Professional Documents
Culture Documents
avanzada del
sistema operativo
GNU/Linux
Josep Jorba Esteve
Remo Suppi Boldrito
PID_00157601
GNUFDL • PID_00157601 2 Administración avanzada del sistema operativo GNU/Linux
c 2011, FUOC. Se garantiza permiso para copiar, distribuir y modificar este documento según los términos de la GNU Free
Documentation License, Version 1.2 o cualquiera posterior publicada por la Free Software Foundation, sin secciones invariantes ni
textos de cubierta delantera o trasera. Se dispone de una copia de la licencia en el apartado “GNU Free Documentation License” de
este documento.
GNUFDL • PID_00157601 3 Administración avanzada del sistema operativo GNU/Linux
Introducción
frustrante) mundo. Veremos algunas de las tareas típicas y cómo tratar los di-
ferentes problemas; si bien la administración es un campo que se aprende día
a día, con el esfuerzo continuo. Y desde aquí advertimos de que este manual
es un trabajo abierto, que con sus aciertos y los más que probables errores, se
puede ver complementado con los comentarios de sus (sufridores) usuarios,
de modo que son bienvenidos los comentarios y las sugerencias de cualquier
tipo para la mejora de los materiales. Esta última adaptación se realiza sobre
una nueva estructura del máster adaptado al Espacio Europeo de Educación
Superior (EEES), que lo adecúa a las nuevas metodologías de aprendizaje, de
conformidad con la normativa vigente de ámbito estatal.
GNUFDL • PID_00157601 5 Administración avanzada del sistema operativo GNU/Linux
Agradecimientos
Contenidos
Módulo didáctico 1
El núcleo Linux
Josep Jorba Esteve
1. El núcleo del sistema GNU/Linux
2. Personalización o actualización del núcleo
3. Proceso de configuración y compilación
4. Aplicación de parches al núcleo
5. Módulos del núcleo
6. Virtualización en el núcleo
7. Futuro del núcleo y alternativas
8. Taller de configuración del núcleo a las necesidades del usuario
Módulo didáctico 2
Administración de servidores
Remo Suppi Boldrito
1. Administración de servidores
1.1. Sistema de nombres de dominio (Domain Name System, DNS)
1.2. NIS (YP)
1.3. Servicios de conexión remota: telnet y ssh
1.4. Servicios de transferencia de ficheros: FTP
1.5. Servicios de intercambio de información a nivel de usuario
1.6. Internet Message Access Protocol (IMAP)
1.7. Grupos de discusión
1.8. World Wide Web (httpd)
1.9. Servidor de WebDav
1.10. Servicio de proxy: Squid
1.11. OpenLdap (Ldap)
1.12. Servicios de archivos (NFS, Network File System)
1.13. Servidor de wiki
1.14. Gestión de copias de respaldo (backups)
Módulo didáctico 3
Administración de datos
Remo Suppi Boldrito
1. Administración de datos
1.1. PostgreSQL
1.2. El lenguaje SQL
1.3. MySQL
1.4. Source Code Control System (CVS y Subversion)
GNUFDL • PID_00157601 7 Administración avanzada del sistema operativo GNU/Linux
Módulo didáctico 4
Administración de seguridad
Josep Jorba Esteve
1. Tipos y métodos de los ataques
2. Seguridad del sistema
3. Seguridad local
4. SELinux
5. Seguridad en red
6. Detección de intrusiones
7. Protección mediante filtrado (TCP wrappers y cortafuegos)
8. Herramientas de seguridad
9. Análisis de registros
10. Taller: análisis de la seguridad mediante herramientas
Módulo didáctico 5
Sintonización, optimización y alta disponibilidad
Remo Suppi Boldrito
1. Sintonización, optimización y alta disponibilidad
1.1. Aspectos básicos
1.2. Monitorización
1.3. Alta disponibilidad en Linux (High-Availability Linux)
Módulo didáctico 6
Clusterización
Remo Suppi Boldrito
1. Clusterización
1.1. Virtualización
1.2. Beowulf
1.3. Beneficios del cómputo distribuido
1.4. Memoria compartida. Modelos de hilos (threading)
1.5. OpenMP
1.6. MPI, Message Passing Interface
1.7. Rocks Cluster
1.8. Monitorización del clúster
1.9. Introducción a la metacomputación o la computación distribuida o en
rejilla
GNUFDL • PID_00157601 8 Administración avanzada del sistema operativo GNU/Linux
0. PREAMBLE
We have designed this License in order to use it for manuals for free software,
because free software needs free documentation: a free program should come
with manuals providing the same freedoms that the software does. But this
License is not limited to software manuals; it can be used for any textual work,
regardless of subject matter or whether it is published as a printed book. We
recommend this License principally for works whose purpose is instruction or
reference.
This License applies to any manual or other work, in any medium, that con-
tains a notice placed by the copyright holder saying it can be distributed un-
der the terms of this License. Such a notice grants a world-wide, royalty-free
license, unlimited in duration, to use that work under the conditions stated
herein. The “Document”, below, refers to any such manual or work. Any
member of the public is a licensee, and is addressed as “you”. You accept the
license if you copy, modify or distribute the work in a way requiring permis-
sion under copyright law.
GNUFDL • PID_00157601 9 Administración avanzada del sistema operativo GNU/Linux
A “Modified Version” of the Document means any work containing the Doc-
ument or a portion of it, either copied verbatim, or with modifications and/or
translated into another language.
The “Invariant Sections” are certain Secondary Sections whose titles are des-
ignated, as being those of Invariant Sections, in the notice that says that the
Document is released under this License. If a section does not fit the above
definition of Secondary then it is not allowed to be designated as Invariant.
The Document may contain zero Invariant Sections. If the Document does
not identify any Invariant Sections then there are none.
The “Cover Texts” are certain short passages of text that are listed, as Front-
Cover Texts or Back-Cover Texts, in the notice that says that the Document is
released under this License. A Front-Cover Text may be at most 5 words, and
a Back-Cover Text may be at most 25 words.
Examples of suitable formats for Transparent copies include plain ASCII with-
out markup, Texinfo input format, LaTeX input format, SGML or XML using
a publicly available DTD, and standard-conforming simple HTML, PostScript
or PDF designed for human modification. Examples of transparent image for-
mats include PNG, XCF and JPG. Opaque formats include proprietary formats
that can be read and edited only by proprietary word processors, SGML or
XML for which the DTD and/or processing tools are not generally available,
and the machine-generated HTML, PostScript or PDF produced by some word
processors for output purposes only.
GNUFDL • PID_00157601 10 Administración avanzada del sistema operativo GNU/Linux
The “Title Page” means, for a printed book, the title page itself, plus such fol-
lowing pages as are needed to hold, legibly, the material this License requires
to appear in the title page. For works in formats which do not have any title
page as such, “Title Page” means the text near the most prominent appearance
of the work’s title, preceding the beginning of the body of the text.
The “publisher” means any person or entity that distributes copies of the Doc-
ument to the public.
A section “Entitled XYZ” means a named subunit of the Document whose ti-
tle either is precisely XYZ or contains XYZ in parentheses following text that
translates XYZ in another language. (Here XYZ stands for a specific section
name mentioned below, such as “Acknowledgements”, “Dedications”, “En-
dorsements”, or “History”.) To “Preserve the Title” of such a section when
you modify the Document means that it remains a section “Entitled XYZ”
according to this definition.
The Document may include Warranty Disclaimers next to the notice which
states that this License applies to the Document. These Warranty Disclaimers
are considered to be included by reference in this License, but only as re-
gards disclaiming warranties: any other implication that these Warranty Dis-
claimers may have is void and has no effect on the meaning of this License.
2. VERBATIM COPYING
You may copy and distribute the Document in any medium, either commer-
cially or noncommercially, provided that this License, the copyright notices,
and the license notice saying this License applies to the Document are repro-
duced in all copies, and that you add no other conditions whatsoever to those
of this License. You may not use technical measures to obstruct or control
the reading or further copying of the copies you make or distribute. However,
you may accept compensation in exchange for copies. If you distribute a large
enough number of copies you must also follow the conditions in section 3.
You may also lend copies, under the same conditions stated above, and you
may publicly display copies.
3. COPYING IN QUANTITY
If you publish printed copies (or copies in media that commonly have printed
covers) of the Document, numbering more than 100, and the Document’s
license notice requires Cover Texts, you must enclose the copies in covers
that carry, clearly and legibly, all these Cover Texts: Front-Cover Texts on the
front cover, and Back-Cover Texts on the back cover. Both covers must also
clearly and legibly identify you as the publisher of these copies. The front
cover must present the full title with all words of the title equally prominent
GNUFDL • PID_00157601 11 Administración avanzada del sistema operativo GNU/Linux
and visible. You may add other material on the covers in addition. Copying
with changes limited to the covers, as long as they preserve the title of the
Document and satisfy these conditions, can be treated as verbatim copying in
other respects.
If the required texts for either cover are too voluminous to fit legibly, you
should put the first ones listed (as many as fit reasonably) on the actual cover,
and continue the rest onto adjacent pages.
It is requested, but not required, that you contact the authors of the Docu-
ment well before redistributing any large number of copies, to give them a
chance to provide you with an updated version of the Document.
4. MODIFICATIONS
You may copy and distribute a Modified Version of the Document under the
conditions of sections 2 and 3 above, provided that you release the Modified
Version under precisely this License, with the Modified Version filling the
role of the Document, thus licensing distribution and modification of the
Modified Version to whoever possesses a copy of it. In addition, you must do
these things in the Modified Version:
• A. Use in the Title Page (and on the covers, if any) a title distinct from
that of the Document, and from those of previous versions (which should,
if there were any, be listed in the History section of the Document). You
may use the same title as a previous version if the original publisher of that
version gives permission.
• B. List on the Title Page, as authors, one or more persons or entities respon-
sible for authorship of the modifications in the Modified Version, together
with at least five of the principal authors of the Document (all of its prin-
cipal authors, if it has fewer than five), unless they release you from this
requirement.
GNUFDL • PID_00157601 12 Administración avanzada del sistema operativo GNU/Linux
• C. State on the Title page the name of the publisher of the Modified Ver-
sion, as the publisher.
• G. Preserve in that license notice the full lists of Invariant Sections and
required Cover Texts given in the Document’s license notice.
• I. Preserve the section Entitled “History”, Preserve its Title, and add to it
an item stating at least the title, year, new authors, and publisher of the
Modified Version as given on the Title Page. If there is no section Entitled
“History” in the Document, create one stating the title, year, authors, and
publisher of the Document as given on its Title Page, then add an item
describing the Modified Version as stated in the previous sentence.
• J. Preserve the network location, if any, given in the Document for public
access to a Transparent copy of the Document, and likewise the network
locations given in the Document for previous versions it was based on.
These may be placed in the “History” section. You may omit a network
location for a work that was published at least four years before the Doc-
ument itself, or if the original publisher of the version it refers to gives
permission.
You may add a passage of up to five words as a Front-Cover Text, and a passage
of up to 25 words as a Back-Cover Text, to the end of the list of Cover Texts
in the Modified Version. Only one passage of Front-Cover Text and one of
Back-Cover Text may be added by (or through arrangements made by) any
one entity. If the Document already includes a cover text for the same cover,
previously added by you or by arrangement made by the same entity you are
acting on behalf of, you may not add another; but you may replace the old
one, on explicit permission from the previous publisher that added the old
one.
The author(s) and publisher(s) of the Document do not by this License give
permission to use their names for publicity for or to assert or imply endorse-
ment of any Modified Version.
5. COMBINING DOCUMENTS
You may combine the Document with other documents released under this
License, under the terms defined in section 4 above for modified versions,
provided that you include in the combination all of the Invariant Sections
of all of the original documents, unmodified, and list them all as Invariant
Sections of your combined work in its license notice, and that you preserve
all their Warranty Disclaimers.
The combined work need only contain one copy of this License, and multiple
identical Invariant Sections may be replaced with a single copy. If there are
multiple Invariant Sections with the same name but different contents, make
the title of each such section unique by adding at the end of it, in parentheses,
the name of the original author or publisher of that section if known, or else
a unique number. Make the same adjustment to the section titles in the list
of Invariant Sections in the license notice of the combined work.
In the combination, you must combine any sections Entitled “History” in the
various original documents, forming one section Entitled “History”; likewise
combine any sections Entitled “Acknowledgements”, and any sections Enti-
tled “Dedications”. You must delete all sections Entitled “Endorsements”.
GNUFDL • PID_00157601 14 Administración avanzada del sistema operativo GNU/Linux
6. COLLECTIONS OF DOCUMENTS
You may make a collection consisting of the Document and other documents
released under this License, and replace the individual copies of this License
in the various documents with a single copy that is included in the collection,
provided that you follow the rules of this License for verbatim copying of each
of the documents in all other respects.
You may extract a single document from such a collection, and distribute it
individually under this License, provided you insert a copy of this License into
the extracted document, and follow this License in all other respects regarding
verbatim copying of that document.
A compilation of the Document or its derivatives with other separate and in-
dependent documents or works, in or on a volume of a storage or distribution
medium, is called an “aggregate” if the copyright resulting from the compi-
lation is not used to limit the legal rights of the compilation’s users beyond
what the individual works permit. When the Document is included in an ag-
gregate, this License does not apply to the other works in the aggregate which
are not themselves derivative works of the Document.
8. TRANSLATION
9. TERMINATION
You may not copy, modify, sublicense, or distribute the Document except
as expressly provided under this License. Any attempt otherwise to copy,
modify, sublicense, or distribute it is void, and will automatically terminate
your rights under this License.
However, if you cease all violation of this License, then your license from
a particular copyright holder is reinstated (a) provisionally, unless and until
the copyright holder explicitly and finally terminates your license, and (b)
permanently, if the copyright holder fails to notify you of the violation by
some reasonable means prior to 60 days after the cessation.
Termination of your rights under this section does not terminate the licenses
of parties who have received copies or rights from you under this License. If
your rights have been terminated and not permanently reinstated, receipt of
a copy of some or all of the same material does not give you any rights to use
it.
The Free Software Foundation may publish new, revised versions of the GNU
Free Documentation License from time to time. Such new versions will be
similar in spirit to the present version, but may differ in detail to address new
problems or concerns. See http://www.gnu.org/copyleft/.
11. RELICENSING
“Massive Multiauthor Collaboration Site” (or “MMC Site”) means any World
Wide Web server that publishes copyrightable works and also provides promi-
GNUFDL • PID_00157601 16 Administración avanzada del sistema operativo GNU/Linux
nent facilities for anybody to edit those works. A public wiki that anybody
can edit is an example of such a server. A “Massive Multiauthor Collabora-
tion” (or “MMC”) contained in the site means any set of copyrightable works
thus published on the MMC site.
The operator of an MMC Site may republish an MMC contained in the site
under CC-BY-SA on the same site at any time before August 1, 2009, provided
the MMC is eligible for relicensing.
To use this License in a document you have written, include a copy of the
License in the document and put the following copyright and license notices
just after the title page:
If you have Invariant Sections, Front-Cover Texts and Back-Cover Texts, re-
place the “with ... Texts.” line with this:
with the Invariant Sections being LIST THEIR TITLES, with the Front-Cover Texts
being LIST, and with the Back-Cover Texts being LIST.
If you have Invariant Sections without Cover Texts, or some other combina-
tion of the three, merge those two alternatives to suit the situation.
GNUFDL • PID_00157601 17 Administración avanzada del sistema operativo GNU/Linux
PID_00174426
GNUFDL • PID_00174426 El núcleo Linux
Índice
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
6. Virtualización en el núcleo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
6.1. KVM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Actividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
GNUFDL • PID_00174426 5 El núcleo Linux
Introducción
El núcleo (en inglés kernel) del sistema GNU/Linux (al que habitualmente de-
nominaremos Linux) [Vasb], es el corazón del sistema: se encarga de arrancar-
lo y, una vez este es ya utilizable por las aplicaciones y los usuarios, se encarga
de gestionar los recursos de la máquina, en forma de gestión de la memoria,
del sistema de ficheros, de las operaciones de entrada/salida y de los procesos
y su intercomunicación.
