn aguna desde que o acced e usuaro anteror, >#uid
mostrar e que ya se encuentra en e cach en ugar de vover a descargaro desde Internet.
Esta funcn permte navegar rpdamente cuando os ob|etos ya estn en e cach de >#uid y
adems optmza enormemente a utzacn de ancho de banda.
La confguracn de >#uid como Servdor Intermedaro (Proxy) Transparente soo requere
compementarse utzando una rega de ipta!les que se encargar de re-drecconar petcones
hacndoas pasar por e puerto 8080. La rega de ipta!les necesara se descrbe ms adeante en
este documento.
74.6.+. <ro2y Acelerado- 0pciones para >ervidor %ntermediario M<ro2yN
en modo convencional.
En a seccn E@@<D(ACC""'A@0' 0<@%0)> deben habtarse os sguentes parmetros:
546
httpd-accel-host virtual
httpd-accel-port #
httpd-accel-with-proxy on
74.6.*. <ro2y Acelerado- 0pciones para >ervidor %ntermediario M<ro2yN
@ransparente.
S se trata de un >ervidor %ntermediario (Proxy) transparente en versones de >#uid 2.5 y
anterores, deben utzarse as sguentes opcones, consderando que se har uso de cach de un
servdor E@@< (Apache) como auxar:
A $ebe especi!icarse la '; de cualJuier ser"#5or ETT8 en la
A red local o bien el valor "#r24)
httpd-accel-host 175@164@1@58>
httpd-accel-port 4#
httpd-accel-uses-host-header on
Bo2 "nterprise inu2 5), todo o anteror es reeempazado por:
http-port 175@164@1@58>"4#4# transparent
74.6.3. <ro2y Acelerado- 0pciones para >ervidor %ntermediario M<ro2yN
@ransparente para redes con %nternet "2lorer 5.5 y versiones anteriores.
S va a utzar Internet Exporer 5.5 y versones anterores con un >ervidor %ntermediario (Proxy)
transparente, es mportante recuerde que dchas versones tene un psmo soporte con os
>ervidores %ntermediarios (Proxes) transparentes mposbtando por competo a capacdad de
refrescar contendo. S se utza e parmetro ieQre&res$ con vaor on puede hacer que se
verfque en os servdores de orgen para nuevo contendo para todas as petcones %:>(
'"F'">E provenentes de Internet Exporer 5.5 y versones anterores.
A $ebe especi!icarse la '; de cualJuier servidor ETT8 en la
A red local
httpd-accel-host 175@164@1@58>
httpd-accel-port 4#
httpd-accel-uses-host-header on
#e_re<res3 on
Bo2 "nterprise inu2 5), soo es necesaro estabecer $ttpQport +S*.+69.+.*54-9O9O
transparent (vsto a nco de documento) y descomentar ieQre&res$ con e vaor on:
#e_re<res3 on
Lo ms convenente es actuazar haca Internet Exporer 6.x o defntvamente optar por otras
aternatvas. :o8illa es en un con|unto de apcacones para Internet, o ben Fire&o2, que es
probabemente e me|or navegador que exste en e mercado. Fire&o2 es un navegador muy gero
y que cumple con los est;ndares, y est dsponbe para Wndows, Lnux, Mac OS X y otros
sstemas operatvos.
547
74.7. "sta!leciendo el idioma de los mensa.es mostrados por
de >#uid $acia el usuario.
>#uid ncuye traduccn a dstntos domas de as dstntas pgnas de error e nformatvas que
son despegadas en un momento dado durante su operacn. Dchas traduccones se pueden
encontrar en =usr=s$are=s#uid=errors=. Para poder hacer uso de as pgnas de error traducdas a
espao, es necesaro cambar un enace smbco ocazado en =etc=s#uid=errors para que
apunte haca =usr=s$are=s#uid=errors=>panis$ en ugar de hacero haca
=usr=s$are=s#uid=errors="nglis$.
Emne prmero e enace smbco actua:
rm ! /etc/sJuid/errors
Cooque un nuevo enace smbco apuntando haca e drectoro con os archvos
correspondentes a os errores traducdos a espao.
ln s +sr+s34re/sJuid/errors/Spanish /etc/sJuid/errors
)ota- "ste enlace sim!lico de!e veri&icarseL y regenerarse de ser necesarioL cada ve8
#ue se actuali8ado >#uid ya sea a travs de yumL up*date o manualmente con el
mandato rpm.
74.9. %niciandoL reiniciando y aadiendo el servicio al
arran#ue del sistema.
Una vez termnada a confguracn, e|ecute e sguente mandato para ncar por prmera vez
>#uid:
service sJuid start
S necesta rencar para probar cambos hechos en a confguracn, utce o sguente:
service sJuid restart
S desea que >#uid nce de manera automtca a prxma vez que nce e sstema, utce o
sguente:
chkcon!ig sJuid on
Lo anteror habtar a >#uid en todos os nvees de corrda.
74.S. Depuracin de errores
Cuaquer error a nco de >#uid soo sgnfca que hubo errores de sntaxs, errores de dedo o
ben se estn ctando ncorrectamente as rutas haca os archvos de as istas de Control de
Acceso.
548
Puede reazar dagnstco de probemas ndcndoe a >#uid que vueva a eer confguracn, o
cua devover os errores que exstan en e archvo =etc=s#uid=s#uid.con&.
service sJuid re)o45
Cuando se trata de errores graves que no permten ncar e servco, puede examnarse e
contendo de archvo =var=log=s#uid=s#uid.out con e mandato less, more o cuaquer otro vsor
de texto:
less /var/log/sJuid/sJuid@out
74.+O. A.ustes para el muro corta(&uegos.
S se tene poca experenca con guones de cortafuegos a travs de ptabes, sugermos utzar
Firestarter. ste permte confgurar fcmente tanto e enmascaramento de IP como e muro
corta-fuegos. S se tene un poco ms de experenca, recomendamos utzar >$orePall para e
msmo fn puesto que se trata de una herramenta ms robusta y competa.
Firestarter: http://www.fs-securty.com/
>$orePall: http://www.shorewa.net/
74.+O.+. 'e(direccionamiento de peticiones a travs de ipta!les y
Firestarter.
En un momento dado se requerr tener sada transparente haca Internet para certos servcos,
pero a msmo tempo se necestar re-drecconar petcones haca servco E@@< para pasar a
travs de e puerto donde escucha petcones >#uid (8080), de modo que no haya sada aguna
haca aguna haca servdores E@@< en e exteror sn que sta pase antes por >#uid. No se puede
hacer >ervidor %ntermediario (Proxy) Transparente para os protocoos E@@<>, F@<, ?0<E"' n
WA%>, por o que dchos protocoos tendrn que ser ftrados a travs de )A@.
E re-drecconamento o hacemos a travs de ipta!les. Consderando para este e|empo que a
red oca se accede a travs de una nterfaz eth0, e sguente esquema e|empfca un re-
drecconamento:
/sbin/iptables t nat 3 ;R%R.=/'+I i eth# p tcp dport 4# M R%$'R%(/ toport
4#4#
Lo anteror, #ue re#uiere un guin de corta&uegos &uncional en un sistema con dos
inter&aces de red, hace que cuaquer petcn haca e puerto 80 (servco HTTP) hecha desde a
red oca haca e exteror, se re-drecconar haca e puerto 8080 de servdor.
Utzando Firestarter, a rega anterormente descrta se aade en e archvo
=etc=&irestarter=user(post.
74.+O.*. 'e(direccionamiento de peticiones a travs de la opcin
'"D%'"C@ en >$orePall.
La accn '"D%'"C@ en >$orePall permte redrgr petcones haca protocoo E@@< para
haceras pasar a travs de >#uid. En e sguente e|empo as petcones hechas desde a zona que
corresponde a a red oca sern redrgdas haca e puerto 8080 de cortafuegos, en donde est
confgurado >#uid confgurado como >ervidores %ntermediario (Proxy) transparente.
549
A3(/'.+ S.=R(% $%S/ ;R./. $%S/
R%$'R%(/ loc 4#4# tcp 4#
550
75. Cmo con&igurar >#uid- Acceso por
autenticacin
75.+. %ntroduccin.
Es muy t e poder estabecer un sstema de autentcacn para poder acceder haca Internet,
pues esto permte controar quenes s y quenes no accedern a Internet sn mportar desde que
mquna de a red oca o hagan. Sera de modo ta que tendremos un dobe contro, prmero por
dreccn IP y segundo por nombre de usuaro y cave de acceso.
Este manua consdera que usted ya ha edo prevamente, a detae y en su totadad e manua
"Como confgurar Squd: Servdor Proxy" y que ha confgurado extosamente Squd como servdor
proxy.
75.*. >o&tPare re#uerido.
Para poder evar a cabo os procedmentos descrtos en este manua y documentos reaconados,
usted necestar tener nstaado a menos o sguente:
squd-2.5.STABLE3
httpd-2.0.x (Apache) (opcona)
opendap-servers-2.2.x (opcona)
"ligiendo el mdulo de autenticacin.
Este manua consdera poder autentcar a travs de un archvo de texto smpe con caves de
acceso creadas con htpasswd o ben a travs de un servdor LDAP, o cua consttuye una soucn
ms robusta.
75.*.+. Autenticacin a travs del mdulo DA<.
Consderando que se ha confgurado extosamente OpenLDAP como servdor de autentcacn, soo
se necesta defnr e drectoro (o subdrectoro) y e servdor LDAP a utzar.
La sntaxs utzada para squd_dap_auth es a sguente:
sJuid-ldap-auth b *$irectorioo$+autiliCar* servidorldapautiliCar
551
E|empo:
sJuid-ldap-auth b *ou);eopleBdc)sudominioBdc)com* 156@#@#@1
75.*.+.+. <ar;metros en =etc=s#uid=s#uid.con&
Se debe edtar e archvo /etc/squd.conf y se especfcar e programa de autentcacn se utzar.
Locace a seccn que corresponde a a etqueta autJparam basic program. Por defecto no est
especfcado programa aguno. Consderando que squidJldapJaut se ocaza
en /usr+lib+squid+ncsaJaut, procederemos a aadr e sguente parmetro:
auth-param basic program /usr/lib/sJuid/sJuid-ldap-auth b *ou);eopleBdc)sudominioBdc)com* 156@#@#@1
Lo anteror conecta a drectoro dc=su-red-oca,dc=com en e servdor LDAP en 127.0.0.1.
75.*.*. Autenticacin a travs del mdulo )C>A
Squd puede utzar e mduo ncsaJaut, de a NCSA (Natona Center for Supercomputng
Appcatons), y que ya vene ncudo como parte de paquete prncpa de Squd en a mayora de
as dstrbucones actuaes. Este mduo provee una autentcacn muy senca a travs de un
archvo de texto smpe cuyas caves de acceso fueron creadas con htpasswd.
75.*.*.+. Creacin del arc$ivo de claves de acceso.
Se requerr a creacn preva de un archvo que contendr os nombres de usuaros y sus
correspondentes caves de acceso (cfradas). E archvo puede ocazarse en cuaquer ugar de
sstema, con a nca condcn que sea aseqube para e usuaro squid.
Debe procederse a crear un archvo /etc+squid+claves:
touch /etc/sJuid/claves
Savo que vaya a utzarse un gun a travs de servdor web para admnstrar as caves de
acceso, como medda de segurdad, este archvo debe hacerse ebe y escrbbe soo para e
usuaro squid:
chmod 6## /etc/sJuid/claves
chown sJuid"sJuid /etc/sJuid/claves
A contnuacn deberemos dar de ata as cuentas que sean necesaras, utzando e mandato
tpass)d -mismo que viene incluido en el paquete ttpd2G.4.52. E|empo:
htpasswd /etc/sJuid/claves MosepereC
Lo anteror soctar tecear una nueva cave de acceso para e usuaro joseperez y confrmar
teceando sta de nuevo. Repta con e resto de as cuentas que requera dar de ata.
Todas as cuentas que se den de ata de este modo son ndependentes a as ya exstentes en e
sstema. A dar de ata una cuenta o cambar una cave de acceso o estar hacendo
"DC,>%FA:")@" para e acceso a servdor Proxy. Las cuentas son ndependentes a as que se
tengan exstentes en e sstema como seran sell, correo y Samba.
552
75.*.*.*. <ar;metros en =etc=s#uid=s#uid.con&
Lo sguente ser especfcar que programa de autentcacn se utzar. Locace a seccn que
corresponde a a etqueta autJparam basic program. Por defecto no est especfcado programa
aguno. Consderando que ncsaJaut se ocaza en /usr+lib+squid+ncsaJaut, procederemos a
aadr e sguente parmetro:
auth-param basic program /usr/lib/sJuid/ncsa-auth /etc/sJuid/claves
/usr+lib+squid+ncsaJaut corresponde a a ocazacn de e programa para autentcar
y /etc+squid+claves a archvo que contene as cuentas y sus caves de acceso.
75.3. istas y reglas de control de acceso.
E sguente paso corresponde a a defncn de una &ista de %ontrol de Acceso. Especfcaremos
una denomnada pass)d a cua se confgurar para utzar obgatoramente a autentcacn para
poder acceder a Squd. Debe ocazarse a seccn de &istas de %ontrol de Acceso y aadrse a
sguente nea:
acl password proxy-auth R%h='R%$
Habendo hecho o anteror, deberemos tener en a seccn de &istas de %ontrol de Acceso ago
como o sguente:
Lstas de Contro de Accesos: autentcacn.
A
acl all src #@#@#@#/#@#@#@#
acl redlocal src 175@164@1@#/588@588@588@#
46) .4ss*or5 .ro;y_423 RE]ULRED
Procedemos entonces a modfcar a rega de contro de accesos que ya tenamos para permtr e
acceso a Internet. Donde antes tenamos o sguente:
http-access allow redlocal
Le aadmos pass)d, a defncn de a &ista de %ontrol de Acceso que requere utzar cave de
acceso, a nuestra rega actua, de modo que quede como mostramos a contnuacn:
http-access allow redlocal password
de este modo:
Regas de contro de acceso: Acceso por cave de acceso.
A
A '+S%R/ :.=R .2+ R=0%(S) 1%R% /. allow 3((%SS <R., :.=R (0'%+/S
553
A
322._466ess 4))o* re5)o64) .4ss*or5
75.3.+. Finali8ando procedimiento.
Fnamente, soo bastar rencar Squd para que tomen efecto os cambos y podamos hacer
pruebas.
554
76. Cmo con&igurar >#uid- 'estriccin de
acceso a >itios de 'ed
76.+. %ntroduccin
Denegar e acceso a certos Stos de Red permte hacer un uso ms racona de ancho de banda
con e que se dspone. E funconamento es verdaderamente smpe, y consste en denegar e
acceso a nombres de domno o dreccones de Red que contengan patrones en comn.
proxy.
76.*. "#uipamiento lgico necesario
usted necestar tener nstaado a menos squd-2.5STABLE1.
76.3. De&iniendo patrones comunes
Lo prmero ser generar una sta a cua contendr dreccones de Red y paabras usuamente
utzadas en nombres de certos domnos. E|empos:
www@sitioporno@com
www@otrositioporno@com
sitioindeseable@com
otrositioindeseable@com
napster
sex
porn
mp?
xxx
adult
wareC
celebri
Esta sta, a cua deber ser competada con todas as paabras (muchas de est son paabras
obscenas en dstntos domas) y dreccones de Red que e admnstrador consdere pertnentes, a
guardaremos como +etc+squid+sitiosdenegados.
555
76.4. <ar;metros en =etc=s#uid=s#uid.con&
Debemos defnr una &ista de %ontrol de Acceso que a su vez defna a archvo
+etc+squid+sitiosdenegados. Esta sta a denomnaremos como IsitiosdenegadosI. De modo ta, a
nea correspondente quedara de sguente modo:
acl sitiosdenegados url-regex */etc/sJuid/sitiosdenegados*
como o sguente:
A
acl all src #@#@#@#/#@#@#@#
acl redlocal src 175@164@1@#/588@588@588@#
46) s#2#os5ene745os r)_re7e; "+e26+sC#5+s#2#os5ene745os"
A contnuacn especfcaremos modfcaremos una ?egla de %ontrol de Acceso exstente
agregando con un smboo de W que se denegar e acceso a a &ista de %ontrol de Acceso
denomnada sitiosdenegados:
http-access allow redlocal dsitiosdenegados
La rega anteror permte e acceso a a &ista de %ontrol de Acceso denomnada redlocal, pero e
nega e acceso a todo o que concda con o especfcado en a &ista de %ontrol de Acceso
denomnada sitiosdenegados.
E|empo apcado a una ?egla de %ontrol de Acceso combnando e mtodo de autentcacn
expcado en e documento Cmo confgurar Squd: Acceso por Autentcacn:
Regas de contro de acceso: denegacn de stos.
A
A
322._466ess 4))o* re5)o64) .4ss*or5 ds#2#os5ene745os
76.4.+. <ermitiendo acceso a sitios inocentes incidentalmente
!lo#ueados
S por e|empo e ncur una paabra en partcuar afecta e acceso a un sto de Red, tambn
puede generarse una sta de domnos o paabras que contengan un patrn pero que
consderaremos como apropados.
556
Como e|empo: vamos a suponer que dentro de a &ista de %ontrol de Acceso de stos denegados
est a paabra se5. esta denegara e acceso a cuaquer nombre de domno que ncuya dcha
cadena de caracteres, como extremesex.com. Sn embargo tambn estara boqueando a stos
como sexuadad|ove.c, e cua no tene que ver en o absouto con pornografa, sno orentacn
sexua para a |uventud. Podemos aadr este nombre de domno en un archvos que
denomnaremos +etc+squid+sitios2inocentes.
Este archvo ser defndo en una &ista de %ontrol de Acceso de msmo modo en que se hzo
anterormente con e archvo que contene domnos y paabras denegadas.
acl inocentes url-regex */etc/sJuid/sitiosinocentes*
Para hacer uso de archvo, soo bastar utzar a expresn e en a msma nea utzada para a
?egla de %ontrol de Acceso estabecda para denegar e msmo.
http-access allow all inocentes
La rega anteror especfca que se denegar e acceso a todo o que comprenda a &ista de %ontrol
de Acceso denomnada denegados e2cepto o que comprenda a &ista de %ontrol de Acceso
denomnada inocentes. es decr, se podr acceder sn dfcutad a www.sexuadad|oven.c
mantenendo a restrccn para a cadena de caracteres se5.
76.4.*. Finali8ando procedimiento
pruebas.
557
acceso a contenido por e2tensin
77.+. %ntroduccin.
Denegar e acceso a certos tpos de extensones de archvo permte hacer un uso ms racona de
ancho de banda con e que se dspone. E funconamento es verdaderamente smpe, y consste en
denegar e acceso a certos tpos de extensones que concdan con o estabecdo en una &ista de
%ontrol de Acceso.
proxy.
77.*. >o&tPare re#uerido.
77.3. De&iniendo elementos de la ista de Control de Acceso.
Lo prmero ser generar una sta a cua contendr dreccones Web y paabras usuamente
utzadas en nombres de certos domnos. E|empos:
P@aviF
P@mp>F
P@mp?F
P@mp>F
P@mpgF
P@mpegF
P@movF
P@raF
P@ramF
P@rmF
P@rpmF
P@vobF
P@wmaF
P@wmvF
P@wavF
P@docF
P@xlsF
P@mbdF
P@pptF
558
P@ppsF
P@aceF
P@batF
P@exeF
P@lnkF
P@pi!F
P@scrF
P@sysF
P@CipF
P@rarF
Esta sta, a cua deber ser competada con todas as extensones de archvo que e admnstrador
consdere pertnentes, a guardaremos como +etc+squid+listae5tensiones.
77.4. <ar;metros en =etc=s#uid=s#uid.con&
Debemos defnr una &ista de %ontrol de Acceso que a su vez defna a archvo
+etc+squid+listae5tensiones. Esta sta a denomnaremos como Ilistae5tensionesI. De modo ta, a
nea correspondente quedara de sguente modo:
acl listaextensiones urlpath-regex */etc/sJuid/listaextensiones*
como o sguente:
A
acl all src #@#@#@#/#@#@#@#
acl redlocal src 175@164@1@#/588@588@588@#
acl sitiosdenegados url-regex */etc/sJuid/sitiosdenegados*
46) )#s24e;2ens#ones r).423_re7e; "+e26+sC#5+)#s24e;2ens#ones"
A contnuacn especfcaremos modfcaremos una ?egla de %ontrol de Acceso exstente
agregando con un smboo de W que se denegar e acceso a a &ista de %ontrol de Acceso
denomnada listae5tensiones:
http-access allow redlocal dlistaextensiones
La rega anteror permte e acceso a a &ista de %ontrol de Acceso denomnada redlocal, pero e
nega e acceso a todo o que concda con o especfcado en a &ista de %ontrol de Acceso
denomnada listae5tensiones.
E|empo apcado a una ?egla de %ontrol de Acceso combnando e mtodo de autentcacn
expcado en e documento Cmo confgurar Squd: Acceso por Autentcacn y e de denegacn
haca Sto de Red expcado en e documento Cmo confgurar Squd: Restrccn de acceso a Sto
de Red:
Regas de contro de acceso: denegacn de extensones.
559
A
A
322._466ess 4))o* re5)o64) .4ss*or5 ds#2#os5ene745os d)#s24e;2ens#ones
77.4.+. Finali8ando procedimiento.
pruebas.
560
acceso por $orarios
79.+. %ntroduccin.
Denegar e acceso a certos usuaros en certos horaros permte hacer un uso ms racona de
ancho de banda con e que se dspone. E funconamento es verdaderamente smpe, y consste en
denegar e acceso en horaros y das de a semana.
Como confgurar Squd: Servdor Proxy y que ha confgurado extosamente Squd como servdor
proxy.
79.*. "#uipamiento lgico necesario
79.3. <rocedimientos
La sntaxs para crear &istas de control de acceso que defnan horaros es a sguente:
acl Dnombre del horarioE time Ddbas de la semanaE hh"mmhh"mm
Los das de a semana se defnen con etras, as cuaes corresponden a a prmera etra de nombre
en ngs, de modo que se utzarn de sguente modo:
> - Domngo
: - Lunes
@ - Mastes
W - Mercoes
E - |ueves
F - Vernes
A - Sbado
E|empo:
acl semana time ,/21< #7"##51"##
561
Esta rega defne a a sta semana, a cua comprende un horaro de 09:00 a 21:00 horas desde e
Lunes hasta e Vernes.
Este tpo de stas se apcan en as ?eglas de %ontrol de Acceso con una mecnca smar a a
sguente: se permte o denega e acceso en e horaro defndo en a &ista de %ontrol de Acceso
denomnada H para as entdades defndas en a &ista de %ontrol de Acceso denomnada X. Lo
anteror expresado en una ?egla de %ontrol de Acceso, quedara de sguente modo:
http-access Dallow ^ denyE Dnombre del horarioE Dlista de entidadesE
E|empo: Se quere estabecer que os membros de a &ista de %ontrol de Acceso denomnada
clasematutina tengan permtdo acceder haca Internet en un horaro que denomnaremos como
matutino, y que comprende de unes a vernes de 09:00 a 15:00 horas.
La defncn para e horaro correspondera a:
acl clasematutina src 175@164@1@#/588@588@588@#
acl matutino time ,/21< #7"##18"##
La defncn de a ?egla de %ontrol de Acceso sera:
http-access allow matutino clasematutina
Lo anteror, en resumen, sgnfca que quenes conformen clasematutina podrn acceder a Internet
de Lunes a Vernes de 09:00-15:00 horas.
79.3.+. :;s e.emplos
79.3.+.+. 'estringiendo el tipo de contenido
Como se expca en e documento I%#mo configurar "quid* ?estricci#n de acceso a contenido por
e5tensi#nI, es posbe denegar acceso a certo tpo de contendo de acuerdo a su extensn. Igua
que con otras funcones, se requere una &ista de %ontrol de Acceso y una ?egla de %ontrol de
Acceso
S se necesta una sta denomnada musica que defna a todos os archvos con extensn .mp3,
utzaramos o sguente:
acl musica urlpath-regex P@mp?F
S queremos denegar e acceso a todo contendo con extensn .mp3, a rega quedara de
sguente modo:
http-access allow clasematutina dmusica
79.3.+.*. Com!inando reglas de tiempo y contenido
S por e|empo queremos restrngr parcamente e acceso a certo tpo de contendo a certos
horaros, pueden combnarse dstntos tpos de regas.
562
acl musica urlpath-regex P@mp?F
http-access allow matutino clasematutina dmusica
La ?egla de %ontrol de Acceso anteror especfca acceso permitido a en e horaro defndo como
matutino a quenes ntegran a &ista de %ontrol de Acceso denomnada clasematutina a todo
contendo |por omsn| e2cepto a os contendos que concdan con os defndos en a &ista de
%ontrol de Acceso denomnada musica.
79.3.*. Finali8ando procedimiento
pruebas.
563
7S. Cmo con&igurar s#uid con soporte para
direcciones :AC.
7S.+. %ntroduccin.
7S.+.+. Acerca de >#uid.
>#uid es un >ervidor %ntermediario (Ero5y) de ato desempeo que se ha vendo desarroando
desde hace varos aos y es hoy en da un muy popuar y ampamente utzado entre os sstemas
operatvos como GNU/Lnux y dervados de Unx. Es muy confabe, robusto y verst y se
dstrbuye ba|o os trmnos de a Lcenca Pbca Genera GNU (?),=?<). Sendo equpamento
gco li!re, est dsponbe e cdgo fuente para quen as o requera. de modo predetermnado
no est ncudo e soporte para stas de contro de acceso basadas sobre dreccones :AC (:eda
Access Contro).
A partr de CentOS 5.6 y Red Hat Enterprse Lnux 5.6, e paquete de Squd ya ncuye soporte para
dreccones MAC. Soo es necesaro e|ecutar o sguente:
yum y install sJuid
7S.3. <rocedimientos
Este documento consdera que se ha edo a detae e documento %#mo configurar "quid*
Earmetros bsicos para servidor de intermediaci#n >Ero5yA. Se requere se hayan confgurado a
menos os sguentes parmetros:
$ttpQport, e|empo: http-port 4#4# transparent
cac$eQdir, e|empo: cache-dir u!s /var/spool/sJuid 1#5> 16 586
errorQdirectory, e|empo: error-directory /usr/share/sJuid/errors/Spanish
Se requere adems determnar os vaores as sguentes varabes que debern ser reempazadas
por datos reaes:
564
Las dreccones :AC especfcadas en os e|empos.
as dreccones :AC de todos os equpos de a A) se pueden obtener, s se est
reazando as operacones desde un servdor que srve de puerta de enace, utzando e
mandato arp con a opcn -n, es decr: arp (n.
Aternatvamente, a dreccn :AC desde una estacn traba|o con Wndows se puede
obtener a dreccn :AC utzando e mandato ipcon&ig con a opcn /all: ipcon!ig /all
Aternatvamente, a dreccn :AC desde una estacn traba|o con Lnux se puede obtener
a dreccn :AC utzando e mandato i&con&ig.
Arc$ivo =etc=s#uid=listas=macsredlocal.
Crear un archvo denomnado /etc=s#uid=listas=macsredlocal
vi /etc/sJuid/listas/macsredlocal
Donde e contendo ser una sta de dreccones :AC a a cua se apcarn regas de contro de
acceso. E|empo:
##"#1"4#">1"7("43
##"#4"31"4>"14"3$
##"16"%?"7$"($"66
##"#>"68"33"5$"31
##"17"$5"69">1">8
##"1?"1#"4$">3"%%
##"17"51"1>"79"#$
7S.3.+. Arc$ivo =etc=s#uid=s#uid.con&
Se edta e archvo /etc=s#uid=s#uid.con&:
vi /etc/sJuid/sJuid@con!
En ste se debe confgurar a sta de contro de acceso con un nombre que a dentfque y
dference caramente de as dems stas, asgnado e tpo de sta como arp. En e sguente
e|empo, se crea a sta de contro de acceso denomnada macsredlocal de tpo arp y cuyos
eementos que a conforman estn en e archvo /etc=s#uid=listas=macsredlocal:
acl macsredlocal arp */etc/sJuid/listas/macsredlocal*
Se crea una rega de contro de acceso que permta a os membros de a sta de contro de acceso
hacer ago. En e sguente e|empo se defne que est permtdo e acceso a a sta macsredlocal:
http-access allow macsredlocal
S se creo aguna sta para mtar e acceso haca paabras y otra para extensones, como se
descrbe en os documentos %#mo configurar "quid* ?estricci#n de acceso a "itios de ?ed y
%#mo configurar "quid* ?estricci#n de acceso a contenido por e5tensi#n, a rega de contro de
acceso podra quedar de a sguente manera:
565
http-access allow macsredlocal dporno dextensiones
S adems se creo aguna sta para mtar os horaros de acceso, como se descrbe en e
documento %#mo configurar "quid* ?estricci#n de acceso por orarios, a rega de contro de
acceso podra quedar de a sguente manera:
http-access allow matutino macsredlocal dporno dextensiones
Cuaquer otra forma de utzar a sta de contro de acceso con dreccones :AC depender de a
magnacn de admnstrador.