Su origen se remonta al año 1991, cuando en agosto, un estudiante finlandés Origen de Linux
llamado Linus Torvalds anunció en una lista de noticias, que había creado su
El núcleo Linux se remonta al
propio núcleo de sistema operativo, funcionando conjuntamente con softwa- año 1991, cuando Linus
re GNU, y lo ofrecía a la comunidad de desarrolladores para que lo probara y Torvalds lo puso a disposición
de la comunidad. Es de los
sugiriera mejoras para hacerlo más utilizable. Este es el origen del núcleo del pocos sistemas operativos,
sistema operativo que más tarde se llamaría GNU/Linux. que siendo ampliamente
usados, se dispone de su
código fuente.
Una de las particularidades de Linux es que, siguiendo la filosofía de software
libre, se nos ofrece el código fuente del núcleo del propio sistema operativo
(del kernel), de manera que es una herramienta perfecta para la educación, en
temas de análisis y diseño de sistemas operativos.
Además, veremos cómo el núcleo ha ido añadiendo toda una serie de carac-
terísticas a lo largo de su evolución, que lo han convertido en competitivo
frente a otros sistemas. En especial, observaremos algunas características de la
virtualización que nos ofrecen con soporte desde el núcleo.
GNUFDL • PID_00174426 6 El núcleo Linux
Objetivos
En este caso, el núcleo Linux ofrece una solución de código abierto, con los
consecuentes permisos de modificación, corrección, posibilidad de generación
de nuevas versiones y actualizaciones de forma rápida, por parte de cualquiera
que quiera y tenga los conocimientos adecuados para realizarlo. Esto permite
a los usuarios críticos controlar mejor sus aplicaciones y el propio sistema, y
poder montar sistemas con el propio sistema operativo “a la carta”, personali-
zado al gusto de cada uno. También permite disponer, a su vez, de un sistema
operativo con código abierto, desarrollado por una comunidad de programa-
dores coordinados mediante Internet y accesible ya sea para educación, por
disponer del código fuente y abundante documentación, o para la produc-
ción final de los sistemas GNU/Linux adaptados a necesidades individuales o
de un determinado colectivo.
A continuación repasamos un poco la historia del núcleo [Kera, Kerb]. El nú- MINIX
cleo Linux lo comenzó a desarrollar un estudiante finlandés llamado Linus
El núcleo tiene sus orígenes
Torvalds, en 1991, con la intención de realizar una versión parecida a MINIX en el sistema MINIX,
desarrollado por Andrew
[Tan87] (versión para PC de UNIX [Bac86]) para el procesador 386 de Intel. La
Tanenbaum, como un clon
primera versión publicada oficialmente fue la de Linux 1.0 en marzo de 1994, de UNIX para PC.
en la cual se incluía sólo la ejecución para la arquitectura i386 y soportaba
GNUFDL • PID_00174426 9 El núcleo Linux
Para ver un poco la complejidad del núcleo de Linux, veamos una tabla con un Complejidad del núcleo
poco de su historia resumida en las diferentes versiones y en el tamaño respec-
El núcleo hoy en día ha
tivo del código fuente. En la tabla solo se indican las versiones de producción; alcanzado unos grados de
el tamaño esta especificado en miles de líneas del código de los paquetes fuen- madurez y complejidad
significativos
tes del núcleo:
Como podemos comprobar, hemos pasado de unas diez mil líneas a seis mi-
llones en las primeras versiones de la rama 2.6; las últimas versiones de esta
rama se mueven entre los diez a quince millones de líneas.
Aunque ahora la rama principal sea la 2.6.x, cierto conocimiento de las an-
teriores versiones es imprescindible, ya que con facilidad podemos encontrar
máquinas con distribuciones antiguas que no se hayan actualizado, que es po-
sible que debamos mantener o realizar un proceso de migración a versiones
más actuales.
Hay que tener en cuenta que con las versiones actuales del núcleo se ha al-
Enlace de interés
canzado ya un alto grado de desarrollo y madurez, lo que hará que cada vez
se amplíe más el tiempo entre la publicación de las versiones estables, no así Linux Foundation:
http://www.linuxfoundation.
de las revisiones parciales o de desarrollo, aspecto en el que los mantenedores org
esperan una nueva versión cada 2 o 3 meses.
También cabe tener en cuenta que la mayoría de desarrolladores (de los miles)
solo tienen unos conocimientos parciales del núcleo y, ni todos trabajan si-
multáneamente, ni su aportación es igual de relevante (algunas aportaciones
solo corrigen errores sencillos). En el otro extremo, son unas pocas personas
(como los mantenedores) las que disponen de un conocimiento total del nú-
cleo. Esto supone que se puedan alargar los desarrollos y que se tengan que
depurar las aportaciones, para comprobar que no entren en conflicto entre
ellas, o que se deba escoger entre posibles alternativas de prestaciones.
1) Hasta la rama del núcleo 2.6.x, las versiones del núcleo Linux se regían por
una división en dos series: una era la denominada “experimental” (con nume-
ración impar en la segunda cifra, como 1.3.xx, 2.1.x o 2.5.x) y la otra era la de
producción (serie par, como 1.2.xx, 2.0.xx, 2.2.x, 2.4.x y más). La serie experi-
mental eran versiones que se movían rápidamente y se utilizaban para probar
nuevas prestaciones, algoritmos, controladores de dispositivo, etc. Por la pro-
pia naturaleza de los núcleos experimentales, podían tener comportamientos
impredecibles, como pérdidas de datos, bloqueos aleatorios de la máquina,
etc. Por lo tanto, no estaban destinadas a utilizarse en máquinas para la pro-
ducción, a no ser que se quisiese probar una característica determinada (con
los consecuentes peligros).
Los núcleos de producción (serie par) o estables eran los núcleos con un con-
junto de prestaciones bien definido, con un número bajo de errores conocidos
y controladores de dispositivos probados. Se publicaban con menos frecuencia
que los experimentales y existían variedad de versiones, unas de más o menos
calidad que otras. Las distribuciones GNU/Linux se suelen basar en una de-
terminada versión del núcleo estable, no necesariamente el último núcleo de
producción publicado.
Los distribuidores no suelen incluir la última versión del núcleo, sino la que
ellos hayan probado con más frecuencia y puedan verificar que es estable para
el software y componentes que ellos incluyen. Partiendo de este esquema de
numeración clásico (que se siguió durante las ramas 2.4.x hasta los inicios
de la 2.6), hubo algunas modificaciones para adaptarse al hecho de que el
núcleo (rama 2.6.x) se vuelve más estable (fijando X.Y a 2.6) y cada vez las
GNUFDL • PID_00174426 12 El núcleo Linux
revisiones son menores (por significar un salto de versión de los primeros nú-
meros), pero el desarrollo continuo y frenético sigue.
Algunas de las características técnicas [Ces06, Kan] del núcleo Linux que po-
dríamos destacar son:
• Tiene soporte para carga y descarga de porciones del núcleo bajo demanda;
estas porciones se llaman módulos y suelen ser características del núcleo o
controladores de dispositivo.
5) Alta calidad: los sistemas GNU/Linux son muy estables, con una baja pro-
porción de fallos, y reducen el tiempo dedicado a mantener los sistemas.
7) Linux es compatible con una gran parte de los sistemas operativos, puede
leer ficheros de prácticamente cualquier sistema de ficheros y puede comuni-
carse por red para ofrecer y recibir servicios de cualquiera de estos sistemas.
Además, también con ciertas bibliotecas puede ejecutar programas de otros
sistemas (como MS-DOS, Windows, BSD, Xenix, etc.) en la arquitectura x86 o
bien virtualizar máquinas completas.
Otra opción de instalación suele ser la versión del núcleo. Normalmente las
distribuciones usan una versión para instalación que consideran lo suficien-
temente estable y probada como para que no cause problemas a los usuarios.
Por ejemplo, a día de hoy muchas distribuciones vienen con una versión de la
rama 2.6.x del núcleo por defecto, que se consideraba la versión más estable
del momento en que salió la distribución. En algunos casos en el momento
de la instalación puede ofrecerse la posibilidad de usar como alternativa ver-
siones más modernas, con mejor soporte para dispositivos más modernos (de
última generación), pero quizás no tan probadas.
Los distribuidores suelen, además, modificar el núcleo para mejorar el com- Personalización del
núcleo
portamiento de su distribución o corregir errores que han detectado en el nú-
cleo en el momento de las pruebas. Otra técnica bastante común en las distri- La posibilidad de actualizar y
personalizar el núcleo a
buciones comerciales es deshabilitar prestaciones problemáticas, que pueden
medida ofrece una buena
causar fallos o que necesitan una configuración especifica de la máquina, o adaptación a cualquier
sistema, lo que permite así
bien una determinada prestación no se considera lo suficientemente estable
una optimización y
para incluirla activada. sintonización del núcleo al
sistema destino.
Esto nos lleva a considerar que, por muy bien que un distribuidor haga el
trabajo de adaptar el núcleo a su distribución, siempre nos podemos encon-
trar con una serie de problemas u objetivos que no podemos realizar con la
situación actual:
GNUFDL • PID_00174426 16 El núcleo Linux
• Los controladores que nos ofrece un fabricante necesitan una nueva ver-
sión del núcleo o modificaciones.
• Nos gusta investigar o probar los nuevos avances del núcleo o bien quere-
mos tocar o modificar el núcleo.
• Etc.
Por estos y otros motivos podemos no estar contentos con el núcleo que tene-
mos. Se nos plantean entonces dos posibilidades: actualizar el núcleo binario
de la distribución o bien personalizarlo a partir de los paquetes fuente.
Vamos a ver algunas cuestiones relacionadas con las diferentes opciones y qué
suponen:
.
Este tipo de actualización nos simplifica mucho el proceso, pero no tie-
ne porqué solucionar nuestros problemas, ya que puede ser que nuestro
hardware no esté todavía soportado o la característica a probar del nú-
cleo no esté todavía en la versión que tenemos de la distribución; cabe
recordar que no tiene porqué usar la última versión disponible (por
ejemplo en kernel.org), sino aquella que el distribuidor considere esta-
ble para su distribución.
También aquí podemos encontrarnos con dos opciones más: o bien por de-
fecto obtenemos la versión “oficial” del núcleo (kernel.org) o bien podemos
acudir a los paquetes fuente proporcionados por la propia distribución. Hay
que tener en cuenta que distribuciones como Debian y Fedora hacen un tra-
bajo importante de adecuación del núcleo y de corrección de errores del que
afectan a su distribución, con lo cual podemos, en algunos casos, disponer de
correcciones adicionales al código original del núcleo. Otra vez más los pa-
quetes fuente ofrecidos por la distribución no tienen porqué corresponder a
la última versión estable publicada.
La personalización del núcleo [Vasb] es un proceso costoso, necesita amplios Obtención de un núcleo
personalizado
conocimientos del proceso a realizar y, además, es una de las tareas críticas, de
la cual depende la estabilidad del sistema, por la propia naturaleza del núcleo, El proceso de obtención de
un nuevo núcleo
puesto que es su elemento central.
personalizado pasa por
obtener los paquetes fuente,
adaptar la configuración,
Cualquier error de procedimiento puede comportar la inestabilidad o la pérdi- compilar e instalar el núcleo
da del sistema. Por lo tanto, no está de más realizar cualquier tarea de copia de obtenido en el sistema.
Sin ánimo de exagerar, casi nunca aparecen problemas si se siguen los pasos
adecuadamente, se tiene conciencia de los pasos realizados y se toman algu-
nas precauciones. Evidentemente, ante sistemas en producción, siempre es
importante tomar las medidas de precaución y hacer las copias de seguridad
necesarias.
También hay que añadir que, con las últimas distribuciones, cada vez es más
casual la necesidad de reconstruir o recompilar el propio núcleo, debido, entre
otras consideraciones, a que:
• Por otro lado, las distribuciones tienen una velocidad bastante rápida en
cuanto a integrar parches y nuevos núcleos a medida que se generan.
Por contra, una personalización del núcleo, mediante recompilación, nos pue-
de permitir:
• Escoger qué partes incluir o excluir del núcleo, dando un soporte concreto
a una plataforma o un hardware muy concreto. Esto es imprescindible si
estamos, por ejemplo, en situaciones de hardware empotrado (embedded).
Si los paquetes fuente venían en un fichero gz, reemplazamos bzip2 por gzip.
Al descomprimir los paquetes fuente se habrá generado un directorio llamado
linux-version-kernel, donde entraremos para establecer la configuración
del núcleo.
Se recomienda, en general, consultar la documentación del núcleo (ya sea vía paquete
o en el directorio raíz de las fuentes del núcleo) para conocer qué prerrequisitos, así
como versiones de estos, son necesarios para el proceso. Se recomienda examinar los
ficheros README en el directorio “raíz”, y el Documentation/Changes, o el índice de
documentación del núcleo en Documentation/00-INDEX.
• make config: desde la línea de comandos se nos pregunta por cada op-
ción y se nos pide confirmación (y/n), si deseamos o no la opción, o se nos
piden los valores necesarios. Es la configuración larga, en la que se nos pi-
den muchas respuestas, podemos tener que responder a casi un centenar
de preguntas (o más dependiendo de la versión).
Una vez se haya hecho el proceso de configuración, hay que guardar el fichero
.config, ya que la configuración consume un tiempo importante. Además,
puede ser de utilidad disponer de la configuración realizada (.config) si está
planeado hacerla en varias máquinas parecidas o idénticas.
tegrada en el núcleo o como módulo. Ésta es una decisión más o menos im-
portante, ya que el rendimiento del núcleo (y, por lo tanto, del sistema entero)
en algunos casos puede depender de nuestra elección.
La elección más normal es integrar dentro del núcleo lo que se considere bá-
sico para el funcionamiento o crítico en rendimiento, y dejar como módulos
aquellas partes o controladores de los que se vaya a hacer un uso esporádico o
que se necesite conservar por si se producen futuras ampliaciones del equipo.
sí que sabemos que estará conectada a red; en este caso el soporte de red
estará integrado en el núcleo, pero por lo que respecta a los controlado-
res de las tarjetas, podremos seleccionar unos cuantos (o todos) y ponerlos
como módulos. Así, cuando tengamos la tarjeta podremos cargar el módu-
lo necesario, o si después tenemos que cambiar una tarjeta por otra, solo
tendremos que cambiar el módulo que se va a cargar. Si hubiese solo un
controlador integrado en el núcleo y cambiamos la tarjeta, esto obligaría a
reconfigurar y recompilar el núcleo con el controlador de la tarjeta nueva.
• Otro caso que suele aparecer (aunque no es muy común) es cuando necesi-
tamos dos dispositivos que son incompatibles entre si, o está funcionando
uno o el otro (esto podría pasar, por ejemplo, con impresoras con cable
paralelo y hardware que se conecta al puerto paralelo). Por lo tanto, en
este caso tenemos que colocar como módulos los controladores y cargar o
descargar el que sea necesario.
make dep
make bzImage
Cuando este proceso acabe, tendremos la parte integrada del núcleo y nos
faltarán las partes que hayamos puesto como módulos:
make modules
make modules_install
GNUFDL • PID_00174426 24 El núcleo Linux
cp arch/i386/boot/bzImage /boot/vmlinuz-2.4.xx
cp System.map /boot/System.map-2.4.xx
• Desde arranque con LiLo [Skoa], ya sea en el Master Boot Record (MBR)
o desde partición propia, hay que añadir al fichero de configuración (en
/etc/lilo.conf), por ejemplo, las líneas:
image = /boot/vmlinuz-2.4.0
label = 2.4.0
/sbin/lilo -v
• Arranque con Grub: La gestión en este caso es bastante simple, cabe aña-
Lectura recomendada
dir una nueva configuración formada por el núcleo nuevo y añadirla co-
mo una opción más al fichero de configuración del Grub, y rearrancar pro- Sobre Grub podéis consultar
Grub bootloader y Grub
cediendo de forma parecida a la del LiLo, pero recordando que en Grub Manual accesibles desde la
basta con editar el fichero y rearrancar. También es mejor dejar la antigua web del proyecto GNU:
http://www.gnu.org
configuración para poder recuperarse de posibles errores o problemas con
el núcleo recién compilado.
• En Debian a partir de ciertas versiones del 2.6.x, para las imágenes bina-
rias de núcleo, headers de desarrolllo y el código fuente del núcleo, los
nombres de paquetes cambian de kernel-images/source/headers a
linux-image/source/headers.
• Respecto a las arquitecturas que soporta el núcleo, hay que tener en cuenta
que con los 2.6.x, en las diferentes revisiones, se han ido incrementando
las arquitecturas soportadas, lo que nos permitirá disponer de imágenes bi-
narias del núcleo en las distribuciones (o las opciones de compilación del
núcleo) más adecuadas para el soporte de nuestros procesadores. En con-
creto, podemos encontrarnos con arquitecturas como i386 (para Intel y
AMD), que soporta la compatibilidad de Intel en 32 bits para toda la fami-
lia de procesadores (en algunas distribuciones se usa 486 como arquitectura
general); en algunas distribuciones se integran versiones diferenciadas para
i686 (Intel a partir de Pentium Pro en adelante), para k7 (AMD Athlon en
adelante) y las específicas de 64 bits, para AMD de 64 bits (x86_64) e Intel
con extensiones em64t de 64 bits como en los Xeon y algunas familias de
multicores. Por otra parte, también existe la arquitectura IA64 para los mo-
delos de 64 bits Intel Itanium. En la mayoría de los casos, las arquitecturas
disponen de las capacidades SMP activadas en la imagen del núcleo (a no
ser que la distribución soporte versiones con SMP o sin, creadas indepen-
dientemente; en este caso, suele añadirse el sufijo -smp a la imagen binaria
del núcleo que lo soporta).
En este punto, podría ser interesante parchear el núcleo, lo cual podríamos El proceso de parchear el núcleo se
trata en el apartado 4.
realizar, debido a que tenemos un código fuente adicional (en forma de par-
che) que mejora algún problema conocido de la versión o bien porque que-
remos proponer o probar un cambio de código en el núcleo. También podría
darse el caso de que un fabricante de hardware ofreciese algún soporte o co-
rrección de fallos para un controlador de dispositivo, como un parche para
una versión de núcleo concreta.
verificar la integridad de los ficheros de fuentes. Hay que evitar, a toda costa,
usar fuentes de núcleo o de módulos proporcionados por emisores no fiables.
# make mrproper
El siguiente paso es la configuración de parámetros. El fichero .config po- Recordad que si disponemos de
demos usarlo bien a partir compilaciones previas que hayamos realizado o un .config previo, nos
permitirá no comenzar de cero
bien partir de la configuración del núcleo actual existente (recordad que con la configuración del núcleo.
nos dejará estas opciones del núcleo actual preparadas. También podríamos
usar un fichero de configuración de otras compilaciones de núcleo previas
que hayamos realizado. Si no proponemos ningún fichero de configuración
previo, entonces partimos de unas opciones por defecto en las que deberemos
mirar y comprobar todas las opciones del núcleo.
# make menuconfig
# make
GNUFDL • PID_00174426 29 El núcleo Linux
# make modules
# make modules_install
# cp arch/i386/boot/bzimage /boot/vmlinuz-2.6.xx.img
# make install
GNUFDL • PID_00174426 30 El núcleo Linux
Pero hay que tener en cuenta que esta opción realiza todo el proceso y ac-
tualizará los bootloaders quitando antiguas configuraciones o modificándolas.
Pueden alterarse también los enlaces por defecto en el directorio /boot. Antes
de utilizar esta opción automática, sería recomendable un proceso de copia de
seguridad de la configuración del bootloader (LiLo en /etc/lilo.conf o Grub
en /etc/grub/menu.lst) y posibles enlaces de /boot a la hora de pensar en
las configuraciones pasadas que queremos guardar.
# update-initramfs -c -k ’version’
Una vez disponemos de los ficheros correctos en /boot y del bootloader actua-
lizado, ya podemos proceder al rearranque con shutdown -r now, escoger
nuestro núcleo y, si todo ha ido bien, podremos comprobar con uname -r
que disponemos de la nueva versión del núcleo. También es particularmente
interesante examinar algunos registros, como /var/log/messages y el co-
mando dmesg, para examinar el registro de salida de mensajes producidos por
el nuevo núcleo en el arranque y detectar si ha aparecido algún problema de
funcionalidad o con algún dispositivo concreto.
$ cd linux-2.6-version
$ fakeroot debian/rules binary
Pasamos ahora a la otra opción que habíamos comentado al inicio, a los aspec-
tos de personalización, cuando queremos cambiar ciertas opciones del núcleo
y crear una versión personal del mismo.
$ make menuconfig
GNUFDL • PID_00174426 33 El núcleo Linux
$ make clean
$ make KDEB_PKGVERSION=custom.1.0 deb-pkg
# dpkg -i ../linux-image-2.6.xx_custom.1.0_i386.deb
# m-a prepare
# m-a auto-install nombre_modulo
GNUFDL • PID_00174426 34 El núcleo Linux
patchxxxx-2.6.xx-pversion.bz2
donde xxxx suele ser algún mensaje sobre el tipo o finalidad del parche. 2.6.xx
sería la versión del núcleo al cual se le va a aplicar el parche, y pversion
haría referencia a la versión del parche, del que también pueden existir va-
rias. Hay que tener en cuenta que estamos hablando de aplicar parches a
los paquetes fuente del núcleo (normalmente instalados, como vimos, en
/usr/src/linux o directorio similar del usuario usado en la compilación
del núcleo).
GNUFDL • PID_00174426 36 El núcleo Linux
Una vez dispongamos del parche, tendremos que aplicarlo. Veremos el proce-
so a seguir en algún fichero Readme que acompaña al parche, pero general-
mente el proceso sigue los pasos (una vez comprobados los requisitos previos)
de descomprimir el parche en el directorio de los ficheros fuente y aplicarlo
sobre las fuentes del núcleo, como por ejemplo:
Por último, señalaremos que muchas distribuciones de GNU/Linux (Fedo- Núcleo actualizado
ra/Red Hat, Mandriva) ya ofrecen núcleos parcheados por ellos mismos y sis- En sistemas que se quieran
temas para actualizarlos (algunos incluso de forma automática, como en el tener actualizados, por
razones de test o de
caso de Fedora/Red Hat y Debian). Normalmente, en sistemas de producción necesidad de las últimas
es más recomendable seguir las actualizaciones del fabricante, aunque éste prestaciones, siempre se
puede acudir a
no ofrecerá necesariamente el último núcleo publicado, sino el que crea más http://www.kernel.org y
estable para su distribución, con el inconveniente de perder prestaciones de obtener el núcleo más
moderno publicado.
última generación o alguna novedad en las técnicas incluidas en el núcleo.
dos, podría ser el siguiente (donde xx es la revisión de la rama 2.6 usada por
Debian):
Esta última parte nos instala el conjunto de parches que Debian ha generado
para la versión fuente del núcleo usado y, en el ultimo comando, nos permite
volver a una revisión Debian concreta del núcleo (lo que se suele denominar
un patchlevel de los fuentes del núcleo). Así, por ejemplo, si la revisión del nú-
cleo es 2.6.xx-2, el comando anterior volvería (proceso denominado rollback)
los fuentes del núcleo a la anterior versión patchlevel 2.6.xx-1. Así podemos
escoger una versión del núcleo según el subconjunto de parches aplicados.
Por último, cabe comentar la incorporación de una tecnología reciente al uso Ksplice
de parches en Linux, Ksplice, que permite a un sistema Linux añadir parches
Ksplice es una tecnología
al núcleo sin necesidad de parar y rearrancar el sistema. Básicamente, Ksplice muy útil para servidores
determina a partir de los paquetes fuente cuáles son los cambios introducidos empresariales en producción.
Podéis consultar su web:
por un parche o una serie de ellos, y comprueba en memoria cómo afectan a la http://www.ksplice.com
imagen del núcleo en memoria que se encuentra ejecutándose. Se intenta en-
tonces parar la ejecución en el momento en que no existan dependencias de
tareas que necesiten las partes del núcleo a parchear. Entonces se procede a
cambiar, en el código objeto del núcleo, las funciones afectadas, apuntando
a las nuevas funciones con el parche aplicado y modificando datos y estruc-
turas de memoria que tengan que reflejar los cambios. Actualmente es un
producto comercial, pero algunas distribuciones de comunidad ya lo están
incluyendo debido al soporte gratuito que se ofrece para algunas. En los ca-
sos de producción en empresas, con servidores en los que es importante no
disminuir el tiempo de servicio, puede ser una tecnología crítica para usar, al-
tamente recomendable tanto para disminuir el tiempo de pérdida de servicio
como para minimizar incidentes de seguridad que afecten al núcleo.
El núcleo es capaz de cargar dinámicamente porciones de código (módulos) Flexibilidad del sistema
bajo demanda [Hen], para complementar su funcionalidad (se dispone de esta Los módulos aportan una
posibilidad desde la versión 1.2 del núcleo). Por ejemplo, los módulos pueden flexibilidad importante al
sistema, permitiendo que se
añadir soporte para un sistema de ficheros o para dispositivos de hardware adapte a situaciones
específicos. Cuando la funcionalidad proporcionada por el módulo no es ne- dinamicas.
Hay unas cuantas utilidades que nos permiten trabajar con módulos (solían
aparecer en un paquete de software llamado modutils, que se reemplazó por
module-init-tools para la gestión de módulos de la rama 2.6.x):
Ejemplo
Ya sea por el mismo núcleo o por el usuario manualmente con insmod, nor-
malmente para la carga se especificará el nombre del módulo y, opcionalmen-
te, determinados parámetros; por ejemplo, en el caso de dispositivos suele ser
habitual especificar las direcciones de los puertos de E/S o bien los recursos de
IRQ o DMA. Por ejemplo:
1) Obtener los archivos fuente del módulo (un paquete o un archivo TGZ
suele ser lo más normal).
#
# /usr/src/nombre-modulo/dkms.conf
#
PACKAGE_NAME="nombre-modulo"
PACKAGE_VERSION="version"
CLEAN="make clean"
MAKE[0]="make module"
BUILD_MODULE_NAME[0]="nombre-modulo"
DEST_MODULE_LOCATION[0]="/kernel/drivers/video"
AUTOINSTALL="yes"
# End Of File
En este caso tenemos ubicados los paquetes fuente del módulo en un directo-
rio /usr/src/nombre-modulo donde ponemos este fichero dkms.conf. La
opción MAKE da los pasos para compilar y construir el módulo, previamente
limpiados con CLEAN. BUILD_MODULE_NAME establece el nombre del módu-
lo construido (cuidado en este punto porque depende del sistema de com-
pilación y puede coincidir con el nombre del módulo general o no, algunos
paquetes fuente permiten construir varios controladores/módulos diferentes,
con diferente denominación).
En los casos de
6. Virtualización en el núcleo
.
• KVM
• Xen
• OpenVZ
GNUFDL • PID_00174426 45 El núcleo Linux
• VirtualBox
• VMware
$ cat /proc/cpuinfo
processor : 0
vendor_id : GenuineIntel
GNUFDL • PID_00174426 46 El núcleo Linux
cpu family : 6
model : 23
model name : Intel(R) Xeon(R) CPU E5405 @ 2.00GHz
stepping : 10
cpu MHz : 1994.999
cache size : 6144 KB
physical id : 0
siblings : 4
core id : 0
cpu cores : 4
apicid : 0
fpu : yes
fpu_exception : yes
cpuid level : 13
wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 apic sep
mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2
ss ht tm syscall nx lm constant_tsc pni monitor ds_cpl
vmx tm2 ssse3 cx16 xtpr sse4_1 lahf_lm
bogomips : 3989.99
clflush size : 64
cache_alignment : 64
address sizes : 38 bits physical, 48 bits virtual
power management:
6.1. KVM
• La biblioteca libvirt, que es una API que permite una gestión de la vir-
tualización independiente del sistema de virtualización usado (sea Xen,
KVM u otros).
obtendremos como resultado la línea de flags (si existe el flag vmx, si no, nin-
gún resultado). También podemos obtener varias líneas en CPU multicore y/o
Intel con hyperthreading, donde obtenemos una línea de flags por cada elemen-
to de cómputo (CPU con HT o múltiples núcleos con/sin HT).
Si se permite a los usuarios del sistema el uso de máquinas virtuales, hay que
añadir los nombres de usuario a grupos específicos (vía comandos adduser
o usermod), normalmente a los grupos kvm o libvirt (dependiendo de la
distribución, Fedora o Debian, y versión de KVM).
auto lo
iface lo inet loopback
auto br0
iface br0 inet static
address 192.168.0.100
network 192.168.0.0
netmask 255.255.255.0
broadcast 192.168.0.255
gateway 192.168.0.1
bridge_ports eth0
bridge_fd 9
bridge_hello 2
bridge_maxage 12
bridge_stp off
GNUFDL • PID_00174426 49 El núcleo Linux
Creamos el espacio de disco para la máquina virtual (en este caso 8 GB):
dd if=/dev/cdrom of=debian-install.iso
general suele utilizarse virt-install como comando para crear la VM, pero
también existe la posibilidad de usar el mencionado qemu-kvm directamente
como opción más simple, que suele aparecer (dependiendo de la distribución)
como comando denominado qemu-kvm, qemu-system-x86_64 o simple-
mente como kvm:
En este caso crearía una máquina virtual básica de 512 MB de memoria prin-
cipal usando nuestro disco de 8 GB creado previamente y arrancando la má-
quina a partir de nuestra imagen iso del medio de instalación del sistema
operativo. Se puede sustituir el fichero iso por /dev/cdrom si usamos los
discos de instalación.
Esto nos permite conectar gráficamente con la máquina virtual creada y, por
ejemplo, continuar con la instalación del sistema operativo (se habrá iniciado
con el arranque anterior con virt-install o kvm). Una vez instalado el
sistema, ya podemos usar cualquier sistema, ya sea gráfico (virt-manager) o
de línea de comandos (virtsh) para gestionar las máquinas guest virtuales y
poder arrancar y pararlas.
conectamos con el shell de comandos, comandos como list nos dan las má-
quinas activas, list -all, todas las máquinas disponibles, y otros como
start, shutdown, destroy, suspend o resume nos dan diferentes posibi-
lidades de gestión de cada máquina virtual.
GNUFDL • PID_00174426 52 El núcleo Linux
Comentaremos en este apartado algunas de las ideas de los últimos núcleos El núcleo, en evolución
y algunas que están previstas, para dar indicaciones de lo que será el futuro
El núcleo continúa
próximo en el desarrollo del núcleo. evolucionando, incorporando
las últimas novedades en
soporte de hardware y
En la antigua rama 2.4.x del núcleo [Ces06] se realizaron algunas aportacio- mejoras en las prestaciones.
nes en:
En la serie actual, la rama del núcleo 2.6.x [Ces06, Pra03], se dispuso de im-
portantes avances respecto a la anterior (con las diferentes revisiones .x de la
rama 2.6):
• Sistemas de ficheros con journal: JFS, JFS2 (IBM) y XFS (Silicon Graphics).
• Mejoras con journal en los sistemas de ficheros propios, ext3 y ext4, con
mejoras del tamaño máximo de los archivos y de rendimiento general.
• UML, User Mode Linux, una especie de máquina virtual de Linux sobre
Linux que permite ver un Linux (en modo usuario) ejecutándose sobre una
máquina virtual. Esto es ideal para la propia depuración, ya que se puede
desarrollar y probar una versión de Linux sobre otro sistema, y es útil tanto
para el propio desarrollo del núcleo como para un análisis de seguridad del
mismo. En versiones posteriores este concepto evolucionó hacia el módulo
KVM.
GNUFDL • PID_00174426 55 El núcleo Linux
Para conocer los cambios de las versiones más recientes de Linux, pueden exa-
minarse los ficheros ChangeLog que acompañan a cada versión del núcleo, o
consultar un registro histórico que se mantiene en Kernelnewbies.org, en espe-
cial http://kernelnewbies.org/LinuxChanges, que mantiene los cambios de la
última versión y pueden consultarse los del resto de versiones (misma direc-
ción con /Linux26Changes).
• Mejora de la planificación de la CPU. Aunque en la serie inicial de la ra- Para saber más sobre POSIX
ma 2.6.x se hicieron muchos avances en este aspecto, todavía hay un bajo podéis visitar la siguiente
web:
rendimiento en algunas situaciones. En particular en el uso de aplicacio- http://www.unix.org/
GNUFDL • PID_00174426 56 El núcleo Linux
Hurd fue pensado como el núcleo para el sistema GNU hacia 1990, cuando
Enlace de interés
comenzó su desarrollo, ya que entonces la mayor parte del software GNU es-
taba desarrollado y solo faltaba el núcleo. Fue en 1991 cuando Linus combinó Podéis leer las opiniones de
Richard Stallman sobre
GNU con su núcleo Linux y creó así el inicio de los sistemas GNU/Linux. Pero GNU y Linux en:
Hurd sigue desarrollándose. Las ideas de desarrollo en Hurd son más comple- http://www.gnu.org/gnu
/linux-and-gnu.html
jas, ya que Linux podría considerarse un diseño “conservador”, que partía de
ideas ya conocidas e implantadas.