7S.4. %niciarL detener y reiniciar el servicio s#uid.
Para e|ecutar por prmera vez e servco s#uid con as confguracones creadas, utce:
service sJuid start
Para detener e servco s#uid utce:
service sJuid stop
Para hacer que e servco de s#uid est actvo con e sguente nco de sstema, en todos os
chkcon!ig sJuid on
566
9O. Cmo instalar y con&igurar la $erramienta
de reportes >arg.
9O.+. %ntroduccin.
>arg (>qud Anayss 'eport Generator) es a ms competa y fc de utzar herramenta para a
generacn de reportes a partr de as btcoras de >#uid. Permte ver con detae a actvda de
todos os equpos y/o usuaros dentro de a red de rea oca, regstrada en a btcora de Squd.
URL: http://sarg.sourceforge.net/.
Este documento fue dseado para ser puesto en prctca excusvamente en Cent0> 5, "lasti2
+.5, 'ed Eat "nterprise inu2 5 y W$ite!o2 "nterprise inu2 5 o sstemas operatvos
smares, basados sobre 'ed Eat "nterprise inu2 5.
Ingrese a sstema como e usuaro root.
cd
Proceda a nstaar sarg utzando e sguente mandato.
yum y install sarg httpd
Confgure e soporte a espao para Sarg.
Edte con vm e archvo =etc=sarg=sarg.con&:
vim /etc/sarg/sarg@con!
Puse a teca %nsert.
567
Locace a cadena de texto language "nglis$.
A Russian-koi4
A Russian-=</4
A Russian-windows1581
A Serbian
A Slovak
A Spanish
A /urkish
A
)4n747e En7)#s3
A /3I" access-log !ile
A 2here is the access@log !ile
A sarg l !ile
A
Aaccess-log /usr/local/sJuid/var/logs/access@log
access-log /var/log/sJuid/access@log
Reempace a cadena de texto con language >panis$.
A Russian-koi4
A Russian-=</4
A Russian-windows1581
A Serbian
A Slovak
A Spanish
A /urkish
A
)4n747e S.4n#s3
A /3I" access-log !ile
A 2here is the access@log !ile
A sarg l !ile
A
Aaccess-log /usr/local/sJuid/var/logs/access@log
access-log /var/log/sJuid/access@log
teca = (")@"').
Edte con vm e archvo =etc=$ttpd=con&.d=sarg.con&:
vim /etc/httpd/con!@d/sarg@con!
Puse a teca %nsert.
Locace a nea alloP &rom +*7.O.O.+, a cua defne que soo se puede acceder haca e
drectoro =sarg= desde +*7.O.O.+ (es decr, soo puede ser acceddo como ttp*++7GU.4.4.7+sarg+).
3lias /sarg /var/www/sarg
_$irectory /var/www/sargR
$irectory'ndex index@html
order denyBallow
deny !rom all
4))o* <ro/ -,I.$.$.-
568
_/$irectoryR
Defna que tambn se puede acceder a drectoro =sarg= desde +S*.+69.+*3.O=*4,
reempazando por alloP &rom +*7.O.O.+ +S*.+69.+*3.O=*4.
order denyBallow
deny !rom all
4))o* <ro/ -,I.$.$.- -%,.-'8.-,3.$+,J
_/$irectoryR
Defna que e acceso haca e drectoro =sarg= (que en adeante podr ser acceddo como
ttp*++pro*(.red-local.net+sarg+ o ben ttp*++1+,.1-..1,/.1,/+sarg+) se permtr soo a
usuaros autorzados que autentcarn a travs de archvo =var=PPP=claves(sarg.
order denyBallow
deny !rom all
allow !rom 156@#@#@1 -%,.-'8.-,3.$+,J
A23N4/e "So)o s4r#os 42or#B45os."
A23Ty.e B4s#6
reC#re "4)#5-ser
A23UserF#)e +"4r+***+6)4"es-s4r7
_/$irectoryR
teca = (")@"').
Genere con e mandato touc$ e archvo =var=PPP=claves(sarg:
touch /var/www/clavessarg
Utce e mandato c$mod para defnr que e archvo =var=PPP=claves(sarg soo tendr permsos
de ectura y escrtura para a case de usuaro:
chmod #6## /var/www/clavessarg
Utce e mandato c$oPn para defnr que e archvo =var=PPP=claves(sarg pertenece a usuaro
apache y grupo apache:
chown apache"apache /var/www/clavessarg
Utce e mandato $tpassPd sobre e archvo =var=PPP=claves(sarg para crear e usuaro vrtua
administrador y asgnar a ste una cave de acceso que soo deber conocer e admnstrador de
servdor:
htpasswd /var/www/clavessarg administrador
569
Ince (o smpemente rence, s es necesaro) e servco $ttpd.
service httpd start
S e servco $ttpd nca normamente, proceda con e sguente paso. S hay faas o errores,
regrese en os pasos que sean necesaros y corr|a os posbes errores antes de contnuar.
S e servco $ttpd nc sn errores, utce e mandato c$Kcon&ig para que e servco $ttpd
nce automtcamente a prxma vez que arranque e sstema.
chkcon!ig httpd on
Permta a a red de rea oca generar actvdad en e servdor durante agunos mnutos y e|ecute
e mandato sarg.
sarg
Podr ver en reporte generado manuamente en a dreccn ttp*++pro*(.red-
local.net+sarg+S=-2"/ST+ o ben ttp*++1+,.1-..1,/.1,/+sarg+S=-2"/ST+.
Podr ver un reporte generado automtcamente todos os das en a dreccn ttp*++pro*(.red-
local.net+sarg+daily+ o ben ttp*++1+,.1-..1,/.1,/+sarg+daily+.
Los reportes de amacenarn en =var=PPP=sarg=, y pueden mpcar una cantdad consderabe de
datos. Perdcamente ngrese a os subdrectoros en e nteror de ste, prncpamente e
subdrectoro daily y emne os reportes antguos o que sean de poca utdad, a fn de evtar se
agote e espaco en dsco duro.
570
9+. Apndice- istas y reglas de control de
acceso para >#uid
9+.O.+. 'eglas aplicadas
A 0ista Jue de!ine metodo de autenticaciQn"
A 0istas de control de acceso por de!ecto"
acl all src #@#@#@#/#@#@#@#
A 0istas Jue de!inen conMuntos de maJuinas
acl redlocal src */etc/sJuid/redlocal*
acl privilegiados src */etc/sJuid/privilegiados*
acl restringidos src */etc/sJuid/restringidos*
acl administrador src 175@164@1@58>
A 0istas Jue de!inen palabras contenidas en un =R0
acl porno url-regex */etc/sJuid/porno*
A (ontenido"
A
A sex
A porn
A girl
A celebrit
A extasis
A drug
A playboy
A hustler
A 0ista de sitios inocentes Jue accidentealmente sean bloJueados
acl noporno url-regex */etc/sJuid/noporno*
A (ontenido"
A
A missingheart
A wirelessexcite
A msexchange
A msexcel
A !reetown
A geekgirls
A adulteducation
A 0istas Jue de!inen tipos de extensiones
A $e!ine una lista estricta de extensiones prohibidas
acl multimedia urlpath-regex */etc/sJuid/multimedia*
571
A (ontenido"
A
A P@mp?F
A P@aviF
A P@movF
A P@mpgF
A P@batF
A P@pi!F
A P@sysF
A P@lnkF
A P@scrF
A P@exeF
A $e!ine una lista moderada de extensiones prohibidas
acl peligrosos urlpath-regex */etc/sJuid/peligrosos*
A (ontenido"
A
A P@batF
A P@pi!F
A P@sysF
A P@lnkF
A P@scrF
A P@exeF
A $e!ine una sola extensiQn
acl realmedia urlpath-regex P@rmF
A Reglas de control de acceso
A Regla por de!ecto"
A %Memplos de reglas de control de acceso
http-access allow restringidos password dporno dmultimedia
http-access allow redlocal password dporno dpeligrosos
http-access allow privilegiados password dpeligrosos
http-access allow administrador
http-access allow noporno all
A Regla por de!ecto"
572
9*. Cmo con&igurar un muro corta&uegos con
>$orePall y tres inter&aces de red
9*.+. %ntroduccin.
9*.+.+. Acerca de >$orePall.
>$orePall (Shorene Frewa) es una robusta y extensbe $erramienta de alto nivel para la
con&iguracin de muros corta&uego. >$orePall soo necesta se e proporconen agunos datos
en agunos archvos de texto smpe y ste crear as regas de cortafuegos correspondentes a
travs de ipta!les. >$orePall puede permtr utzar un sstema como muro cortafuegos
dedcado, sstema de mtpes funcones como puerta de enlaceL dispositivo de
encaminamiento y servidor.
URL: http://www.shorewa.net/
9*.+.*. Acerca de %pta!les y )et&ilter.
)et&ilter es un con|unto de gancos (EooKs, es decr, tcncas de programacn que se empean
para crear cadenas de procedmentos como mane|ador) dentro de nceo de GNU/Lnux y que son
utzados para nterceptar y manpuar paquetes de red. E componente me|or conocdo es e
cortafuegos, e cua reaza procesos de ftracn de paquetes. Los gancos son tambn utzados
por un componente que se encarga de )A@ (acrnmo de )etwork Address @ransaton o
Traduccn de dreccn de red). Estos componentes son cargados como mduos de nceo.
%pta!les es e nombre de a herramenta de espaco de usuaro (,ser >pace, es decr, rea de
memora donde todas as apcacones, en modo de usuaro, pueden ser ntercambadas haca
memora vrtua cuando sea necesaro) a travs de a cua os admnstradores crean regas para
cada ftrado de paquetes y mduos de )A@. %pta!les es a herramenta estndar de todas as
dstrbucones modernas de GNU/Lnux.
URL: http://www.netfter.org/
9*.+.3. Acerca de %proute.
%proute es una coeccn de herramentas (fcfg, p, rtmon y tc) para GNU/Lnux que se utzan
para controar e estabecmento de a red @C<=%<, as como tambn e contro de trfco. Aunque
i&con&ig sgue sendo a herramenta de confguracn de red estndar en as dstrbucones de
GNU/Lnux, iproute tende a sustturo a proveer soporte para a mayora de as tecnoogas
modernas de red (ncuyendo IP versones 4 y 6), permtendo a os admnstradores confgurar os
parmetros de red y e contro de trfco.
573
URL: http://nux-net.osd.org/ndex.php/Iproute2
9*.+.4. 'e#uisitos.
Un sstema GNU/Lnux con todos os parches de segurdad correspondentes nstaados.
>$orePall 3.O.9 o versiones posteriores.
Tres nterfaces de red:
Interfaz para acceso haca Internet.
Interfaz para acceso haca una D:c, tras a cua se podrn coocar servdores.
Interfaz para acceso haca a A) (acrnmo de oca Area )etwork o Area de
Red Loca).
9*.*. Conceptos re#ueridos.
9*.*.+. Bu es una 8ona desmilitari8ada?
Una zona desmtarzada (D:c), es parte de una red que no est dentro de a red nterna (A))
pero tampoco est drectamente conectada haca Internet. Podra resumrse como una red que se
ocaza entre dos redes. En trmnos ms tcncos se refere a un rea dentro de cortafuegos
donde os sstemas que a componen tenen acceso haca as redes nterna y externa, sn embargo
no tenen acceso competo haca a red nterna y tampoco acceso competamente aberto haca a
red externa. Los cortafuegos y dspostvos de encamnamento (routers) protegen esta zona con
funconadades de ftrado de trfco de red.
Dagrama de una Zona Desmtarzada.
Imagen de domno pbco tomada de Wkpeda y modfcada con e Gmp.
574
9*.*.*. Bue es una 'ed <rivada?
Una 'ed <rivada es aquea que utza dreccones IP estabecdas en e RFC 1918. Es decr,
dreccones IP reservadas para 'edes <rivadas dentro de os rangos 10.0.0.0/8 (desde 10.0.0.0
hasta 10.255.255.255), 172.16.0.0/12 (desde 172.16.0.0 hasta 172.31.255.255) y 192.168.0.0/16
(desde 192.168.0.0 hasta 192.168.255.255).
9*.*.3. Bu es un )A@?
)A@ (acrnmo de )etwork Address @ransaton o Traduccn de dreccn de red), tambn
conocdo como enmascaramento de IP, es una tcnca medante a cua as dreccones de orgen
y/o destno de paquetes IP son reescrtas mentras pasan a travs de un dspostvo de
encamnamento (router) o muro cortafuegos. Se utza para permtr a mtpes anftrones en
una 'ed <rivada con dreccones IP para 'ed <rivada para acceder haca una Internet utzando
una soa dreccn IP pbca.
9*.*.4. Bu es un D)A@?
D)A@, (acrnmo de Destnaton )etwork Address @ransaton o traduccn de dreccn de red de
destno) es una tcnca medante a cua se hace pbco un servco desde una 'ed <rivada. Es
decr permte redrgr puertos haca dreccones IP de 'ed <rivada. E uso de esta tcnca puede
permtr a un usuaro en Internet acanzar un puerto en una 'ed <rivada (dentro de una A))
desde e exteror a travs de un encamnados (router) o muro cortafuegos donde ha sdo habtado
un )A@.
9*.3. "#uipamiento lgico necesario.
ptabes: Controa e cdgo de nceo de GNU/Lnux para ftracn de paquetes de red.
proute: Con|unto de utdades dseadas para utzar as capacdades avanzadas de
gestn de redes de nceo de GNU/Lnux.
shorewa: Shorene Frewa.
Shorewa puede descargarse en formato RPM desde http://www.shorewa.net/.
S dspone de un servdor con Cent0> 5 y 6 o 'ed Eata "nterprise inu2 5 o 6, puede utzar
e e amacn YUM de Alcance i!re para servdores en produccn, descargando e archvo
$ttp-==PPP.alcanceli!re.org=al=server=A(>erver.repo dentro de
drectoro /etc=yum.repos.d=:
cd
Este archvo, que se guarda como /etc=yum.repos.d=A(>erver.repo, debe tener e sguente
contendo:
D30ServerE
gpgcheck)1
575
La nstaacn a travs de mandato yum requere utzar o sguente:
yum y install shorewall
9*.4.+. Con&iguracin de >"inu2.
Con as versones ms recentes de con|unto de potcas de SELnux, Shorewa es ncapaz de
ncar debdo a que SEnux mpde a ste e|ecutar componentes ocazados en /usr=. E sguente
procedmento detaa cmo crear una potca en SELnux que permta a Shorewa operar de
manera norma.
9*.4.+.+. <rocedimiento para crear poltica.
Crear e drectoro /usr=s$are=selinu2=pacKages=s$orePall:
mkdir /usr/share/selinux/packages/shorewall
Cambarse a drectoro /usr=s$are=selinu2=pacKages=s$orePall:
cd /usr/share/selinux/packages/shorewall
$ttp-==PPP.alcanceli!re.org=linu2=secrets=s$orePall.te:
wget http"//www@alcancelibre@org/linux/secrets/shorewall@te
Edtar e archvo s$orePall.te:
vim s3ore*4)).2e
Verfcar que e archvo s$orePall.te tenga e sguente contendo:
module shorewall 1@#Y
reJuire Z
type shorewall-tY
type usr-tY
class !ile Z execute execute-no-trans [Y
[
A))))))))))))) shorewall-t ))))))))))))))
allow shorewall-t usr-t"!ile Z execute execute-no-trans [Y
Crear e archvo de mduo s$orePall.mod a partr de archvo s$orePall.te:
checkmodule , m o shorewall@mod shorewall@te
Crear e archvo de potca s$orePall.pp a partr de archvo s$orePall.mod
576
semodule-package o shorewall@pp m shorewall@mod
semodule i /usr/share/selinux/packages/shorewall/shorewall@pp
9*.4.*. Arc$ivo de con&iguracin =etc=s$orePall=s$orePall.con&
En ste se defnen, prncpamente, dos parmetros. >@A'@,<Q")AB"D y CA:<:>>.
>@A'@,<Q")AB"D se utza para actvar Shorewa. De modo predefndo est desactvado, soo
se necesta cambar )o por bes.
S/3R/=;-%+390%$):es
CA:<:>> se utza en conexones tpo PPP (PPTP o PPPoE) y srve para mtar e :>> (acrnmo
de :axmum >egment >ze que sgnfca Mxmo Tamao de Segmento). Cambando e vaor )o
por bes, Shorewa cacuar e :>> ms apropado para a conexn. S se es osado, puede
tambn especfcarse un nmero en paquetes SYN. La recomendacn es estabecer bes s se
cuenta con un enace tpo PPP.
(03,;,SS):es
9*.4.3. Arc$ivo de con&iguracin =etc=s$orePall=8ones
Este archvo se utza para defnr as zonas que se admnstrarn con Shorewa y e tpo de zona
(frewa, pv4 o psec). La zona &P est presente en e archvo /etc=s$orePall.con& como
confguracn predefnda. En e sguente e|empo se regstrarn as zonas de Internet (net), Red
Loca (oc) y Zona Desmtarzada (dmz):
AG.+% $'S;03: .;/'.+S
!w !irewall
net ipv>
loc ipv>
dmC ipv>
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
9*.4.4. Arc$ivo de con&iguracin =etc=s$orePall=inter&aces
En ste se estabecen cuaes sern as nterfaces para as tres dferentes zonas. Se estabecen as
nterfaces que corresponden a a Internet, Zona Desmtarzada D:c y Red Loca. En e sguente
e|empo, se cuenta con una nterfaz ppp0 para acceder haca Internet, una nterfaz eth0 para
acceder haca a A) y una nterfaz eth1 para acceder haca a D:c, y en todas se socta se
cacue automtcamente a dreccn de transmsn (Broadcast):
AG.+% '+/%R<3(% 9R.3$(3S/ .;/'.+S I3/%23:
net ppp# detect
loc eth# detect
dmC eth1 detect
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
577
En e sguente e|empo, se cuenta con una nterfaz et$O para acceder haca Internet, una nterfaz
eth1 para acceder haca a A) y una nterfaz et$* para acceder haca a D:c, y en todas se
socta se cacue automtcamente a dreccn de transmsn (Broadcast):
AG.+% '+/%R<3(% 9R.3$(3S/ .;/'.+S I3/%23:
net eth# detect
loc eth1 detect
dmC eth5 detect
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
Hay una cuarta zona mpcta que corresponde a cortafuegos msmo y que se denomna &P.
S acaso hubera un servco de DEC<, sea como cente, como servdor o como ntermedaro, en
aguna de as nterfaces, se debe aadr a opcn d$cp para permtr a comuncacn requerda
para este servco. En e sguente e|empo e anftrn donde opera e muro cortafuegos obtene su
dreccn IP, para a nterfaz ppp0, a travs de servco DEC< de %><; en este msmo anftrn
opera smutneamente un servdor DEC<, e cua es utzado en a red de rea oca para asgnar
dreccones IP; por todo o anteror se debe actvar a opcn DEC< para as nterfaces pppO y
et$+, que correspondentemente son utzadas por a zona de Internet y a red de rea oca, pero
no es necesaro hacero para a nterfaz et$* que es utzada para a zona de a D:c:
AG.+% '+/%R<3(% 9R.3$(3S/ .;/'.+S I3/%23:
net ppp# detect 536.
loc eth1 detect 536.
dmC eth5 detect
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
9*.4.5. Arc$ivo de con&iguracin =etc=s$orePall=policy
En este archvo se estabece como se acceder desde una zona haca otra y haca a zona de
Internet.
AS.=R(% $%S/ ;.0'(: 0.I 0','/"9=RS/
loc net 3((%;/
dmC net 3((%;/
!w net 3((%;/
net all $R.; in!o
all all R%a%(/ in!o
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
Lo anteror hace o sguente:
1. La zona de a red oca puede acceder haca a zona de Internet.
2. La zona de a DMZ puede acceder haca a zona de Internet.
3. E cortafuegos msmo puede acceder haca a zona de Internet.
4. Se mpden conexones desde Internet haca e resto de as zonas.
5. Se estabece una potca de rechazar conexones para todo o que se haya omtdo.
Todo o anteror permte e paso entre as dversas zonas haca Internet, lo cual no es desea!le s
se quere mantener una potca estrcta de segurdad. La recomendacn es cerrar todo haca todo
e r abrendo e trfco de acuerdo a como se vaya requrendo. Es decr, utzar ago como o
sguente:
578
AS.=R(% $%S/ ;.0'(: 0.I 0','/"9=RS/
net all $R.; in!o
all all R%a%(/ in!o
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
Lo anteror boquea todo e trfco desde donde sea a donde sea. S es necesaro reazar pruebas
de dagnstco desde e cortafuegos haca Internet para probar conectvdad y acceso haca
dversos protocoos, se puede utzar o sguente:
AS.=R(% $%S/ ;.0'(: 0.I 0','/"9=RS/
!w net 3((%;/
net all $R.; in!o
all all R%a%(/ in!o
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
Lo anteror permte a propo cortafuegos acceder haca a zona de Internet. Esta sera a potca
ms rea|ada que se pudera recomendar para mantener un nve de segurdad aceptabe.
9*.4.6. Arc$ivo de con&iguracin =etc=s$orePall=mas#
Se utza para defnr que a travs de que nterfaz o nterfaces se habtar enmascaramento, o
)A@, y para que nterfaz o nterfaces o redes se apcar dcho enmascaramento. En e sguente
e|empo, se reazar enmascaramento a travs de a nterfaz ppp0 para as redes que acceden
desde as nterfaces eth0 y eth1:
A'+/%R<3(% S=9+%/ 3$$R%SS ;R./. ;.R/(S) ';S%(
ppp# eth#
ppp# eth1
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
En e sguente e|empo, se reazar enmascaramento a travs de a nterfaz eth0 para as redes
192.168.0.0/24 y 192.168.1.0/24:
A'+/%R<3(% S=9+%/ 3$$R%SS ;R./. ;.R/(S) ';S%(
eth# 175@164@#@#/5>
eth# 175@164@1@#/5>
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
Tambn es posbe hacer )A@ soamente haca una IP en partcuar y para un soo protocoo en
partcuar. En e sguente e|empo se hace )A@ a travs de a nterfaz ppp0 para a dreccn
192.168.3.25 que accede desde a nterfaz eth1 y soo se e permtr hacer )A@ de os protocoos
smtp y pop3. Los nombres de os servcos se asgnan de acuerdo a como estn stados en e
archvo /etc=services.
A'+/%R<3(% S=9+%/ 3$$R%SS ;R./. ;.R/(S) ';S%(
ppp# eth1 175@164@?@58 tcp 58B11#
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
9*.4.7. Arc$ivo de con&iguracin =etc=s$orePall=rules
Todos os puertos estn cerrados de modo predefndo, y es en este archvo donde se habtan os
puertos necesaros. Hay dversas funcones que pueden reazarse.
579
9*.4.7.+. ACC"<@
La accn ACCEPT se hace para especfcar s se permten conexones desde o haca una(s) zona (s)
un protocoo(s) y puerto(s) en partcuar. En e sguente e|empo se permten conexones desde
Internet haca e puerto 80 (www), 25 (smtp) y 110 (pop3). Los nombres de os servcos se asgnan
de acuerdo a como estn stados en e archvo /etc=services.
A3(/'.+ S.=R(% $%S/ ;R./. $%S/
A ;.R/
3((%;/ net !w tcp 4#B58B11#
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
9*.4.7.*. '"D%'"C@
La accn REDIRECT permte redrgr petcones haca un puerto en partcuar. Muy t cuando se
queren redrgr petcones para E@@< (puerto 80) y se quere que estas pasen a travs de un
>ervidor %ntermediario (Proxy) como Squd. En e sguente e|empo as petcones hechas desde
a red oca y desde a D:c sern redrgdas haca e puerto 8080 de cortafuegos, en donde hay
un >ervidor %ntermediario (Proxy) confgurado de modo transparente.
A3(/'.+ S.=R(% $%S/ ;R./. $%S/
A ;.R/
R%$'R%(/ loc 4#4# tcp 4#
R%$'R%(/ dmC 4#4# tcp 4#
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
9*.4.7.3. D)A@
La accn D)A@ se utza para reenvar petcones desde un puerto de cortafuegos haca una IP y
puerto en partcuar tanto en a red oca como en a D:c. Cabe destacar que para que e D)A@
funcon se necesta que:
Est habtado e reenvo de paquetes en /etc=syscon&ig=sysctl.c&g
y /etc=s$orePall=s$orePall.con&
Los equpos haca os que se est hacendo D)A@ utcen como puerta de enace a cortafuegos
desde sus correspondentes zonas.
En e sguente e|empo, se hace D)A@ desde a zona de Internet para E@@< (puerto 80), >:@<
(puerto 25) y <0<3 (puerto 110) por TCP y D)> (puerto 53) por @C< y ,D< haca a IP
10.10.10.28 ocazada en a zona de a Red Loca.
A3(/'.+ S.=R(% $%S/ ;R./. $%S/
A ;.R/
$+3/ net dmC"1#@1#@1#@54 tcp 4#B58B11#B8?
$+3/ net dmC"1#@1#@1#@54 udp 8?
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
9*.4.7.4. ".emplos diversos de reglas.
En e sguente e|empo se permte a a zona de Red Loca e acceso haca e puerto 22 (SSH) de
cuaquer equpo dentro de a D:c:
A3(/'.+ S.=R(% $%S/ ;R./. $%S/
A ;.R/
580
3((%;/ loc dmC tcp 55
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
En e sguente e|empo se permte soo a a dreccn 192.168.2.34 de zona de Red Loca e acceso
haca e puerto 22 (SSH) de cuaquer equpo dentro de a D:c:
A3(/'.+ S.=R(% $%S/ ;R./. $%S/
A ;.R/
3((%;/ loc"175@164@5@?> dmC tcp 55
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
En e sguente e|empo se permte soo a a dreccn 192.168.2.34 de zona de Red Loca e acceso
haca e puerto 22 (ssh) de a dreccn 10.10.10.5 que est dentro de a D:c:
A3(/'.+ S.=R(% $%S/ ;R./. $%S/
A ;.R/
3((%;/ loc"175@164@5@?> dmC"1#@1#@1#@8 tcp 55
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
En e sguente e|empo se hace D)A@ desde a zona de Internet para os servcos de E@@<
(puerto 80), >:@< (puerto 25) y <0<3 (puerto 110) por @C< y D)> (puerto 53) por @C< y ,D<
haca dversos servdores ocazados D:c:
A3(/'.+ S.=R(% $%S/ ;R./. $%S/
A ;.R/
$+3/ net dmC"1#@1#@1#@1 tcp 4#
$+3/ net dmC"1#@1#@1#@5 tcp 58B11#
$+3/ net dmC"1#@1#@1#@? tcp 8?
$+3/ net dmC"1#@1#@1#@? udp 8?
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
En e sguente e|empo se hace D)A@ desde a zona de a Red Loca para os servcos de E@@<
(puerto 80), >:@< (puerto 25), <0<3 (puerto 110) y D)> (puerto 53) haca dversos servdores
ocazados D:c:
581
A3(/'.+ S.=R(% $%S/ ;R./. $%S/
A ;.R/
$+3/ loc dmC"1#@1#@1#@1 tcp 4#
$+3/ loc dmC"1#@1#@1#@5 tcp 58B11#
$+3/ loc dmC"1#@1#@1#@? tcp 8?
$+3/ loc dmC"1#@1#@1#@? udp 8?
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
En e sguente e|empo se hace D)A@ desde a zona de Internet para os servcos de E@@<
(puerto 80), >:@< (puerto 25), <0<3 (puerto 110) y D)> (puerto 53) haca dversos servdores
ocazados D:c y mtar a taza de conexones a dez por segundo con rfagas de hasta cnco
conexones para cada servco:
A3(/'.+ S.=R(% $%S/ ;R./. $%S/ S.=R(% .R'I'+30 R3/%
A ;.R/ ;.R/(S) $%S/ 0','/
$+3/ net dmC"1#@1#@1#@1 tcp 4#
1#/sec"8
$+3/ net dmC"1#@1#@1#@5 tcp 58B11#
1#/sec"8
$+3/ net dmC"1#@1#@1#@? tcp 8?
1#/sec"8
$+3/ net dmC"1#@1#@1#@? udp 8?
1#/sec"8
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
En e sguente e|empo as petcones hechas desde a red oca (A)) sern redrgdas haca e
puerto 8080 de cortafuegos, en donde hay un >ervidor %ntermediario (Proxy) confgurado de
modo transparente, mtando a taza de conexones a veinte por segundo con rfagas de hasta
cnco conexones. Esto es muy t para evtar ataques de Do> (acrnmo de Dena of >ervce que
se traduce como Denegacn de Servco) desde a red oca (A)).
A3(/'.+ S.=R(% $%S/ ;R./. $%S/ S.=R(% .R'I'+30 R3/%
A ;.R/ ;.R/(S) $%S/ 0','/
R%$'R%/ loc 4#4# tcp 4# 5#/sec"8
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
9*.5. %niciar el corta&uegos y aadirlo a los servicios de
arran#ue del sistema
Para e|ecutar por prmera vez e servco, utce:
service shorewall start
Para detener e cortafuegos, utce:
service shorewall stop
582
Cabe seaar que detener e cortafuegos tambn detene todo trfco de red, ncuyendo e trfco
provenente desde a A). S se desea restaurar e trfco de red, sn a proteccn de un
cortafuegos, ser necesaro tambn utzar e gun de ipta!les.
Lo ms convenente, en caso de ser necesaro detener e cortafuegos, es defnr que dreccones IP
o redes podrn contnuar accedendo cuando e cortafuegos es detendo, o cuando ste se
encuentra en proceso de renco. Esto se defne en e archvo /etc=s$orePall=routestopped,
defnendo a nterfaz, a travs de a cua se permtr a comuncacn, y a dreccn IP o red, en
un formato de sta separada por comas, de os anftrones que podrn acceder a cortafuegos.
E|empo:
A'+/%R<3(% 1.S/(S) .;/'.+S
eth# 175@164@1@#/5>
eth# 175@164@5@?#B175@164@5@?1
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
Para aadr Shorewa a arranque de sstema, utce:
chkcon!ig shorewall on
583
93. Cmo con&igurar un servidor de 0penF<).
93.+. %ntroduccin.
93.+.+. Acerca de 0penF<).
0penF<) es una soucn de conectvdad basada sobre equpamento gco (soft)are):
SSL(Secure Sockets Layer) VPN (Vrtua Prvate Network, o red vrtua prvada), OpenVPN ofrece
conectvdad punto-a-punto con vadacn, |errquca de usuaros y host conectados
remotamente, resuta una muy buena opcn en tecnoogas W-F (redes nambrcas EEI 802.11)
y soporta una ampa confguracn, entre stas e baanceo de cargas, entre otras muchas cosas
ms.
URL: http://openvpn.net
93.+.*. Breve e2plicacin de lo #ue se lograr; con este documento.
Este documento descrbe a confguracn de una F<) tpo %ntranet.
Este tpo de redes es creado entre una ofcna centra (servdor) y una o varas ofcnas remotas
(centes). E acceso vene de exteror. Se utza este tpo de VPN cuando se necesta enazar a os
stos que son parte de una compaa, en nuestro caso ser compuesto por un servdor Centra que
conectar a muchos centes VPN entre s.
La nformacn y apcacones a as que tendrn acceso os drectvos mves en e VPN, no sern
as msmas que aqueas en donde pueden acceder os usuaros que efectan actvdades de
mantenmento y soporte, esto como un e|empo de o que se podr reazar con esta
confguracn.
Ademas de que podr conectarse a travs de @erminal >erver (en el caso de clientes Linu*) a
termnaes Wndows de a red VPN as como de Centes Wndows a computadoras con e msmo
sstema operatvo (medante RDP).
)ota %mportante: Enfocado a esta confguracn .. Una vez que os centes (0indows/Linu*) se
conecten a a red VPN quedarn automtcamente sn conexn a Internet, o cua NO podrn
acceder a a red munda. Esto puede ser modfcabe en e servdor VPN.
584
Servdor de Pasarea OpenVPN con centes (Wndows/Lnux) remotos
E servdor VPN $ace de pasarela para que todos os centes (Wndows/Lnux) puedan estar
comunicados a travs de tne OpenVPN, estos a conectarse por medo de Internet a tne
automtcamente quedan sin lineaa a red munda quedando como una red local, esto caro esta
a travs de a VPN.
Cada cente se encuentra en ugares dferentes (cudad/estado/pas) con dferentes tpos de
segmento de red, a estar conectados medante e tne VPN se crea un red vrtua y se asgna un
nuevo segmento de red proporconada por e servdor prncpa en este caso con segmento (por
e|empo 10.10.0.0/255.255.255.0no 192.168.37.0/255.255.255.0).
93.*. %nstalacin del e#uipamiento lgico necesario.
Fedora 9 en adeante ncuye e paquete openvpn en sus depstos Yum, por o que soo es
necesaro nstaaro desde a termna a travs de mandato yum. E sguente procedmento soo
es necesaro para Cent0> 5.
93.*.+. %nstalacin en Cent0> 5.
Como e usuaro root, desde una termna, crear e archvo =etc=yum.repos.d=A(>erver.repo,
utzando cuaquer edtor de texto. En e sguente e|empo se utza vi.
vi /etc/yum@repos@d/30Server@repo
585
Aadr a este nuevo arc$ivo e sguente contendo:
D30ServerE
gpgcheck)1
Importar a frma dgta de Alcance i!re e|ecutando o sguente desde a termna:
Luego de mportar a frma dgta de Acance Lbre, nstaar e equpamento gco (soft)are)
necesaro con e mandato yum. Se requeren os paquetes RPM de OpenVPN, Shorewa y vm-
enhanced (a versn me|orada de V):
yum y install openvpn shorewall vimenhanced
S fuera necesaro, cambarse a usuaro root utzando e sguente mandato:
su l
A fn de poder utzar nmedatamente a versn me|orada de Fi (nstaado con e paquete vim(
en$anced), e|ecutar desde a termna o sguente:
alias vi)*vim*
Cambarse a drectoro, desde a termna, e|ecutar o sguente para cambarse a drectoro
=etc=openvpn:
cd /etc/openvpn/
)0@A- Todos os procedmentos necesaros para confgurar un servdor con 0penF<) se reazan
sn sar de =etc=openvpn=. Por favor, evite cam!iar de directorio hasta haber fnazado os
procedmentos descrtos en este documento.
A fn de factar os procedmentos, se coparn dentro de drectoro =etc=openvpn= os archvos
openssl.cn&, P$ic$opensslcn&, pKitool y vars, que se ocazan en =etc=openvpn=easy(
rsa=*.O=:
cp /usr/share/openvpn/easyrsa/5@#/openssl@cn! @/
cp /usr/share/openvpn/easyrsa/5@#/whichopensslcn! @/
cp /usr/share/openvpn/easyrsa/5@#/pkitool @/
cp /usr/share/openvpn/easyrsa/5@#/vars @/
Utzar e edtor de texto y abrr e archvo =etc=openvpn=vars:
vi /etc/openvpn/vars
586
De este archvo, soamente edtar as tmas neas, que corresponden a o sguente:
export H%:-(.=+/R:)*=S*
export H%:-;R.&'+(%)*(3*
export H%:-('/:)*San<rancisco*
export H%:-.RI)*<ort<unston*
export H%:-%,3'0)*meSmyhost@mydomain*
Reempazar por vaores reaes, como os de sguente e|empo:
export H%:-(.=+/R:)*,X*
export H%:-;R.&'+(%)*$<*
export H%:-('/:)*,exico*
export H%:-.RI)*servidor@midominio@com*
export H%:-%,3'0)*!ulanitoSmidominio@com*
Se requere e|ecutar de sguente modo e archvo =etc=openvpn=vars a fn de que carguen as
varabes de entorno que se acaban de confgurar.
source /etc/openvpn/@/vars
Cada vez que se vayan a generar nuevos certfcados, debe e|ecutarse e mandato anteror a fn de
que carguen as varabes de entorno defndas.
Se e|ecuta e archvo =usr=s$are=openvpn=easy(rsa=*.O=clean(all a fn de mpar cuaquer frma
dgta que accdentamente estuvera presente.
sh /usr/share/openvpn/easyrsa/5@#/cleanall
Lo anteror reaza un rm (&r (emnacn recursva) sobre e drectoro =etc=openvpn=Keys, por o
que se emnarn todas os certfcados y frmas dgtaes que huberan exstdo con anterordad.
A fn de crear e certfcado de servdor, se crea un certfcado:
sh /usr/share/openvpn/easyrsa/5@#/buildca
Se crea e archvo dh1024.pem, e cua contendr os parmetros de protocoo Dffe-Eeman, de
1024 bts:
sh /usr/share/openvpn/easyrsa/5@#/builddh
E protocoo Dffe-Eeman permte e ntercambo secreto de caves entre dos partes que sn que
stas hayan tendo contacto prevo, utzando un cana nseguro, y de manera annma (sn
autentcar). Se empea generamente como medo para acordar caves smtrcas que sern
empeadas para e cfrado de una sesn, como es e caso de una conexn VPN.
Para generar a frma dgta, se utzan e sguente mandato:
sh /usr/share/openvpn/easyrsa/5@#/buildkeyserver server
587
Fnamente se crean os certfcados para os centes. En e sguente3 e|empo se crean os
certfcados para cliente+, cliente*, cliente3, cliente4, cliente5, y cliente6:
sh /usr/share/openvpn/easyrsa/5@#/buildkey cliente1
sh /usr/share/openvpn/easyrsa/5@#/buildkey cliente?
sh /usr/share/openvpn/easyrsa/5@#/buildkey cliente>
A fn de utzar os certfcados y que se confgure e sstema, se crea con e edtor de texto e
archvo =etc=openvpn=servidorvpn(udp(++S4.con&, donde servidorvpn se reempaza por e
nombre de anftrn de sstema:
vi /etc/openvpn/servidorvpnudp117>@con!
Para a F<) se recomenda utzar una red prvada que sea poco usua, a fn de poder permtr a
os centes conectarse sn confctos de red. Un e|empo de una red poco utzada sera
192.168.37.0/255.255.255.0, o cua permtr conectarse a a F<) a 253 centes. Tomando en
cuenta o anteror, e contendo de archvo =etc=openvpn=servidorvpn(udp(++S4.con&, debe ser
e sguente:
port 117>
proto udp
dev tun
A Seccion de llaves
ca keys/ca@crt
cert keys/server@crt
key keys/server@key
dh keys/dh1#5>@pem
A
server 175@164@?6@# 588@588@588@#
i!con!igpoolpersist ipp@txt
keepalive 1# 15#
complCo
persistkey
persisttun
status openvpnstatusservidorvpnudp117>@log
verb ?
Descrpcn de os parmetros anterores:
1ort: Especfca e puerto que ser utzado para que os centes vpn puedan conectarse a servdor.
1roto: tpo de protocoo que se empear en a conexn a travs de VPN
de2: Tpo de nterfaz de conexn vrtua que se utzar e servdor openvpn.
ca: Especfca a ubcacn exacta de archvo de Autordad Certfcadora |.ca|.
cert: Especfca a ubcacn de archvo |.crt| creado para e servdor.
!e(: Especfca a ubcacn de a ave |.key| creada para e servdor openvpn.
dh: Ruta exacta de archvo |.pem| e cua contene e formato de Dffe Heman (requrerdo para
((tls(serversoamente).
ser2er: Se asgna e rango IP vrtua que se utzar en a red de tne VPN.
34con4ig-pool-persist: Archvo en donde quedarn regstrado as dreccones IP de os centes que se
encuentran conectados a servdor OpenVPN.
588
5eepali2e 10 1,0 : Enva os paquetes que se mane|an por a red una vez cada 10 segundos; y
asuma que e acopamento es aba|o s nnguna respuesta ocurre por 120 segundos.
co"p-l6o: Especfca os datos que recorren e tne vpn ser compactados durante a trasferenca de
estos paquetes.
persist-!e(: Esta opcn soucona e probema por aves que perssten a travs de os rea|ustes
SIGUSR1, as que no necestan ser reedos.
1ersist-tun: Permte que no se cerre y re-abre os dspostvos TAP/TUN a correr os guones up/down
status: archvo donde se amacenar os eventos y datos sobre a conexn de servdor |.og|
2erb: Nve de nformacn (defaut=1). Cada nve demuestra todo e Info de os nvees anterores. Se
recomenda e nve 3 s usted desea un buen resumen de qu est sucedendo.
O ((No muestra una sada excepto errores fataes. + to 4 lRango de uso norma. 5 ((Sada 'y
Wcaracteres en a consoa par os paquetes de ectura y escrtura, mayscuas es usada por paquetes
TCP/UDP mnscuas es usada para paquetes TUN/TAP.
S >"inu2 est actvo, es necesaro que e drectoro =etc=openvpn y sus contendos, tengan os
contextos apropados de esta mpementacn de segurdad
(system_u:ob|ect_r:openvpnQetcQrPQt para ipp.t2t y openvpn(status(servidorvpn(udp(
++S4.log y system_u:ob|ect_r:openvpnQetcQt para e resto de contendo de drectoro).
Se utza uego e mandato restorecon sobre e drectoro =etc=openvpn a fn de asgnar os
contextos adecuados.
restorecon R /etc/openvpn/
Se crean os archvos ipp.t2t y openvpn(status(servidorvpn(udp(++S4.log:
cd /etc/openvpn/
touch ipp@txt
touch openvpnstatusservidorvpnudp117>@log
S se tene actvo SELnux, estos tmos dos archvos requeren se es asgne contexto de ectura y
escrtura (openvpnQetcQrPQt).
cd /etc/openvpn/
chcon u system-u ipp@txt
chcon u system-u openvpnstatusservidorvpnudp117>@log
chcon r obMect-r ipp@txt
chcon r obMect-r openvpnstatusservidorvpnudp117>@log
chcon t openvpn-etc-rw-t ipp@txt
chcon t openvpn-etc-rw-t openvpnstatusservidorvpnudp117>@log
Los anteror camba os contextos a usuaro de sstema (systemQu), ro de ob|eto (o!.ectQr) y tpo
confguracn de OpenVPN de ectura y escrtura (openvpnQetcQrPQt).
Para ncar e servco, se utza e mandato service de sguente modo:
service openvpn start
Para que e servco de OpenVPN est actvo en e sguente nco de sstema, se utza e mandato
c$Kcon&ig de a sguente forma:
589
chkcon!ig openvpn on
93.3.+. Con&iguracin de muro corta&uegos con >$orePall.
E sguente procedmento consdera que se ha confgurado un muro cortafuegos apropadamente,
de acuerdo a as ndcacones descrtas en e documento ttuado Cmo con&igurar un muro
corta&uegos con >$orePall y tres inter&aces de red.
Independentemente de contendo, en e archvo =etc=s$orePall=8ones, se aade a zona rem
con e tpo ipv4, antes de a tma nea.
V O.enH8N ----
re/ #."J
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
Independentemente de contendo, en e archvo =etc=s$orePall=inter&aces, se aade a zona
rem asocada a a nterfaz tunO, con a opcn detect, para detectar automtcamente e nmero
de dreccn %< de dfusn (broadcast) y a opcn d$cp. Tambn debe defnrse antes de a
tma nea de archvo.
V O.enH8N ----
re/ 2n$ 5e2e62 536.
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
Independentemente de contendo, en e archvo =etc=s$orePall=policy, se aade a potca
deseada para permtr e acceso de os membros de a F<) haca as zonas que se consderen
apropadas. En e sguente e|empo, se defne una potca que permte e acceso de as conexones
orgnadas desde a zona rem haca e cortafuegos, a red pbca y a red oca. Todo debe
defnrse antes de a tma nea de archvo.
!w all 3((%;/
loc all 3((%;/
V O.enH.n ----
re/ <* ACCE8T
re/ ne2 ACCE8T
re/ )o6 ACCE8T
V ------------
net all $R.; in!o
all all R%a%(/ in!o
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
Independentemente de contendo, en e archvo =etc=s$orePall=rules, se debe abrr en e
cortafuegos e puerto 1194 por UDP, para todas as zonas desde as cuaes se pretenda conectar
centes a a F<).
3((%;/ net !w udp 117>
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
Fnamente, se edta e archvo =etc=s$orePall=tunnels a fn de defnr e tne SSL que ser
utzado para e servdor de F<) y que permta conectarse desde cuaquer ubcacn.
A/:;% G.+% I3/%23: I3/%23:
A G.+%
590
openvpnserver"117> rem #@#@#@#/#
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
En ugar de O.O.O.O=O, se puede especfcar una dreccn IP o ben una red desde a cua se quera
estabecer as conexones F<).
Para apcar os cambos, es necesaro rencar s$orePall con e mandato service, de sguente
modo:
93.3.*. Con&iguracin de clientes WindoPs.
93.3.*.+. A travs de 0penF<) ?,%.
Instaar 0penF<) ?,% desde http://openvpn.se/. Se requere nstaar a versn de desarroo
+.O.3 de 0penF<) ?,%, compatbe con OpenVPN 2.1.x. E cente es esta!le, sempre que se
verfque que funcone adecuadamente a confguracn utzada antes de poner en marcha en un
entorno productvo.
Crear e archvo cliente+(udp(++S4.ovpn, con e sguente contendo, donde es mportante que
as rutas defndas sean as correctas, y as dagonaes nvertdas sean dobes:
591
client
dev tun
proto udp
remote dominiooip@del@servidor@vpn 117>
!loat
resolvretry in!inite
nobind
persistkey
persisttun
A S%(('.+ $% 003&%S
ca *("PP3rchivos de ;rogramaPP.pen&;+PPcon!igPPca@crt*
cert *("PP3rchivos de ;rogramaPP.pen&;+PPcon!igPPcliente1@crt*
key *("PP3rchivos de ;rogramaPP.pen&;+PPcon!igPPcliente1@key*
nscerttype server
A
complCo
verb ?
Descrpcn de os parmetros anterores:
client: Especfca e tpo de confguracn, en este caso tpo cente OpenVPN.
1ort: Especfca e puerto que ser utzado para que os centes VPN puedan conectarse a servdor.
1roto: tpo de protocoo que se empear en a conexn a travs de VPN
de2: Tpo de nterfaz de conexn vrtua que se utzar e servdor openvpn.
remote: Host remoto o dreccn IP en e cente, e cua especfca a servdor OpenVPN.
E cente OpenVPN puede tratar de conectar a servdor con $ost-port en e orden especfcado de as
opcones de a opcn ((remote.
&loat: Este e dce a OpenVPN aceptar os paquetes autentcados de cuaquer dreccn, no soamente
a dreccn cu fue especfcado en a opcn ((remote.
resolv(retry: S a resoucn de nombre de anftrn (ostname) faa para (( remote, a resoucn
antes de faar hace una re-comprobacn de n segundos.
no!ind: No agrega bnd a a dreccn oca y a puerto.
ca: Especfca a ubcacn exacta de archvo de Autordad Certfcadora |.ca|.
cert: Especfca a ubcacn de archvo |.crt| creado para e servdor.
!e(: Especfca a ubcacn de a ave |.key| creada para e servdor OpenVPN.
re"ote: Especfca e domno o IP de servdor as como e puerto que escuchara as petcones para
servco VPN.
co"p-l6o: Especfca os datos que recorren e tne VPN ser compactados durante a trasferenca de
estos paquetes.
persist-!e(: Esta opcn soucona e probema por aves que perssten a travs de os rea|ustes
SIGUSR1, as que no necestan ser reedos.
1ersist-tun: Permte que no se cerre y re-abre os dspostvos TAP/TUN a correr os guones up/down
2erb: Nve de nformacn (defaut=1). Cada nve demuestra toda a Informacn de os nvees
anterores. Se recomenda e nve 3 s usted desea un buen resumen de qu est sucedendo.
O ((No muestra una sada excepto errores fataes. + to 4 lRango de uso norma. 5 ((Sada 'y
Wcaracteres en a consoa par os paquetes de ectura y escrtura, mayscuas es usada por paquetes
TCP/UDP mnscuas es usada para paquetes TUN/TAP.
592
E cente necestar que os archvos ca.crt, cliente+.crt, cliente+.Key y cliente+(udp(
++S4.ovpn estn presentes en e drectoro /C-]Arc$ivos de <rograma]0penF<)]con&ig]/.
Estos archvos fueron creados, a travs de un procedmento descrto en este documento, dentro
de drectoro =etc=openvpn=Keys= de servdor.
S se quere que os centes de a F<) se puedan conectar a a red oca, es mportante consderar
as mpcacones de segurdad que esto coneva s aguno de os certfcados es robado, o ben e
cente se ve comprometdo en su segurdad por una ntrusn, vrus, troyano o gusano. Es
preferbe que a red de a F<) sea ndependente a a red oca y cuaquer otra red, unendo os
servdores y centes a a F<), ndependentemente de s stos estn en a red oca o una red
pbca.
S es mperatvo hacer que os centes de a F<) se conecten a a red oca, a red desde a cua se
conectan os centes debe ser dferente a a red utzada en a red oca. Por e|empo: s a red oca
detrs de servdor de F<) es 192.168.0.0/255.255.255.0, 10.0.0.0/255.0.0.0 o
172.16.0.0/255.255.0.0, os centes que se conecten a a F<) detrs de un modem ADSL o Cabe
e ntenten estabecer conexones con a red oca, muy seguramente tendrn confctos de red.
Para permtr a os centes de a F<) poder estabecer conexones haca a red oca, se aaden as
sguentes neas en e archvo de confguracn de OpenVPN para os centes, y que defnen a
ruta para a red oca y un servdor DNS que debe estar presente y confgurado para permtr
consultas recursivas a a red de a F<):
route 175@164@#@# 588@588@588@#
dhcpoption $+S 175@164@#@1
Opconamente, tambn se puede defnr un servdor Wns.
dhcpoption 2'+S 175@164@56@1
E|empo, consderando que a red oca es +S*.+69.*6.O=*55.*55.*55.O:
client
dev tun
proto udp
!loat
nobind
persistkey
persisttun
ro2e -%,.-'8.,'.$ ,55.,55.,55.$
536.-o.2#on DNS -%,.-'8.,'.-
536.-o.2#on XLNS -%,.-'8.,'.-
A S%(('.+ $% 003&%S
ca *("PP3rchivos de ;rogramaPP.pen&;+PPcon!igPPca@crt*
cert *("PP3rchivos de ;rogramaPP.pen&;+PPcon!igPPcliente1@crt*
key *("PP3rchivos de ;rogramaPP.pen&;+PPcon!igPPcliente1@key*
nscerttype server
A
complCo
verb ?
593
93.3.3. Clientes ?),=inu2.
93.3.3.+. A travs del servicio openvpn.
Este es e mtodo que funconar en prctcamente todas as dstrbucones de de GNU/Lnux
basadas sobre 'ed Eat, Cent0> y Fedora. Se requere nstaar e paquete openvpn:
yum y install openvpn
Para Cent0> 5, se requere haber confgurado prevamente e depsto de A >erver, descrto
con anterordad en este msmo documento.
Para os centes con GNU/Lnux utzando e servco openvpn, bscamente se utza e msmo
archvo para 0penF<) ?,% para Wndows, pero defnendo rutas en e sstema de archvos de
GNU/Lnux. E|empo:
client
dev tun
proto udp
!loat
nobind
persistkey
persisttun
A S%(('.+ $% 003&%S
ca /etc/openvpn/keys/ca@crt
cert /etc/openvpn/keys/cliente1@crt
key /etc/openvpn/keys/cliente1@key
nscerttype server
A
complCo
verb ?
Este archvo se guarda como =etc=openvpn=cliente+(udp(++S4.ovpn. Requere que os
certfcados defndos en a confguracn estn en as rutas especfcadas dentro de drectoro
=etc=openvpn=Keys=.
Para ncar a conexn haca a F<), smpemente se nca e servco openvpn:
service openvpn start
Para que a conexn se estabezca automtcamente cada vez que se nce e sstema, se utza e
mandado c$Kcon&ig de a sguente manera:
chkcon!ig openvpn on
93.3.3.*. A travs de )etPorK:anager.
)etPorK:anager es una mpementacn que permte a os usuaros confgurar nterfaces de red
de todos os tpos, sn necesdad de contar con prvegos de admnstracn en e sstema. Es a
forma ms fexbe, senca y prctca de conectarse a una red F<).
594
Se requere que os centes Lnux tengan nstaado e paquete )etPorK:anager(openvpn,
msmo que debe estar ncudo en os depstos Yum de Fedora S en adeante y dstrbucones
recentes de GNU/Lnux. Cent0> 5 carece de soporte para utzar )etPorK:anager(openvpn,
por o que soo podr conectarse a a F<) a travs de mtodo anteror, con e servco openvpn.
Para nstaar a travs de mandato yum en dstrbucones basadas sobre Fedora S en adeante, se
hace de a sguente manera:
yum y install +etwork,anageropenvpn
Se puede rencar e sstema para que tengan efectos os cambos, o smpemente rencar e
servco )etPorK:anager:
service +etwork,anager restart
Lo anteror cerrar y vover a estabecer as conexones de red exstentes.
A gua que e mtodo anteror, para os centes con GNU/Lnux con NetworkManager,
bscamente se utza e msmo archvo para 0penF<) ?,% para Wndows, pero defnendo rutas
en e sstema de archvos de GNU/Lnux. E|empo:
client
dev tun
proto udp
!loat
nobind
persistkey
persisttun
A S%(('.+ $% 003&%S
ca /etc/openvpn/keys/ca@crt
cert /etc/openvpn/keys/cliente1@crt
key /etc/openvpn/keys/cliente1@key
nscerttype server
A
complCo
verb ?
Este archvo se puede utzar con a nterfaz grfca de )etPorK:anager. Soo hay que hacer cc
sobre e cono en e mrea de noti&icacin de pane de GNOME y uego hacer cc en Con&igurar
F<).
595
En a ventana que abre a contnuacn, hay un botn que permte mportar e archvo de
confguracn.
S os certfcados y frma dgta son coocados en a ruta =etc=openvpn=Keys= con SELnux actvo,
stos funconarn adecuadamente. S os certfcados y frma dgta son amacenados dentro de
drectoro de nco de usuaros, es necesaro estabecer a potca openvpnQena!leQ$omedirs
con vaor + (que equvae a on, o actva):
setsebool ; openvpn-enable-homedirs 1
Personamente recomendo crear una confguracn nueva desde a nterfaz de )etPorK:anager.
Desde a ventana de redes VPN de a nterfaz de )etPorK:anager, hacer cc en Aadir.
596
Aparecer un dogo donde se debe seecconar que se trata de una F<) con 0penF<).
En a sguente ventana de dogo, se defne e nombre de a conexn, dreccn IP o nombre de
servdor donde est nstaado OpenVPN, y os certfcados a utzar. S se sgueron os
procedmentos de ese documento, se de.a en !lanco e campo Contrasea de clave privada.
597
Luego, se hace cc en Avan8ado para especfcar que se utzar compresn c0.
Para evtar confctos de conectvdad, se hace cc en a pestaa A.ustes %<F4, y se defne un
servdor DNS que permta a cente navegar a travs de Internet y dentro de a red de a F<).
598
Se hace cc en 'utas para abrr otra ventana de dogo y se seecconan as casas de as
opcones %gnorar las rutas o!tenidas autom;ticamente y ,sar esta cone2in solo para los
recursos de su red. Opconamente se pueden aadr as rutas esttcas para tener conectvdad
con a red oca detrs de servdor de F<), tomando en cuenta que a red oca desde a cua se
est conectado e cente debe ser dferente a a de a red oca detrs de servdor de F<), a fn de
evtar confctos de red.
599
Fnamente se hace cc en apcar. Para conectarse a a red F<), soo basta hacer cc sobre e
cono de )etPorK:anager en e mrea de noti&icacin de pane de GNOME y seecconar a red
F<) recn confgurada.
93.4. Bi!iliogra&a.
Este documento se basa sobre os manuaes ttuados VPN en servdor Lnux y centes
Wndows/Lnux con OpenVPN + Shorewa |Parte 1| y VPN en servdor Lnux y centes
Wndows/Lnux con OpenVPN + Shorewa |Parte 2|, por William pe8 Jimne8, pubcados en
Alcance i!re, cumpendo cabamente con os trmnos de a cenca Creative Commons
Reconocmento-NoComerca-CompartrIgua 2.1.
600
94. Cmo con&igurar >):<.
94.+. %ntroduccin.
94.+.+. Acerca de >):<.
>):< (>mpe )etwork :anagement <rotoco o Protocoo Smpe de admnstracn de red) es
uno protocoos de con|unto defndo por a Fuerza de Traba|o en Ingenera de Internet (%"@F o
%nternet "ngneerng @ask Force), casfcada en e nve de apcacn de modeo TCP/IP, y que
est dseado para factar e ntercambo de nformacn entre dspostvos de red y es
ampamente utzado en a admnstracn de redes para supervsar e desempeo, a saud y e
benestar de una red, equpo de computo y otros dspostvos.
URL: http://toos.etf.org/htm/rfc1157.
94.+.*. Acerca de )et(>):<.
)et(>):<, e equpamento go utzado en este documento, es un con|unto de apcacones
utzados para mpementar SNMP v1, SNMP v2c y SNMP v3 utzando IPv4 y/o IPv6. E proyecto
fue ncado como un con|unto de herramentas SNMP por Steve Wadbusser en a C:, (Carnege
:eon ,nversty), Pttsburgh, Pennsyvana, EE.UU., en 1992. Tras ser abandonado, fue retomado
por Wes Hardaker en a ,CDavis (,nversty of Caforna, Davis), renombrado como ,CD(>):<
y me|orado para cubrr as necesdades de Departamento de Ingenera Ectrca de dcha
nsttucn. Tras de|ar a unversdad, Hardaker contnu e proyecto, cambando e nombre de ste
a )et(>):<.
URL: http://net-snmp.sourceforge.net/
S utza Cent0> 4 y 5, 'ed Eat "nterprise inu2 5 o W$ite Bo2 "nterprise inu2 4 y 5, soo
se necesta reazar o sguente para nstaar o actuazar e equpamento gco necesaro:
yum y install netsnmp netsnmputils
601
up5date i netsnmp netsnmputils
reaes:
192.168.1.0/24: Dreccn de red y mscara de subred en bts que correspondan a os de a
red oca a a que se pertenece.
C4v3-d3-Acc3s0: Cuaquer cave de acceso o sufcentemente buena.
m064.acancebre.org: Nombre de anftrn de sstema donde se est confgurando e
servco.
fuano@agun-domno.net: Cuenta de correo de admnstrador de servdor.
192.168.1.254: Dreccn IP de servdor.
Arc$ivo de con&iguracin =etc=snmp=snmpd.con&.
E archvo =etc=snmp=snmpd.con& que se nstaa |unto con e paquete, y puede resutar para
agunos una verdadera maraa de comentaros y opcones de todo tpo. Lo ms recomendabe
ser crear un archvo nuevo y mpo de contendo para poder partr de ago ms smpe y
funcona.
cd /etc/snmp
mv snmpd@con! snmpd@con!.0$
touch snmpd@con!
94.3.+.+. istas de control de acceso.
Se deben crear as stas de contro de acceso (AC o Access Contro st) correspondentes en e
archvo =etc=snmp=snmpd.con&, as cuaes servrn para defnr o que tendr acceso haca e
servco snmpd. A una de estas stas se e otorgar permso de acceso de ectura y escrtura, para
o que sea necesaro en reacn con admnstracn, y a a otra de soo ectura. Por razones de
segurdad soo a nterfaz 127.0.0.1 estar en a sta de ectura escrtura. Se otorgar permso de
acceso de soo ectura a una red o ben a una dreccn IP en a otra sta de contro de acceso.
Consderando o anteror, se podran agregar un par de neas como as sguentes:
com5sec local 156@#@#@1/?5 (l>v?d?3cc?s#
com5sec miredlocal 175@164@1@#/5> (l>v?d?3cc?s#
602