# apt-get update
GNUFDL • PID_00174426 59 El núcleo Linux
4) Comprobar, para la versión elegida, que existan los módulos accesorios ex-
tras (con el mismo número de versión). Con apt-cache buscamos si existen
otros módulos dinámicos que puedan ser interesantes para nuestro hardwa-
re, según la versión del núcleo a instalar. Recordad que, como vimos en la
Debian Way, también existe la utilidad module-assistant, que nos permi-
te automatizar este proceso después de la compilación del núcleo. En el caso
en que los módulos necesarios no fueran soportados, esto nos podría impe-
dir actualizar el núcleo si consideramos que el funcionamiento del hardware
problemático es vital para el sistema.
5) Buscar, si queremos disponer también del código fuente del núcleo, los
linux-source-version (solo el 2.6.xx, es decir, los números principales) y
los linux-headers correspondientes, por si más tarde queremos hacer un
núcleo personalizado (en este caso, el núcleo genérico correspondiente par-
cheado por Debian).
Una vez hecha esta configuración, tendríamos que tener un LiLo parecido
al siguiente listado (fragmento del fichero), suponiendo que initrd.img y
vmlinuz sean enlaces a la posición de los ficheros del nuevo núcleo:
default = Linux
image = /vmlinuz
label = Linux
initrd = /initrd.img
# restricted
# alias = 1
image = /vmlinuz.old
label = LinuxOLD
initrd = /initrd.img.old
# restricted
# alias = 2
Tenemos la primera imagen por defecto, la otra es el núcleo antiguo. Así, des-
de el menú LiLo podremos pedir una u otra o, simplemente cambiando el
default, recuperar la antigua. Siempre que realicemos cambios en el archivo
/etc/lilo.conf no debemos olvidarnos de reescribirlos en el sector corres-
pondiente con el comando /sbin/lilo o /sbin/lilo -v.
donde aparecerían los ficheros binarios del núcleo y initrd. Con la etique-
ta root en el núcleo aparece el identificador de la partición raíz del siste-
ma donde está instalado el núcleo, identificador que es común a todas las
entradas de núcleos del mismo sistema. Antes se utilizaba un esquema con
root=/dev/hda0 o /dev/sda0, pero este esquema ya no es útil, porque la
detección de los discos puede cambiar el orden de estos en el sistema; así, se
prefiere etiquetar las particiones. Estas etiquetas pueden obtenerse mediante el
comando e2label /dev/particion o también con el comando dumpe2fs
/dev/particion | grep UUID o, si la partición se encuentra montada en
el sistema, consultando /etc/fstab.
GNUFDL • PID_00174426 61 El núcleo Linux
Por ejemplo, en la figura 7, observamos que una vez puesto en ejecución nos
ha detectado una nueva versión del núcleo disponible y podemos seleccionar-
la para que nos la descargue.
#fichero grub.conf
default = 1
timeout = 10
splashimage = (hd0,1)/boot/grub/splash.xpm.gz
A continuación comentaremos los pasos que habrá que realizar. El procedi- Sería conveniente releer el apartado 3.
miento que se indica en esta parte del taller es genérico, pero puede dar algún
problema dependiendo de la distribución usada. Se recomienda seguir en lo
posible el subapartado 3.3 donde se comenta el caso de configuración de un
núcleo vanilla de la rama 2.6.xx o bien los comentarios en el caso Debian, en
el subapartado 3.4, o la referencia [Fedk] para el caso Fedora.
make mrproper
make dep
5) Ahora compilamos los módulos con make modules. Hasta este momento
no hemos modificado nada en nuestro sistema. Ahora tendremos que proce-
der a la instalación.
Pero hay también que tener cuidado si estamos compilando una versión que
es la misma (exacta numeración) que la que tenemos (los módulos se sobres-
cribirán); en este caso es mejor realizar una copia de seguridad de los módulos:
cd /lib/modules
tar -cvzf old_modules.tgz versionkernel-antigua/
Así, tenemos una versión en .tgz que podríamos recuperar después en caso
de problemas. Y, finalmente, instalamos los módulos con:
# cd /usr/src/directorio-Fuentes/arch/i386/boot
# cp bzImage /boot/vmlinuz-versionkernel
# cp System.map /boot/System.map-versionkernel
# ln -s /boot/vmlinuz-versionkernel /boot/vmlinuz
# ln -s /boot/System.map-versionkernel /boot/System.map
GNUFDL • PID_00174426 65 El núcleo Linux
Resumen
También hemos examinado las posibilidades que ofrecen los módulos diná-
micos como mecanismo de extensión del núcleo y ampliación del hardware
soportado.
Actividades
1. Determinad la versión actual del núcleo Linux incorporada en vuestra distribución. Com-
probad las actualizaciones disponibles de forma automática, ya sea en Debian (apt) o en
Fedora/Red Hat (vía yum o una herramienta gráfica de actualización).
3. Para vuestra rama del núcleo, determinad la última versión disponible (consultad la pági-
na web http://www.kernel.org) y realizad una instalación manual con los pasos examinados
en el módulo. La instalación final puede dejarse como opcional, o bien poner una entrada
dentro del bootloader para las pruebas del nuevo núcleo. Observad también, dependiendo del
sistema, la posibilidad de realizar una copia de seguridad previa, en especial de las configu-
raciones estables de los bootloaders.
4. En el caso de la distribución Debian, además de los pasos manuales, existe, como vimos,
una forma especial (recomendada) de instalar el núcleo a partir de sus fuentes mediante el
paquete kernel-package. Proceded con los pasos necesarios para crear una versión perso-
nalizada de un núcleo vanilla.
5. Elaborad una máquina virtual basada en KVM, que tenga como guest otra distribución
GNU/Linux diferente a la del sistema host, a partir de su instalación vía cdrom o vía imagen
ISO de la distribución.
Bibliografía
[Ar05] Corbet, J.; Rubini, A.; Kroah-Hartman, G. (2005). Linux Device Drivers (3.a ed.).
O’Reilly.
[Bac86] Bach, M. J. (1986). The Design of the UNIX Operating System. Prentice Hall.
[Ces06] Cesati, M.; Bovet, D. (2006). Understanding the Linux Kernel (3.a ed.). O’Reilly.
[Gor] Gortmaker, P. (2003). The Linux BootPrompt HOWTO. The Linux Documentation
Project.
[Hen] Henderson, B. Linux Loadable Kernel Module HOWTO. The Linux Documentation
Project.
[Kan] Kanis, I.. Multiboot with GRUB Mini-HOWTO. The Linux Documentation Project.
[OSDa] OSDL. Open Source Developement Laboratories. (Ahora The Linux Foundation)
<http://www.linuxfoundation.org>
[Tum] Tumenbayar, E. (2002). Linux SMP HOWTO. The Linux Documentation Project.
[Vah96] Vahalia, U. (1996). UNIX Internals: The New Frontiers. Prentice Hall.
[Vasb] Vasudevan, A. The Linux Kernel HOWTO. The Linux Documentation Project.
[Zan] Zanelli, R.. Win95 + WinNT + Linux multiboot using LILOmini-HOWTO. The Linux
Documentation Project.
[Kerb] Sitio que proporciona un repositorio de las diversas versiones del núcleo Linux y sus
parches.
[Kera] [lkm] Sitios web que recogen una parte de la comunidad del núcleo de Linux. Dis-
pone de varios recursos de documentación y listas de correo de la evolución del núcleo, su
estabilidad y las nuevas prestaciones que se desarrollan.
[Ces06] Libro sobre el núcleo de Linux 2.4, que detalla los diferentes componentes y su
implementación y diseño. Existe una primera edición sobre el núcleo 2.2 y una nueva actua-
lización al núcleo 2.6.
[Pra03] Artículo que describe algunas de las principales novedades de la rama 2.6 del núcleo
Linux.
[Ker] [Mur] Proyectos de documentación del núcleo, incompletos pero con material útil.
[Bac86] [Vah96] [Tan87] Algunos textos sobre los conceptos, diseño e implementación de los
núcleos de diferentes versiones UNIX.
[Skoa][Zan01][Kan][Pro] Recursos para tener más información sobre los cargadores LiLo y
Grub.
[Gru][Grub] Sitios oficiales de Grub2 y el anterior original Grub (ahora conocido como Grub
Legacy).
Administración
de servidores
Remo Suppi Boldrito
PID_00174427
GNUFDL • PID_00174427 Administración de servidores
Índice
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1. Administración de servidores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1.1. Sistema de nombres de dominio (Domain Name System, DNS) . 7
1.1.1. Servidor de nombres caché . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.1.2. Forwarders . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1.1.3. Configuración de un dominio propio . . . . . . . . . . . . . . . . 11
1.2. NIS (YP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.2.1. ¿Cómo iniciar un cliente local de NIS en Debian? . . . . 14
1.2.2. ¿Qué recursos se deben especificar para utilizar el NIS? 15
1.2.3. ¿Cómo se debe ejecutar un master NIS server? . . . . . . . . . 16
1.2.4. ¿Cómo se debe configurar un servidor? . . . . . . . . . . . . . . . 17
1.3. Servicios de conexión remota: telnet y ssh . . . . . . . . . . . . . . . . . . . . 18
1.3.1. Telnet y telnetd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.3.2. SSH, Secure shell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
1.4. Servicios de transferencia de ficheros: FTP . . . . . . . . . . . . . . . . . . . . 22
1.4.1. Cliente ftp (convencional) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
1.4.2. Servidores FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
1.5. Servicios de intercambio de información a nivel de usuario. . . 25
1.5.1. El Mail Transport Agent (MTA). . . . . . . . . . . . . . . . . . . . . . . . . 25
1.6. Internet Message Access Protocol (IMAP) . . . . . . . . . . . . . . . . . . . . . . . . 26
1.6.1. Aspectos complementarios . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
1.7. Grupos de discusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
1.8. World Wide Web (httpd) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
1.8.1. Configuración manual (mínima) de httpd.conf . . . . 31
1.8.2. Apache 2.2 + SSL + PHP + MySQL . . . . . . . . . . . . . . . . . . . . 32
1.9. Servidor de WebDav . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
1.10. Servicio de proxy: Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
1.10.1. Squid como acelerador de http . . . . . . . . . . . . . . . . . . . . . . . 36
1.10.2. Squid como proxy-caching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
1.11. OpenLdap (Ldap) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
1.11.1. Creación y mantenimiento de la base de datos . . . . . . . 40
1.11.2. Instalación (básica) del servidor . . . . . . . . . . . . . . . . . . . . . . 41
1.12. Servicios de archivos (NFS, Network File System) . . . . . . . . . . . . . . . 44
1.13. Servidor de wiki . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
1.13.1. Instalación rápida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
1.13.2. Instalación de servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
1.14. Gestión de copias de respaldo (backups) . . . . . . . . . . . . . . . . . . . . . . . 50
Actividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
GNUFDL • PID_00174427 5 Administración de servidores
Introducción
Objetivos
1. Administración de servidores
.
options {
directory ”/var/cache/bind”;
// query-source address * port 53;
// forwarders {
// 0.0.0.0;
//};
auth-nxdomain no; # conform to RFC1035
};
// prime the server with knowledge of the root servers
zone ”.” {
type hint;
file ”/etc/bind/db.root”; };
// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912
zone ”localhost” {
type master;
file ”/etc/bind/db.local”;
};
zone ”127.in-addr.arpa” {
type master;
file ”/etc/bind/db.127”;
};
zone ”0.in-addr.arpa” {
type master;
file ”/etc/bind/db.0”;
};
zone ”255.in-addr.arpa” {
type master;
file ”/etc/bind/db.255”;
};
// add entries for other zones below here
...
; formerly NS.INTERNIC.NET
;
. 3600000 IN NS A.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4
;
; formerly NS1.ISI.EDU
;
. 3600000 NS B.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET. 3600000 A 128.9.0.107
;
; formerly C.PSI.NET
;
. 3600000 NS C.ROOT-SERVERS.NET.
C.ROOT-SERVERS.NET. 3600000 A 192.33.4.12
;
...
Este archivo describe los root name servers en el mundo. Estos servidores cam-
bian, por lo que el archivo se debe actualizar periódicamente. Las siguientes
secciones son las zones; las zones localhost y 127.in-addr.arpa, que se
vinculan a los ficheros al archivo etc/bind/db.local y /etc/bind/db.127,
se refieren a la resolución directa e inversa para la interfaz local. Las zones si-
guientes son para las zonas de difusión (según RFC 1912) y al final se deberían
agregar las propias. Por ejemplo, el archivo db.local podría ser (“;” significa
comentario):
.
search subdominio.su-dominio.dominio
su-dominio.dominio
# por ejemplo, search remix.bogus bogus
nameserver 127.0.0.1
Aquí se indica el arranque del servidor y los mensajes de errores (si los hay),
los cuales se deberán corregir y se deberá volver a empezar. Ahora se puede
verificar la configuración con comandos como nslookup (original y fácil pe-
ro obsoleto según algunos autores), host o dig (recomendado). La salida de
dig -x 127.0.0.1 será algo como:
# dig -x 127.0.0.1
;; <<>> DiG 9.2.1 <<>> -x 127.0.0.1
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31245
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION: ;1.0.0.127.in-addr.arpa. IN PTR
;; ANSWER SECTION: 1.0.0.127.in-addr.arpa. 604800 IN PTR localhost.
;; AUTHORITY SECTION: 127.in-addr.arpa. 604800 IN NS ns.remix.bogus.
;; Query time: 1 msec
;; SERVER: 127.0.0.1 \#53(127.0.0.1)
;; WHEN: Mon Sep 1 22:23:35 2010
;; MSG SIZE rcvd: 91
.
hosts: files dns
Esta línea (si no existe se debe agregar) indica que quien necesite un nom-
bre de una máquina o una IP consulte primero en /etc/hosts y luego en
DNS, de acuerdo a los dominios indicados en /etc/resolv.conf.
1.1.2. Forwarders
DNS posee una estructura en árbol y el origen es conocido como “.” (ver
/etc/bind/db.root). Bajo el “.” existen los TLD (Top Level Domains) como
org, com, edu, net, etc. Cuando se busca en un servidor, si este no conoce la
respuesta, se buscará recursivamente en el árbol hasta encontrarla. Cada “.”
en una dirección (por ejemplo, pirulo.remix.com) indica una rama del ár-
bol de DNS diferente y un ámbito de consulta (o de responsabilidad) diferente
que se irá recorriendo en forma recursiva de izquierda a derecha.
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
@ IN NS ns.remix.bogus.
1.0.0 IN PTR localhost.
zone ”remix.bogus” {
type master;
notify no;
file ”/etc/bind/remix.bogus”;
};
Se debe recordar que en el named.conf los dominios van sin el “.” final. En el
archivo remix.bogus se pondrán los hosts de los cuales seremos responsables:
El último paso es configurar la zona inversa, es decir, para que pueda convertir
direcciones IP en nombres, por ejemplo, agregando una nueva zona:
zone ”1.168.192.in-addr.arpa” {
type master;
notify no;
file ”/etc/bind/192.168.1”;
};
$TTL 604800
@ IN SOA ns.remix.bogus. root.remix.bogus. (
199802151 ; serial, todays date + todays serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
@ NS ns.remix.bogus.
2 PTR ns.remix.bogus
4 PTR mail.remix.bogus
5 PTR ftp.remix.bogus
zone ”remix.bogu” {
type slave;
notify no;
masters {192.168.1.2; }
};
zada de NIS. La información que se puede distribuir en NIS es: usuarios (login
names), contraseñas (passwords, /etc/passwd), directorios de usuario (home
directories) e información de grupos (group information, /etc/group), lo cual
presenta la ventaja de que, desde cualquier máquina cliente o desde el mismo
servidor, el usuario se podrá conectar con la misma cuenta y contraseña y al
mismo directorio (aunque el directorio deberá ser montado anteriormente so-
bre todas las máquinas cliente por NFS o mediante el servicio de automount).