En o anteror a prmera nea sgnfca que habr una sta de contro de acceso denomnada
0local1 y que corresponder soo a +*7.O.O.+=3*, asgnando %lMvL2dL2AccLs4 como cave de
acceso. La segunda nea hace o msmo pero defnendo a a red +S*.+69.+.O=*4. Se puede
defnr o que uno guste mentras no sea a cave de root, esto debdo a que dcha cave se
transmte a travs de a red en forma de texto smpe (es decr, sn cfrar).
94.3.+.*. De&inicin de grupos.
Se crean a menos dos grupos: :y'W?roup y :y'0?roup. E prmero ser un grupo a que se
asgnarn ms adeante permsos de lectura escritura y e segundo ser un grupo a que
posterormente se asgnarn permsos de solo lectura. Por cada grupo se asgnan tres neas que
especfcan e tpo de acceso que se permtr en un momento dado a un grupo en partcuar. Es
decr, :y'W?roup se asoca a local y :y'0?roup a miredlocal.
ASe asigna local al grupo de )e62r4 es6r#2r4
group ,yR2Iroup v1 local
group ,yR2Iroup v5c local
group ,yR2Iroup usm local
ASe asigna miredlocal al grupo de so)o )e62r4
group ,yR.Iroup v1 miredlocal
group ,yR.Iroup v5c miredlocal
group ,yR.Iroup usm miredlocal
94.3.+.3. 'amas permitidas.
Se especfcan as ramas que se van a permtr ver a travs de servco. Lo ms comn, para, por
e|empo, utzarse con :'@?, es o sguente:
AA name incl/excl subtree mask(optional)
view all included @1 4#
94.3.+.4. Asignacin de permisos a los grupos.
Se debe especfcar que permsos tendrn os dos grupos, :y'0?roup y :y'W?roup. Son de
especa nters as tmas coumnas.
AA group context sec@model sec@level pre!ix read write noti!
access ,yR.Iroup ** any noauth exact all none none
access ,yR2Iroup ** any noauth exact all all all
94.3.+.5. <ar;metros de car;cter in&ormativo.
Se defnen dos parmetros de carcter nformatvo para que cuando utcen apcacones cente
como :'@? se ncuya ago de nformacn acerca de que sstema se est accedendo.
syslocation Servidor 0inux en S=S%R&'$.R@algundominio@net
syscontact 3dministrador (!ulanoSalgundominio@net)
603
94.3.*. ,n e.emplo &uncional de con&iguracin.
E e|empo que mostramos a contnuacn se utza en todas os equpos que posee e autor en
casa y en a ofcna. Soo hay que reempazar e vaor redlocal por o que uno consdere apropado
y reempazar e vaor +S*.+69.+.O=*4 por e vaor de la red o a dreccn IP desde donde se
requera acceder con un cente snmp, como :'@?.
A 0istas de control de acceso (3(0)
AA sec@name source community (alias clave de acceso)
com5sec local 156@#@#@1/?5 (l>v?d?3cc?s#
com5sec miredlocal 175@164@1@#/5> (l>v?d?3cc?s#
ASe asigna 3(0 al grupo de lectura escritura
group ,yR2Iroup v1 local
group ,yR2Iroup v5c local
group ,yR2Iroup usm local
ASe asigna 3(0 al grupo de solo lectura
group ,yR.Iroup v1 miredlocal
group ,yR.Iroup v5c miredlocal
group ,yR.Iroup usm miredlocal
A Ramas ,'9 Jue se permiten ver
AA name incl/excl subtree mask(optional)
view all included @1 4#
A %stablece permisos de lectura y escritura
AA group context sec@model sec@level pre!ix read write noti!
access ,yR2Iroup ** any noauth exact all all all
A 'n!ormaciQn de (ontacto del Sistema
syslocation Servidor 0inux en m#6>@alcancelibre@org
syscontact 3dministrador (!ulanoSalgundominio@net)
S es necesaro aadr ms equpos para que accedan a servco snmpd, soo hay que hacer o
sguente:
Agregar una ACL con un nombre nco. E|empo:
com5sec /#6e"4 175@164@1@581 (l>v?d?3cc?s#
Agregar un |uego regas que asgnen a grupo, en este caso micueva, con o sguente:
group o2ro7r.o v1 local
group o2ro7r.o v5c local
group o2ro7r.o usm local
Agregar una nea donde se estabece que permsos tendr e grupo otrogrupo. En este e|empo,
va a ser de soo ectura:
94.3.3. %niciarL detener y reiniciar el servicio snmpd.
Para e|ecutar por prmera vez e servco snmpd, utce:
604
service snmpd start
service snmpd restart
Para detener e servco snmpd utce:
service snmpd stop
94.3.4. Agregar el servicio snmpd al arran#ue del sistema.
Para hacer que e servco de snmpd est actvo con e sguente nco de sstema, en todos os
chkcon!ig snmpd on
Consderando, como e.emplo, que sea sgn como cave de acceso Cl4v3(d3(Acc3sO en un
sstema cuya dreccn IP es +S*.+69.+.*54, para probar s a confguracn funcona, soo hay
que e|ecutar os dos sguente mandatos a fn verfcar que devuevan nformacn acerca de
sstema consutado.
snmpwalk v 1 -%,.-'8.-.,5J c C)J"3-53-A663s$ system
snmpwalk v 1 -%,.-'8.-.,5J c C)J"3-53-A663s$ inter!aces
os puerto 161 y 162 por UDP (>):< y >):<@'A<, respectvamente).
Las regas para e archvo =etc=s$orePall=rules de >$orePall en un sstema con una zona (net),
correspondera a o sguente:
A3(/'.+ S.=R(% $%S/ ;R./. $%S/ S.=R(%
A ;.R/ ;.R/(S)1
3((%;/ net !w udp 161B165
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
Las regas para e archvo =etc=s$orePall=rules de >$orePall en un sstema con dos zonas (net y
loc), donde soo se va a permtr e acceso a servco snmpd desde a red oca, correspondera a
o sguente:
A3(/'.+ S.=R(% $%S/ ;R./. $%S/ S.=R(%
A ;.R/ ;.R/(S)1
3((%;/ loc !w udp 161B165
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
605
95. Cmo con&igurar :'@?.
95.+. %ntroduccin.
95.+.+. Acerca de :'@?.
:'@? (:ut 'outer @raffc ?rapher) es una herramenta, escrta en C y Per por Tobas Oetker y
Dave Rand, que se utza para supervsar a carga de trfco de nterfaces de red. :'@? genera
os resutados en archvos HTML con grfcos, que proveen una representacn vsua de este
trfco.
:'@? utza >):< (>mpe )etwork :anagement <rotoco o Protocoo Smpe de admnstracn
de red) para recoectar os datos de trfco de un determnado dspostvo (dspostvos
encamnamento o servdores), por tanto es requsto contar con a menos un sstema a supervsar
con >):< funconando, y con dcho servco correctamente confgurado.
yum y install mrtg
up5date i mrtg
reaes:
C4v3-d3-Acc3s0: Cuaquer cave de acceso o sufcentemente buena.
192.168.1.1: Dreccn IP de servdor.
606
192.168.1.2, 192.168.1.3, 192.168.1.4: Dreccones IP de otros servdores que estn
confgurados con SNMP y se quera supervsa con MRTG.
Accedendo a sstema como e usuaro root, se debe generar e drectoro de traba|o de MRTG de
sguente modo:
mkdir p /var/www/mrtg/miredlocal
Debe respadarse e archvo de confguracn predetermnado, con e fn de poder restauraro en e
futuro s fuese necesaro:
cp /etc/mrtg/mrtg@c!g /etc/mrtg/mrtg@c!g.0$
Para generar el arc$ivo de confguracn para supervsar una soa dreccn IP, utilice el
siguiente mandato, donde Cl4v3(d3(Acc3sO es a cave de acceso defnda en a confguracn
de >):< de sstema nvoucrado:
c!gmaker P
global *workdir" /var/www/mrtg/miredlocal* P
global *.ptionsD-E" bitsBgrowright* P
output /etc/mrtg/mrtg@c!g P
C)J"3-53-A663s$S175@164@1@1
Para generar el arc$ivo de confguracn para supervsar varas dreccones IP, utilice el
siguiente mandato, donde Cl4v3(d3(Acc3sO es a cave de acceso s esta fue defnda as en a
confguracn de >):< de todos os sstemas nvoucrados:
c!gmaker P
global *workdir" /var/www/mrtg/miredlocal* P
global *.ptionsD-E" bitsBgrowright* P
output /etc/mrtg/mrtg@c!g P
community)C)J"3-53-A663s$ P
175@164@1@1 P
175@164@1@5 P
175@164@1@? P
175@164@1@>
95.4. Compro!aciones
E paquete de :'@? ncuye un gun para crond, e cua se nstaa en a ruta =etc=cron.d=mrtg,
de modo que ste e|ecute :'@?, de forma autom;tica, cada 5 mnutos. S se quere comprobar
a confguracn soo es necesaro esperar agunos mnutos y consutar os resutados. S se quere
generar un reporte a momento, utce e mandato mrtg de sguente modo:
env 03+I)( mrtg /etc/mrtg/mrtg@c!g
Se debe rencar e servco $ttpd (Apache) a fn de cargar a confguracn necesara y
especfcada en e archvo =etc=$ttpd=con&.d=mrtg.con&, a que permtr acceder haca os
reportes de :'@? a travs de nterfaz por protocoo $ttp.
607
Se pueden observaros resutados con cuaquer navegador grfco examnando e drectoro
=var=PPP=mrtg=miredlocal de dsco duro, o ben accedendo a travs de haca
ttp*++7GU.4.4.7+mrtg+miredlocal+1+,.1-..1.1JG.tml, consderando, como e.emplo, que se
desea observar e reporte de e sstema con a dreccn IP 192.168.1.1.
608
96. Cmo con&igurar Freeradius con :y>B en
Cent0> 5.
96.+. %ntroduccin.
96.+.+. Acerca de 'AD%,>.
'AD%,> ('emote Authentcaton Da-%n ,ser >ervce) es un protocoo de autentcacn,
autorzacn y mane|o de cuentas de usuaro orgnamente desarroado por Lvngston Enterprses
y pubcado en 1997 como os RFC 2058 y 2059. Es utzado para admnstrar e acceso remoto y a
movdad IP, como ocurre en servcos de acceso por modem, DSL, servcos nambrcos 802.11 o
servcos de Fo%< (Foce over %< o Voz sobre IP). Este protocoo traba|a a travs de puerto 1812
por UDP.
La autentcacn gestonada por este protocoo se reaza a travs de ngreso de un nombre de
usuaro y una cave de acceso. Esta nformacn es procesada por un dspostvo )A> ()etwork
Access >erver) a travs de <<< (<ont-to-<ont <rotoco o Protocoo Punto-a-Punto) sendo
posterormente vadada por un servdor 'AD%,> a travs de protocoo correspondente
vandose de dversos esquemas de autentcacn, como <A< (<assword Authentcaton <rotoco
o Protocoo de Autentcacn de Cave de acceso), CEA< (Chaenge-Eandshake Authentcaton
<rotoco) o "A< ("xtensbe Authentcaton <rotoco), y permtendo e acceso a sstema.
URL: http://toos.etf.org/htm/rfc2058 y http://toos.etf.org/htm/rfc2059
96.+.*. Acerca de Freeradius.
Freeradius, proyecto ncado en 1999 por Aan DeKok y Mque van Smoorenburg (quen coabor
anterormente en e desarroo de Cstron RADIUS), es una aternatva bre haca otros servdores
RADIUS, sendo uno de os ms competos y verstes gracas a a varedad de mduos que e
componenen. Puede operar tanto en sstemas con recursos mtados as como sstemas
atendendo mones de usuaros.
Freeradius nc como un proyecto de servdor RADIUS que permtera una mayor coaboracn
de a comundad y que pudera cubrr as necesdades que otros servdores RADIUS no podan.
Actuamente ncuye soporte para LDAP, SOL y otras bases de datos, as como EAP, EAP-TTLS y
PEAP. Actuamente ncuye soporte para todos os protocoos comunes de autentcacn y bases de
datos.
URL: http://www.freeradus.org/
609
96.+.3. Acerca de Daloradius.
Daloradius es una avanzada apcacn HTTP que srve de sstema de admnstracn para
RADIUS, y est dseada para ser utzada para admnstrar otspots (puntos calientes, es decr
zona de cobertura W-F, en e que un punto de acceso o varos proveen servcos de red a travs
de un Proveedor de Servcos de Internet Inambrco o WISP) y uso genera para a autentcacn
de Proveedores de Acceso a Internet (ISP). Incuye gestn de usuaros, reportes grfcos,
contabdad, motor de cobranza e ntegracn con GoogeMaps para Geoocazacn.
URL: http://daoradus.com/.
Instae os paquetes necesaros:
yum y install !reeradius5 !reeradius5mysJl !reeradius5utils
yum y install mysJl mysJlserver
Generar os certfcados predetermnados e|ecutando e mandato radiusd con a opcn (D:
radiusd X
Lo anteror ncar e servco radiusd e ncar a generacn de os certfcados. Cuando e
dogo o pda, defnr os datos de pas, estado, nombre de anftrn y cuenta de correo de
admnstrador. A concur pusar C@'(C para termnar e servco y contnuar confguracn.
Ince e servco MySOL:
service mysJld start
Aada e servco MySOL a arranque de sstema:
service mysJld on
Asgne cave de acceso a usuaro root de MySOL:
mysJladmin uroot password X15?JweX
Genere una nueva base de datos denomnada radius:
mysJladmin uroot p15?Jwe create radius
Acceda a ntrprete de mandatos de MySOL:
mysJl uroot p15?Jwe
Desgne e usuaro y cava de acceso para acceder a a base de datos recn creada:
610
IR3+/ all .+ radius@O /. radiusSlocalhost '$%+/'<'%$ 9: X15?JweXY
Saga de MySOL:
exitY
Utzando e usuaro radius, o e que haya desgnado para utzar a base de datos recn creada,
puebe a base de datos que acaba de crear con os esquemas ncudos con Freeradus:
mysJl uradius p15?Jwe radius _ /etc/raddb/sJl/mysJl/cui@sJl
mysJl uradius p15?Jwe radius _ /etc/raddb/sJl/mysJl/ippool@sJl
mysJl uradius p15?Jwe radius _ /etc/raddb/sJl/mysJl/nas@sJl
mysJl uradius p15?Jwe radius _ /etc/raddb/sJl/mysJl/schema@sJl
mysJl uradius p15?Jwe radius _ /etc/raddb/sJl/mysJl/wimax@sJl
Edte e archvo =etc=radd!=radiusd.con&:
vim /etc/raddb/radiusd@con!
Descomente a nea que dce Z%)C,D" s#l.con&, o cua se ocaza aproxmadamente arededor
de a nea 801:
F'+(0=$% sJl@con!
Edte e archvo =etc=radd!=s#l.con&:
vim /etc/raddb/sJl@con!
Defnr os vaores para acceder a a base de datos, o cua se ocaza aproxmadamente arededor
de a nea 35:
A (onnection in!o"
server ) *localhost*
Aport ) ??#6
login ) *radius*
password ) *15?Jwe*
Descomente e parmetro readclients con vaor yes, o cua se ocaza aproxmadamente
arededor de a nea 100:
readclients ) yes
Edte e archvo =etc=radd!=sites(ena!led=de&ault:
vim /etc/raddb/sitesenabled/de!ault
Descomente en a seccn aut$ori8e, o cua se ocaza aproxmadamente arededor de a nea
159:
611
sJl
Descomentar en a seccn accounting, o cua se ocaza aproxmadamente arededor de a nea
365:
sJl
Reegrese a smboo de sstema y acceda a MySOL para dar de ata un usuaro para probar:
mysJl uradius p15?Jwe radius
Desde e smboo de sstema de MySOL, e|ecute o sguente para dar de ata un usuaro de
pruebas (&ulano) con una cave de acceso (+*3#Pe en e e|empo):
'+S%R/ '+/. radcheck (usernameB attributeB value) &30=%S (X!ulanoXB X;asswordXB
X15?JweX)Y
Lo anteror equvae a aadr &ulano Clearte2t(<assPord -R /+*3#Pe/ en e archvo
=etc=radd!=users.
Verfque que e usuaro se do de ata correctamente:
select O !rom radcheck where username)X!ulanoXY
Debe regresar ago smar a os sguente:
NNNNNN
^ id ^ username ^ attribute ^ op ^ value ^
NNNNNN
^ 6 ^ !ulano ^ ;assword ^ )) ^ 15?Jwe ^
NNNNNN
1 row in set (#@## sec)
Saga de mysq:
exitY
Ince e servco radiusd:
service radiusd start
Aada e servco radiusd a os servcos de arranque de sstema:
chkcon!ig radiusd on
Verfque que e servco puede autentcar a travs de MySOL:
radtest !ulano 15?Jwe localhost 1415 testing15?
612
Lo anteror debe devover ago smar como o sguente:
Sending 3ccessReJuest o! id 555 to 156@#@#@1 port 1415
=ser+ame ) *!ulano*
=ser;assword ) *15?Jwe*
+3S';3ddress ) 156@#@#@1
+3S;ort ) 1415
rad-recv" 3ccess3ccept packet !rom host 156@#@#@1 port 1415B id)555B length)5#
A partr de este punto, soo podr autentcar usuaros de manera oca. Para poder conectar e
punto de acceso haca e servdor Freeradus, vueva a conectarse MySOL:
mysJl uradius p15?Jwe radius
E|ecute o sguente, defnendo a dreccn IP de punto de acceso, nombre corto, tpo de NAS
(ot$er, cisco, livingston, computon, ma24O22, multitec$, natserver, pat$ras, patton,
portslave, tc o usr$iper). S utza un pnto de acceso casero, defna e tpo ot$er.
'+S%R/ '+/. nas (nasnameB shortnameB typeB secret) &30=%S (X-%,.-'8.$.-XB XM#-
R2e45orXB Xo23erXB X-,3C*eX)Y
Para verfcar, e|ecute desde e smboo de sstema de MySOL o sguente:
select O !rom nas where shortname)X,iRuteadorXY
Lo anteror debe regresar ago smar a o sguente::
NNNNNNNNN
^ id ^ nasname ^ shortname ^ type ^ ports ^ secret ^ community ^ description ^
NNNNNNNNN
^ ? ^ 175@164@#@1 ^ 2R/8>I ^ other ^ +=00 ^ 15?Jwe ^ +=00 ^ R3$'=S (lient ^
NNNNNNNNN
1 row in set (#@## sec)
Lo anteror equvae a edtar e archvo =etc=radd!=clients.con& y aadr a dreccn IP de punto
de acceso, una cave de acceso, nombre corto y tpo de NAS como ot$er.
client -%,.-'8.$.- Z
secret ) 64)C#er-6)4"e-5e-466eso
shortname ) XRT5JG
nastype ) o23er
[
Para que surta efecto e cambo, hay que rencar e servco radiusd:
service radiusd restart
Para aadr otro punto de acceso, soo basta repetr as nea con os datos que correspondan:
'+S%R/ '+/. nas (nasnameB shortnameB typeB secret) &30=%S (X-%,.-'8.$.,5JXB XO2ro-
R2e45orXB Xo23erXB X-,3C*eX)Y
613
Para reazar pruebas de conectvdad remota, aada un equpo sguendo e procedmento
anteror, y desde este equpo e|ecute e mandato radtest (ncudo en e paquete &reeradius*(
utils, s se utza CentOS 5 o Red Hat Enterprse Lnux 5, o ben &reeradius(utils, s se utza una
versn recente de Fedora) de a sguente forma, donde 2.2.2.2 corresponde a a dreccn IP de
servdor Freeradus:
radtest !ulano 15?Jwe ;.;.;.; 1415 15?Jwe
Lo anteror debera devover ago smar a o sguente.
Sending 3ccessReJuest o! id 558 to ;.;.;.; port 1415
=ser+ame ) *!ulano*
=ser;assword ) *15?Jwe*
+3S';3ddress ) 156@#@#@1
+3S;ort ) 1415
rad-recv" 3ccess3ccept packet !rom host ;.;.;.; port 1415B id)558B length)5#
96.*.+. %nstalar Daloradius para administracin a travs de E@@<.
Se requere nstaar Apache, PHP y sus gaduras para MySOL, a bboteca GD y Pear-DB:
yum y install httpd php phpmysJl phpgd phppear phppear$9
Ince e servco $ttpd:
service httpd start
Aada e servco $ttpd a os servcos de arranque de sstema:
chkcon!ig httpd on
Cambe a drectoro =var=PPP=:
cd /var/www
Descargue desde sourceforge.net/pro|ects/daoradus e archvo correspondente a a versn ms
recente de Daoradus:
wget http"//cdnetworksus
1@dl@source!orge@net/proMect/daloradius/daloradius/daloradius#@74/daloradius#@7
4@tar@gC
Descomprma e archvo descargado:
tar Cxv! daloradius#@74@tar@gC
Cambe os permsos de todo e contendo de drectoro recn descomprmdo para que
pertenezcan a usuaro y grupo apac$e:
chown R apache"apache daloradius#@74
614
Cambe a drectoro daloradius(O.S(9:
cd daloradius#@74
cargue as tabas de Daloradius en a base de datos utzada por Freeradus.
mysJl uradius p15?Jwe _ contrib/db/mysJldaloradius@sJl
Edte e archvo li!rary=daloradius.con&.p$p:
vim library/daloradius@con!@php
Edte os vaores correspondentes a os necesaros para a conexn aa base de datos utzada por
Freeradus.
Fcon!ig&aluesDX(.+<'I-$9-1.S/XE ) X156@#@#@1XY
Fcon!ig&aluesDX(.+<'I-$9-=S%RXE ) XradiusXY
Fcon!ig&aluesDX(.+<'I-$9-;3SSXE ) X15?JweXY
Fcon!ig&aluesDX(.+<'I-$9-+3,%XE ) XradiusXY
Genere un nuevo archvo denomnado =etc=$ttpd=con&.d=daloradius.con&:
vim /etc/httpd/con!@d/daloradius@con!
Aada e sguente contendo, donde 2.2.2.2 (e|empo: 192.168.0.2) corresponde a a dreccn IP
de sstema desde e cua se reazar a admnstracn remota de Daloradius:
3lias /daloradius */var/www/daloradius#@74/*
.ptions +one
order denyBallow
deny !rom all
allow !rom 156@#@#@1
allow !rom x@x@x@x
Acceda con cuaquer navegador moderno haca ttp*++direci#n2ip2servidor+radius+. Ingrese con e
usuaro Administrator y a cave de acceso radius. Desde esta nterfaz podr aadr y
admnstrar as cuentas de usuaros y admnstrar y aadr os puntos de acceso.
96.3. Bi!liogra&a.
Settng Up A FreeRadus Based AAA Server Wth MySOL & Management Wth Daoradus.
Wkpeda.
615
97. Cmo instalar Java +.6 en Cent0> 5.
97.+. %ntroduccin.
De modo predetermnado, Cent0> 5 y 'ed Eata "nterprise inu2 5 ncuyen a versn 1.4.2 y
1.6.0 de 0penJDI, es a versn bre de a pataforma de desarroo |ava, que actuamente
pertenece a Orace, dstrbuda ba|o os trmnos de a cenca GNU/GPLv2. Sn embargo, agunos
desarroos, sobre todo apcacones comercaes para Apac$e @omcat, pueden requerr utzar
una versn dstnta de |ava. Este documento expca como nstaar JDI +.6.O, a mpementacn
|ava comerca y prvatva de 0racle, en Cent0> 5 y 'ed Eata "nterprise inu2 5.
97.*. %nstalacin del e#uipamiento lgico necesario.
S utza Cent0> 5 o Red Hat Enterprse Lnux 5, necesta reazar o sguente para nstaar o
actuazar os paquetes necesaros:
yum y install rpmbuild gcc gcccNN redhatrpmcon!ig automake autocon!
yum y install xorgx11!ontutils chk!ontpath ttmk!dir
97.3.+. Creacin de usuario para utili8ar rpm!uild.
Es poco convenente y representa un ato rego utzar rpmbud como root. Por o tanto es
recomendabe crear una cuenta de usuaro destnada excusvamente a utzar e mandato
rpm!uild.
su root
useradd rpmbuilduser
passwd rpmbuilduser
97.3.*. Creacin de estructura de directorios para rpm!uild.
A fn de poder traba|ar cmodamente, se crear como usuaro un con|uto de drectoros que sern
utzados para crear paquetera RPM.
su rpmbuilduser
mkdir p T/rpmbuild/ZS.=R(%SBSR;,SBS;%(SBR;,SB/,;B9='0$[
616
Utzando vi, o cuaquer otro edtor detexto, confgure e archvo Y=.rpmmacros con e sguente
contendo:
V-topdir /home/rpmbuilduser/rpmbuild
V-tmppath VZ-topdir[//,;
V-unpackaged-!iles-terminate-build #
Vpackager ,i nombre
Vdistribution ,i distribuciQn o crea de trabaMo@
Vvendor ,i empresa@
Descargar e archvo .ava(+.6.O(sun(+.6.O.+4(+.pp.nosrc.rpm, o ben una versn posteror a a
edcn de este documento, ocazado en $ttp-==mirrors.dotsrc.org=.pacKage=6.O=generic=non(
&ree=>'<:>=.
A contnuacn, se debe descargar |DK de Orace, Inc. desde
www.orace.com/technetwork/|ava/|avase/downoads/ndex.htm (|dk-6u14-nux es a versn ms
recente soportada por |akarta)
S utza una arqutrectura x86, debe hacer e|ecutabe e archvo descargado utzando e
sguente mandato:
chmod Nx Mdk6u1>linuxi846@bin
Y mover ste tmo dentro de Y=rpm!uild=>0,'C">=
mv Mdk6u1>linuxi846@bin T/rpmbuild/S.=R(%S/
S utza una arqutrectura x86_64, debe hacer e|ecutabe e archvo descargado utzando e
sguente mandato:
chmod Nx Mdk6u1>linuxx6>@bin
Y mover ste tmo dentro de Y=rpm!uild=>0,'C">=
mv Mdk6u1>linuxx6>@bin T/rpmbuild/S.=R(%S/
Reconstrur e paquete .ava(+.6.O(sun(+.6.O.+4(+.pp.nosrc.rpm para generar os paquetges de
|ava 1.6.
rpmbuild rebuild Mava1@6@#sun1@6@#@1>1Mpp@nosrc@rpm
S utza una arqutectura x86, o anteror generar os sguentes paquetes dentro de drectoro
Y=rpm!uild='<:>=i596=:
|ava-1.6.0-sun-1.6.0.14-1|pp.586.rpm
|ava-1.6.0-sun-asa-1.6.0.14-1|pp.586.rpm
|ava-1.6.0-sun-demo-1.6.0.14-1|pp.586.rpm
|ava-1.6.0-sun-deve-1.6.0.14-1|pp.586.rpm
|ava-1.6.0-sun-fonts-1.6.0.14-1|pp.586.rpm
|ava-1.6.0-sun-|dbc-1.6.0.14-1|pp.586.rpm
|ava-1.6.0-sun-pugn-1.6.0.14-1|pp.586.rpm
617
|ava-1.6.0-sun-src-1.6.0.14-1|pp.586.rpm
Para nstaar, cambarse a drectoro Y=rpm!uild='<:>=i596= e nstaar soo a paquetera
requerda. E|empo:
cd T/rpmbuild/R;,S/i846/
su
rpm =vh Mava1@6@#sun1@6@#@1>1Mpp@i846@rpm Mava1@6@#sunalsa1@6@#@1>
1Mpp@i846@rpm Mava1@6@#sun!onts1@6@#@1>1Mpp@i846@rpm Mava1@6@#sunplugin
1@6@#@1>1Mpp@i846@rpm
exit
S utza una arqutectura x86_64, o anteror generar os sguentes paquetes dentro de
drectoro Y=rpm!uild='<:>=296Q64=:
|ava-1.6.0-sun-1.6.0.14-1|pp.x86_64.rpm
|ava-1.6.0-sun-asa-1.6.0.14-1|pp.x86_64.rpm
|ava-1.6.0-sun-demo-1.6.0.14-1|pp.x86_64.rpm
|ava-1.6.0-sun-deve-1.6.0.14-1|pp.x86_64.rpm
|ava-1.6.0-sun-fonts-1.6.0.14-1|pp.x86_64.rpm
|ava-1.6.0-sun-|dbc-1.6.0.14-1|pp.x86_64.rpm
|ava-1.6.0-sun-pugn-1.6.0.14-1|pp.x86_64.rpm
|ava-1.6.0-sun-src-1.6.0.14-1|pp.x86_64.rpm
Para nstaar, cambarse a drectoro Y=rpm!uild='<:>=296Q64= e nstaar soo a paquetera
requerda. E|empo:
cd T/rpmbuild/R;,S/x46-6>/
su
rpm =vh Mava1@6@#sun1@6@#@1>1Mpp@x46-6>@rpm Mava1@6@#sunalsa1@6@#@1>
1Mpp@x46-6>@rpm Mava1@6@#sun!onts1@6@#@1>1Mpp@x46-6>@rpm Mava1@6@#sunplugin
1@6@#@1>1Mpp@x46-6>@rpm
exit
De modo predetermnado, e sstema utza a versn 1.4.2 de GNU.org.Se puede defnr desde a
termna que versn de |ava utzar a travs demandato alternatives con a opcn ((con&ig
.ava.
/usr/sbin/alternatives con!ig Mava
Lo anteror devueve una sada smar a a sguente:
1ay 5 programas Jue proporcionan XMavaX@
SelecciQn (omando
ON 1 /usr/lib/Mvm/Mre1@>@5gcM/bin/Mava
5 /usr/lib/Mvm/Mre1@6@#sun/bin/Mava
;resione 'ntro para mantener la selecciQn actualDNEB o escriba el
n`mero de la selecciQn"
Seeccone a versn +.6 de de >un :icrosystems pusando a teca de nmero 2 y uego a
teca ")@"'.
618
Para verfcar que a versn de |ava 1.6 ha sdo nstaada correctamente, soo basta e|ecutar e
sguente mandato:
Mava version
Para fnazar, s e sstema dspone de :o8illa Fire&o2, se puede confgurar e compemento |ava
(Pugn |ava) creando un enace smbco de =usr=li!=.vm=.ava(+.6.O(sun(
+.6.O.+4=.re=li!=`=li!.avapluginQ.ni.so dentro de =usr=li!=mo8illa=plugins= de a sguente
manera:
cd /usr/lib/moCilla/plugins/
ln s /usr/lib/Mvm/Mava1@6@#sun1@6@#@1>/Mre/lib/O/libMavaplugin-Mni@so @/
619
99. Cmo con&igurar esc;ner en red
condcones sguentes: a) Debe reconocer y ctar a autor orgna. !N )o puede utili8ar esta o!ra para &ines comerciales. c) S atera o
99.+. %ntroduccin.
99.+.+. Acerca de >A)".
>A)" (>canner Access )ow "asy) es un A<% (Appcaton <rogrammng %nterface o Interfaz de
Programacn de Apcacones) que proporcona un acceso estandarzado haca cuaquer
dspostvo de captura de mgenes.
Dfere de A<% @WA%), utzado en Mcrosoft Wndows y Mac OS, e cua gestona
smutneamente as nterfaz y as comuncacones con e dspostvo. >A)" est separado dos
partes: programas de cente y controadores de dspostvo. Un controador >A)" soo provee una
nterfaz con e sustento fsco y descrbe un determnado nmero opcones que cada dspostvo
puede utzar. Las opcones, a su vez, especfcan parmetros taes como a resoucn para
captura, tamao de rea a capturar, coores, brantes, contraste, etc. Una de as venta|as de esta
separacn es que es reatvamente fc de mpementar e servco en red, sn consderacones
partcuares tanto en os programas cente como controadores de dspostvos.
URL: http://www.sane-pro|ect.org/
99.+.*. Acerca de Dsane.
Dsane es un programa cente para >A)". Utza a bboteca >A)" para reazar a comuncacn
con os dspostvos escner.
Dsane tene as sguentes capacdades con as mgenes adqurdas a travs de >A)":
Mostrar a magen capturada en un vsor.
Guardar una magen como archvo.
Hacer una fotocopa.
Crear un documento de mtpes pgnas.
Crear un fax.
Crear un mensa|e de correo eectrnco.
URL: http://www.xsane.org/
620
99.*.+. %nstalacin del servicio saned.
99.*.+.+. %nstalacin a travs de yum.
yum y install sanebackends sane!rontends xinetd
99.*.+.*. %nstalacin a travs de up*date.
up5date i sanebackends sane!rontends xinetd
99.*.*. %nstalacin del cliente Dsane.
99.*.*.+. %nstalacin a travs de yum.
yum y sanebackends sane!rontends xsanegimp xsane sane!rontends
99.*.*.*. %nstalacin a travs de up*date.
up5date i sanebackends sane!rontends xsanegimp xsane sane!rontends
99.3.+. Con&iguracin del servicio saned.
Se debe verfcar que en e archvo =etc=sane.d=dll.con& est habtada a nea correspondente a
controador para escner a travs de red, es decr net.
A enable the next line i! you want to allow access through the network"
net
Se aade en e archvo =etc=sane.d=saned.con& a sta de dreccones IP que tendrn permtdo
conectarse a servco saned para escner en red. En e sguente e|empo se permte e acceso a
as dreccones IP 192.168.1.254, 192.168.1.253, 192.168.1.252, 192.168.1.251 y 192.168.1.250:
A
621
A saned@con!
A
A /he contents o! the saned@con! !ile is a list o! host
A names or '; addresses that are permitted by saned to
A use local S3+% devices in a networked con!iguration@
A /he hostname matching is not casesensitive@
A
Ascanclient@somedomain@!irm
A175@164@#@1
175@164@1@58>
175@164@1@58?
175@164@1@585
175@164@1@581
175@164@1@58#
Con a fnadad de que as dversas apcacones y servcos puedan proporconar una dentfcacn
para e servco, se edta e archvo =etc=services y se aade a sguente nea, donde 6566
corresponde a puerto correspondente a servco saned:
saned 6866/tcp saned A S3+% network scanner daemon@
Debe crearse e archvo =etc=2inetd.d=saned con e sguente contendo, a fn de que e acceso a
servco sea gestonado sobre demanda a travs de e servco 2inetd:
service saned
Z
socket-type ) stream
server ) /usr/sbin/saned
protocol ) tcp
user ) root
group ) root
wait ) no
disable ) no
[
Una vez hecho todo o anteror, se especfca a actvacn de servco saned con e mandato
c$Kcon&ig, e cua a su vez notfcar a e servco 2inetd que nce automtcamente este a
recbr cuaquer petcn en e puerto 6566 de sstema:
chkcon!ig saned on
S todo ha do ben, se puede comprobar e funconamento de servco utzando e mandato
telnet drgdo haca e puerto 6566 de retorno de sstema.
telnet localhost 6866
Lo anteror debe devover ago como o sguente:
/rying 156@#@#@1@@@
(onnected to localhost@
Para sar de ntrprete de mandato telnet, soo se debe ngresar Juit y pusar a teca ENTER.
622
99.3.*. Con&iguracin del cliente Dsane.
Se debe especfcar en e archvo =etc=sane.d=net.con& de os equpos cente con Dsane a
dreccn IP de servdor recn confgurado. En e sguente e|empo. se especfca que e servco
saned est en e sstema con dreccn IP 192.168.1.1:
A /his is the net con!ig !ile@ %ach line names a host to attach to@
A '! you list *localhost* then your backends can be accessed either
A directly or through the net backend@ Ioing through the net backend
A may be necessary to access devices that need special privileges@
175@164@1@1
Una vez hecho o anteror, a utzar Dsane en os centes, estos debern detectar
automtcamente e escner en e servdor 192.168.1.1. Es mportante recordar que soo se puede
acceder haca e escner con un soo cente por vez.
623
9S. Cmo con&igurar un servidor de respaldos
con BacKup<C.
9S.+. %ntroduccin.
BackupPC es un sstema de respados y restauracn para entornos Unx/Lnux y MS Wndows,
basado sobre Per y con una nterfaz HTTP potente y reatvamente senca para su admnstracn.
BackupPC funcona a travs de os protocoos SMB y SSH+rsync.
Resuta una soucn menos robusta que Bacula, pero defntvamente es mucho ms senca y
fc de admnstrar, confgurar y mantener.
La versn estabe ms recente de BacKup<C es a 3.1.0, y es a recomendada para sstemas en
produccn.
,'. http://backuppc.sourceforge.net/.
9S.*. %nstalacin del e#uipamiento lgico necesario.
Fedora 9 en adeante ncuye e paquete BacKup<C en sus depstos YUM, por o que soo es
necesaro nstaaro desde a termna a travs de mandato yum. E sguente procedmento soo
es necesaro para Cent0> 5 y 'ed Eat "nterprise inu2 5, para 32bt o 64bt.
9S.*.+. %nstalacin en Cent0> 5.
Como e usuaro root, desde una termna, crear e archvo /etc=yum.repos.d=A(>erver.repo,
utzando cuaquer edtor de texto. En e sguente e|empo se utza vi.
vi /etc/yum@repos@d/30Server@repo
Aadr a este nuevo arc$ivo e sguente contendo:
D30ServerE
gpgcheck)1
Importar a frma dgta de Alcance i!re e|ecutando o sguente desde a termna:
624
Instaar e equpamento gco (soft)are) necesaro, que consste en os paquetes RPM de
BackupPC, Apache, mod_per y samba-cent:
yum y install 9ackup;( httpd mod-perl sambaclient
Lo anteror crear automtcamente e usuaro !acKuppc e nstaar os archvos necesaros con
os permsos correspondentes.
9S.3.+. Con&iguracin de Apac$e.
S es a prmera vez que se nca e servco $ttpd (Apache), ncar ste y agregaro a os servcos
de arranque de sstema:
/sbin/service httpd start
/sbin/chkcon!ig httpd on
S e servco $ttpd ya estaba funconado antes de os procedmentos descrtos en este
documento, rencar ste:
/sbin/service httpd restart
La nstaacn de e paquete BacKup<C ncuye e archvo /etc=$ttpd=con&.d=BacKup<C.con&.
Este vene confgurado para soo permtr conexones haca a herramenta de admnstracn de
BacKup<C desde a nterfaz de retorno de sstema (loopbac(, 127.0.0.1). Convene edtar este
archvo y defnr que se permta e acceso a otros equpos a fn de permtr a admnstracn
remota de BacKup<C. aada |usto despus de alloP &rom +*7.O.O.+ a dreccn IP de equpo
desde e cua se reazar a admnstracn de BackupPC, o ben a red y mscara de subred (en
formato de bts) correspondente. En e sguente e|empo, se permtr e acceso desde cuaquer
equpo en 192.168.1.0/24:
_$irectory /usr/share/9ackup;(/sbin/R
A 9ackup;( reJuires valid authentication in order !or the web inter!ace to
A !unction properly@ .ne can view the web inter!ace without authentication
A though all !unctionality is disabled@
A
A htpasswd c /etc/9ackup;(/apache@users yourusername
A
order denyBallow
deny !rom all
allow !rom 156@#@#@1 175@164@1@#/5>
3uth/ype 9asic
3uth=ser<ile /etc/9ackup;(/apache@users
3uth+ame *9ackup;(
reJuire validuser
_/$irectoryR
625
3lias /9ackup;(/images /usr/share/9ackup;(/html/
Script3lias /9ackup;( /usr/share/9ackup;(/sbin/9ackup;(-3dmin
Recargue a confguracn en e servco $ttpd, a fn de que surtan efecto os cambos:
/sbin/service httpd reload
9S.3.*. Con&iguracin de BacKup<C.
Se deben asgnar os contextos correspondentes para SELnux a fn de que ste permta operar
normamente a BacKup<C:
chcon R t httpd-sys-content-t /etc/9ackup;(
chcon R t httpd-sys-script-rw-t /etc/9ackup;(/pc
Antes de ncar e servco, es mportante crear un usuaro admnstrador para a nterfaz HTTP.
Utce e mandato $tpassPd para cerrar e archvo /etc/BackupPC/apache.users y crear un usuaro
vrtua que reazar as funcones de admnstrador. En e sguente e|empo, se crear e
archvo /etc=BacKup<C=apac$e.users y e usuaro denomnado administrador:
htpasswd c /etc/9ackup;(/apache@users administrador
Lo anteror devover un dogo para asgnar a cave de acceso para e usuaro denomnado
administrador, msma que deber confrmar para contnuar.
Utzando cuaquer edtor de texto, modfque e archvo /etc=BacKup<C=con&ig.pl:
vim /etc/9ackup;(/con!ig@pl
De este archvo soo es necesaro ocazar y modfcar os sguentes parmetros:
$Con&\>erverEost_: Se ocaza en a nea 44 de archvo /etc=BacKup<C=con&ig.pl.
Srve para defnr e nombre de anftrn (ostname) de sstema.
$Con&\CgiAdmin,sers_: Se ocaza en a nea 1918 de
archvo /etc=BacKup<C=con&ig.pl. Srve para defnr e usuaro admnstrador.
$Con&\Cgi,'_: Se ocaza en a nea 1923 de archvo /etc=BacKup<C=con&ig.pl. Srve
para defnr e URL de a herramenta de admnstracn.
$Con&\anguage_: Se ocaza en a nea 1934 de archvo /etc=BacKup<C=con&ig.pl.
Srve para defnr e doma a utzar en a nterfaz de a herramenta de admnstracn.
Consderando como e|empo que e servdor tene una dreccn IP 192.168.1.1, que hay un DNS en
a red oca que resueve esta dreccn IP con e nombre servidor.redlocal.net, y que se va a
utzar e doma espao para a nterfaz HTTP de a herramenta de admnstracn, estabezca os
sguentes vaores para os parmetros menconados arrba:
F(on!ZServer1ost[ ) servidor@redlocal@net
F(on!Z(gi3dmin=sers[ ) administrador
626
F(on!Z(gi=R0[ ) http"//servidor@redlocal@net/9ackup;(
F(on!Z0anguage[ ) es
S se carece en a red oca de un servdor DNS que resueva e nombre servidor.redlocal.net,
puede estabecerse e vaor de parmetro $Con&\Cgi,'_ como ttp*++direcci#n2ip2
servidor+Bac(upE%. En e sguente e|empo, consderando como e|empo que e servdor tene una
dreccn IP 192.168.1.1, se puede utzar o sguente:
F(on!ZServer1ost[ ) servidor@redlocal@net
F(on!Z(gi3dmin=sers[ ) administrador
F(on!Z(gi=R0[ ) http"//175@164@1@1/9ackup;(
F(on!Z0anguage[ ) es
Incar y agregar a os servcos de arranque de sstema a servco !acKuppc:
/sbin/service backuppc start
/sbin/chkcon!ig backuppc on
Ingresar con cuaquer navegador haca ttp*++servidor.redlocal.net+Bac(upE%, o ben
ttp*++7YG.7VT.7.7+Bac(upE%, y autentcar como e usuaro administrador. Hacer cc en "dit
$osts (Edtar anftrones) e ngresar agunas dreccones IP de equpos GNU/Lnux o Wndows a
respadar.
Aadendo anftrones para respadar en BackupPC.
9S.3.3. Con&iguracin de los sistemas ?),=inu2 a respaldar.
Desde a nterfaz de admnstracn de BacKup<C, edte a confguracn de anftrn remoto con
GNU/Lnux a respadar y confrme que se ha defndo como mtodo rsync. Defna tambn e
drectoro a respadar en e equpo remoto.
627
Confgurando anftrn GNU/Lnux para respadar en BackupPC.
Los respados se reazan a travs de e mandato rsync en combnacn con e mandato ss$. Para
poder reazar cuaquer operacn es necesaro generar una frma dgta (idQdsa.pu!), sin clave
de acceso, para e usuaro !acKuppc de servdor que hospeda BacKup<C, a cua se copa en a
cuenta de usuaro root de equpo remoto a respadar, en e archvo -/.ss$=aut$ori8edQKeys,
archvo que deber tener permsos de soo ectura para e usuaro propetaro.
Cambe a usuaro !acKuppc especfcando /!in=!as$ como ntrprete de mandatos.
su s /bin/bash l backuppc
Genere e drectoro -/.ss$, con permsos de acceso excusvos para e usuaro:
mkdr -m 0700 -/.ssh/
Genere a frma dgta utzando e sguente mandato:
sshkeygen t dsa
Cuando se socte una cave de acceso, smpemente pusar a teca ")@'A' (-=T-?) sn ngresar
dato aguno.
Un e|empo de a sada de o anteror sera como a sguente:
Ienerating public/private dsa key pair@
%nter !ile in which to save the key (/home/usuario/@ssh/id-dsa)"
%nter passphrase (empty !or no passphrase)"
%nter same passphrase again"
:our identi!ication has been saved in /home/usuario/@ssh/id-dsa@
:our public key has been saved in /home/usuario/@ssh/id-dsa@pub@
/he key !ingerprint is"
5c"6?"?#"!e"85"51"a8"45"64">7"86"cd"?6"a!"?6"d! usuarioScliente
628
Camba os permsos de todos os archvos recn creados a soo ectura y escrtura para root:
chmod 6## T/@ssh/Zid-dsaBid-dsa@pub[
Crear en a cuenta de usuaro root de equpo remoto a respadar e drectoro -/.ss$ y e archvo
-/.ss$=aut$ori8edQKeys, con premsos de soo ectura y escrtura para root.
ssh rootSeJuipo mkdir m #6## T/@ssh
ssh rootSeJuipo touch T/@ssh/authoriCed-keys
ssh rootSeJuipo chmod 6## T/@ssh/authoriCed-keys
Copar e contendo de -/.ss$=idQdsa.pu! dentro de archvo -/.ss$=aut$ori8edQKeys de a
cuenta de usuaro root de equpo a respadar:
cat T/@ssh/id-dsa@pub ^ ssh rootSeJuipo *cat RR T/@ssh/authoriCed-keys*
A partr de este punto, soo bastar seecconar a equpo remoto a respadar desde a nterfaz de
admnstracn de BackupPC e ncar un prmer respado hacendo cc en e botn Comen8ar
copia de seguridad completa.
9S.3.4. Con&iguracin de los sistemas WindoPs a respaldar.
E mtodo ms smpe es reazar os respados de BacKup<C a travs de e protocoo SMB.
Ingresar a Wndows como admnstrador y confgurar e sstema para compartr carpetas e
mpresoras. A termnar, compartr a carpeta a respadar o ben e dsco duro competo (C-).
Desde a nterfaz de admnstracn de BacKup<C, edte a confguracn de anftrn remoto con
Wndows a respadar y defna como mtodo sm!. Defna tambn e nombre de recurso
compartdo a respadar en e equpo remoto y e nombre de usuaro y cave de acceso de
admnstrador de equpo Wndows remoto.
Confgurando anftrn Wndows para respadar en BackupPC.
629
A partr de este punto, soo bastar seecconar a equpo remoto a respadar desde a nterfaz de
admnstracn de BackupPC e ncar un prmer respado hacendo cc en e botn Comen8ar
copia de seguridad completa.
E procedmento resumdo de respado de carpeta compartda desde Wndows, sera e sguente.
Prmeramente, comparta desde Wndows cuaquer carpeta. Defna un usuaro y cave de acceso
para sta.
Acceda con cuaquer navegador haca ttp*++servidor+Bac(upE%+ y acceda como e usuaro
admnstrador.
Desde "dit Eosts, aada a dreccn IP de equpo a respadar, y defna un usuaro. A termnar,
haga cc sobre e botn >ave que se ocaza en a parte superor de a pgna.
Especfque e protocoo SMB para reazar os respados. Defna e nombre de recurso compartdo
desde Wndows, defna e usuaro y cave de acceso. A termnar, haga cc sobre e botn >ave
que se ocaza en a parte superor de a pgna.
630
Puede defnr a frecuenca de os respados totaes y respados incrementales. De modo
predetermnado e vaor para os respados totaes es cada 7 das, y para os incrementales es cada
da. Se recomenda utzar un vaor geramente nferor a os das. Por e|empo, 6.97 se utza en
ugar de 7 das, y 0.97 se utza en ugar de 1 da. Esto se hace para me|orar a granuardad de
respado. A termnar, haga cc sobre e botn >ave que se ocaza en a parte superor de a
pgna
631
A termnar todo o anteror, puede ncar e prmer respado hacendo cc sobre e botn de
Comen8ar copia de seguridad completa. S ocurren errores, stos sern regstrados y se
mostrar un mensa|e en a pgna prncpa de equpo. Por o genera os errores ms comunes se
deben a nombre de usuaro ncorrecto, cave de acceso ncorrecta o nombre de recurso ncorrecto.
632
633
SO. Cmo con&igurar un racimo MclusterN de alta
disponi!ilidad con Eeart!eat en Cent0> 5.
SO.+. %ntroduccin.
Este documento descrbe os procedmentos de confguracn de un agrupamento (cluster) de
ata dsponbdad utzando Heartbeat.
Se asume que se dspone de dos equpos o mqunas vrtuaes, as cuaes sern os dos nodos de
agrupamento, y tene as sguentes caracterstcas:
)odo +:
Sstema operatvo: CentOS 5.4
Dreccn IP eth0: 192.168.1.101/255.255.255.0, conectado a a LAN o haca Internet, y con e nombre
de anftrn asocado a nombre.pubco.nodo2.com.
Dreccn IP eth1: 192.168.2.1/255.255.255.248, conectado con cabe cruzado o a un swtch o
concentrador dedcado excusvamente para os nodos de agrupamento, o ben nterfaz de Intranet en
VrtuaBox, y con e nombre de anftrn asocado a nombre.prvado.nodo1.com.
"l nom!re del an&itrin Mhostna"eNL de&inido en el arc$ivo =etc=syscon&ig=netPorKL de!e ser
nom!re.privado.nodo+.com.
)odo *:
Sstema operatvo: CentOS 5.4
Dreccn IP eth0: 192.168.1.102/255.255.255.0, conectado a a LAN o haca Internet, y con e nombre
de anftrn asocado a nombre.pubco.nodo2.com.
Dreccn IP eth1: 192.168.2.2/255.255.255.248, conectado con cabe cruzado o ben haca un s)itc o
concentrador dedcado excusvamente para a comuncacn entre os nodos de agrupamento, o ben
nterfaz de Intranet en VrtuaBox, y con e nombre de anftrn asocado a nombre.prvado.nodo2.com.
"l nom!re del an&itrin Mhostna"eNL de&inido en el arc$ivo =etc=syscon&ig=netPorKL de!e ser
nom!re.privado.nodo*.com.
Ambos nodos pueden ser dferentes en cuanto a arqutectura, capacdad y componentes.
Ambos nodos formarn un agrupamento (cluster) de ata dsponbdad que responder por a
dreccn IP 192.168.1.100/255.255.255.0, asocada a nombre nombre.pubco.custer.com.
SO.+.+. Acerca de Eeart!eat.
Heartbeat es un servco que provee servcos de nfraestructura de agrupamento (cluster) a
centes. Permte a os centes saber s uno de os nodos est presente o ausente, ntercambado
fcmente mensa|es entre stos. Est especfcamente dseado para funconar como
agrupamento de ata dsponbdad para cuaquer tpo de servco.
>itio de %nternet- http://www.nux-ha.org/
634
SO.*. <rocedimientos.
SO.*.+. >ervicios #ue de!en desactivarse.
En ambos nodos, s estuvesen presentes, deben estar desactivados os servcos ava$i(daemon
y ava$i(dnscon&d, as como cuaquer otro servco que ntente utzar a nterfaz eth1, msma
que debe estar competamente dedcada a as comuncacones de Heartbeat.
service avahidaemon stop
service avahidnscon!d stop
chkcon!ig avahidaemon o!!
chkcon!ig avahidnscon!d o!!
Es mportante tambn desactvar e cortafuegos predetermnando de sstema en ambos nodos,
debdo a que ste nterfere con a comuncacn entre os nodos de $eart!eat:
service ip6tables stop
chkcon!ig iptables o!!
chkcon!ig ip6tables o!!
E muro cortafuegos de ambos nodos puede ser fcmente gestonado a travs de >$orePall,
como se expca ms adeante.
SO.*.*. >"inu2 y Eeart!eat.
Lamentabemente, de modo predetermnado a mpementacn de SELnux ncuda en CentOS 5.x
carece de potcas que permtan funconar a servco $eart!eat, a menos que se generen
manuamente as necesaras o ben se ponga SELnux en modo permsvo o se desactve por
competo ste.
SO.*.*.+. Con&iguracin del sistema con >"inu2 activo.
Partcuarmente recomendo crear as potcas necesaras para SELnux. Es reatvamente smpe.
E sguente procedmento deber reazarse en ambos nodos.
Lo prmero es cambarse a drectoro /usr=s$are=selinu2=pacKages.
cd /usr/share/selinux/packages
Se crea un subdrectoro que ser denomnado $eart!eat:
mkdir heartbeat
Se camba a este nuevo subdrectoro:
cd heartbeat
Suponendo que se van a confgurar os servcos s$orePall (o ben ipta!les), $ttpd, named y
vs&tpd, descargue e archvo $eart!eat+.te desde Acance Lbre:
635
wget + http"//www@alcancelibre@org/linux/secrets/heartbeat1@te
E edte e archvo $eart!eat+.te que se acaba de descargar:
vim heartbeat1@te
Y verfque que tenga e sguente contendo:
module heartbeat1 1@#Y
reJuire Z
type proc-tY
type urandom-device-tY
type !tpd-tY
type httpd-tY
type iptables-tY
type ndc-tY
type initrc-tY
type named-tY
class unix-stream-socket Z read write [Y
class !ile readY
class chr-!ile readY
[
A))))))))))))) !tpd-t ))))))))))))))
allow !tpd-t initrc-t"unix-stream-socket Z read write [Y
A))))))))))))) httpd-t ))))))))))))))
allow httpd-t initrc-t"unix-stream-socket Z read write [Y
A))))))))))))) iptables-t ))))))))))))))
allow iptables-t initrc-t"unix-stream-socket Z read write [Y
A))))))))))))) named-t ))))))))))))))
allow named-t initrc-t"unix-stream-socket Z read write [Y
A))))))))))))) ndc-t ))))))))))))))
allow ndc-t initrc-t"unix-stream-socket Z read write [Y
allow ndc-t proc-t"!ile readY
allow ndc-t urandom-device-t"chr-!ile readY
Lo anteror, que fue obtendo de a sada de mandato dmesghgrep audithaudit*alloP (m
$eart!eat+i$eart!eat+.te en un sstema donde SELnux mpeda a Heartbeat ncar os
servcos anterormente menconados. En s, defne que se permte e modo de ectura y escrtura
cuando os servcos de drectoro /etc=init.d sean ncados por un zcao generado por
Eeart!eat.
A contnuacn, se genera un e archvo de mduo para SELnux ($eart!eat+.mod) utzando e
checkmodule , m o heartbeat1@mod heartbeat1@te
Luego, se procede a empaquetar e archvo $eart!eat+.mod como e archvo $eart!eat+.pp:
semodule-package o heartbeat1@pp m heartbeat1@mod
636
Fnamente se vncua e archvo $eart!eat+.pp obtendo con as potcas actuaes de SELnux y
se cargan stas en e nceo en e|ecucn:
semodule i /usr/share/selinux/packages/heartbeat/heartbeat1@pp
Una vez cargadas as nuevas potcas, se pueden emnar os archvos $eart!eat+.te y
$eart!eat+.mod, pues soo ser necesaro que exsta e archvo bnaro $eart!eat+.pp.
Todo o anteror se puede repetr utili8ando otro nom!re de arc$ivo distinto para poder aadr
ms servcos. Es decr, s se van a aadr ms servcos par a ser gestonados por Heartbeat,
confgurar stos en e archvo /etc=$a.d=$aresources, como se descrbe ms adeante en este
msmo documento, rencar e servco y reazar e sguente procedmento:
cd /usr/share/selinux/packages/heartbeat/
dmesg^grep auditâudit5allow m heartbeat5Rheartbeat5@te
checkmodule , m o heartbeat5@mod heartbeat5@te
semodule-package o heartbeat5@pp m heartbeat5@mod
semodule i /usr/share/selinux/packages/heartbeat/heartbeat5@pp
rm ! heartbeat5@te heartbeat5@mod
service heartbeat restart
SO.*.*.*. Con&iguracin del sistema con >"inu2 en modo permisivo.
S se desea, puede ponerse SELnux en modo permsvo en ambos nodos con e fn de evtarse
tener que reazar os procedmentos anterores. Edte e archvo /etc=syscon&ig=selinu2:
vim /etc/syscon!ig/selinux
Cambe >"%),DRen&orcing por >"%),DRpermissive, a fn de mantener funconado SELnux,
y preservar todos os contextos de ste en e sstema de archvos, pero sn nterferr con e
funconamento de Heartbeat:
A /his !ile controls the state o! S%0inux on the system@
A S%0'+=X) can take one o! these three values"
A en!orcing S%0inux security policy is en!orced@
A permissive S%0inux prints warnings instead o! en!orcing@
A disabled S%0inux is !ully disabled@
SELLNUX=.er/#ss#"e
A S%0'+=X/:;%) type o! policy in use@ ;ossible values are"
A targeted .nly targeted network daemons are protected@
A strict <ull S%0inux protection@
S%0'+=X/:;%)targeted
A S%/0.(30$%<S) (heck local de!inition changes
S%/0.(30$%<S)#
Rence e sstema en ambos nodos.
reboot
Reamente es poco recomendabe desactvar por competo SELnux, sendo que as potcas
necesaras puderan aparecer en aguna actuazacn de paquete selinu2(policy(targeted, o
ben pudera ser necesaro recurrr a a proteccn que brnda esta mpementacn en un futuro a
fn de evtar potencaes ncdentes de segurdad que normamente se evtaran utzando SELnux.
637
En versones recentes de Fedora, es posbe evtar os probemas con SELnux, de manera fc,
e|ecutando o sguente para permtr a $eart!eat traba|ar en modo sn confnar:
semanage !context a t uncon!ined-exec-semanaget /usr/lib/heartbeat/heartbeat
E contexto uncon&inedQe2ecQsemanaget es nexstente en CentOS 5 y Red Hat Enterprse Lnux
5.
SO.*.3. Con&iguracin del )odo +
Ingresar como root o ben cambar a usuaro root.
su l
Edtar e archvo /etc=$osts:
vim /etc/hosts
Y defnr os nombres asocados a a dreccn IP pbca de agrupamento (cluster) y as
dreccones IP de as nterfaces eth0, as cuaes corresponden a as nterfaces pubcas de os
nodos:
A $o not remove the !ollowing lineB or various programs
A that reJuire network !unctionality will !ail@
""1 localhost6@localdomain6 localhost6
175@164@1@1## no/!re..!)#6o.6)s2er.6o/
175@164@1@1#1 no/!re..!)#6o.no5o-.6o/
175@164@1@1#5 no/!re..!)#6o.no5o,.6o/
Para compementar o anteror, debe haber un DNS que se encargue de resover estos nombres
para a red oca y/o haca Internet.
Edtar e archvo /etc=$osts y defnr os nombres asocados a as dreccones IP de as nterfaces
eth1, as cuaes corresponden a as nterfaces prvadas de custer, a travs de a cua se
comuncan os nodos:
""1 localhost6@localdomain6 localhost6
175@164@1@1## nombre@publico@cluster@com
175@164@1@1#1 nombre@publico@nodo1@com
175@164@1@1#5 nombre@publico@nodo5@com
175@164@5@1 no/!re..r#"45o.no5o-.6o/
175@164@5@5 no/!re..r#"45o.no5o,.6o/
Instaar os servcos que se van a gestonar a travs de agrupamento (cluster):
yum y install httpd php vs!tpd wget
Utzando un edtor de texto smpe, crear e archvo /var=PPP=$tml=inde2.p$p:
638
vim /var/www/html/index@php
Y aadr e sguente contendo:
_htmlR
_headR
_titleR%ste es el nodo 1_/titleR
_/headR
_bodyR
_h1R%ste es el nodo 1_/h1R
_pR%ste es el servidor principal Jue se presenta normalmente@_/pR
_/bodyR
_/htmlR
Crear e archvo /etc=$ttpd=con&.d=cluster.con& con e sguente contendo:
A $e!inir valores con el nombre p`blico y la direcciQn
A '; p`blica del cluster
+ame&irtual1ost 175@164@1@1##"4#
_&irtual1ost 175@164@1@1##"4#R
Server+ame nombre@publico@cluster@com
$ocumentRoot /var/www/html
%rror0og logs/clustererror-log
(ustom0og logs/clusteraccess-log combined
Server3dmin alguienSalgo@com
_/&irtual1ostR
Utce cuaquer edtor de texto sobre e archvo /etc=vs&tpd=vs&tpd.con&:
Y aadr a fna de ste o sguente:
!tpd-banner)9ienvenido al servicio </; del +odo 1@
Genere con e mandato touc$ e archvo /etc=vs&tpd=c$rootQlist:
Instae e depsto YUM de Alcance i!re que ncuye >$orePall:
wget http"//www@alcancelibre@org/al/server/30Server@repo
Instae Shorewa:
Cambe a drectoro /etc=s$orePall:
639
cd /etc/shorewall
Edte con vm e archvo /etc=s$orePall=s$orePall.con& y cambe >@A'@,<Q")AB"DR)o por
>@A'@,<Q")AB"DRyes:
S/3R/=;-%+390%$):es
A fn de que exsta una comuncacn sn restrccones entre ambos nodos cuando e cortafuegos
est detendo, defna e sguente contendo en e archvo /etc=s$orePall=routesstoped:
eth# 175@164@1@1#5 critical
eth1 175@164@5@5 critical
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
Defna as zonas de mudo cortafuegos en e archvo /etc=s$orePall=8ones:
!w !irewall
net ipv>
loc ipv>
A03S/ 0'+% 3$$ :.=R %+/R'%S 39.&% /1'S .+% $. +./ R%,.&%
Defna que nterfaces de red corresponden a as zonas estabecdas en e
archvo /etc=s$orePall=inter&aces:
net eth# detect dhcpBblacklist
loc eth1 detect
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
Defna as sguentes potcas en e archvo /etc=s$orePall=policy:
!w all 3((%;/
loc !w 3((%;/
loc net R%a%(/ in!o
net all $R.; in!o
A03S/ 0'+% $. +./ R%,.&%