[17, 10]
.
/etc/init.d/portmap start
domain nisdomain server hostname: indica que se utiliza el hostname para el domi-
nio nisdomain. Se podría tener más de una entrada de este tipo para un único dominio.
domain nisdomain broadcast: indica que se utiliza broadcast sobre la red local para
descubrir un servidor de dominio nisdomain.
passwd: compat
group: compat
shadow: compat ...
netgroup: nis
2) Agregar la siguiente línea a las máquinas clientes NIS al final del fichero
/etc/passwd (indicará que si el usuario no es local, se lo preguntará al servi-
dor de NIS):
Con esta configuración se podrá realizar una conexión local (sobre el cliente
NIS) a un usuario que no esté definido en el fichero /etc/passwd, es decir,
un usuario definido en otra máquina (ypserver). Por ejemplo, se podría hacer
ssh -l user localhost, donde user es un usuario definido en ypserver.
.
/usr/lib/yp/ypinit -m
.
/etc/init.d/nis stop
/etc/init.d/nis start
/usr/lib/yp/ypinit -s nombre_master_server
GNUFDL • PID_00174427 18 Administración de servidores
Así, el esclavo cargará las tablas desde el maestro. También se podría poner en
el directorio /etc/cron.d el archivo NIS con un contenido similar a (recor-
dad hacer un chmod 755 /etc/cron.d/nis):
Con ello, se garantizará que todos los cambios del maestro se transfieran al
servidor NIS esclavo.
Es recomendable que después de usar adduser para agregar un nuevo usuario sobre el
servidor, ejecutad make -C /var/yp para actualizar las tablas NIS (y siempre que se
cambie alguna característica del usuario, por ejemplo la palabra clave con el comando
passwd que solo cambiará la contraseña local y no el de NIS). Para probar que el siste-
ma está funcionando y que el usuario dado de alta está en el NIS podéis hacer ypmatch
userid passwd, donde userid es el usuario dado de alta con adduser antes y después
de haber hecho el make. Para verificar el funcionamiento del sistema NIS podéis utili-
zar el script de http://tldp.org/HOWTO/NIS-HOWTO/verification.html que permite una
verificación más detallada del NIS.
service telnet {
disable = no
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
log_on_failure += USERID
}
SSL telnet(d)
Se recomienda que en lugar de usar telnetd se utilice SSL telnet(d), que reemplaza
a telnet(d) utilizando encriptación y autentificación por SSL, o que se utilice SSH. El
SSLTelnet(d) puede funcionar con el telnet(d) normal en ambas direcciones ya que
al inicio de la comunicación verifica si el otro lado (peer) soporta SSL, de lo contrario,
continúa con el protocolo telnet normal. Las ventajas con respecto al telnet(d) son
que sus contraseñas y datos no circularán por la red en modo de texto plano y nadie que
utilice el comando antes mencionado (tcpdump) podrá ver el contenido de la comunica-
ción. También SSL telnet se puede utilizar para conectarse, por ejemplo, a un servidor
web seguro (por ejemplo https://servidor.web.org) simplemente haciendo telnet
servidor.web.org 443.
ssh
.
ssh -l login name host o ssh user@hostname
.
ssh -l login name host_comando_remoto
Por ejemplo: ssh -l user localhost ls -al
GNUFDL • PID_00174427 21 Administración de servidores
sshd
Muchas veces tenemos acceso a un servidor sshd pero por cuestiones de se-
guridad no podemos acceder a otros servicios que no están encriptados (por
ejemplo un servicio de consulta de mail POP3 o un servidor de ventanas X11)
o simplemente se quiere conectar a un servicio al cual solo se tiene acceso
desde el entorno de la empresa. Para ello, es posible establecer un túnel en-
criptado entre la máquina cliente (por ejemplo con Windows y un cliente ssh
llamado putty de software libre) y el servidor con sshd. En este caso, al vin-
cular el túnel con el servicio, el servicio verá la petición como si viniera de la
misma máquina. Por ejemplo, si queremos establecer una conexión para POP3
sobre el puerto 110 de la máquina remota (y que también tiene un servidor
sshd) haremos:
.
ssh -C -L 1100:localhost:110 usuario-id@host
Este comando pedirá la contraseña para el usuario-id sobre host y una vez
conectado se habrá creado el túnel. Cada paquete que se envíe en la máquina
local sobre el puerto 1100 se enviará a la máquina remota localhost sobre el
puerto 110, que es donde escucha el servicio POP3 (la opción -C comprime
el tráfico por el túnel).
GNUFDL • PID_00174427 22 Administración de servidores
Hacer túneles sobre otros puertos es muy fácil. Por ejemplo, supongamos que
solo tenemos acceso a un remote proxy server desde una máquina remota (remo-
te login), no desde la máquina local; en este caso, se puede hacer un túnel para
conectar el navegador a la máquina local. Consideremos que tenemos login so-
bre una máquina pasarela (gateway), que puede acceder a la máquina llamada
proxy, la cual ejecuta el Squid Proxy Server sobre el puerto 3128. Ejecutamos:
.
ssh -C -L 8080:proxy:3128 user@gateway
Un cliente ftp permite acceder a servidores ftp y hay una gran cantidad de
clientes disponibles. El uso del ftp es sumamente simple; desde la línea de co-
mando, ejecutad:
.
ftp nombre -servidor
que se activan con los comandos hash y tick. Existen otros comandos que se
En la Wikipedia disponéis
pueden consultar en la hoja del manual (man ftp) o haciendo help dentro de una comparativa de
diversos clientes FTP:
del cliente. Contamos con numerosas alternativas para los clientes, por ejem- http://en.wikipedia.org/wiki
plo en modo texto: ncftp, lukemftp, lftp, cftp, yafc Yafc o, en modo /Comparison_of_FTP
_client_software
gráfico: gFTP, WXftp, LLNL XFTP, guiftp.
.
useradd -d/home/nteum -s /bin/false nteum
y luego: passwd nteum,
Enlaces de interés
Un MTA (Mail Trasnport Agent) se encarga de enviar y recibir los correos desde
un servidor de correo electrónico hacia y desde Internet, que implementa el
protocolo SMTP (Simple Mail Transfer Protocol). Debian utiliza por defecto exim
ya que es más fácil de configurar que otros paquetes MTA, como son smail
o sendmail (este último es uno de los precursores). Exim presenta caracterís-
ticas avanzadas tales como rechazar conexiones de sitios de spam conocidos,
posee defensas contra correo basura (junk mails) o bombardeo de correo (mail
bombing) y es extremadamente eficiente en el procesamiento de grandes can-
tidades de correos. Su ejecución se realiza a través de inetd en una línea en el
archivo de configuración /etc/inetd.conf (o también a través de xinetd).
Exim utiliza un archivo de configuración en /etc/exim/exim.conf, que
puede ser modificado manualmente, si bien es recomendable hacerlo con un
shell script llamado eximconfig, para poder configurar exim de forma inter-
activa. Los valores de la configuración dependerán de la situación de la má-
quina; sin embargo, su conexión es sumamente fácil ya que el mismo script
sugiere valores por defecto. No obstante, en /usr/doc/exim pueden encon-
trarse ejemplos de configuraciones típicas.
.
exim -v -bt usuario_local
exim postmaster@SuDominio
From: user@dominio
To: postmaster@SuDominio
Subject: Test Exim
Mensaje de prueba
Crtl D
Sobre Debian, la versión de imap ha sido compilada para soportar MD5 como
método de autentificación de los usuarios remotos, para encriptar las contra-
señas de conexión y evitar la suplantación de identidad por sniffing en la red
(el cliente utilizado para conectarse al servidor imap también debe soportar
el método de autentificación por MD5). El método es muy simple y seguro,
pero el servidor debe conocer las contraseñas en texto plano de los usuarios
de correo y por ello se recomienda utilizar la versión de imapd sobre SSL, que
funciona sobre el puerto 993. El protocolo imaps, al igual que ssh, se basa en
cifrar la comunicación a través de un certificado del host (el cliente utilizado
para conectarse al servidor también debe soportar este método de conexión,
por ejemplo, Thunderbird). Para configurar el servidor imaps, instalad el pa-
quete uw-imap-dssl de Debian, que es el servidor imap con soporte SSL.
La acción set indica a Fetchmail que esta línea contiene una opción glo-
bal (envío de errores, eliminación de los mensajes de los servidores, etc.).
A continuación, se especifican dos servidores de correo: uno para que com-
pruebe si hay correo con el protocolo POP3 y otro para que pruebe a usar
varios protocolos con el fin de encontrar uno que funcione. Se comprue-
ba el correo de dos usuarios con la segunda opción de servidor, pero to-
do el correo que se encuentre se envía al spool de correo de pirulo. Esto
permite comprobar varios buzones de diversos servidores como si se trata-
ra de un único buzón MUA. La información específica de cada usuario co-
mienza con la acción user. El Fetchmail se puede poner en el cron (por
ejemplo, en /var/spool/cron/crontabs/pirulo agregando 1 * * * *
/usr/bin/fetchmail -s) para que se ejecute automáticamente o ejecutar-
lo en modo daemon (poned set daemon 60 en .fetchmailrc y ejecutadlo
una vez, por ejemplo, en autostart de Gnome/KDE o en el .bashrc –se
ejecutará cada 60 segundos–).
:0:
* ^X-Spam-Status: Yes
spam-folder
Enlace de interés
Hay otras posibilidades como instalar MailDrop en lugar de Procmail, Postfix en lugar
de Exim, o incluir Clamav/Amavisd como antivirus (Amavisd permite vincular Postfix
con SpamAssassin y Clamav). Para saber más sobre este tema podéis visitar la siguiente
página web: http://www.debian-administration.org/articles/364.
GNUFDL • PID_00174427 30 Administración de servidores
Las news o grupos de discusión son soportados a través del protocolo NNTP.
Instalar un servidor de grupos de discusión es necesario cuando se desea leer
news fuera de línea, cuando se quiere tener un repetidor de los servidores cen-
trales o se quiere un propio servidor maestro de news. Los servidores más co-
munes son INN o CNEWS, pero son paquetes complejos y destinados a gran-
des servidores. Leafnode es un paquete USENET que implementa el servidor
TNP, especialmente indicado para sitios con grupos reducidos de usuarios, pe-
ro donde se desea acceder a gran cantidad de grupos de noticias. Este servidor
se instala en la configuración básica de Debian y se pueden reconfigurar con
dpkg-reconfigure leafnode todos parámetros como los servidores cen-
trales, el tipo de conexión, etc. Este daemon se pone en marcha desde inetd
de forma similar al imap (o con xinetd). Leafnode soporta filtros a través de
expresiones regulares indicadas (del tipo ^Newsgroups:. * [,] alt.flame$) en
/etc/news/leafnode/filters, donde para cada mensaje se compara la ca-
becera con la expresión regular y, si existe coincidencia, el mensaje se rechaza.
La configuración de este servidor es simple y todos los archivos deben ser pro-
piedad de un usuario de news con permiso de escritura (se debe verificar que
dicho propietario existe en /etc/passwd). Todos los archivos de control, news
y la configuración se encuentran en /var/spool/news, excepto la configura-
ción del propio servidor que está en el fichero /etc/news/leafnode/config.
En la configuración existen algunos parámetros obligatorios que se deben con-
figurar (por ejemplo, para que el servidor pueda conectarse con los servidores
maestros), como son server (servidor de news desde donde se obtendrán y
enviarán las news) y expire (número de días a los que un hilo o sesión se bo-
rrará tras haber sido leído). Tenemos, asimismo, un conjunto de parámetros
opcionales de ámbito general o específico del servidor que podrían configu-
rarse. Para más información, consultad la documentación (man leafnode o
/usr/doc/leafnode/README.Debian). Para verificar el funcionamiento del
servidor, se puede hacer telnet localhost nntp y, si todo funciona correc-
tamente, saldrá la identificación del servidor y se quedará esperando un co-
mando. Como prueba, se puede introducir help (para abortar, haced Ctrl+ y
luego Quit).
El archivo que se lee por defecto de cada directorio es index.html. Una vez
instalados los paquetes apache y apache-common, Debian configura básica-
mente el servidor y lo pone en marcha. Se puede comprobar que funciona
abriendo un navegador (por ejemplo, el Konqueror) y poniendo en la barra de
URL http://localhost, lo cual cargará la página /var/www/index.html.
ServerType standalone
Recomendado, más eficiente
ServerRoot /etc/apache
Donde están los archivos de configuración
Port 80
Donde el servidor escuchará las peticiones
User www-data
Los user y group con los cuales se ejecutará el servidor (importante
por seguridad) deben ser usuarios válidos (pueden estar locked)
Group www-data
GNUFDL • PID_00174427 32 Administración de servidores
ServerAdmin webmaster@pirulo.remix.com
Dirección de usuario que atenderá los errores
ServerName pirulo.remix.com
Nombre del servidor enviado a los usuarios (debe ser
un nombre válido en /etc/host o DNS)
DocumentRoot /var/www
Directorio donde estarán los documentos
Alias /icons/ /usr/share/apache/icons/
Donde se encuentran los iconos
ScriptAlias /cgibin/ /usr/lib/cgibin/
Donde se encuentran los script CGI
3) Apache:
cd /root
tar jxvf httpd-2.2.4.tar.bz2
cd httpd-2.2.4
Servidor Apache instalado. Para iniciarlo (para detenerlo, cambiad start por stop):
/usr/local/apache2/bin/apachectl start
4) SSL:
Se generan los ficheros con las claves para el servidor seguro, en /root hacemos (hay
que adecuar las versiones a las que se hayan descargado). El primer comando openssl
es una línea entera y acaba con 1024)-
openssl genrsa -rand ../httpd-2.2.4.tar.bz2:../php-5.2.1.tar.bz2:../phpMyAdmin-2.9.1-
all-languages.tar.bz2 -out server.key 1024
openssl rsa -in server.key -out server.pem
openssl req -new -key server.key -out server.csr Enlace de interés
openssl x509 -req -days 720 -in server.csr -signkey server.key -out server.crt
Se puede consultar cómo
Se copian los ficheros... agregar el módulo SSL a un
cp server.crt /usr/local/apache2/conf/ servidor que no lo tenga
cp server.key /usr/local/apache2/conf/ instalado en
http://www.debian
Reiniciamos el servidor... -administration.org
/usr/local/apache2/bin/apachectl restart /articles/349.
5) MySQL:
Iniciamos el servidor:
/etc/rcS.d/S99mysql.server start
Se puede entrar en la base de datos y cambiar la contraseña del root por seguridad*. *Consultad
http://dev.mysql.com/doc
/usr/local/mysql/bin/mysql
/refman/5.0/en/index.html
Dentro, hacemos:
para la sintaxis
USE mysql
Colocamos la contraseña pirulo al usuario root
UPDATE user SET Password=PASSWORD(’pirulo’) WHERE User=’root’;
FLUSH privileges;
Utilidades necesarias:
apt-get install libxml2-dev curl libcurl3-dev libjpeg-mmx-dev zlib1g-dev libpng12-
dev
Con prefix se puede indicar dónde se quiere instalar (toda una línea):
./configure - -prefix=/usr/local/php5 - -enable-mbstring - -with-apxs2=/usr/local/apache2/bin/apxs
- -with-mysql=/usr/local/mysql - -with-curl=/usr/include/curl
- -with-jpeg-dir=/usr/include - -with-zlib-dir=/usr/include - -with-gd - -with-xml - -enable-
ftp - -enable-bcmath
make
make install
cp php.ini-dist /usr/local/php5/lib/php.ini
Reiniciamos el servidor:
7) PHPAdmin
cd /usr/local/apache2/
Quitamos el usuario y la contraseña del usuario por defecto con dos (’) seguidas:
$cfg[’Servers’][$i][’controluser’] = ”;
$cfg[’Servers’][$i][’controlpass’] = ”;
Enlace de interés
Se puede tener más información en los sitios respectivos de cada aplicación y en LWP:
http://www.lawebdelprogramador.com/temas/tema_stablephpapachemysql.php.