Consderando que se estn confgurando os servcos s$orePall, vs&tpd y $ttpd, se
admnstrarn ambos servdores a travs de SSH, mtando os pings desde cuaquer zona a 5
conexones por segundo con rfagas de 2, defna as sguentes regas para e
archvo /etc=s$orePall=rules:
3((%;/ all !w tcp 5#B51
3((%;/ all !w tcp 4#B>>?
3((%;/ all !w tcp ??#6
3((%;/ all !w tcp 55
3((%;/ all !w icmp 4 8/sec"5
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
Debdo a un error en e gun %pre (pre-nstaacn) de os paquetes de $eart!eat que son
dstrbudos a travs de os depstos YUM de CentOS, es mportante crear prevamente e usuaro
y grupo que utzar $eart!eat, o de otro modo faar a nstaacn:
groupadd g >76 haclient
useradd , g haclient u >74 d /var/lib/heartbeat/cores/hacluster hacluster
640
Instaar e paquete $eart!eat. Se nstaarn automtcamente como dependencas os paquetes
$eart!eat(stonit$ y $eart!eat(pils:
yum y install heartbeat
Cambarse a drectoro /etc=$a.d
cd /etc/ha@d
Copar os archvos de e|empo para confguracn de $eart!eat.
cp /usr/share/doc/heartbeatO/ha@c! @/ha@c!
cp /usr/share/doc/heartbeatO/haresources @/haresources
cp /usr/share/doc/heartbeatO/authkeys @/authkeys
Aadr a fna de archvo aut$Keys ago smar a o sguente:
A $e!ine el esJuema de autenticaciQn por S131 y una clave de acceso@
423 ,
5 s34- .$n3r-4C--nJ-6)4"3-53-466eso-s37rJ
Puede generar e contendo de archvo /etc=$a.d=aut$Keys, con un crptograma adecuado,
utzando e sguente gun:
( echo ne *auth 5n5 sha1 *Y P
dd i!)/dev/urandom bs)815 count)1 ^ openssl md8 ) R /etc/ha@d/authkeys
Por motvos de segurdad, este archvo soo debe tener permsos de ectura y escrtura para e
usuaro root. Cambar e permso de ste e|ecutando o sguente:
chmod 6## authkeys
Edtar e archvo $a.c&:
vim ha@c!
Aadr a fna de archvo $a.c& o sguente:
)o7<#)e +"4r+)o7+34-)o7
)o7<46#)#2y )o64)$
:ee.4)#"e ,
A /iempo de espera para iniciar servicios si nodo principal deMa de
A responder@ ;uede aMustarse a cualJuier tiempo raConable@ %Memplo" 1# segundos@
5e452#/e ,$
#n#25e45 %$
A inter!aC de comunicaciQn ente nodos
!64s2 e23-
5..or2 '%J
42o_<4#)!46: on
A +ombres de los nodos Jue participarcn en el cluster@
A $eben ser di!erentes a los nombres de an!itriQn utiliCados para las ';
A p`blicas de la las inter!aces eth#@ Solo son para uso interno@
A 0os nombres deben estar resueltos en el archivo /etc/hosts
641
A con direcciones '; privadas en las inter!aces eth1B la cuales corresponden a
A las inter!aces privadas del clusterB a traves de la cual se comunican los
A nodos del cluster@
no5e no/!re..r#"45o.no5o-.6o/
no5e no/!re..r#"45o.no5o,.6o/
Edtar e archvo $aresources:
vim haresources
Aadr a fna de archvo $aresources o sguente, donde se defne e nombre de nodo 1,
dreccn IP que utzar Heartbeat para servr os recursos, mscara de subred en formato de bts,
nombre de nterfaz de red donde se crear a nterfaz vrtua, dreccn de dfusn de a red
(broadcast) y os servcos a controar:
A %n el eMemplo a continuaciQn"
A nombre@privado@nodo1@com ) nombre de an!itriQn del nodo principal
A 175@164@1@1## ) direcciQn '; p`blica del cluster
A 5> ) mcscara en !ormato de bits
A eth# ) inter!aC p`blica del cluster
A 175@164@1@1#1 ) direcciQn '; del nodo principal a supervisar
A vs!tpd httpd ) servicios a brindar a traves del cluster
no/!re..r#"45o.no5o-.6o/ -%,.-'8.-.-$$+,J+e23$+-%,.-'8.-.,55 s3ore*4)) "s<2.5 322.5
Desactvar os servcos que se van a gestonar a travs de agrupamento (cluster):
chkcon!ig httpd o!!
chkcon!ig vs!tpd o!!
chcon!ig shorewall o!!
Incar e servco $eart!eat:
service heartbeat start
Aadr e servco heartbeat a arranque de sstema:
chkcon!ig heartbeat on
Los servcos s$orePall, $ttpd y vs&tpd ncarn automtcamente poco despus de ncar e
servco $eart!eat.
SO.*.4. Con&iguracin del )odo *
Ingresar como root o ben cambar a usuaro root.
su l
Instaar os servcos que se van a gestonar a travs de agrupamento (cluster):
yum y install httpd php vs!tpd
642
Utzando un edtor de texto smpe, crear e archvo /var=PPP=$tml=inde2.p$p:
vim /var/www/html/index@php
Y aadr e sguente contendo:
_htmlR _headR _titleR%ste es el nodo 5_/titleR _/headR _bodyR _h1R%ste es el nodo
5_/h1R _pR%ste es el servidor secundario Jue se presenta cuando !alla o se apaga el
_bRnodo 1_/bR@_/pR _/bodyR _/htmlR
A travs de SCP, copar desde e nodo + e archvo /etc=$ttpd=con&.d=cluster.con& dentro de
drectoro /etc=$ttpd=con&.d= oca:
scp p 175@164@1@1#1"/etc/httpd/con!@d/cluster@con! /etc/httpd/con!@d/
Utce cuaquer edtor de texto sobre e archvo /etc=vs&tpd=vs&tpd.con&:
Y aadr a fna de ste o sguente:
!tpd-banner)9ienvenido al servicio </; del +odo 5@
Genere con e mandato touc$ e archvo /etc=vs&tpd=c$rootQlist:
Instae Shorewa:
Cambe a drectoro /etc=s$orePall:
cd /etc/shorewall
Edte con vm e archvo /etc=s$orePall=s$orePall.con& y cambe >@A'@,<Q")AB"DR)o por
>@A'@,<Q")AB"DRyes:
S/3R/=;-%+390%$):es
A fn de que exsta una comuncacn sn restrccones entre ambos nodos cuando e cortafuegos
est detendo, defna e sguente contendo en e archvo /etc=s$orePall=routesstoped:
eth# 175@164@1@1#1 critical
eth1 175@164@5@1 critical
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
643
Defna as zonas de mudo cortafuegos en e archvo /etc=s$orePall=8ones:
!w !irewall
net ipv>
loc ipv>
A03S/ 0'+% 3$$ :.=R %+/R'%S 39.&% /1'S .+% $. +./ R%,.&%
Defna que nterfaces de red corresponden a as zonas estabecdas en e
archvo /etc=s$orePall=inter&aces:
net eth# detect dhcpBblacklist
loc eth1 detect
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
Defna as sguentes potcas en e archvo /etc=s$orePall=policy:
!w all 3((%;/
loc !w 3((%;/
loc net R%a%(/ in!o
net all $R.; in!o
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
Defna as sguentes regas para e archvo /etc=s$orePall=rules:
3((%;/ all !w tcp 5#B51
3((%;/ all !w tcp 4#B>>?
3((%;/ all !w tcp ??#6
3((%;/ all !w tcp 55
3((%;/ all !w icmp 4 8/sec"5
A03S/ 0'+% 3$$ :.=R %+/R'%S 9%<.R% /1'S .+% $. +./ R%,.&%
Crear e usuaro y grupo que utzar $eart!eat:
groupadd g >76 haclient
useradd , g haclient u >74 d /var/lib/heartbeat/cores/hacluster hacluster
Instaar e paquete $eart!eat:
yum y install heartbeat
A travs de SCP, copar desde e nodo + e archvo /etc=$osts para reempazar e
archvo /etc=$osts oca:
scp p 175@164@1@1#1"/etc/hosts /etc/hosts
A travs de SCP, copar desde e nodo + e contendo competo de drectoro /etc=$a.d dentro
de /etc
scp p 175@164@1@1#1"/etc/ha@d/O /etc/ha@d/
Desactvar os servcos que se van a gestonar a travs de agrupamento (cluster):
644
chkcon!ig httpd o!!
chkcon!ig vs!tpd o!!
chkcon!ig shorewall o!!
Incar e servco $eart!eat:
service heartbeat start
Aadr e servco heartbeat a arranque de sstema:
chkcon!ig heartbeat on
Los servcos s$orePall, $ttpd y vs&tpd ncarn automtcamente soo cuando $eart!eat
detecte que ha faado e nodo + o se ha perddo conectvdad con ste.
SO.*.5. Feri&icando el agrupamiento MclusterN.
La me|or forma de verfcar que todo funcona correctamente es acceder con e navegador haca
ttp*++nombre.publico.cluster.com+ o ttp*++7YG.7VT.7.744+, o ben acceder a travs de un cente
FTP haca nombre.publico.cluster.com o 192.168.1.100. Deber de responder e nodo +.
Apague e nodo + o detenga e servco $eart!eat en e nodo 1, espere 20 a 30 segundos e
ntente acceder haca as dreccones anterores. Deber de responder e nodo *. Vovendo a
encender e nodo + o ncando de nuevo e servco $eart!eat, espere 20 a 30 segundos e
ntente acceder nuevamente haca as dreccones. Deber de responder e nodo +.
SO.*.5.+. :antener sincroni8ados los directorios.
Es mportante resatar que as nterfaces eth1 de ambos nodos deben ser excudas para reazar
cuaquer actvdad. Deben ser utzadas excusvamente por e servco de $eart!eat. Utce as
nterfaces eth0 para reazar sncronzacn de datos.
En e caso de nodo *, se puede generar una tarea programada para que se e|ecute cada certo
tempo, utzando rsync y confgurando a cuenta de root de ambos nodos para utzar SSH sn
cave de acceso. En e sguente e|empo para entrada e archvo /etc/crontab, se sncronza cada
hora e /var=&tp=pu! de nodo *, a partr de drectoro /var=&tp=pu! de nodo +:
S1%00)/bin/bash
,3'0/.)root
1.,%)/
A runparts
## O O O O roo2 rsyn6 -4"B e
e;6)5e 9@)o79 --e;6)5e 9@2/.+@9 -e ss3 --5e)e2e-4<2er e
roo2O-%,.-'8.-.-$-?+"4r+<2.+.! +"4r+<2.+.!
645
En e caso de e nodo +, se asume que s este faa y es apagado, a ncar sncronza con e nodo
*, e cua estuvo traba|ando y funconando en ausenca de nodo +. Puede agregarse e sguente
e|empo a archvo /etc=rc.local, o que corresponde a a sncronzacn de datos de os drectoros
/var=&tp=pu! a partr de e nodo * haca e nodo + que se asume acaba de ncar:
Ad/bin/sh
A
A /his script will be executed Oa!terO all the other init scripts@
A :ou can put your own initialiCation stu!! in here i! you donXt
A want to do the !ull Sys & style init stu!!@
touch /var/lock/subsys/local
rsyn6 -4"B e
e;6)5e 9@)o79 --e;6)5e 9@2/.+@9 -e ss3 --5e)e2e-4<2er e
roo2O-%,.-'8.-.-$,?+"4r+<2.+.! +"4r+<2.+.!
646
S+. ,sando >martd para anticipar los desastres
de disco duro
S+.+. %ntroduccin
La mayora de as dstrbucones recentes ncuyen smartct y smartd (parte de smartmontoos
ncudo en e paquete kerne-uts), que son herramentas utzadas para supervsar a saud de os
dscos duros reazando pruebas para comprobar su buen funconamento. Mentras e dsco y a
tar|eta madre (soporte se actva en e BIOS) tengan capacdad para utzar S.M.A.R.T. (Sef-
Montorng, Anayss and Reportng Technoogy) es posbe antcpar as faas de un dsco duro.
Soo basta confgurar un archvo (/etc/smartd.conf) e ncar un servco (smartd).
S+.*. <rocedimientos
E archvo /etc/smartd@con! soo requere una nea de confguracn por cada dsco duro en e
sstema. E|empos:
/dev/hda a m alguienSdominio@com
/dev/sda d scsi a m alguienSdominio@com
/dev/sdb d scsi a m alguienSdominio@com
Lo anteror hace que se env un reporte competo y detaado de toda a nformacn S.M.A.R.T. y
as aertas pendentes. La opcn a en dscos IDE equvae a:
/dev/hda 1 i c 3 l error l sel!test l selective
Y en dscos SCSI equvae a:
/dev/sda 1 i 3 l error l sel!test
Donde:
E
Incuye en e reporte e estado de saud y aertas pendentes. S se quere envar reportes a un
tefono mv, esta sera a opcn nca a utzar.
#
Incuye en e reporte e numero de modeo, nmero de sere, versn de Frmware e nformacn
adcona reaconada.
647
6
Incuye en e reporte as capacdades S.M.A.R.T.
-A
Incuye en e reporte atrbutos S.M.A.R.T. especfcos de fabrcante de dsco.
) error
Incuye en e reporte a btcora de errores de S.M.A.R.T.
) se)<2es2
Incuye en e reporte a btcora de pruebas de S.M.A.R.T.
) se)e62#"e
Agunos dscos tpo ATA-7 (e|empo: Maxtor) ncuyen una btcora de pruebas seectvas.
/
Cuenta de correo eectrnco a a cua se envarn reportes.
>i por e.emplo, soo nos nteresa recbr reportes de saud de /dev=$da, /dev=sda y /dev=sd!, en
una cuenta de correo eectrnco (que puede ser a que coresponda para recbr mensa|es en un
tefono mv), se utzaran o sguente en e archvo /etc=smartd.con&:
/dev/hda 1 m alguienSdominio@com
/dev/sda d scsi 1 m alguienSdominio@com
/dev/sdb d scsi 1 m alguienSdominio@com
Hecho o anteror, soo se necesta agregar e servco a os servcos de arranque de sstema e
ncar (o rencar, segn e caso) smartd:
chkcon!ig smartd on
service smartd start
E servco se encarga de e|ecutar automtcamente en e tras fondo de sstema todas as pruebas
necesaras y soportadas por as undades de dsco duro presentes. E reporte se enva
automtcamente |unto con e mensa|e con e reporte de a btcora de sstema unos mnutos
despus de as 4:00 AM.
S se quere ver un reporte a momento, competo y detaado, suponendo que se trata de un dsco
duro en e IDE 1, basta e|ecutar:
smartctl a /dev/hda
S se quere ver un reporte a momento que soo muestre e estado de saud de a undad,
suponendo que se trata de un dsco duro en e IDE 1, basta e|ecutar:
smartctl 1 /dev/hda
648
S*. Cmo crear un disco con instalacin
personali8ada de Cent0> 5.
S*.+. %nstalacin de e#uipamiento lgico necesario.
Se requere a herramenta mKiso&s para poder crear mgenes ISO, a herramenta system-confg-
kckstart para crear un archvo de confguracn con parmetros personazados para e programa
de nstaacn, y e mandato createrepo para regenerar e depsto yum en caso de que se
aadan paquetes nuevos o actuazados a a nstaacn.
yum y install mkiso!s systemcon!igkickstart createrepo
La herramenta system(con&ig(KicKstart esta ncuda en todas as versones de Cent0>,
Fedora y 'ed Eat "nterprise inu2, as como as dstrbucones de GNU/Lnux dervadas de
stas.
S*.*. <rocedimientos.
S*.*.+. Creacin de arc$ivo de con&iguracin de instalacin
personali8ada.
Se utza e programa system(con&ig(KicKstart, que consste en un programa que smua as
opcones de confguracn de programa de nstaacn de CentOS 5. A fnazar, se guarda un
archvo, que puede ser nombrado como Ks.c&g,y que ser utzado posterormente en este
documento.
S se carece de system(con&ig(KicKstart o ben sta tene un ma funconamento, o sguente
corresponde a una confguracn de e|empo que estabece a nstaacn desde la unidad lectora
de CD=DFD, nstaacn en doma espaol, con tecado con dsposcn "spaol, nterfaz et$O
confgurada por DEC<, cave de acceso para e usuaro root ser +*3#Pe, cortafuegos habtado
con e puerto 22 por TCP aberto, SELnux funconar en modo en&orcing, zona horara de a
ciudad de :2ico, nstaacn de grub en =dev=sda, y a nstaacn de os grupos de paquetes
Core (nceo y componentes bscos de sstema operatvo), Base(herramentas bscas de
sstema operatvo), "ditors (edtores de texto), Fonts (tpografas), ?)0:" DesKtop (escrtoro
de GNOME), ?rap$ical %nternet (programas grfcos para Internet), Java (soporte para |ava),
0&&ice (OpenOffce.org y otros programas para documentos), <rinting (soporte para mpresn),
>ound and Fideo (programas para sonodo y vdeo) y >panis$ >upport (soporte a espao):
A Hickstart !ile automatically generated by anaconda@
install
649
cdrom
lang es-%S@=/<4
keyboard es
network device eth# bootproto dhcp
rootpw iscrypted F1F<vs?o=8cF>!!47riow;b1%ma6.@ht$#
!irewall enabled port)55"tcp
authcon!ig enableshadow enablemd8
selinux en!orcing
timeCone utc 3merica/,exico-(ity
bootloader location)mbr driveorder)sda
A /he !ollowing is the partition in!ormation you reJuested
A +ote that any partitions you deleted are not expressed
A here so unless you clear all partitions !irstB this is
A not guaranteed to work
Aclearpart linux
Apart /boot !stype ext? siCe)5## onpart)sda1
Apart / !stype ext? siCe)1#5> ondisk)sda5 grow maxsiCe)88###
Apart swap ondisk)sda? siCe)5#>4
Vpackages
Sbase
Score
Seditors
S!onts
Sgnomedesktop
Sgraphicalinternet
SMava
So!!ice
Sprinting
Ssoundandvideo
Sspanishsupport
Lo anteror soo de|a a confguracn de partcones como nco procedmento a reazar durante
a nstaacn. Se recomenda de|ar de este modo a fn de evtar emnacn accdenta de
partcones exstentes en e dsco duro.
S*.*.*. Creacin del directorio de tra!a.o y contenido del mismo.
E prmer paso consste en crear un drectoro de traba|o donde haya espaco sufcente, es decr
aproxmadamente 3.6 GB para e drectoro de traba|o y otros 3.6 GB para crear a nueva magen
de DVD. Por tanto, se requere un mnmo de 7.2 GB de espaco bre en dsco duro. En e sguente
e|empo se utza Y=centos5(personal:
mkdir T/centos8personal
Se nserta e DVD de CentOS 5 y se de|a que e sstema asgne e punto de monta|e dentro de
/meda/ o ben se monta manuamente. S se monta manuamente, se puede utzar e sguente
procedmento:
mkdir /media/centos8
mount /dev/cdrom /media/centos8
Se copa competo e contendo de DVD de CentOS 5 en e drectoro de traba|o defndo
prevamente:
cp r /media/centos8/O T/centos8personal/
650
Tambn se debe copar tambn e archvo .discin&o que est en e DVD.
cp r /media/centos8/@discin!o T/centos8personal/
Corregr e archvo .discin&o que se cop dentro de Y=centos5(personal=, con cuaquer edtor
de texto, y cambar =$ome=!uildcentos=C")@0>=5.*=en=i396=Cent0> por Cent0>=Cent0>
Copar e archvo Ks.c&g creado con system(con&ig(KicKstart dentro de drectoro de traba|o
Y=centos5(personal=:
cp /donde/este/ks@c!g T/centos8personal/
Edtar e archvo Y=centos5(personal=isolinu2=isolinu2.c&g y aadr e parmetro
KsRcdrom-=Ks.c&g a a defncn que se desee utzar por omsn. Por e|empo, se tene e
sguente contendo en sonux.cfg:
de!ault linux
prompt 1
timeout 6##
display boot@msg
<1 boot@msg
<5 options@msg
<? general@msg
<> param@msg
<8 rescue@msg
label linux
kernel vmlinuC
append initrd)initrd@img
label text
kernel vmlinuC
append initrd)initrd@img text
label ks
kernel vmlinuC
append ks initrd)initrd@img
label local
localboot 1
label memtest46
kernel memtest
append
Soo se necesta aadr KsRcdrom-=Ks.c&g a a prmera nea de append, que corresponde a
arranque predetermnado de dsco de nstaacn.
de!ault linux
prompt 1
timeout 6##
display boot@msg
<1 boot@msg
<5 options@msg
<? general@msg
<> param@msg
<8 rescue@msg
label linux
kernel vmlinuC
4..en5 #n#2r5=#n#2r5.#/7 :s=65ro/?+:s.6<7
label text
651
kernel vmlinuC
label ks
kernel vmlinuC
label local
localboot 1
label memtest46
kernel memtest
append
Puede resutar ms convenente aadr una nueva de&inicin de arran#ue, a fn de que se de|e
ntacto e arranque por defecto, y aternatvamente se pueda cargar e archvo Ks.c&g a nvocar
desde e daogo de !oot- esta defncn.
de!ault linux
prompt 1
timeout 6##
display boot@msg
<1 boot@msg
<5 options@msg
<? general@msg
<> param@msg
<8 rescue@msg
label linux
kernel vmlinuC
append initrd)initrd@img
label text
kernel vmlinuC
label ks
kernel vmlinuC
label local
localboot 1
label memtest46
kernel memtest
append
)4!e) /#-4rr4nCe
:erne) "/)#nB
4..en5 #n#2r5=#n#2r5.#/7 :s=65ro/?+:s-.6<7
Para utzar o anteror, a posterormente ncar e DVD de nstaacn personazado, en e dogo
de !oot- se ngresa:
boot" miarranJue
S*.*.3. Aadir e#uipamiento lgico adicional.
S se desea aadr equpamento gco (soft)are) adcona, por e|empo as ms recentes
actuazacones, puede hacerse copando ste en e drectoro Y=centos5(personal=Cent0>, y
regenerando e depsto yum oca. A fn de respetar os grupos de paquetes y poder dsponer de
un archvo con as especfcacones de os grupos de paquetes, debe respadarse prmero e
archvo comps.2ml que est dentro de Y=centos5(personal=repodata.
mkdir p T/respaldos/
652
cp T/centos8personal/repodata/comps@xml T/respaldos/
Este archvo puede ser modfcado con cuaquer edtor de texto para refe|ar os cambos de
paquetes nuevos que se quera ncur a a nstaacn.
Se aaden os paquetes adconaes o actuazados en Y=centos5(personal=Cent0>:
cp /donde/esten/paJuetes/O@rpm T/centos8personal/(ent.S
A fn de evtar confctos con as frmas dgtaes y evtar tener que modfcar e programa de
nstaacn, soo se recomenda utzar paquetes RPM frmados por CentOS, es decr, os paquetes
RPM de as actuazacones de CentOS.
A fn de poder regenerar e depsto, se utza e mandato createrepo con a opcn (g para
ndcar a ruta de archvo comps.2ml que se respad prevamente, y a ruta de drectoro de
traba|o.
createrpo g T/respaldos/comps@xml T/centos8personal/
Lo anteror crea un nuevo drectoro Y=centos5(personal=repodata que ncur os sguentes
archvos:
comps.xm
fests.xm.gz
other.xm.gz
prmary.xm.gz
repomd.xm
S aguno de os anterores est ausente, se deben repetr e procedmento verfcando a sntaxs y
rutas utzadas con createrepo.
S*.*.4. Creacin de la imagen %>0.
Una vez termnadas as modfcacones, se crea a magen ISO:
cd T/centos8personal/
mkiso!s 3 *(ent.S-8@5-<inal-;ersonal* o T/midvdcentos8@iso b isolinux/isolinux@bin
c isolinux/boot@cat noemulboot bootloadsiCe > bootin!otable R a v /
T/centos8personal
La magen ISO resutante en Y=mi(dvd(centos5.iso se puede grabar de nmedato desde
cuaquer herramenta grfca para este fn, como magen ISO, y |ams como archvo. Se puede
utzar I3!, DCDroast o ?)0:" @oaster.
S soo se dspone de una termna, a magen de DVD recn creada se puede grabar con
groPiso&s, de a sguente manera:
growiso!s dvdcompat G /dev/dvd)midvdcentos8@iso
653
E programa de nstaacn utzado en CentOS 5 pudera faar debdo a as modfcacones hechas,
por o que es mportante reazar varas pruebas de nuevo dsco de nstaacn antes de utzaro
en agn sstema en produccn u otros fnes que nvoucren operacn crtca.
Es mportante recordar que s se va a comercazar o dstrbur esta magen ISO recn creada, se
deben respetar os derechos de autor, ogotpos y a marca de Cent0>. Las modfcacones
necesaras para e programa de nstaacn, que consste en reempazar as referencas de CentOS
y as mgenes de ogotpos, se detaarn en un documento que pubcaremos posterormente.
654
S3. ".ercicios
S3.+. ".ercicio )F>
S3.+.+. %ntroduccin
Haga equpo con agn compaero de curso a fn de poder reazar e procedmento, pruebas y
depuracn entre s.
S3.+.*. <rocedimientos
S3.+.*.+. >ervidor
1. Como root genere e drectoro =var=n&s=pu!lico= y asgne a ste un permso 1777.
mkdir p /var/n!s/publico
chmod 1666 /var/n!s/publico
2. Como root modi&i#ue =etc=e2ports y defna que se compartr =var=n&s=pu!lico a sstema de
compaero con e cua est hacendo equpo en modo de ectura y escrtura con el siguiente
contenido:
/var/n!s/publico 175@164@#@n(rwBsync)
3. Como root inicie o reinicie e servco de nfs.
service n!s restart
S3.+.*.*. Cliente
1. Como root genere e drectoro =mnt=pu!lico a fn de que posterormente sea utzado para
montar e voumen NFS de esta prctca.
2. Como root modfque =etc=&sta! y especfque que se montar e voumen =var=n&s=pu!lico= de
sstema de compaero con e que est hacendo equpo en e drectoro =mnt=pu!lico=,
utzando as opcones de montado no automtco (noauto), ectura y escrtura (rw), montado
con expracn (soft), contnuar en trasfondo de ser necesaro (bg), se pueda montar por e
usuaro (user) y permtr nterrumpr procesos (ntr).
175@164@#@n"/var/n!s/publico /mnt/publico n!s
noautoBrwBso!tBbgBuserBintr # #
3. Como usuaro (fuano) ntente montar e voumen NFS:
mount /mnt/publico
655
4. Como fuano cambe a drectoro =mnt=pu!lico= e ntente crear un archvo con cuaquer
contendo dentro de drectoro =mnt=pu!lico=.
cd /mnt/publico/
echo l1ola mundo* R holamundo@txt
ls
656
S3.*. ".ercicio >A:BA
Usted deber confgurar a travs de Samba un drectoro sobre e cua se quere permtr e ngreso
so a dos usuaros, |efe y contador, quenes pertenecen a grupo de contabdad. Dcho drectoro
deber contar con permsos de escrtura, de modo que tanto |efe como contador puedan traba|ar
en dcho drectoro con una apcacn admnstratva.
S3.*.+. <rocedimientos
1. Defna que dreccn IP y mascara de subred tene e servdor utzando os sguentes
mandatos:
/sbin/i!con!ig eth# ^ grep inet ^ cut d " ! 5 ^ cut d P ! 1
/sbin/i!con!ig eth# ^ grep ,as ^ cut d " ! >
E prmer mandato donde aparece un \, debe haber dos espacios entre ] y (& +, porque se
est especfcando una barra invertida como secuenca de escape para e espaco posteror.
Utzando man cut y man grep, expque que fue o que reazaron os dos mandatos
anterores en e reporte escrto de este e|ercco.
2. Instae samba, samba-cente y samba common de sguente modo:
yum y install samba sambaclient sambacommon
3. Utzando como referenca e documento ttuado Cmo confgurar SAMBA., edte e archvo
=etc=sam!a=sm!.con& y confgure os sguentes parmetros de a seccn Tglo!alU donde
adems deber expcar en un reporte por escrito en pape qu es o que hace cada uno
de estos parmetros con os vaores que sern asgnados en e e|ercco:
workgroup ) cursolinux
hosts allow ) 175@164@#@ 156@
inter!aces ) loB eth#B 156@#@#@1/?5B 175@164@#@XXX/5>
remote announce ) 175@164@#@588/cursolinux
)0@A- 192.168.0.XXX se refere a a dreccn IP que posee e servdor y no teramente
192.168.0.XXX.
Saga de archvo.
4. Incar e servco recn confgurado.
service smb start
5. Aadr e servco sm! a arranque de sstema.
chkcon!ig smb on
6. Genere e nuevo drectoro =var=sam!a=conta!ilidad:
mkdir p /var/samba/contabilidad
7. Confgure e drectoro para que SELnux permta utzaro como contendo que ser
compartdo a travs de Samba:
657
chcon t samba-share-t /var/samba/contabilidad
8. Genere e grupo de traba|o:
groupadd contabilidad
9. Genere os usuaros |efe y contador de modo que no tengan acceso a ntrprete de
mandatos y tengan como grupo prmaro a contabdad. Asgne a stos contrasea
useradd s /sbin/nologin g contabilidad Me!e
useradd s /sbin/nologin g contabilidad contador
smbpasswd a Me!e
smbpasswd a contador
10.Asgne os permsos necesaros a =var=sam!a=conta!ilidad, de modo ta, que se permta
so a escrtura, ectura y e|ecucn a dcho drectoro a usuaro y a grupo contabdad, y
de modo que se preserven os permsos de contendo de dcho drectoro:
chmod 166# /var/samba/contabilidad
chgrp contabilidad /var/samba/contabilidad
11.Modfque =etc=sam!a=sm!.con& y confgure o necesaro para compartr
=var=sam!a=conta!ilidad en modo ectura-escrtura con acceso soo para |efe y contador,
redundando os permsos que se asgnaron ocamente a dcho drectoro, y defnendo e
permso que deber tener por defecto todo archvo o documento nuevo en e nteror, a fn
de que soamente puedan ser edos y modfcados por |efe y contador:
DcontabilidadE
comment ) (ontabilidad
path ) /var/samba/contabilidad
writable ) yes
browseable ) yes
public ) no
printable ) no
valid users ) Me!e contador
directory mode ) 166#
create mode ) #66#
veto !iles ) /O@mp?/O@wma/O@avi/O@wmv/O@mpg/O@mpeg/O@mov/

658
12.Rence e servco de Samba:
service smb restart
13.Haga as pruebas pertnentes accedendo desde e admnstrador de archvos copando,
movendo o emnado ob|etos en e recurso que acaba de confgurar.
smbclient + 0 156@#@#@1
smbclient //156@#@#@1/contabilidad = Me!eV15?Jwe
14.Reace cuaquer tpo de transferenca utzando mget o mput desde e ntrprete smb. A
termnar, utce e2it para sar.
659
S3.3. ".ercicio Apac$eC y F>F@<D
Usted deber smuar ser un proveedor de servco de hospeda|e y confgurar o sguente a travs
de apache y vsftpd:
Una sto de red vrtua denomnado PPP.mi(dominio.org asocado a a dreccn IP
192.168.+O.n., donde n corresponde a tmo octeto de su dreccn IP y en este
e|ercco ser un nmero entre e 1 y e 254.
E domno vrtua debe poder ser admnstrado a travs de una cuenta de usuaro
accedendo por medo de una conexn FTP.
E usuaro deber estar en|auado a travs de FTP y tener acceso a as btcoras
generadas por e anftrn vrtua, pero sn permtr a usuaro que pueda borrar
accdentamente e drectoro que contene a dchas btcoras.
S3.3.+. <rocedimientos
1) Modfque e archvo =etc=$osts y proceda a resover de manera oca a dreccn IP y e nombre
que tendr e servdor en a red 192.168.10.0, aadendo o sguente, donde n corresponde a
tmo octeto de su dreccn IP:
175@164@1#@n ***@/#-5o/#n#o.or7 /4#)./#-5o/#n#o.or7 /#-5o/#n#o.or7
175@164@1#.n <2../#-5o/#n#o.or7 5ns./#-5o/#n#o.or7
2) Proceda a crear e archvo de confguracn de dspostvo vrtua en e archvo
=etc=syscon&ig=netPorK(scripts=i&c&g(et$O-+ con e sguente contendo:
$%&'(%)e23$?-
';3$$R)175@164@1#@n
+%/,3SH)588@588@588@#
3) Rence e servco de red de sstema y compruebe que haya evantado a nterfaz vrtua
et$O-+ que acaba de confgurar:
i!con!ig e23$?-
4) Genere e rbo de drectoros necesaro e|ecutando o sguente:
mkdir m 1688 /var/www/midominio
mkdir m ?668 /var/www/midominio/public-html
mkdir m #688 /var/www/midominio/ZetcBlogsBmail[
5) Genera a cuenta de usuaro que ser utzada para admnstrar e anftrn vrtua:
useradd s /sbin/nologin d +"4r+***+/#-5o/#n#o midominio
usermod c l3dministrador de midominiom midominio
passwd midominio
6) Confgure os permsos apropados a =var=PPP=mi(dominio y su contendo, e|ecutando o
sguente:
660
chown root"apache /var/www/midominio
chown /#-5o/#n#o"apache /var/www/midominio/public-html
chown /#-5o/#n#o"apache /var/www/midominio/etc
chown midominio"midominio /var/www/midominio/mail
chown midominio"midominio /var/www/midominio/logs
chcon t httpd-sys-content-t /var/www/midominio/public-html
ln s! @@/@@/@@/log/httpd/midominioerror-log /var/www/midominio/logs/error-log
ln s! @@/@@/@@/log/httpd/midominioaccess-log /var/www/midominio/logs/access-log
7) Confgure apache para poder acceder haca este sto de red vrtua hacendo uso de archvo
ocazado en a ruta =etc=$ttpd=con&.d=virtuales.con& con e sguente contendo:
+ame&irtual1ost 175@164@1#@n
_&irtual1ost 175@164@1#@nR
$ocumentRoot /var/www/midominio/public-html
Server+ame www@/#-5o/#n#o.or7
Server3lias /#-5o/#n#o.or7
Server3dmin webmasterS/#-5o/#n#o.or7
%rror0og logs/midominioerror-log
(ustom0og logs/midominioaccess-log combined
_/&irtual1ostR
8) Rence apache y haga comprobacones y dagnstco s fuese necesaro.
S3.3.*. Compro!aciones
Rence Apache y pruebe pubcar un documento HTML utzando cuaquer herramenta para
pubcacn de red, como puede ser Buefsh, Komposer, Dreamweaver, Frontpage o cuaquer
edtor HTML y pubcando a travs de FTP, hacendo uso de a cuenta FTP de mi(dominio. Vsuace
desde e navegador que prefera e anftrn vrtua que se confgur.
S desea hacer todo desde modo termna, utce e sguente procedmento.
1. Acceda a sstema como usuaro oca (&ulano) o ben traba|e desde su escrtoro.
2. Genere un documento HTML denomnado inde2.$tml utzando e edtor de texto que prefera
_htmlR
_headR
_titleR9ienvenido a ***./#-5o/#n#o.or7_/titleR
_/headR
_bodyR
_h1R9ienvenido a ***./#-5o/#n#o.or7_/h1R
_pRkiexclY1ola mundod_/pR
_/bodyR
_/htmlR
3. Pubque como e usuaro mi(dominio e documento anteror a travs de FTP, ya sea con
File8illa (s e servdor requere utzar TLS) o ben utzando e mandato ftp (s prescnde de
TLS):
661
!tp <2../#-5o/#n#o.or7
(onnected to amdk6 (175@164@1@1)@
55# 9ienvenido al servidor </; de 3lcance 0ibre@
+ame (<2../#-5o/#n#o.or7"!ulano)"/#-5o/#n#o
;assword"
5?# 0ogin success!ul@ 1ave !un@
!tpR65 .!)#6_32/)
!tpR.2 #n5e;.32/)
!tpR!ye
4. Fnamente vsuace a pgna PPP.mi(dominio.org prncpa utzando enks.
elinks http"//***./#-5o/#n#o.or7/
662
S3.4. ".ercicio- Cuotas de discoL Apac$eL F>F@<D y D)>
Usted deber smuar ser un proveedor de servco de hospeda|e y confgurar o sguente a travs
de apache, bnd y vsftpd:
Deber confgurar a zona de reenvo para e DNS que se har cargo de resover os sub-
domnos www, dns, ma, y ftp de domno que se e especfque.
Un sto de red vrtua denomnado PPP.su(nom!re.com con aas su(
nom!re.com asocado a a dreccn IP 192.168.*O.n, donde n corresponde a tmo
octeto de su dreccn IP y en este e|ercco ser un nmero entre e 1 y e 254.
E domno vrtua debe poder ser admnstrado a travs de una cuenta de usuaro
accedendo por medo de una conexn FTP.
E usuaro deber estar en|auado a travs de FTP y tener acceso a as btcoras
generadas por e anftrn vrtua, pero sn permtr que e usuaro pueda borrar
accdentamente e drectoro que contene a dchas btcoras.
E usuaro deber tener asgnada una cuota de dsco de 300 MB.
S3.4.+. <rocedimientos
1) Aada e sguente contendo en e archvo =etc=$osts a resoucn oca de nombre de domno
de anftrn vrtua asocado a a dreccn IP defnda para e msmo, donde n corresponde a
tmo octeto de su dreccn IP:
175@164@5#@n ***.s-no/!re.6o/ /4#).s-no/!re.6o/ <2..s-no/!re.6o/
175@164@5#@n 5ns.s-no/!re.6o/ s-no/!re.6o/
2) Proceda a crear e archvo de confguracn ocazado en a ruta =etc=syscon&ig=netPorK(
scripts=i&c&g(et$O-* para e dspostvo et$O-* utzando e sguente contendo, aadendo o
sguente, donde n corresponde a tmo octeto de su dreccn IP:
$%&'(%)e23$?,
';3$$R)175@164@5#@n
+%/,3SH)588@588@588@#
3) Rence e servco de red de sstema y compruebe que haya evantado a nterfaz vrtua
et$O-* que acaba de confgurar:
i!con!ig e23$?,
4) Dentro de drectoro =var=named=c$root=var=named, genere e archvo su(
nom!re.com.zone, que servr para resover a zona de reenvo para e domno su(
nom!re.com con os sub-domnos www, dns, ma, y ftp:
663
F//0 46>##
S '+ S.3 6rso@4)64n6e)#!re.or7@ usuario@7/4#).6o/@ (
,$$%$8$3$- Y n`mero de serie
544## Y tiempo re!resco
65## Y tiempo entre reintentos
6#>4## Y expiraciQn
)
S '+ +S 6rso@alcancelibre@org@
S '+ ,X 1# mail
S '+ /X/ lv)sp!1 a mx allm
S '+ 3 175@164@5#@n
www '+ 3 175@164@5#@n
mail '+ 3 175@164@5#@n
dns '+ 3 175@164@5#@n
!tp '+ 3 175@164@5#@n
5) Modfque =var=named=c$root=etc=named.con& y aada a zona correspondente:
Cone ls-no/!re.6o/f Z
type masterY
!ile ls-no/!re.6o/.BonefY
[Y
6) Cambe a pertenenca de archvo de zona a usuaro named y os contextos de SELnux de
usuaro de sstema (systemQu), ro de ob|eto (o!.ectQr) y tpo zona de servco named
(namedQ8oneQt), e|ecutando o sguente:
cd/var/named/chroot/var/named/
chown named@named s-no/!re.6o/@Cone
chcon u system-u r obMect-r t named-Cone-t s-no/!re.6o/@Cone
cd
7) Rence e servco de servdor de nombres e|ecutando o sguente:
8) Reace prueba de depuracn y verfque que a zona haya cargado con nmero de sere:
tail 4# /var/log/messages ^grep named
9) Compruebe que e domno resueve correctamente:
host s-no/!re.6o/ -,I.$.$.-
dig S-,I.$.$.- s-no/!re.6o/
dig S-,I.$.$.- s-no/!re.6o/ ,X
10) S e domno resueve correctamente, proceda a colocar como D)> primario a su propo
servdor en e archvo =etc=resolv.con&, smpemente defnendo ste como e prmer regstro
nameserver de este archvo, |usto deba|o de os regstros searc$:
664
Y ;arte superior del archivo /etc/resolv@con!
search 4)64n6e)#!re.or7
search s-no/!re.6o/
n4/eser"er -,I.$.$.-
11) Genere e rbo de drectoros necesaro para e anftrn vrtua a travs de Apache utzando
os sguentes mandatos:
mkdir m 1688 /var/www/sunombre
mkdir m ?688 /var/www/sunombre/public-html
mkdir m #688 /var/www/sunombre/ZlogsBetcBmail[
chcon t httpd-sys-content-t /var/www/sunombre/public-html
12) Genere a cuenta de usuaro que ser utzada para admnstrar e anftrn vrtua:
useradd s /sbin/nologin d /var/www/sunombre sunombre
usermod c lSu +ombre (ompletom sunombre
passwd sunombre
13) Confgure os permsos apropados a =var=PPP=su(nom!re y os drectoros en su nteror
utzando lo siguientes mandatos:
chown root"apache /var/www/sunombre
chown s-no/!re"apache /var/www/sunombre/public-html
chown s-no/!re"apache /var/www/sunombre/etc
chown s-no/!re"s-no/!re /var/www/sunombre/mail
chown s-no/!re"s-no/!re /var/www/sunombre/logs
ln s! @@/@@/@@/log/httpd/sunombreerror-log /var/www/sunombre/logs/error-log
14) Confgure Apache para poder acceder haca este sto de red vrtua hacendo uso de archvo
ocazado en a ruta =etc=$ttpd=con&.d=virtuales.con& con e sguente contendo:
+ame&irtual1ost 175@164@5#@n
_&irtual1ost 175@164@5#@nR
$ocumentRoot /var/www/sunombre/public-html
Server+ame ***@s-no/!re.6o/
Server3lias s-no/!re.6o/
Server3dmin webmasterSs-no/!re.6o/
%rror0og logs/error-log
(ustom0og logs/access-log combined
_/&irtual1ostR
15) Rence e servco de httpd (apache) y haga as comprobacones, a depuracn y e
dagnstco s fuese as necesaro.:
16) Confgure os domnos vrtuaes para que Postfx pueda recbr correo para os msmos
aadendo su(nom!re.com en a archvo =etc=post&i2=virtual con e sguente contendo:
s-no/!re.6o/ s-no/!re.6o/
17) Genere a cuenta de correo vrtua denomnada webmaster@su(nom!re.com como aas de a
cuenta oca su-nombre, aadendo tambn a archvo =etc=post&i2=virtual o sguente:
665
webmasterSs-no/!re.6o/ sunombre
18) A termnar, y a fn de que e usuaro vrtua sea reconocdo por e servco de Sendma, se
deber convertr e archvo =etc=post&i2=virtual en =etc=post&i2=virtual.d! e.ecutando o
sguente:
postmap /etc/post!ix/virtual
19)A fn de reescrbr como webmaster@su(nom!re.com a correo emtdo desde a cuenta oca
su(nom!re, modfcando e archvo =etc=post&i2=senderQcanonical de sguente modo:
sunombre webmasterSs-no/!re.6o/
20) A termnar, y a fn de que e correo de usuaro rea se reescrba como a cuenta de correo de
usuaro vrtua, se deber convertr e archvo =etc=post&i2=senderQcanonical en
=etc=post&i2=senderQcanonical.d! e.ecutando o sguente:
postmap /etc/post!ix/sender-canonical
21) Rence e servco de postfx:
22) E|ecutando ed#uota su(nom!re, asgne una cuota de 300 MB (307200 kb) a usuaro su(
nom!re:
$isk Juotas !or user sunombre (uid 8#4)"
/dev/hda6 # # # # # #
/dev/hda? 5> # 3$I,$$ 1# # #
S3.4.*. Compro!aciones
Rence Apache y pruebe pubcar un documento HTML utzando cuaquer herramenta para
pubcacn de red, como puede ser Buefsh, Komposer, Dreamweaver, Frontpage o cuaquer
edtor HTML y pubcando a travs de FTP, hacendo uso de a cuenta FTP de su(nom!re en e URL
&tp-==su(nom!regsu(nom!re.com=pu!licQ$tml=
Vsuace desde e navegador e anftrn vrtua que se confgur.
Pruebe envar correo a a cuenta vrtua Pe!mastergsu(nom!re.com y eer dcho correo a
travs de POP3 o IMAP desde a cuenta de su(nom!re.
S desea hacer todo desde modo termna, utce e sguente procedmento.
1. Acceda a sstema como usuaro oca (&ulano) o ben traba|e desde su escrtoro.
2. Genere un documento HTML denomnado inde2.$tml utzando e edtor de texto que prefera
666
_htmlR
_headR
_titleR9ienvenido a ***.s-no/!re.6o/_/titleR
_/headR
_bodyR
_h1R9ienvenido a ***.s-no/!re.6o/_/h1R
_pRkiexclY1ola mundod_/pR
_/bodyR
_/htmlR
3. Pubque como e usuaro su-no"bre e documento anteror utzando Feza, s e servdor
FTP requere utzar TLS, o ben utzando e mandato &tp, s e servdor FTP prescnde de
utzar TLS:
!tp <2..s-no/!re.6o/
(onnected to amdk6 (175@164@1@1)@
55# 9ienvenido al servidor </; de 3lcance 0ibre@
+ame (<2..s-no/!re.6o/"!ulano)"s-no/!re
;assword"
5?# 0ogin success!ul@ 1ave !un@
!tpR65 .!)#6_32/)
!tpR.2 #n5e;.32/)
!tpR!ye
4. Fnamente, vsuace a pgna PPP.su(nom!re.com prncpa de utzando e navegador
enks.
e)#n:s 322.?++***.s-no/!re.6o//
5. Utce mutt y enve un mensa|e a usuaro Pe!mastergsu(nom!re.com.
echo l,ensaMe de prueba* ^ mutt s l,ensaMe de prueba* *e!/4s2erOs-
no/!re.6o/
6. Verfque a cuenta de correo de su(nom!re a travs de cual#uier cente de correo
eectrnco o ben e correo con nterfaz HTTP.
elinks http"//www@sunombre@com+*e!/4#)+
667
S3.5. ".ercicio- >ervidor %ntermediario M<ro2yN
S3.5.+. %ntroduccin.
Utzando como referenca os sguentes documentos, eabore un reporte por escrto de cada uno
de os mandatos y parmetros utzados en este e|ercco.
Cmo confgurar Squd: Parmetros bscos para servdor de ntermedacn (Proxy).
Cmo confgurar Squd: Acceso por Autentcacn.
Cmo confgurar Squd: Restrccn de acceso a Stos de Red.
Cmo confgurar Squd: Restrccn de acceso a contendo por extensn.
Cmo confgurar Squd: Restrccn de acceso por horaros.
Cmo confgurar Squd: Como confgurar e admnstrador de cache.
<rocedimientos
1@ ;roceda a instalar sJuid y el navegador lynx"
sudo yum y install sJuid lynx
5@ (on!igure la polbtica de S%0inux para permitir conexiones desde cualJuier direcciQn"
?@ (ambie al directorio /etc/sJuid
cd /etc/sJuid
>@ Ienere el subdirectorio listas"
sudo mkdir listas/
5. Genere os archvos que se utzarn para as stas de contro de acceso y caves de
acceso:
sudo touch listas/ZlibresBredlocalBpornoBextensionesBclavesBinocentes[
6. Lstar as propedades de archvo que ser utzado para amacenar as caves de acceso:
ls l listas/claves
7. Cambar atrbutos de ectura y escrtura soo para e usuaro propetaro:
sudo chmod 6## listas/claves
8. Cambar e propetaro de archvo de caves de acceso haca e usuaro s#uid:
sudo chown sJuid@sJuid listas/claves
668
9. Lstar de nuevo as propedades de archvo que ser utzado para amacenar as caves
de acceso, y observar cambos:
ls l listas/claves
10.E|ecutar o sguente y asgnar caves de acceso a os usuaros vrtuaes (para este e|ercco,
asgnar a todos #Perty como cave de acceso)
!or usuario in Muanito pepito pedrito paJuito
do
sudo htpasswd listas/claves Fusuario
done
11.Edtar e archvo stas/bres:
sudo vim listas/libres
Poner como nco contendo a dreccn IP de su mquna.
12.Edtar e archvo stas/redoca:
sudo vim listas/redlocal
Poner como contendo as dreccones IP de resto de a LAN. Un rengn por IP.
13.Edtar e archvo stas/porno:
sudo vim listas/porno
Poner como contendo o sguente:
www@sitioporno@com
www@otrositioporno@com
sitioindeseable@com
otrositioindeseable@com
napster
sex
porn
mp?
xxx
adult
wareC
celebri
youtube
babosas
orgasm
petarda
14.Edtar e archvo stas/extensones:
sudo vim listas/extensiones
669
15.Poner como contendo:
P@aviF
P@mp5F
P@mp?F
P@mp>F
P@mpgF
P@mpegF
P@movF
P@raF
P@ramF
P@rmF
P@rpmF
P@vobF
P@wmaF
P@wmvF
P@wavF
P@docF
P@xlsF
P@mbdF
P@pptF
P@ppsF
P@aceF
P@batF
P@exeF
P@lnkF
P@pi!F
P@scrF
P@sysF
P@CipF
P@rarF
16.Edtar e archvo stas/nocentes:
sudo vim listas/inocentes
Poner como contendo:
@alcancelibre@org
@google@com@mx
@eluniversal@com@mx
@milenio@com@mx
@edu@mx
@gob@mx
17.Edtar e archvo squd.conf:
sudo vim sJuid@con!
18.Desde vm, e|ecutar a sguente bsqueda:
/http-port ?154
Reempazar por:
670
http-port -%,.-'8.$.XXX"4#4#
Donde +S*.+69.O.DDD corresponde a a dreccn IP de su servdor.
19.Desde vm, reazar a sguente bsqueda:
/1## 16 586
Reempazar:
A cache-dir u!s /var/spool/sJuid 1## 16 586
Por:
cache-dir u!s /var/spool/sJuid 815 16 586
/Aauth-param basic program _uncomment and complete this lineR
Reempazar:
Aauth-param basic program _uncomment and complete this lineR
Por:
auth-param basic program /usr/lib/sJuid/ncsa-auth /etc/sJuid/listas/claves
/Aacl password proxy-auth R%h='R%$
Descomentar a nea, qutando e smboo #
22.Desde v, reazar a sguente bsqueda:
/acl to-localhost dst 156@#@#@#
Deba|o de sta nea, agregar:
acl redlocal src */etc/sJuid/listas/redlocal*
acl libres src */etc/sJuid/listas/libres*
acl porno url-regex */etc/sJuid/listas/porno*
acl extensiones urlpath-regex */etc/sJuid/listas/extensiones*
acl inocentes dstdomain */etc/sJuid/listas/inocentes*
671
/http-access deny all
Arrba de dcha nea, agregar:
http-access allow matutino redlocal password dporno dextensiones
http-access allow inocentes redlocal password
http-access allow libres
/A error-directory
Reempazar o sguente:
A error-directory /usr/share/sJuid/errors/%nglish
Por:
error-directory /usr/share/sJuid/errors/Spanish
25.Rence o, en su defecto, nce a confguracn de Squd a fn de verfcar s hubo errores
fataes:
sudo service sJuid restart
S hay errores, corregros. S no devueve errores pero e servco faa a ncar, examnar
=var=log=s#uid=s#uid.out y reazar correccones:
sudo tail ! /var/log/sJuid/sJuid@out
26.Recargar a confguracn de Squd a fn de verfcar s hubo errores no fataes:
sudo service sJuid reload
S hay errores, reazar correccones pertnentes.
27.Reazar comprobacones utzando navegador en modo texto:
Defna e propo servdor como e vaor para a varabe de ambente http_proxy:
export http-proxy)*http"//-%,.-'8.$.XXX"4#4#/*
Donde +S*.+69.O.DDD corresponde a a dreccn IP de su servdor.
28.Reace una prueba de bsqueda a travs de Googe Mxco para a paabra se2:
lynx *http"//www@google@com@mx/searchjJ)sexo*
672
Deber permtr reazar a bsqueda e ngresar haca stos cuyo URL contenga a cadena
de caracteres se2.
Defna otro servdor donde a IP de sstema donde est traba|ando est en a sta de
redlocal como e vaor para a varabe de ambente http_proxy:
export http-proxy)*http"// '; de la ;( de al lado"4#4#/*
Reace una prueba de bsqueda a travs de Googe Mxco para a paabra se2:
lynx -466e.2_4))_6oo:#es *http"//www@google@com@mx/searchjJ)sexo*
Deber permtr reazar a bsqueda pero denegar e ngreso haca stos cuyo URL
contenga a cadena de caracteres se2.
673
S4. ".ercicio- >ervidor D)> Din;mico y >ervidor
DEC<.
Autor: $oel Barrios 'ue!as Correo electrnico: dar(sram en gmail punto com
7abber 3): dar(sramRjabber.org
condcones sguentes: a) Debe reconocer y ctar a autor orgna. !N )o puede utili8ar esta o!ra para &ines comerciales Mincluyendo su
S4.+. %ntroduccin.
Este e|ercco est dseado para ser puesto en prctca en Cent0> 5, "lasti2 +.5, 'ed Eat
"nterprise inu2 5 y W$ite!o2 "nterprise inu2 5 o sstemas operatvos smares, basados
sobre 'ed Eat "nterprise inu2 5. Requere haber estudado en su totadad os sguentes
documentos:
Cmo confgurar un servdor DHCP en una LAN.
Cmo confgurar un servdor de nombres de domno (DNS).
Durante este e|ercco se confgurar un servdor DNS dnmco y un servdor DHCP, ambos
utzando a msma frma dgta a fn de permtr a os centes actuazar sus regstros en e
servdor DNS, un servdor ntermedaro (Proxy) con >#uid y un muro cortafuegos con >$orePall.
S4.*. "#uipamiento lgico necesario.
Proceda a nstaar os paquetes d$cp, !ind, !ind(c$root, cac$ing(nameserver y a versn
me|orada de V (paquete vim(en$anced):
yum y install dhcp bind bindchroot cachingnameserver vimenhanced
S4.3. <rocedimientos
S4.3.+. :odi&icacin de la inter&a8 de acceso $acia %nternet.
1. En caso de utzar una nterfaz con dreccn IP esttca, gnore este paso y os 3 sguentes.
S a nterfaz et$O obtene sus parmetros de red a travs de DHCP, edte con vm e
archvo =etc=syscon&ig=netPorK(scripts=i&c&g(et$O.
vim /etc/syscon!ig/networkscripts/i!c!geth#
2. Puse a teca %nsert.
674
Modfque e vaor de parmetro <""'D)> de yes a no a fn de evtar que se modfque
automtcamente e archvo =etc=resolv.con& cuando nce e sstema o se refresque a
conexn DHCP. Evte modfcar e vaor de parmetro EWADD', e vaor
DD-DD-DD-DD-DD-DD corresponde a a dreccn MAC espec&ica de dspostvo et$O.
$%&'(%)eth#
123$$R)XX?XX?XX?XX?XX?XX
.+9../)yes
9../;R./.)dhcp
8EERDNS=no
Puse a teca "sc, guarde cambos y saga de vm pusando a combnacn de tecas -2 y
uego a teca = (")@"').
3. Rence e servco netPorK a fn de que surtan efecto os cambos.
Edte con vm e archvo =etc=resolv.con& y asegrese de que est defndo un servdor DNS
vdo para poder acceder haca Internet. E vaor +*3.+*3.+*3.+*3 debe corresponder a
a dreccn IP de servdor DNS de proveedor de servco de acceso haca Internet o de
modem ADSL.
search gateway@5wire@net
nameserver -,3.-,3.-,3.-,3
Con&iguracin de servidor D)>.
1. Se debe crear e drectoro =var=named=c$root=var=named=dynamics y confgurar ste
para qu pertenezca a usuaro y grupo named, tenga permsos de ectura, escrtura y
e|ecucn para e usuaro y grupo named (770) y tenga os contextos de SELnux de usuaro
de sstema (systemQu), ro de ob|eto (o!.ectQr) y tpo cache de servco named
(namedQcac$eQt) a fn de permtr escrtura en este drectoro.
cd /var/named/chroot/var/named/
mkdir dynamics/
chmod 66# dynamics/
chown named@named dynamics/
chcon u system-u r obMect-r t named-cache-t dynamics/
cd
2. Genere con e mandato touc$ e archvo =var=named=c$root=var=named=dynamics=red(
local.net.8one:
touch /var/named/chroot/var/named/dynamics/re5-)o64).ne2.Bone
3. Edte con vm e archvo =var=named=c$root=var=named=dynamics=red(local.net.8one:
675
vim /var/named/chroot/var/named/dynamics/re5-)o64).ne2.Bone
Aada e sguente contendo, donde pro2y.red(local.net corresponde a nombre de
anftrn de servdor que se est confgurando, red(local.net corresponde a nombre de
domno de a red de rea oca con a que se est traba|ando y +S*.+69.+*3.+*3
corresponde a a dreccn IP de servdor para a nterfaz et$+:
F//0 46>##
S '+ S.3 .ro;y.re5-)o64).ne2@ root@re5-)o64).ne2@ (
5##7#418#1 Y n`mero de serie
6#>4## Y tiempo Jue expira la Cona si deMa de resolver
)
S '+ +S .ro;y.re5-)o64).ne2@
S '+ 3 -%,.-'8.-,3.-,3
proxy '+ 3 -%,.-'8.-,3.-,3
5. Confgure os permsos de archvo =var=named=c$root=var=named=dynamics=red(
local.net.8one para que ste pertenezca a e usuaro y grupo named y tenga os
contextos de SELnux de usuaro de sstema (systemQu), ro de ob|eto (o!.ectQr) y tpo
zona de servco named (namedQ8oneQt):
cd /var/named/chroot/var/named/dynamics/
chown named"named re5-)o64).ne2.Bone
chcon u system-u r obMect-r t named-Cone-t re5-)o64).ne2.Bone
cd
6. Genere con e mandato touc$ e archvo
=var=named=c$root=var=named=dynamics=+*3.+69.+S*.in(addr.arpa.8one:
touch /var/named/chroot/var/named/dynamics/-,3.-'8.-%,.#n-455r.4r.4.Bone
7. Edte con vm e archvo =var=named=c$root=var=named=dynamics=+*3.+69.+S*.in(
addr.arpa.8one:
vim /var/named/chroot/var/named/dynamics/-,3.-'8.-%,.#n-455r.4r.4.Bone
Aada e sguente contendo, donde pro2y.red(local.net corresponde a nombre de
anftrn de servdor que se est confgurando, red(local.net corresponde a nombre de
domno de a red de rea oca con a que se est traba|ando y +*3 corresponde a tmo
octeto de a dreccn IP de servdor para a nterfaz et$+:
F//0 46>##
676
S '+ S.3 .ro;y.re5-)o64).ne2@ root@re5-)o64).ne2@ (
5##7#418#1 Y n`mero de serie
6#>4## Y tiempo Jue expira la Cona si deMa de resolver
)
S '+ +S .ro;y.re5-)o64).ne2@
15? '+ ;/R .ro;y.re5-)o64).ne2@
9. Confgure os permsos de archvo
=var=named=c$root=var=named=dynamics=+*3.+69.+S*.in(addr.arpa.8one para que
ste pertenezca a e usuaro y grupo named y tenga os contextos de SELnux de usuaro
de sstema (systemQu), ro de ob|eto (o!.ectQr) y tpo zona de servco named
(namedQ8oneQt):
cd /var/named/chroot/var/named/dynamics/
chown named"named -,3.-'8.-%,.#n-455r.4r.4.Bone
chcon u system-u r obMect-r t named-Cone-t -,3.-'8.-%,.#n-455r.4r.4.Bone
cd
10.Genere con e mandato touc$ e archvo =var=named=c$root=etc=named.con&:
touch /var/named/chroot/etc/named@con!
11.Edte con vm e archvo =var=named=c$root=etc=named.con&:
vim /var/named/chroot/etc/named@con!
12.Puse a teca %nsert.
Aada o modfque e contendo para que ncuya todo o sguente, donde
192.168.+*3.0/*4 corresponde a a dreccn IP y mscara de subred (en formato de bts)
de a red de rea oca (LAN) con a cua est traba|ando, red(local.net corresponde a
nombre de domno que se utza en a red de rea oca (LAN) con a cua se est
traba|ando y +*3.+69.+S*.in(addr.arpa corresponde a a zona de resoucn nversa de
RFC1918 para a red de rea oca (LAN) con a cua est traba|ando. Modfque a sta de
servdores DNS de parmetro &orParders para que correspondan a os servdores DNS de
su proveedor de acceso haca Internet.
acl *redlocal* Z
156@#@#@1/?5Y
175@164@-,3@#/,JY
[Y
options Z
allowrecursion Z redlocalY [Y
allowJuery Z redlocalY [Y
677
!orwarders Z ,$$.33.-J'.,$-Y ,$$.33.-J'.-%3Y ,$$.33.-J'.,-I[ [Y
!orward !irstY
[Y
Cone *re5-)o64).ne2* Z
type masterY
!ile */var/named/dynamics/re5-)o64).ne2@Cone*Y
[Y
Cone *-,3.-'8.-%,.#n-455r.4r.4* Z
type masterY
!ile */var/named/dynamics/-,3.-'8.-%,.#n-455r.4r.4@Cone*Y
[Y
13.Utzando e mandato c$con, confgure os contextos de SELnux para e archvo
=var=named=c$root=etc=named.con&, defnendo ste con ro de ob|eto (o!.ectQr), usuaro
de sstema (systemQu) y archvo de confguracn de servco named (namedQcon&Qt):
14.Ince (o smpemente rence, s es necesaro) e servco named.
service named start
15.S e servco named nca normamente, proceda con e sguente paso. S hay faas o
errores, regrese en os pasos que sean necesaros y corr|a os posbes errores antes de
contnuar.
16.S e servco named nc sn errores, utce e mandato c$Kcon&ig para que e servco
named nce automtcamente a prxma vez que arranque e sstema.
chkcon!ig named on
17.Edte con vm e archvo =etc=resolv.con&:
vim /etc/resolv@con!
Modfque e contendo para defna como nco servdor DNS a +*7.O.O.+ y defna e