GNUFDL • PID_00174427 35 Administración de servidores
El nombre webDAV son las siglas de Web Based Distributed Authoring and Ver-
sioning (también se refiere al grupo de trabajo de Internet Engineering Task
Force) y es un protocolo que permite que la web se transforme en un medio
legible y editable y proporciona funcionalidades para crear, cambiar y mo-
ver documentos en un servidor remoto (típicamente un servidor web). Esto
se utiliza sobre todo para permitir la edición de los documentos que envía
un servidor web, pero puede también aplicarse a sistemas de almacenamien-
to generales basados en la web y a los que se puede acceder desde cualquier Enlace de interés
lugar. En este subapartado instalaremos un servidor WebDav sobre Apache. El
Sobre la integración de
proceso es el siguiente: WebDav con Apache podéis
consultar el artículo
“WebDAV on Apache2”
1) Instalar el servidor Apache, realizar las configuraciones mínimas y verificar disponible en:
http://www.debian
que funciona (instaladlo, por ejemplo, con apt-get install apache2). -administration.org
/articles/285
2) Habilitar los módulos de Apache que son necesarios para WebDav: a2enmod
dav_fs y a2enmod dav.
<VirtualHost *>
ServerAdmin root@localhost
DocumentRoot /var/www/test/
<Directory /var/www/test>
Options Indexes MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>
Alias /webdav /var/www/test
<Location /webdav>
DAV On
AuthType Digest
AuthName “webdav”
AuthDigestProvider file
AuthUserFile /var/www/test/digest-password
Require valid-user
</Location>
</VirtualHost>
7) Otra forma de probarlo es con un cliente WebDav, por ejemplo Cadaver*, *http://www.webdav.org/cadaver
Un servidor proxy (proxy server, PS) se utiliza para ahorrar ancho de banda de la
conexión de red, mejorar la seguridad e incrementar la velocidad para obtener
páginas de la red (web-surfing).
Squid es uno de los principales PS, ya que es OpenSource y acepta ICP (caracte-
rísticas que le permiten intercambiar hints con otros PS), SSL (para conexiones
seguras entre proxies) y soporta objetos FTP, Gopher, HTTP y HTTPS (seguro).
Su funcionamiento es simple, almacena los objetos más solicitados en memo-
ria RAM y los menos, en una base de datos en el disco. Los servidores Squid,
además, pueden configurarse de forma jerárquica para formar un árbol de pro-
xies dependiendo de las necesidades. Existen dos configuraciones posibles:
En el primer modo, actúa como proxy inverso, es decir, acepta una petición del
cliente, sirve el objeto si lo tiene y si no, lo solicita, se lo pasa al cliente cuando
lo tiene y lo almacena para la próxima vez. En la segunda opción, se puede uti-
lizar como control y para restringir los sitios donde se puede conectar en Inter-
net o autorizar el acceso a determinadas horas del día. Una vez instalado (pa-
quete squid en Debian, también se puede instalar squid-cgi, squidguard
o squidtaild), se generan tres archivos: /etc/squid.conf (configuración),
/etc/init.d/squid (inicialización) y /etc/logrotate.d/squid (de con-
trol de los registros).
La gran diferencia con el otro modo son las líneas acl, donde, en este caso,
Enlaces de interés
se permitirá a los clientes de la clase C 192.168.1.0 acceder al PS; también el
localhost IP y otros puertos que podrán acceder a Internet 80(http), 443(https), Más información en
http://www.squid
210(wais), 70(gopher) y 21(ftp). Además, se niega el método connect para -cache.org/ y para un
evitar que desde fuera se puedan conectar al PS y luego se niegan todos los IP transparent-proxy, en
http://tldp.org/HOWTO
y puertos sobre el PS [15]. /TransparentProxy-1.html.
GNUFDL • PID_00174427 38 Administración de servidores
dn:
cn = unixgroup, ou = groups, dc = UOC, dc = com
objectclass: top
objectclass: posixGroup
cn: unixgroup
gidnumber: 200
memberuid: pirulo
memberuid: otro-usuario
Existen dos métodos para introducir datos en la base de datos de LDAP. El pri-
mero es fácil y adecuado para pequeñas cantidades de datos, es interactivo y se
deben utilizar herramientas tales como ldapadd, gq, phpldapadmin, JXplorer,
etc. para introducir nuevas entradas. Con el segundo se debe trabajar fuera de
línea, es el adecuado para grandes BD y se utiliza el comando slapadd inclui-
do con slapd. Por ser más general, en este subapartado describiremos sintética-
mente el segundo método (dejaremos el primero para un caso de uso que será
explicado a continuación), donde primero se debe verificar que contiene los
siguientes atributos en slapd.conf: suffix (top del directorio, por ejemplo,
sufijo ”o = nteum, c = org”); directorio /var/lib/ldap (directorio donde se
crearán los índices y que pueda escribir slapd). Se debe verificar además que la
base de datos contiene las definiciones de los índices que se desean:
index cn,sn,uid
index objectClass pres,eq
Existen otros comandos con slapd, tales como slapindex, que permite re-
generar los índices, y slapcat, que permite volcar la BD en un archivo en
formato LDIF.
El servidor OpenLDAP está disponible en el paquete slapd, por lo que para ins-
talarlo se debe hacer apt-get install slapd dbx.x-util ldap-utils
(esto también instala dbx.x-util, que son las utilidades para la base de da-
tos dbd y se deben reemplazar las x.x por el número de versión, por ejem-
plo db4.2-util). Durante la instalación, nos pedirá que introduzcamos la
contraseña de administrador del servidor ldap (por ejemplo ’ldapadmin’). Co-
mo ya hemos comentado, la configuración del servidor LDAP se almacena
en el archivo /etc/ldap/slapd.conf y se puede editar manualmente o utilizar el
asistente de configuración de slapd: dpkg-reconfigure slapd. El directorio
LDAP debe tener una base, a partir de la cual cuelgan el resto de elementos.
Como nombre de la base, habitualmente se utiliza el nombre del dominio,
por ejemplo, si nuestro dominio es nteum.org, la base para nuestro directorio
LDAP será dc=nteum,dc=org. El script de inicialización nos pedirá:
7) si existe una base de datos LDAP previa en caso que deseemos moverla
(recomendado, SI) y
nss_base_passwd ou=users,dc=nteum,dc=org?one
nss_base_group ou=groups,dc=nteum,dc=org?one
Para que el servidor LDAP actúe como si se tratara de los archivos passwd,
group y shadow, se debe añadir en las líneas que hacen referencia a passwd,
group y shadow del archivo /etc/nsswitch.conf la palabra ‘ldap’ después
de la palabra ‘compat’ (o después de la palabra ‘files’ dependiendo de como
esté configurado el /etc/nsswitch.conf).
Por último, nos queda editar los archivos que hay en /etc/pam.d para con-
figurar la autentificación de cada uno de los servicios. Para no tener que ha-
cer la configuración independientemente, están los archivos que comienzan
por common, que solo los generales y que los específicos los incluyen (línea
@include). Los archivos son:
Todos estos archivos contienen una línea que hace referencia a la biblioteca
pam_unix.so, que corresponde a la autentificación contra los archivos UNIX
y debemos agregar las bibliotecas pam_ldap.so para autentificar al usuario
(las agregaremos encima, así autentificará primero contra el servidor LDAP y
después, si la autentificación falla, probará con los archivos UNIX). Para ello,
editad los archivos siguientes agregando encima de la librería pam_unix.so
lo siguiente:
debian:# su - apirulo
apirulo@debian:~$
.
mount Ipserver:directorio-remoto directorio_local
Esta sentencia nos indica que se montará el directorio /usr/local del host
pirulo.remix.com en el directorio local /pub. Además, los dos parámetros
rsize y wzise son los tamaños de bloques de lectura y escritura, timeo es
el timeout de RPC (si no se especifican estos tres valores, se toman los que in-
cluye por defecto). El archivo /etc/exports sirve de ACL (lista de control
de acceso) de los sistemas de archivo que pueden ser exportados a los clientes.
Cada línea contiene un sistema de ficheros (filesystem) por exportar seguido de
los clientes que lo pueden montar, separados por espacios en blanco. A cada
cliente se le puede asociar un conjunto de opciones para modificar el compor-
tamiento (consultad man exports para ver un lista detallada de las opciones).
Un ejemplo de esto podría ser:
# Ejemplo de /etc/exports
/ /master(rw) trusty(rw,no_root_squash)
/projects proj*.local.domain(rw)
/usr .local.domain(ro) @trusted(rw)
/pub (ro,insecure,all_squash)
/home 195.12.32.2(rw,no_root_squash) www.first.com(ro)
/user 195.12.32.2/24(ro,insecure)
Un (o una) wiki (del hawaiano wiki wiki, “rápido”) es un sitio web colaborati-
vo que puede ser editado por varios usuarios que pueden crear, editar, borrar o
modificar el contenido de una página web, de forma interactiva, fácil y rápida;
dichas facilidades hacen de una wiki una herramienta eficaz para la escritura
colaborativa. La tecnología wiki permite que páginas web alojadas en un ser-
vidor público (las páginas wiki) sean escritas de forma colaborativa a través
de un navegador, utilizando una notación sencilla para dar formato, crear en-
laces, etc. y conservando un historial de cambios que permite recuperar de
manera sencilla cualquier estado anterior de la página. Cuando alguien edita
una página wiki, sus cambios aparecen inmediatamente en la web, sin pasar
por ningún tipo de revisión previa. Wiki también se puede referir a una co-
lección de páginas hipertexto, que cualquier persona puede visitar y editar Enlace de interés
(definición de Wikipedia). Debian tiene su wiki en http://wiki.debian.org/ y
Para saber más sobre
Ubuntu, en https://help.ubuntu.com/community/. Ambas están basadas en MoinMoin podéis visitar su
página web en:
MoinMoin. MoinMoin es una Python WikiClone que permite inicializar rápi-
http://moinmo.in.
damente su propia wiki y solo se necesitan un servidor de web y el lenguaje En concreto encuentraréis
las instrucciones detalladas
Python instalado. En la web de MoinMoin se encuentran las instrucciones de- para instalar MoinMoin en:
talladas para instalar MoinMoin, pero hay dos formas principales de hacerlo: http://master19.moinmo.in
/InstallDocs.
instalación rápida e instalación de servidor.
Esta orden mostrará por pantalla los mensajes de ejecución del servidor. Entre
esta información se mostrará la dirección IP sobre la cual está corriendo el
servidor, que podrá ser algo como http://127.0.0.1:8080. Esta opción usa
un servidor web interno, será accesible desde http://localhost:8080/ y
funcionará hasta que se presione Ctrl-C en el terminal.
MoinMoin es una aplicación WSGI (Web Server Gateway Interface), por lo tanto,
Enlace de interés
el mejor entorno para ejecutar Moin Moin es uno que permita WSGI como,
por ejemplo, Apache con mod_wsgi. Por ello se recomienda utilizar este mé- Las instrucciones para
instalar WSGI para Apache
todo en sistemas con mucha carga. Si todo se ha configurado adecuadamente, y configurar MoinMoin en
se puede utilizar test.wsgi para probar que todo funciona correctamente (es este caso se pueden
encontrar en la siguiente
recomendable utilizar el mod_wsgi daemon mode y no el embedded mode ya que dirección:
es más seguro). http://moinmo.in/HowTo
/ApacheWithModWSGI.
Instalación de MoinMoin
4) Editar este archivo que, como se verá, está totalmente comentado para fa-
cilitar la configuración. Es importante configurar bien los /paths como rutas
absolutas y es esencial configurar las siguientes directivas: data_dir (donde
están los archivos de la instalación), data_underlay_dir (MoinMoin vie-
ne con todo un sistema de páginas de ayuda y esta directiva apunta donde
estén estas páginas), interwikiname (identificador para la wiki), sitename
(el nombre de la wiki). Tened cuidado, ya que data_dir contiene informa-
ción sensible sobre vuestra wiki que no debe ser leída por nadie excepto por
el código de la wiki, por ello no permitáis que este directorio sea accesible a
través de servidor web y tampoco debéis copiarlo dentro del directorio root de
vuestro servidor web.
# crear los daemons wsgi daemons - utilizar user/group igual que same el data_dir:
WSGIDaemonProcess moin user=www-data group=www-data processes=5 threads=10 maximum-
requests=1000 umask=0007
cd /usr/local/share;
sudo chown -R www-data:www-data moin;
sudo chmod -R ug+rwX moin;
sudo chmod -R o-rwx moin,
lo cual permitirá que solo el Web server service user (www-data) pueda modifi-
carlas.
Bacula soporta discos duros, cintas, DVD, USB y también diferentes bases de
datos (MySQL, PostgreSQL y SQLite) pero como contrapartida, es necesario
disponer de todos los paquetes instalados y su instalación y puesta a punto
pueden resultar complejas.
en cualquier sistema Linux y admite diferentes protocolos para que los clien-
tes puedan escoger la forma de conectarse al servidor. Este programa no es
adecuado como sistema de copia de seguridad de imágenes de disco o parti-
ciones ya que no soporta copias de seguridad a nivel de bloque de disco; sin
embargo, es muy simple de configurar y la posible intrusión sobre la red de
ordenadores en la cual se desea hacer el respaldo es mínima. Este servidor in-
corpora un cliente Server Message Block (SMB) que se puede utilizar para hacer
copia de seguridad de recursos compartidos de red de equipos que ejecutan
Windows.
Instalación de servidor
# File: /etc/backuppc/hosts
# ...
#
host dhcp user moreUsers # <— do not edit this line
#farside 0 craig jill,jeff # <— example static IP host entry
#larson 1 bill # <— example DHCP host entry
localhost 0 backuppc
nteum 0 nteum_user
# File: nteum.pl
#
$ConfXferMethod = ’rsyncd’;
$ConfRsyncShareName = [’docs’,’soft’,’tmp’,’data’];
Estaciones Linux
Para las estaciones Linux solo se tiene que instalar el paquete rsync en el
cliente y crear los ficheros /etc/rsyncd.conf y /etc/rsyncd.secrets,
como por ejemplo:
GNUFDL • PID_00174427 52 Administración de servidores
# File: rsyncd.conf
# rsyncd para el host debianSYS
#
pid file=/var/run/rsyncd.pid
lock file = /var/lock/rsyncd
read only = yes
list = false
auth users = bkpuser
strict modes = true
secrets file = /etc/rsyncd.secrets
hosts allow = 192.168.1.1
[root]
comment = home de root
path = /root
[home]
comment = homes
path = /home
[etc]
comment = configuraciones
path = /etc
[var]
comment = datos de programas
path = /var
# File: rsyncd.secrets
# The format of this file is user:password. You can have as many entries
# as you wish. These accounts are sepecifc to the rsync daemon and share
# no relation to Windows local/domain accounts, nor Cywin entries in the
# passwd file.
#
# SECURITY WARNING: Don’t use these defaults of UUU for the user name
# and PPP for the password! Change them!!
#
bkpuser:xxxxxxxxx
# File debianSYS.pl
$ConfXferMethod = ’rsyncd’;
$ConfRsyncShareName = [’etc’,’home’,’var’,’root’];
Creación de archivos
# File: etc/backuppc/archive.pl
#
# archivo de backups externo (en DVD)
#
$ConfXferMethod = ’archive’;
Como se puede observar, es simple, ya que solo se deben modificar las opcio-
nes generales del archivo que están en /etc/backuppc/config.pl, sección
Archive (solo se muestran las partes más interesantes):
# ...
# Archive Destination. The Destination of the archive
# e.g. /tmp for file archive or /dev/nst0 for device archive
$ConfArchiveDest = ’/var/lib/backuppc/archives’;
# Archive Command
$ConfArchiveClientCmd = ’$Installdir/bin/BackupPC_archiveHost’
. ’ $tarCreatePath $splitpath $parpath $host $backupnumber’
. ’ $compression $compext $splitsize $archiveloc $parfile *’;
GNUFDL • PID_00174427 54 Administración de servidores
Actividades
2. Configurad un servidor/cliente NIS con dos máquinas exportando los directorios de usua-
rio del servidor por NFS.
3. Configurad un servidor SSH para acceder desde otra máquina sin contraseña.
4. Configurad un servidor Apache+ SSL+ PHP+ MySQL+ PHPAdmin para visualizar las hojas
personales de los usuarios.
7. Instalad el servidor de backups BackupPC y generad una copia de respaldo desde una má-
quina Windows y otra desde una máquina Linux. Escoged el método de comunicación con
los clientes y justificar la respuesta.
Bibliografía
[6] Exim.
<http://www.exim.org/docs.html>
[7] IETF. Repositorio de Request For Comment desarrollados por Internet Engineering Task
Force (IETF) en el Network Information Center (NIC). <http://www.ietf.org/rfc.html>
[8] Instituto de Tecnologías Educativas. Redes de área local: Aplicaciones y Servicios Linux.
<http://www.isftic.mepsyd.es/formacion/materiales/85/cd/REDES_LINUX/index.htm>
[12] LWP.
<http://www.lawebdelprogramador.com/temas/tema_stablephpapachemysql.php>
[13] MoinMoin.
<http://moinmo.in/>
[15] Mourani, G. (2001). Securing and Optimizing Linux: The Ultimate Solution. Open Network
Architecture, Inc.
GNUFDL • PID_00174427 55 Administración de servidores
[16] Mutt.
<http://www.mutt.org>
[19] ProcMail.
<http://www.debian-administration.org/articles/242>
[20] Proftpd.
<http://www.debian-administration.org/articles/228>
[21] PureFtpd.
<http://www.debian-administration.org/articles/383>
PID_00174428
GNUFDL • PID_00174428 Administración de datos
Índice
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1. Administración de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1.1. PostgreSQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.1.1. Instalación de PostgreSQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.1.2. ¿Cómo se debe crear una DB? . . . . . . . . . . . . . . . . . . . . . . . . 10
1.1.3. ¿Cómo se puede acceder a una DB? . . . . . . . . . . . . . . . . . . 11
1.1.4. Usuarios de DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1.1.5. Mantenimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.1.6. Resumen de la instalación de PostgreSQL . . . . . . . . . . . . 14
1.2. El lenguaje SQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.2.1. Entornos de administración gráficos . . . . . . . . . . . . . . . . . . 16
1.3. MySQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
1.3.1. Instalación de MySQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
1.3.2. Postinstalación y verificación de MySQL . . . . . . . . . . . . . 18
1.3.3. El programa monitor (cliente) mysql . . . . . . . . . . . . . . . . . 19
1.3.4. Caso de uso: procesamiento de datos con MySQL . . . . 20
1.3.5. Administración de MySQL. . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
1.3.6. Interfaces gráficas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
1.4. Source Code Control System (CVS y Subversion) . . . . . . . . . . . . . 24
1.4.1. Revision Control System (RCS) . . . . . . . . . . . . . . . . . . . . . . . 25
1.4.2. Concurrent Versions System (CVS) . . . . . . . . . . . . . . . . . . . 26
1.4.3. Subversion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
1.4.4. Git . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
1.4.5. Mantis Bug Tracker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Actividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
GNUFDL • PID_00174428 5 Administración de datos
Introducción
Objetivos
1. Administración de datos
.
1.1. PostgreSQL
ninguna dificultad, ya que los scripts de distribución realizan todos los pa-
sos necesarios para tener la DB operativa, o a través del código fuente, que
será necesario compilar e instalar. En el primer caso (pre-built binary packa-
ges), se pueden utilizar los gestores de paquetes o desde línea de comandos,
por ejemplo, en Debian el apt-get. Para el segundo caso, se recomienda ir
siempre al origen (o a un repositorio espejo de la distribución original). Es
importante tener en cuenta que después la instalación desde el código fuente
quedará fuera de la DB de software instalado y se perderán los beneficios de
administración de software que presenten por ejemplo apt-cache o apt-get.
gunzip postgresql-x.x.x.tar.gz
tar xf postgresql-7.3.tar
Postinstalación
LD_LIBRARY_PATH = /usr/local/pgsql/lib;
PATH = /usr/local/pgsql/bin:$PATH;
export LD_LIBRARY_PATH PATH;
o bien, en csh:
MANPATH = /usr/local/pgsql/man:$MANPATH;
export MANPATH
Una vez instalada la DB, se deberá crear un usuario que gestione las bases de
datos (es conveniente crear un usuario diferente del root para que no tenga
GNUFDL • PID_00174428 10 Administración de datos
mkdir /usr/local/pgsql/data
chown postgres /usr/local/pgsql/data
su postgres
initdb -D /usr/local/pgsql/data
postmaster -D /usr/local/pgsql/data
Para ejecutarlo en modo activo (foreground) y para ejecutarlo en modo pasivo (back-
ground), utilizar:
Las redirecciones se hacen para almacenar los errores del servidor. El paquete también
incluye un script (pg_ctl) para no tener que conocer toda la sintaxis de postmaster para
ejecutarlo:
Para abortar la ejecución del servidor, se puede hacer de diferentes formas, con el pg-ctl,
por ejemplo, o bien directamente con
Es importante tener en cuenta que para llevar a cabo esta acción, debe haber
un usuario habilitado para crear una base de datos, como hemos visto en el
subapartado anterior, en que existe un usuario que instala la base de datos y
que tendrá permisos para crear bases de datos y crear nuevos usuarios que, a
su vez, puedan crear bases de datos. Generalmente (y en Debian), este usuario
GNUFDL • PID_00174428 11 Administración de datos
es postgres por defecto. Por ello, antes de hacer el createdb, se debe hacer
un su postgres (si se es root no es necesaria ninguna palabra clave, pero
si se es otro usuario, necesitaremos la palabra clave del usuario postgres) y,
a continuación, se podrá realizar el createdb. Para crear una DB llamada
nteumdb:
createdb nteumdb
Si la ejecución del comando da error, puede ser que no esté bien configurado
el camino o que la DB esté mal instalada. Se puede intentar con el camino ab-
soluto (/usr/local/pgsql/bin/createdb nteumdb), que dependerá de la
instalación que se haya hecho, o consultar referencias para la solución de
problemas. Otros mensajes de error serían could not connect to server,
cuando el servidor no está arrancado, o CREATE DATABASE: permission
denied, cuando no se tienen privilegios para crear la DB. Para eliminar la
base de datos, se puede utilizar dropdb nteumdb.
Una vez creada la DB, se puede acceder a ella de diversas formas: Nota
Por simplicidad, utilizaremos psql para acceder a la DB, por lo que se deberá
introducir psql nteumdb: saldrán unos mensajes con la versión e informa-
ción y un prompt similar a nteumdb =>. Se pueden ejecutar algunos de los
comandos SQL siguientes:
psql también tienen comandos que no son SQL y comienzan por \, por ejem-
plo \h (enumera todos los comandos disponibles) o \q para terminar.
1.1.4. Usuarios de DB
dencia, pero no es necesario. Los usuarios son para todas las DB que controla
dicho servidor, no para cada DB.
• Superusuario: este usuario no tiene ninguna restricción. Por ejemplo, podrá crear
nuevos usuarios: CREATE USER nombre CREATEUSER;
• Creador de DB: tiene permiso para crear DB. Para crear un usuario de estas caracte-
rísticas, utilizad el comando: CREATE USER nombre CREATEDB;
También se pueden hacer grupos de usuarios que compartan los mismos privilegios con:
Para borrar:
Cuando se crea una DB, los privilegios son para el usuario que la crea (y para
el superusuario). Para permitir que otro usuario utilice esta DB o parte de ella,
se le deben conceder privilegios. Hay diferentes tipos de privilegios, como
SELECT, INSERT, UPDATE, DELETE, RULE, REFERENCES, TRIGGER, CREATE,
GNUFDL • PID_00174428 13 Administración de datos
TEMPORARY, EXECUTE, USAGE y ALL PRIVILEGES (se deben consultar las re-
ferencias para ver su significado).
1.1.5. Mantenimiento
trategia es guardar los archivos de las bases de datos a nivel del sistema ope-
rativo, por ejemplo con tar -cf backup.tar /usr/local/pgsql/data.
Existen dos restricciones que pueden hacer que este método sea poco práctico:
b) deben conocerse muy bien todas las implicaciones a nivel archivo, donde
están todas las tablas, transacciones y demás, ya que de lo contrario, una
DB puede quedar inútil. Además, por lo general, el tamaño que se guar-
dará será mayor que el realizado con los métodos anteriores, ya que por
ejemplo, con el pg_dumb no se guardan los índices, sino el comando para
recrearlos.
./configure
gmake
su
gmake install
adduser postgres
mkdir /usr/local/pgsql/data
chown postgres /usr/local/pgsql/data
su - postgres
/usr/local/pgsql/bin/initdb -D /usr/local/pgsql/data
/usr/local/pgsql/bin/postgres -D /usr/local/pgsql/data >logfile 2>&1 &
/usr/local/pgsql/bin/createdb test
/usr/local/pgsql/bin/psql test
MySQL [7] es, según sus autores, la base de datos (DB) SQL abierta, es decir,
Enlace de interés
de software libre (Open Source) más popular. En la actualidad, es propiedad de
Oracle, que es quien realiza las inversiones y mantenimientos y que a partir Toda la documentación
sobre MySQL se puede
de la versión (aún en fase Beta) de MySQL 5.5 (primera versión después de
obtener desde la página web
la compra de la compañía Sun), ha insistido en que continuará invirtiendo siguiente:
http://dev.mysql.com
en esta base de datos. En esta versión, se ha integrado el motor de persisten- /usingmysql/get_started.html.
cia InnoDB y se han añadido mejoras internas para llegar a incrementar el
rendimiento hasta en un 200 %, además de lograr tiempos de recuperación
10 veces menores que en la versión anterior. MySQL es un DBMS (Database
Management System). Un DBMS es el que puede añadir y procesar los datos
almacenados dentro de la DB.
GNUFDL • PID_00174428 17 Administración de datos
MySQL se puede obtener desde la página web* del proyecto o desde cualquiera
*http://www.mysql.com
de los repositorios de software. Se pueden obtener los binarios y los archivos
fuente para compilarlos e instalarlos. En el caso de los binarios, utilizar la
distribución de Debian y seleccionar los paquetes mysql-* (client, server
y common son necesarios). La instalación, después de unas preguntas, creará un
usuario mysql y una entrada en /etc/init.d/mysql para arrancar o detener
el servidor en el boot. También se puede hacer manualmente:
/etc/init.d/mysql start|stop
groupadd mysql
useradd -g mysql mysql
cd /usr/local
gunzip </path/to/mysql-VERSION-OS.tar.gz | tar xvf -
ln -s full-path-to-mysql-VERSION-OS mysql
cd mysql
scripts/mysql_install_db –user=mysql
chown -R root .
chown -R mysql data
chgrp -R mysql .
bin/mysqld_safe –user=mysql &
groupadd mysql
useradd -g mysql mysql
gunzip <mysql-VERSION.tar.gz | tar -xvf -
cd mysql-VERSION
./configure - -prefix=/usr/local/mysql
make
make install
cp support-files/my-medium.cnf /etc/my.cnf
cd /usr/local/mysql
bin/mysql_install_db –user=mysql
chown -R root .
chown -R mysql var
chgrp -R mysql .
bin/mysqld_safe –user=mysql &
Una vez realizada la instalación (ya sea de los binarios o del código fuente),
se deberá verificar si el servidor funciona correctamente. En Debian se puede
hacer directamente (el usuario es el que se ha definido durante la instalación
a igual que su contraseña, indicados en los comandos por -u y -p, respectiva-
mente):
./scripts/mysql_install_db
cd DirectorioInstalacionMysql
./bin/mysqld_safe –user = mysql &
Crea un usuario marciano en la DB. Lo debe hacer el root de la DB. También se puede
hacer directamente con:
mysql>INSERT INTO user (Host,User,Password) ->
VALUES(’localhost’,’marciano’,’passwd’);
País ... 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010
...
España 297,14 623,61 1126,83 1938,19 2821,65 2775,71 6058,60 11008,05...
Se creará una base de datos en MySQL para importar estos datos y generar los
listados que calculen la media por país y la media anual, y ordenen de mayor a
menor el volumen para el año 2008; y un listado de los 10 países con mayor
utilización de Internet por año. Sobre estos últimos datos, se debe hacer una
clasificación de los cinco países con mayor utilización de Internet desde que
existen datos (se muestran los comandos más relevantes y no para todos los
datos).
mysql -u root -p
Welcome to the MySQL monitor. Commands end with ; or \g.
Server version: 5.0.51a24+ lenny3 (Debian)
Type ’help;’ or ’\h’ for help. Type ’\c’ to clear the buffer.
mysql> create database bancomundial;
mysql>
CREATE TABLE ‘bancomundial‘.‘paisbai‘ (‘pais‘ VARCHAR(100) NOT
NULL, ‘1960‘ VARCHAR(100) NOT NULL, ‘1961‘ VARCHAR(100) NOT
NULL, ‘1962‘ VARCHAR(100) NOT NULL, ‘1963‘ VARCHAR(100) NOT
NULL, ‘1964‘ VARCHAR(100) NOT NULL, ‘1965‘ VARCHAR(100) NOT
NULL, ‘1966‘ VARCHAR(100) NOT NULL, ‘1967‘ VARCHAR(100) NOT
NULL, ‘1968‘ VARCHAR(100) NOT NULL, ‘1969‘ VARCHAR(100) NOT
NULL, ‘1970‘ VARCHAR(100) NOT NULL, ‘1971‘ VARCHAR(100) NOT
NULL, ‘1972‘ VARCHAR(100) NOT NULL, ‘1973‘ VARCHAR(100) NOT
NULL, ‘1974‘ VARCHAR(100) NOT NULL, ‘1975‘ VARCHAR(100) NOT
NULL, ‘1976‘ VARCHAR(100) NOT NULL, ‘1977‘ VARCHAR(100) NOT
NULL, ‘1978‘ VARCHAR(100) NOT NULL, ‘1979‘ VARCHAR(100) NOT
NULL, ‘1980‘ VARCHAR(100) NOT NULL, ‘1981‘ VARCHAR(100) NOT
NULL, ‘1982‘ VARCHAR(100) NOT NULL, ‘1983‘ VARCHAR(100) NOT
NULL, ‘1984‘ VARCHAR(100) NOT NULL, ‘1985‘ VARCHAR(100) NOT
NULL, ‘1986‘ VARCHAR(100) NOT NULL, ‘1987‘ VARCHAR(100) NOT
NULL, ‘1988‘ VARCHAR(100) NOT NULL, ‘1989‘ VARCHAR(100) NOT
NULL, ‘1990‘ VARCHAR(100) NOT NULL, ‘[...]
mysql> describe paisbai;
+--------------------------------------+
|Field | Type |Null |K| Def. |E|
| pais | varchar(100) | YES | | NULL | |
| 1960 | varchar(100) | YES | | NULL | |
| 1961 | varchar(100) | YES | | NULL | |
| 1962 | varchar(100) | YES | | NULL | |
| 1963 | varchar(100) | YES | | NULL | |
| 1964 | varchar(100) | YES | | NULL | |
| 1965 | varchar(100) | YES | | NULL | |
...
| 2009 | varchar(100) | YES | | NULL | |
| 2010 | varchar(100) | YES | | NULL | |
+--------------------------------------+
Filas: 1
1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000
0.0001 0.000 0.000 0.001 0.0019 0.005 0.044 0.158 0.6547 1.3870 27.483 126.9760 387.70
3. Generar un listado que visualice el orden de mayor a menor volumen para el año 2008.
SELECT ‘pais‘, ‘2008‘ FROM ‘paisbai‘ ORDER BY ‘2008‘ DESC LIMIT 0 , 30;
+--------------------+
| pais | 2008 |
| Lituania | 9751.01 |
| Mongolia | 946.53 |
| Rumania | 9110.51 |
| Zimbabwe | 9.71 |
...
| Bhután | 65.52 |
| Hungría | 5977.17 |
| Viet Nam | 580.72 |
+--------------------+
4. Generar un listado de los 10 países con mayor utilización de Internet por año.
Alternativa 1.