domno predetermnado para a red de rea oca (LAN) con a que se est traba|ando:
search re5-)o64).ne2
nameserver -,I.$.$.-
678
Con&iguracin de servidor DEC<.
1. Edte con vm e archvo =etc=d$cpd.con&:
vim /etc/dhcpd@con!
Aada o modfque e contendo para que ncuya todo o sguente, donde pro2y.red(
local.net corresponde a nombre de anftrn de servdor que se est confgurando,
+S*.+69.+*3.O corresponde a a dreccn IP de a red de rea oca (LAN) con a cua est
traba|ando, *55.*55.*55.O corresponde a a mscara de subred en formato decma de a
red de rea oca (LAN) con a cua est traba|ando, +*3.+69.+S*.in(addr.arpa
corresponde a a zona de resoucn nversa de RFC1918 para a red de rea oca (LAN)
con a cua est traba|ando, +S*.+69.+*3.+*3 corresponde a a dreccn IP de servdor
que est confgurando, +S*.+69.+*3.*55 corresponde a a dreccn IP de dfusn
(broadcast) de a red de rea oca (LAN) con a cua est traba|ando, red(local.net
corresponde a nombre de domno que se utza en a red de rea oca (LAN) con a cua se
est traba|ando y +S*.+69.+*3.+OO y +S*.+69.+*3.+SS corresponden a os mtes
nferor y superor de rango de dreccones IP que se van a asgnar de manera dnmca.
include */var/named/chroot/etc/rndc@key*Y
serveridenti!ier .ro;y.re5-)o64).ne2Y
ddnsdomainname *re5-)o64).ne2@*Y
ddnsrevdomainname *inaddr@arpa@*Y
authoritativeY
maxleasetime 65##Y
Cone localdomain@ Z
primary 156@#@#@1Y
key rndckeyY
[
Cone -,3.-'8.-%,.#n-455r.4r.4@ Z
primary 175@164@15?@15?Y
key rndckeyY
[
Cone re5-)o64).ne2@ Z
primary 175@164@15?@15?Y
key rndckeyY
[
subnet -%,.-'8.-,3.$ netmask ,55.,55.,55.$ Z
option routers -%,.-'8.-,3.-,3Y
option subnetmask ,55.,55.,55.$Y
option broadcastaddress -%,.-'8.-,3.,55Y
option domainnameservers -%,.-'8.-,3.-,3Y
range -%,.-'8.-,3.-$$ -%,.-'8.-,3.-%%Y
679
[
3. Edte con vm e archvo =etc=syscon&ig=d$cpd:
vim /etc/syscon!ig/dhcpd
Modfque e contendo estabecendo et$+ como argumentos para e servco d$cpd, con a
fnadad de que ste soo funcone a travs de a nterfaz et$+, a cua corresponde a a
nterfaz por donde acceder a red de rea oca (LAN).
A (ommand line options here
$1(;$3RIS)e23-
5. Ince (o smpemente rence, s es necesaro) e servco d$cpd.
service dhcpd start
6. S e servco d$cpd nca normamente, proceda con e sguente paso. S hay faas o
contnuar.
7. S e servco d$cpd nc sn errores, utce e mandato c$Kcon&ig para que e servco
d$cpd nce automtcamente a prxma vez que arranque e sstema.
chkcon!ig dhcpd on
Este documento puede compementarse sguendo os procedmentos de e|ercco ".ercicio-
>ervidor %ntermediario M<ro2yN y corta&uegos con >$orePall.
680
S5. ".ercicio- >ervidor %ntermediario M<ro2yN y
corta&uegos con >$orePall.
Autor: $oel Barrios 'ue!as Correo electrnico: dar(sram en gmail punto com
7abber 3): dar(sramRjabber.org
condcones sguentes: a) Debe reconocer y ctar a autor orgna. !N )o puede utili8ar esta o!ra para &ines comerciales Mincluyendo su
S5.+. %ntroduccin.
Este e|ercco est dseado para ser puesto en prctca en Cent0> 5, "lasti2 +.5, 'ed Eat
"nterprise inu2 5 y W$ite!o2 "nterprise inu2 5 o sstemas operatvos smares, basados
sobre 'ed Eat "nterprise inu2 5. Requere haber estudado en su totadad os sguentes
documentos:
Cmo confgurar Squd: Parmetros bscos para servdor de ntermedacn (Proxy).
Cmo confgurar Squd: Restrccn de acceso a Stos de Red.
Cmo confgurar squd con soporte para dreccones MAC.
Cmo nstaar y confgurar a herramenta de reportes Sarg.
Cmo confgurar un muro cortafuegos con Shorewa y tres nterfaces de red.
Requere tambn haber reazado os procedmentos descrtos en e e|ercco >ervidor D)>
Din;mico y >ervidor DEC<.
S5.+.+. <oltica- cerrar todo y a!rir solo lo necesario.
Durante este e|ercco se crearn soo tres stas de contro de acceso para Squd. La sta que ser
denomnada li!res permtr acceder bremente y sn restrccones haca Internet. La sta que
ser denomnada red(local soo podr acceder a os stos de Internet cuyos domnos estn
defndos en a sta denomnada sitios(li!res. Es decr, se apcar una potca estrcta que
cerrar e acceso a quenes estn defndos en a sta red(local permtendo soo acceder a sta
sta de stos de Internet controada por e admnstrador.
E muro cortafuegos se confgurar a travs de Shorewa y soo permtr a sada a a red de rea
oca (LAN) para acceder a os servcos de DNS, NTP, FTP-Data, FTP, HTTP, HTTPS, SMTP, SMTP
Submsson, SMTPS, POP3, IMAP, POP3S e IMAPS.
E e|ercco consdera que se dspone de dos nterfaces de red en dos dferentes dspostvos, y que
et$O se utza para acceder haca Internet y et$+ se utza para acceder haca a red de rea oca
(LAN). Cuaquer servco dstnto a DNS, NTP, FTP-Data, FTP, HTTP, HTTPS, SMTP, SMTP
Submsson, SMTPS, POP3, IMAP, POP3S e IMAPS, estar boqueado haca Internet para a red de
rea oca (LAN). Es decr, estarn boqueados para a red de rea oca (LAN) os dversos servcos
de mensa|era nstantnea, redes entre guaes (P2P), BtTorrent, Lmewre y muchos otros
servcos ms.
681
S5.*. "#uipamiento lgico necesario.
Proceda a mpar a confguracn de cuaquer e|ercco anteror, restaurando e archvo de
confguracn predetermnado de Squd y emnando e drectoro de stas, s acaso ste exstese:
cp a /etc/sJuid/sJuid@con!@de!ault /etc/sJuid/sJuid@con!
rm !r /etc/sJuid/listas
Proceda a nstaar os paquetes $ttpd, a versn me|orada de V (paquete vim(en$anced), a
herramenta de descargas Pget y e navegador para modo texto lyn2:
yum y install httpd wget lynx vimenhanced
cd
Proceda a nstaar sarg, paquete que consste en una herramenta de reportes para Squd, squd-
arp, paquete modfcado por Acance Lbre y que consste en Squd con soporte para dreccones
MAC, as como tambn e paquete s$orePall, e cua ser utzado para confgurar
posterormente e muro cortafuegos, y e paquete Pe!min, herramenta que se utzar a
termnar todos os procedmentos para admnstrar e servdor competo desde una nterfaz HTTPS.
yum y install sarg sJuidarp shorewall webmin
S5.3. <rocedimientos
S5.3.+. Con&iguracin de >#uid.
1. Confgure a potca de SELnux para permtr conexones desde cuaquer dreccn:
2. Cambe a drectoro /etc/squd
cd /etc/sJuid
3. Genere e subdrectoro listas:
mkdir listas/
4. Genere os archvos que se utzarn para as stas de contro de acceso y caves de
acceso:
682
touch listas/ZlibresBredlocalBsitioslibres[
5. Edtar e archvo stas/bres:
vim listas/libres
Poner como nco contendo a dreccn MAC de su mquna (por e|empo:
OO-O+-O3-DC-67-*3).
Edtar e archvo stas/red-oca y aadr a este todas as dreccones MAC de resto de os
equpos de a red de rea oca (LAN):
vim listas/redlocal
8. Edtar e archvo stas/stos-bres:
vim listas/sitioslibres
Aada como contendo o sguente, susttuyendo os domnos en negrta por domnos
reaes:
.re5-)o64).ne2
./#s-e/.res4s.6o/./;
./#s-.ro"ee5ores.6o/./;
./#s-6)#en2es.6o/
./#s-!4n6os.6o/
./#s-<4!r#64n2es-5e-6o/.245or4s.6o/
./#s-.er#o5#6os-<4"or#2os.6o/
./#s-4n2#"#rs.6o/
@google@com@mx
@docs@google@com
@maps@google@com
@alcancelibre@org
@centos@org
@!edoraproMect@org
@redhat@com
@clamav@net
@moCilla@com
@adobe@com
@Mava@sun@com
@wikipedia@org
683
@edu@mx
@gob@mx
@windowsupdate@com
10.Edtar e archvo squd.conf:
vim sJuid@con!
11.Desde vm, reace a bsqueda de a cadena $ttpQport 3+*9 e|ecutando:
/http-port ?154
Reempazar por:
A '! you run SJuid on a dualhomed machine with an internal
A and an external inter!ace we recommend you to speci!y the
A internal address"port in http-port@ /his way SJuid will only be
A visible on the internal address@
A
A SJuid normally listens to port ?154
http-port -%,.-'8.-,3.-,3"4#4# transparent
A /3I" https-port
A =sage" Dip"Eport cert)certi!icate@pem Dkey)key@pemE Doptions@@@E
A
Donde +S*.+69.+*3.+*3 corresponde a a dreccn IP para a red de rea oca (LAN) de
servdor que se est confgurando.
12.Desde vm, reazar a bsqueda de a cadena +O +6 *56 e|ecutando o sguente:
/1## 16 586
Reempazar:
A cache-dir u!s /var/spool/sJuid 1## 16 586
Por:
cache-dir u!s /var/spool/sJuid 815 16 586
/acl to-localhost dst 156@#@#@#
14.De!a.o de sta nea que acaba de buscar y ocazar, agregar o sguente:
684
acl all src #@#@#@#/#@#@#@#
acl to-localhost dst 156@#@#@#/4
46) re5-)o64) 4r. "+e26+sC#5+)#s24s+re5-)o64)"
46) )#!res 4r. "+e26+sC#5+)#s24s+)#!res"
46) s#2#os-)#!res 5s25o/4#n "+e26+sC#5+)#s24s+s#2#os-)#!res"
acl SS0-ports port >>?
acl Sa!e-ports port 4#7# A http
acl Sa!e-ports port 51 A !tp
acl Sa!e-ports port >>? A https
/http-access deny all
16.Arri!a de a nea que acaba de buscar y ocazar, agregar o sguente:
A %xample rule allowing access !rom your local networks@ 3dapt
A to list your (internal) '; networks !rom where browsing should
A be allowed
Aacl our-networks src 175@164@1@#/5> 175@164@5@#/5>
Ahttp-access allow our-networks
A 3nd !inally deny all other access to this proxy
322._466ess 4))o* s#2#os-)#!res re5-)o64)
322._466ess 4))o* )#!res
A /3I" http-access5
A 3llowing or $enying access based on de!ined access lists
17.Confgure e soporte a espao para os mensa|es de error que mostrar Squd.
Desde vm, reazar a sguente bsqueda:
/A error-directory
Reempazar o sguente:
Aerror-directory /usr/share/sJuid/errors/%nglish
A
A$e!ault"
V error_5#re62ory +sr+s34re+sC#5+errors+En7)#s3
A /3I" maximum-single-addr-tries
A /his sets the maximum number o! connection attempts !or a
Por:
685
Aerror-directory /usr/share/sJuid/errors/%nglish
A
A$e!ault"
error_5#re62ory +sr+s34re+sC#5+errors+S.4n#s3
A /3I" maximum-single-addr-tries
A /his sets the maximum number o! connection attempts !or a
18.Rence o, en su defecto, nce a confguracn de Squd a fn de verfcar s hubo errores
fataes:
S hay errores, corregros. S no devueve errores pero e servco faa a ncar, examnar
=var=log=s#uid=s#uid.out y reazar correccones:
tail ! /var/log/sJuid/sJuid@out
19.Recargar a confguracn de Squd a fn de verfcar s hubo errores no fataes:
service sJuid reload
S hay errores, reazar correccones pertnentes.
20.Aada e servco s#uid a os servcos de arranque de sstema:
chkcon!ig sJuid on
21.Reazar comprobacones utzando navegador en modo texto:
Defna a dreccn IP de servdor que acaba de confgurar como e vaor para a varabe de
entorno $ttpQpro2y:
export http-proxy)*http"//-%,.-'8.-,3.-,3"4#4#/*
Donde +S*.+69.+*3.+*3 corresponde a a dreccn IP de servdor que acaba de
confgurar.
22.Genere un aas para e mandato lyn2 que especfque se se acepten todas as gaetas de
todos os stos cuando sea necesaro:
alias lynx)*lynx -6oo:#es -2r46e*
23.Reace una prueba de bsqueda a travs de Googe Mxco para a paabra se2:
686
Deber permtr reazar a bsqueda e ngresar haca cuaquer sto en Internet mentras
que a dreccn MAC de propo servdor est ncuda en a sta li!res, es decr e archvo
=etc=s#uid=listas=li!res.
24.Reace as comprobacones para as restrccones de acceso que soo permten acceder
haca os stos de Internet cuyos domnos estn defndos en a sta sitios(li!res. Tene
una de dos opcones:
a. S exste otro servdor con dntca confguracn, defna ahora a dreccn IP de ste
como e vaor de a varabe de entorno $ttpQpro2y:
export http-proxy)*http"//direcciQn '; otro servidor similar"4#4#/*
b. S soo exste e servdor que se acaba de confgurar, edte de nuevo s#uid.con&:
vim sJuid@con!
Reace a sguente bsqueda:
/http-access allow libres
Reempace $ttpQaccess alloP li!res por o sguente, a fn de que a sta li!res
soo pueda acceder a os stos de Internet cuyo domno est en a sta sitios(
li!res, es decr e archvo =etc=s#uid=listas=sitios(li!res:
http-access allow s#2#os-)#!res libres
Recargue a confguracn de Squd.
service sJuid reload
Defna a dreccn IP de servdor que acaba de confgurar como e vaor para a
varabe de entorno $ttpQpro2y:
export http-proxy)*http"//-%,.-'8.-,3.-,3"4#4#/*
Donde +S*.+69.+*3.+*3 corresponde a a dreccn IP de servdor que acaba de
confgurar.
)0@A- A termnar las prue!as, es mportante reverta este 1ltimo cam!io a fn
de restabecer a potca de sada bre a quenes estn en a sta li!res.
25.Utce e navegador lyn2 reazando una bsqueda a travs de Googe Mxco para a
paabra se2:
Lo anteror deber permtr reazar a bsqueda pero soo permtendo e ngreso cuaquer
sto de Internet cuyo domno est ncudo en a sta sitios(li!res, es decr e archvo
=etc=s#uid=listas=sitios(li!res.
687
26.A fn de concur e e|ercco, emne os vaores de a varabe de entorno $ttpQpro2y:
unset http-proxy
Con&iguracin de >$orePall.
1. S todo o anteror funcon correctamente, contne con a confguracn de >$orePall. En
caso contraro, regrese sobre os pasos que sean necesaros hasta hacer as correccones
necesaras.
2. Cambe a drectoro =etc=s$orePall:
cd /etc/shorewall
3. Edte con vm e archvo s$orePall.con&:
vim shorewall@con!
Cambe >@A'@,<Q")AB"DR)o por >@A'@,<Q")AB"DRyes:
S/3R/=;-%+390%$):es
5. Edte con vm e archvo 8ones.
vim Cones
Deba|o de a zona &P y antes de a tma nea, a cua deber respetar y |ams modfcar o
coocar datos despus de sta, aada as zonas net y loc defnendo que son de tpo ipv4:
!w !irewall
ne2 #."J
)o6 #."J
A03S/ 0'+% 3$$ :.=R %+/R'%S 39.&% /1'S 0'+% $. +./ R%,.&%
7. Edte con vm e archvo inter&aces:
vim inter!aces
688
Defna que a zona net corresponder a a nterfaz et$O, con auto-deteccn de dreccn
de dfusn (broadcast) y con opcones de d$cp y !lacKlist (para e uso de archvo de sta
negra). Repta de msmo modo para a zona loc, pero defnendo que corresponde a a
nterfaz et$+:
ne2 e23$ 5e2e62 536.A!)46:)#s2
)o6 e23- 5e2e62 536.A!)46:)#s2
A03S/ 0'+% 3$$ :.=R %+/R'%S 39.&% /1'S 0'+% $. +./ R%,.&%
9. Edte con vm e archvo mas#:
vim masJ
Defna que todo e trfco provenente de a nterfaz eth1 ser enmascarado con a dreccn
IP de a nterfaz eth0:
e23$ e23-
A03S/ 0'+% 3$$ :.=R %+/R'%S 39.&% /1'S 0'+% $. +./ R%,.&%
11.Edte con vm e archvo !lacKlist:
vim blacklist
Defna estar en sta negra a dreccn IP *O9.9+.+S+.++O, que corresponde a
meebo.com, un servco que ofrece un cente HTTP para mensa|era nstantnea para e
servco MSN Messenger, boqueando soo as conexones TCP haca ste a travs de e
puerto 443:
,$8.8-.-%-.--$ 26. 8$AJJ3
A03S/ 0'+% 3$$ :.=R %+/R'%S 39.&% /1'S 0'+% $. +./ R%,.&%
Nota: Puede repetr esta operacn para otros stos de Internet que ofrezcan centes HTTP
para os dversos servcos de mensa|era nstantnea a travs de HTTPS (puerto 443).
13.Edte con vm e archvo policy:
vim policy
689
Defna como potcas predetermnadas que a zona &P puede acceder haca cuaquer otra
zona, que se descartarn (D'0<) as conexones provenentes desde a zona net haca
cuaquer otra zona guardando en a btcora de sstema toda a actvdad descartada, y
que se rechazarn ('"J"C@) conexones provenentes desde a zona loc haca cuaquer
otra zona guardando en a btcora de sstema toda a actvdad rechazada.
<* 4)) ACCE8T
ne2 4)) DRO8 #n<o
)o6 4)) REYECT #n<o
A03S/ 0'+% 3$$ :.=R %+/R'%S 39.&% /1'S 0'+% $. +./ R%,.&%
15.Edte con vm e archvo rules:
vim rules
Defna que todo e trfco provenente de a red de rea oca (LAN) (zona loc) ser
redrgdo a puerto 8080 de servdor que acaba de confgurar cuando as conexones sean
soo por TCP para pueto 80 (E@@<).
REDLRECT )o6 8$8$ 26. 8$
A03S/ 0'+% 3$$ :.=R %+/R'%S 39.&% /1'S 0'+% $. +./ R%,.&%
17.Defna que a red de rea oca (LAN) (zona loc) podr acceder haca Internet (zona net)
soo a os servcos de DNS, NTP, FTP-Data, FTP, HTTPS, SMTP, SMTP Submsson, SMTPS,
POP3, IMAP, POP3S e IMAPS.
R%$'R%(/ loc 4#4# tcp 4#
ACCE8T )o6 ne2 26. ,$A,-A,5AJJ3
ACCE8T )o6 ne2 26. ,5AJ'5A58I
ACCE8T )o6 ne2 26. --$A-J3A%%3A%%5
ACCE8T )o6 ne2 26. 53A-,3
ACCE8T )o6 ne2 5. 53A-,3
A03S/ 0'+% 3$$ :.=R %+/R'%S 39.&% /1'S 0'+% $. +./ R%,.&%
18.Defna que a red de rea oca (LAN) (zona loc) podr acceder haca e cortafuegos (zona
&P) para a os servcos de SSH, DNS, HTTP y Webmn (en caso de estar nstaado).
R%$'R%(/ loc 4#4# tcp 4#
3((%;/ loc net tcp 5#B51B58B>>?
3((%;/ loc net tcp 58B>68B846
3((%;/ loc net tcp 11#B1>?B77?B778
3((%;/ loc net tcp 8?B15?
3((%;/ loc net udp 8?B15?
ACCE8T )o6 <* 26. ,,A53A8$A-$$$$
ACCE8T )o6 <* 5. 53
A03S/ 0'+% 3$$ :.=R %+/R'%S 39.&% /1'S 0'+% $. +./ R%,.&%
690
19.Ince e servco s$orePall.
service shorewall start
20.S e servco s$orePall nco normamente, proceda con e sguente paso. S hay faas o
contnuar.
21.S e servco s$orePall nc sn errores, utce e mandato c$Kcon&ig para que e servco
s$orePall nce automtcamente a prxma vez que arranque e sstema.
chkcon!ig shorewall on
22.Para reazar pruebas, se necesta confgurar un equpo que acceda desde a nterfaz et$+
y que use a dreccn IP de servdor que acaba de confgurar como puerta de enlace
predeterminada. Es mportante recordar que cuaquer servco dstnto a DNS, NTP, FTP-
Data, FTP, HTTP, HTTPS, SMTP, SMTP Submsson, SMTPS, POP3, IMAP, POP3S e IMAPS,
estar boqueado para a red de rea oca (LAN).
%nstalar y con&igurar la $erramienta de reportes >arg.
Por favor, sga os procedmentos descrtos en e documento ttuado Cmo instalar y
con&igurar la $erramienta de reportes >arg.
691
S6. ".ercicio- con&iguracin del sistema para
inu2L Apac$eL <E< y :y>B
Este e|ercco e mostrar como confgurar e sstema para hacer uso de nux, Apache, <HP y
:ySOL, o que se conoce como L.A.M.P., y mostrar tambn agunas funcones bscas de PHP.
Este e|ercco se reaza como cortesa a fn de preparar os sstemas para poder ser utzados por
quenes tomarn e curso de PHP y MySOL.
1. S acaso exstera, por favor emne a confguracn en Apache hecha durante as prctcas
anterores:
rm ! /etc/httpd/con!@d/virtuales@con!
rm ! /etc/httpd/con!@d/misvariables@con!
2. A fn de mpar e sstema de as confguracones dervadas de este curso, emne os servcos
que no sern necesaros e|ecutando o sguente:
yum y remove bind cachingnameserver n!sutils samba
yum y remove vs!tpd sJuirrelmail sJuid <#res24r2er #.24!)es
3. Instae o verfque que est nstaado todo o necesaro e|ecutando o sguente:
yum y install httpd php phpmysJl blue!ish mysJl mysJlserver
4. Aada os servcos de Apache y MySOL a nco de sstema:
chkcon!ig httpd on
chkcon!ig mysJld on
5. Proceda a crear e drectoro de traba|o =var=PPP=cursolamp y e rbo de traba|o
correspondente, sobre e cua podr reazar pruebas de confguracn de servcos sn
necesdad de tocar archvos de confguracn centra e|ecutando o sguente:
mkdir p /var/www/cursolamp/
mkdir p /var/www/cursolamp/public-html/
mkdir p /var/www/cursolamp/cgibin/
mkdir p /var/www/cursolamp/etc/
mkdir p /var/www/)o7-6rso)4/./
ln s /var/www/)o7-6rso)4/. /var/www/cursolamp/log
6. Proceda a crear un usuaro especfco para traba|ar con e drectoro de traba|o
/var/www/cursoamp/. Dcho usuaro deber daro de ata con acceso a ntrprete de mandatos
(She) a fn de poder permtr acceso por SSH, asgnando como clave de acceso a paabra
#Perty. E|ecute o sguente:
useradd s /bin/bash m d +"4r+***+6rso)4/. cursolamp
passwd 6rso)4/.
7. Asgne os permsos necesaros a drectoro de traba|o y drectoros subordnados en e nteror,
e|ecutando o sguente:
692
chown 6rso)4/..4.463e /var/www/cursolamp
chmod 1688 /var/www/cursolamp
chown cursolamp@apache /var/www/cursolamp/public-html/
chown cursolamp@apache /var/www/cursolamp/cgibin/
chown cursolamp@apache /var/www/cursolamp/etc/
chown root@root /var/www/)o7-6rso)4/./
ln s /var/www/cursolamp/public-html
/var/www/cursolamp/$esktop/public-html
8. Confgure apache para que utce e domno PPP.dominio(red(local asocado a de a
dreccn IP 192.168.0.n en e archvo de confguracn =etc=$ttpd=con&.d=cursolamp.con&
utzando e sguente contendo:
+ame&irtual1ost O"4#
_&irtual1ost O"4#R
Server+ame ***@5o/#n#o-re5-)o64)
Server3lias ***
$ocumentRoot /var/www/cursolamp/public-html/
Server3dmin cursolampS/4#).5o/#n#o-re5-)o64)
%rror0og /var/www/)o7-6rso)4/./error-log
(ustom0og /var/www/)o7-6rso)4/./access-log combined
A ;ermitir ver contenido de directorio y activar uso de archivos @htaccess
_$irectory /var/www/cursolamp/public-html/R
.ptions 'ndexes 'ncludes <ollowSym0inks
3llow.verride 3ll
.rder allowBdeny
3llow !rom all
_/$irectoryR
A (on!igurar directorio cgibin independiente al del sistema@
Script3lias /cgibin/ */var/www/cursolamp/cgibin/*
_$irectory */var/www/cursolamp/cgibin*R
.ptions 'ncludes
3llow.verride +one
.rder allowBdeny
3llow !rom all
_/$irectoryR
_/&irtual1ostR
9. Rence o nce e servco de Apache e|ecutando o sguente:
10.Cerre a sesn de root e ingrese como e usuaro cursolamp.
11.Como e usuaro cursolamp, cambe a drectoro -/htm/
cd T/html/
12.Utzando cuaquer edtor de texto (v o buefsh, por e|empo), genere e archvo
-/htm/cabecera.php utzando e sguente contendo:
_html lang)*es*R
_headR
693
-/htm/cuerpo.php utzando e sguente contendo:
_/headR
_body style)*backgroundcolor" redY color" A<<<<##Y !ontweight" bolderY *R
-/htm/pe.php utzando e sguente contendo:
_/bodyR
_/htmlR
-/htm/e|empo-ncudes.php utzando e sguente contendo:
_jphp !unction titulo() Z echo *;kaacuteYgina de prueba ;1;*Y [ jR
_jphp include *cabecera@php*Y jR
_titleR_jphp titulo() jR_/titleR
_jphp include *cuerpo@php*Y jR
_h1R_jphp titulo() jR_/h1R
_pR$ocumento de eMemplo de !unciones bkaacuteYsicas de ;1;@_/pR
_pR1oy es _jphp echo date(*l dS o! < : h"i"s 3*)YjR_/pR
_jphp include *pie@php*Y jR
16.Utce cuaquer navegador, ya sea en modo texto o ben en modo grfco y vsuace e
documento ocazado en e ur http://PPP.dominio(redlocal/e|empo-ncudes.php.
elinks http"//***.5o/#n#o-re5)o64)/eMemploincludes@php
694
S7. ".ercicio- Con&iguracin del sistema como
estacin de tra!a.o
1. Edte e archvo /etc/nttab y ocace a sguente nea:
id"3"initde!ault"
2. Lo anteror estabece que e sstema nca en nve de e|ecucn 3; es decr, en modo
mutusuaro competo, sn modo grfco actvo. A fn de que e sstema nce en modo grfco,
cambe a nea anteror por esta otra:
id"5"initde!ault"
3. Locace ms adeante en este msmo archvo o sguente:
A Run gettys in standard runlevels
1"5?>5"respawn"/sbin/mingetty tty1
?"5?>5"respawn"/sbin/mingetty tty?
>"5?>5"respawn"/sbin/mingetty tty>
4. Lo anteror especfca que as ses termnaes de texto estarn habtadas en os nvees de
e|ecucn 2, 3, 4 y 5. Se deshabtarn as ses termnaes soamente en e nve de e|ecucn 5.
Edte o anteror de modo que quede de sguente modo:
A Run gettys in standard runlevels
1"5?>"respawn"/sbin/mingetty tty1
?"5?>"respawn"/sbin/mingetty tty?
>"5?>"respawn"/sbin/mingetty tty>
5. Edte e archvo /etc/rc.oca y aada a nstruccn /usr/bn/cear, de modo que a pantaa sea
mpada una vez que haya concudo e arranque.
Ad/bin/sh
A
A /his script will be executed Oa!terO all the other init scripts@
A :ou can put your own initialiCation stu!! in here i! you donXt
A want to do the !ull Sys & style init stu!!@
touch /var/lock/subsys/local
/usr/bin/clear
6. Modfque /etc/grub.conf y ocace a nea de nceo:
title (ent.S (5@6@14154@5@1@el8)
root (hd#B#)
kernel /vmlinuC5@6@14154@5@1@el8 ro root)039%0)/
695
7. Aada os parmetros r$g! y #uiet a a nea que especfca e nceo a e|ecutar, teniendo
cuidado de de.ar un espacio despus de rootRAB"R= ya #ue de otro modo no podr;
iniciar el sistema:
title (ent.S (5@6@14154@5@1@el8)
root (hd#B#)
kernel /vmlinuC5@6@14154@5@1@el8 ro root)039%0)/ r37! C#e2
8. Instae e paquete denomnado r$g!, e cua es un programa que har que e sstema tenga un
arranque grfco ms amstoso para e usuaro no-tcnco:
yum y install rhgb
9. Ince una sesn grfca con e mandato xnt. Esto ncar una sesn grfca smpe con una
nca termna xrvt. )o olvide posicionar el puntero del ratn so!re la terminal a &in de
darle &oco.
10.E|ecute e mandato gdmsetup y estabezca que e sstema nce automtcamente con e
usuaro cursoamp.
11."limine todas las inter&aces virtuales; es decr, todos os archvos i&c&g(et$O-` ocazados
dentro de drectoro =etc=syscon&ig=netPorK(scripts=
rm -f /etc/sysconfg/network-scrpts/fcfg-eth0:*
12.Edte e archvo =etc=$osts y emne todas a resoucones ocaes asocadas a as dferentes
dreccones IP que fueron confguradas a o argo de curso. E archvo =etc=$osts debe quedar
ncamente con e sguente contendo:
696
13.Edte tambn e archvo /etc=syscon&ig=netPorK y estabezca de nuevo
local$ost.localdomain como E0>@)A:" de sstema. Emne tambn a nea que
deshabta a confguracn de Zeroconf. De modo ta, e archvo =etc=syscon&ig=netPorK debe
quedar ncamente con e sguente contendo:
+%/2.RH'+I)yes
1.S/+3,%)localhost@localdomain
14.Confgure de nuevo a nterfaz eth0; esta vez como DEC< y utzando e mandato netcon&ig.
Desde cuaquer termna, como e usuaro root, e|ecute e mandato netcon&ig.
15.'einicie el sistema y compruebe que ste o hace con rhgb y que adems nca
automtcamente con a sesn de usuaro cursoamp.
697
)otas
698
)otas
699
)otas
700
)otas
701

Configuracion Servidores Linux 20110912 SEPTIEMBRE 02

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Configuracion Servidores Linux 20110912 SEPTIEMBRE 02

Diunggah oleh

Hak Cipta:

Format Tersedia

Confi guraci n De Servi dores Con Confi guraci n De Servi dores Con

GNU/Li nux GNU/Li nux

ordered: Es e vaor predetermnado. Escrbe os datos asocados a os metadatos prmero en e

(ountry +ame (5 letter code) DI9E"MX

:ou are about to be asked to enter in!ormation that will be

(ountry +ame (5 letter code) DI9E"MX

:ou are about to be asked to enter in!ormation that will be

(ountry +ame (5 letter code) DI9E"MX

:ou are about to be asked to enter in!ormation that will be

(ountry +ame (5 letter code) DI9E"MX

:ou are about to be asked to enter in!ormation that will be

(ountry +ame (5 letter code) DI9E"MX

(ountry +ame (5 letter code) DI9E"MX

(ountry +ame (5 letter code) DI9E"MX

Anda mungkin juga menyukai