SELECT ‘pais‘ , SUM( ‘1989‘ ) AS ‘1989‘ , SUM( ‘1990‘ ) AS
‘1990‘ , SUM( ‘1991‘ ) AS ‘1991‘ , SUM( ‘1992‘ ) AS ‘1992‘ ,
SUM( ‘1993‘ ) AS ‘1993‘ , SUM( ‘1994‘ ) AS ‘1994‘ ,
SUM( ‘1995‘ ) AS ‘1995‘ , SUM( ‘1996‘ ) AS ‘1996‘ ,
SUM( ‘1997‘ ) AS ‘1997‘ , SUM( ‘1998‘ ) AS ‘1998‘ ,
SUM( ‘1999‘ ) AS ‘1999‘ , SUM( ‘2000‘ ) AS ‘2000‘ ,
SUM( ‘2001‘ ) AS ‘2001‘ , SUM( ‘2002‘ ) AS ‘2002‘ ,
SUM( ‘2003‘ ) AS ‘2003‘ , SUM( ‘2004‘ ) AS ‘2004‘ ,
SUM( ‘2005‘ ) AS ‘2005‘ , SUM( ‘2006‘ ) AS ‘2006‘ ,
SUM( ‘2007‘ ) AS ‘2007‘ , SUM( ‘2008‘ ) AS ‘2008‘ ,
SUM( ‘2009‘ ) AS ‘2009‘ , SUM( ‘2010‘ ) AS ‘2010‘
FROM ‘paisbai‘
ORDER BY ‘pais‘ DESC
LIMIT 0 , 10;
Alternativa 2:
SELECT ‘pais‘ , MAX( ‘1989‘ ) AS ‘1989‘ , MAX( ‘1990‘ ) AS
‘1990‘ , MAX( ‘1991‘ ) AS ‘1991‘ , MAX( ‘1992‘ ) AS ‘1992‘ ,
MAX( ‘1993‘ ) AS ‘1993‘ , MAX( ‘1994‘ ) AS ‘1994‘ ,
MAX( ‘1995‘ ) AS ‘1995‘ , MAX( ‘1996‘ ) AS ‘1996‘ ,
MAX( ‘1997‘ ) AS ‘1997‘ , MAX( ‘1998‘ ) AS ‘1998‘ ,
MAX( ‘1999‘ ) AS ‘1999‘ , MAX( ‘2000‘ ) AS ‘2000‘ ,
MAX( ‘2001‘ ) AS ‘2001‘ , MAX( ‘2002‘ ) AS ‘2002‘ ,
MAX( ‘2003‘ ) AS ‘2003‘ , MAX( ‘2004‘ ) AS ‘2004‘ ,
MAX( ‘2005‘ ) AS ‘2005‘ , MAX( ‘2006‘ ) AS ‘2006‘ ,
MAX( ‘2007‘ ) AS ‘2007‘ , MAX( ‘2008‘ ) AS ‘2008‘ ,
MAX( ‘2009‘ ) AS ‘2009‘ , MAX( ‘2010‘ ) AS ‘2010‘
FROM ‘paisbai‘
GROUP BY ‘pais‘
LIMIT 0 , 10;
+----------------+------------------+
| país | promedio |
+----------------+------------------+
| Luxemburgo | 284474.679628 |
| Hong Kong | 21468.6420499333 |
| San Marino | 5464.22342423529 |
| Países Bajos | 3949.18559792941 |
| Dinamarca | 3743.7899214 |
| Estonia | 3118.98744675686 |
| Suecia | 2967.78367829608 |
| Reino Unido | 1902.25120777059 |
| Suiza | 1897.13803142745 |
| Bélgica | 1781.95881669216 |
+----------------+------------------+
GNUFDL • PID_00174428 23 Administración de datos
o también:
Asimismo, se pueden copiar los archivos con extensión FRM, MYD, y MYI
con el servidor parado. Para recuperar, se puede ejecutar mediante el coman-
do REPAIR TABLE o myisamchk -r, lo cual funcionará en la mayoría de las
veces. En caso contrario, se podrían copiar los archivos guardados y arrancar
el servidor. Existen otros métodos alternativos en función de lo que se quiera
recuperar, como la posibilidad de guardar/recuperar parte de la DB (consultad
la documentación).
Para Mysql hay gran cantidad de interfaces gráficas, incluso propias del pa-
quete MySQL. Una de ellas es Mysql Administrator, que es una aplicación
GNUFDL • PID_00174428 24 Administración de datos
Existen otras herramientas que permiten hacer tareas similares, como Web-
min, que permite gestionar y administrar bases de datos MySQL (incluyendo
el módulo correspondiente). Si bien este paquete ya no se incluye con algunas
distribuciones, se puede descargar desde http://www.webmin.com. Durante
la instalación, el Webmin avisará de que el usuario principal será el root y
utilizará la misma contraseña que el root del sistema operativo. Será posible
conectarse, por ejemplo, desde un navegador https://localhost:10000,
el cual solicitará aceptar (o denegar) la utilización del certificado para la co-
municación SSL y, a continuación, mostrará todos los servicios que puede
administrar, entre ellos Mysql Data Base Server.
la. El CVS tiene por objetivo ayudar a gestionar versiones de software y con-
trola la edición concurrente de archivos fuente por múltiples autores. El CVS
utiliza internamente otro paquete llamado RCS (Revision Control System) co-
mo una capa de bajo nivel. Si bien el RCS puede ser utilizado independiente-
mente, esto no se aconseja, ya que CVS, además de su propia funcionalidad,
presenta todas las prestaciones de RCS, pero con notables mejoras en cuanto
a la estabilidad, el funcionamiento y el mantenimiento. Entre ellas, cabe des-
tacar: funcionamiento descentralizado (cada usuario puede tener su propio
árbol de código), edición concurrente, comportamiento adaptable mediante
shell scripts, etc. [2, 22, 12].
Como que CVS se basa en RCS y en algunos sistemas todavía se utiliza, se da-
rán unas breves explicaciones. El RCS está formado por un conjunto de pro-
gramas para las diferentes actividades del RCS: rcs (programa que controla los
GNUFDL • PID_00174428 26 Administración de datos
mkdir $CVSROOT
chgrp -R cvs $CVSROOT
chmod o-rwx $CVSROOT
chmod ug+rwx $CVSROOT
cvs init tendrá en cuenta no sobrescribir nunca un repositorio ya creado para evitar
pérdidas de otros repositorios. Luego, se deberán agregar los usuarios que trabajarán con
el CVS al grupo cvs; por ejemplo, para agregar el usuario nteum:
usermod -G cvs,nteum
Ahora el usuario nteum deberá introducir sus archivos en el directorio del repositorio
(/usr/local/cvsroot en nuestro caso):
El hecho de borrar los originales no siempre es una buena idea, salvo en este
caso, después de que se haya verificado que están en el repositorio, para que no
se trabaje sobre ellos por descuido y para que los cambios no queden reflejados
sobre el CVS. Sobre máquinas donde los usuarios quieren acceder (por ssh) a
un servidor CVS remoto, se deberá hacer:
Comandos de CVS
cvs checkout es el comando inicial y crea su copia privada del código fuente para luego
trabajar con ella sin interferir en el trabajo de otros usuarios (como mínimo se crea un
subdirectorio donde estarán los archivos).
cvs update se debe ejecutar del árbol privado cuando hay que actualizar sus copias de
archivos fuente con los cambios que otros programadores han hecho sobre los archivos
del repositorio.
cvs add file es un comando necesario cuando hay que agregar nuevos archivos en su
directorio de trabajo sobre un módulo donde ya se ha hecho previamente un checkout.
Estos archivos se enviarán al repositorio CVS cuando se ejecute el comando cvs commit.
cvs remove file se utilizará para borrar archivos del repositorio (una vez que se hayan
borrado del archivo privado). Este comando debe ir acompañado de un cvs commit
para que los cambios sean efectivos, ya que se trata del comando que transforma todas
las peticiones de los usuarios sobre el repositorio.
cvs diff file se puede utilizar sin que afecte a ninguno de los archivos implicados
si se necesita verificar las diferencias entre repositorio y directorio de trabajo o entre dos
versiones.
cvs tag -R “versión” se puede utilizar para introducir un número de versión en los
archivos de un proyecto y después hacer un cvs commit y un proyecto cvs checkout
-r ‘version’ para registrar una nueva versión.
Una característica interesante del CVS es que puede aislar cambios de los ar-
chivos aislados en una línea de trabajo separada llamada ramificación o ra-
ma (branch). Cuando se cambia un archivo sobre una rama, estos cambios
no aparecen sobre los archivos principales o sobre otras ramas. Más tarde,
estos cambios se pueden incorporar a otros ramas o al archivo principal (mer-
ging). Para crear una nueva rama, utilizad cvs tag -b rel-1-0-patches
dentro del directorio de trabajo, lo cual asignará a la rama el nombre de
rel-1-0-patches. La unión de ramas con el directorio de trabajo significa
utilizar el comando cvs update -j. Consultad las referencias para mezclar
o acceder a diferentes ramas.
GNUFDL • PID_00174428 29 Administración de datos
Esto creará un nuevo directorio llamado gccrep con los archivos fuente. Si se
ejecuta cd gccrep; ls, se verá por ejemplo CVS makefile a.c b.c c.c,
donde existe un directorio CVS que se crea para el control de la copia priva-
da que normalmente no es necesario tocar. Después de esto, se podría utilizar
un editor para modificar a.c e introducir cambios sustanciales en el archivo
(consultad la documentación sobre múltiples usuarios concurrentes si se ne-
cesita trabajar con más de un usuario en el mismo archivo), compilar, volver
a cambiar, etc. Cuando se decide que se tiene una versión nueva con todos
los cambios introducidos en a.c (o en los archivos que sea necesario), es el
momento de hacer una nueva versión almacenando a.c (o todos los que se
han tocado) en el repositorio y hacer esta versión disponible para el resto de
los usuarios:
Múltiples usuarios
Interfaces gráficas
1.4.3. Subversion
Primer paso: crear nuestro repositorio, usuario (consideramos que el usuario es svuser),
grupo (svgroup) como root hacer:
mkdir -p /usr/local/svn
addgroup svgroup
GNUFDL • PID_00174428 31 Administración de datos
También se puede utilizar el comando svn update dentro del directorio pa-
ra actualizar la copia local. Si hay dos o más usuarios trabajando al mismo
tiempo y cada uno ha hecho una copia local del repositorio y la modifica
(haciendo un commit), cuando el segundo usuario vaya a hacer el commit
de su copia con sus modificaciones, le dará un error de conflicto, ya que la
copia en el repositorio es posterior a la copia original de este usuario (es de-
GNUFDL • PID_00174428 32 Administración de datos
<location /svn>
DAV svn
SVNPath /subversion
AuthType Basic
AuthName ”Subversion Repository”
AuthUserFile /subversion/.dav_svn.passwd
Require valid-user
</location>
Reiniciamos Apache y ya estamos listos para importar algunos archivos, por ejemplo:
1.4.4. Git
2) Gestión distribuida: permite a cada programador una copia local del histo-
rial del desarrollo entero y que los cambios se propaguen entre los repositorios
locales.
1) Instalamos GIT: con el apt-get (o también con Synaptic), instalamos los paquetes si-
guientes: git-arch, git-core y gitweb (interfaz web para git). A continuación, crea-
mos el directorio /var/cache/git (el repositorio git) y también /var/www/git para la
interfaz web: mkdir /var/www/git y mkdir /var/cache/git (verificar que no exis-
te). Existe otro paquete llamado git, pero no es necesario [10].
6) Hacemos el commit inicial (no olvidéis que el -m describe nuestro proyecto y será la
información de lo que se ha hecho):
remo@debian:∼/projects/hello$ git commit -a -m “Initial Commit”
Created initial commit e833201: Initial Commit
1 files changed, 5 insertions(+), 0 deletions(-)
create mode 100644 hello.c
remo@debian:∼/projects/hello$ git status
# On branch master
nothing to commit (working directory clean)
Podemos mirar el registro con: git log
commit e8332018c780c396ee442674e420046ccb397f3b
Author: remo <remo@debian.(none)>
Date: Sun Nov 28 04:38:01 2010 -0500
Initial Commit
7) Agregamos más archivos al repositorio. Para ello, editamos un archivo gedit library.h
con el siguiente contenido:
#ifndef DEFINITIONS_H
#define DEFINITIONS_H 1
/* Implement a number using a linked list. */
struct LinkedListNumber
{ struct LinkedListNumber*
one_less_;
};
#endif /* DEFINITIONS_H */
También editamos el hello.c para incluir al inicio library.h como #include "library.h"
Si miramos el estado con git status, veremos:
# On branch master
# Changed but not updated: (use "git add <file>..."
to update what will be committed)
# modified: hello.c
# Untracked files: # (use "git add <file>..."
to include in what will be committed)
# library.h
no changes added to commit (use "git add.and/or "git commit -a")
Ahora debemos agregar la biblioteca y hacer un nuevo commit:
remo@debian:∼/projects/hello$ git add library.h
remo@debian:∼/projects/hello$ git commit -a -m "library.h file added"
Created commit b1042af: library.h file added
2 files changed, 11 insertions(+), 0 deletions(-)
create mode 100644 library.h
Si miramos el estado con git status:
# On branch master nothing to commit (working directory clean)
Y el registro con git log:
commit b1042afd6085db51eeb80586876d87c9ebd9ad36
Author: remo <remo@debian.(none)>
Date: Sun Nov 28 04:43:13 2010 -0500
library.h file added
commit e8332018c780c396ee442674e420046ccb397f3b
Author: remo <remo@debian.(none)>
Date: Sun Nov 28 04:38:01 2010 -0500
Initial Commit
Con este paso ya tenemos el primer repositorio Git y hemos realizado dos commits. No
os preocupéis si en este momento os sentís perdidos, ya que es normal y será cuestión de
trabajar y conocer los comandos para descubrir la potencia de Git.
8) Configuramos Apache y Gitweb (debe hacerse como root). Para ello, deben copiarse
los archivos gitweb.cgi, logo y css a /var/www/git: cp /usr/share/gitweb/*
/var/www/git; cp /usr/lib/cgi-bin/gitweb.cgi /var/www/git. Considerando
que el DocumentRoot de Apache está en /var/www, se modifica la configuración de Apa-
che creando el archivo /etc/apache2/conf.d/git y en su interior se pone:
<Directory /var/www/git>
Allow from all
AllowOverride all
Order allow,deny
Options ExecCGI
<Files gitweb.cgi>
SetHandler cgi-script
</Files>
</Directory>
DirectoryIndex gitweb.cgi
SetEnv GITWEB_CONFIG /etc/gitweb.conf
GNUFDL • PID_00174428 35 Administración de datos
10) Modificar el repositorio de trabajo. Para ello, nos cambiamos al directorio de trabajo
project original como root:
debian:/home/remo/projects# git clone -bare hello hello.git
Initialized empty Git repository in /home/remo/projects/hello.git/
debian:/home/remo/projects# ls -al
...
drwxr-xr-x 3 remo remo 4096 2010-11-28 04:40 hello
drwxr-xr-x 7 root root 4096 2010-11-28 05:10 hello.git
Verificamos que existe el servicio: cat /etc/services | grep ĝit, que nos debe-
rá dar: git 9418/tcp # Git Version Control System y hacemos que el directorio
hello.git sea exportable: touch hello.git/git-daemon-export-ok.
11) Ahora movemos el directorio a su sitio definitivo (al sitio indicado por la variable de
/etc/gitweb.conf):
debian:/home/remo/projects# mv hello.git /var/cache/git/
Y finalmente ya podéis ver vuestro proyecto en http://localhost/git/, que dará una
(salida) navegable como:
projects/hello.git/
summary | shortlog | log | commit | commitdiff | tree
description My first Git Repository: hello.c + library.h
owner root
last change Sun, 28 Nov 2010 09:43:13 +0000
Shortlog
2 hours ago remo library.h file added master commit | commitdiff | tree | snapshot
2 hours ago remo Initial Commit commit | commitdiff | tree | snapshot
heads
2 hours ago master shortlog | log | tree
My first Git Repository: hello.c + library.h
RSS Atom
12) Finalmente, como todo estará en web es necesario borrar el repositorio original para
continuar trabajando de un clon del repositorio web :
remo@debian:∼/projects$ rm -rf hello
remo@debian:∼/projects$ git clone /var/cache/git/hello.git/ hello
Initialized empty Git repository in /home/remo/projects/hello/.git/
remo@debian:∼/projects$ ls hello
hello.c library.h
Como se puede ver, estos archivos tienen todas las modificaciones. Por último, consultad
la documentación para clonar y hacer cambios desde otra máquina.
GNUFDL • PID_00174428 36 Administración de datos
<html>
<body>
<h1>Prueba de PHP y Apache. </h1>
<?php phpinfo() ;?>
</body>
</html>
$g_allow_anonymous_login = ON;
$g_anonymous_account = ’anonymous’
$g_allow_blank_email = ON.
Para más configuraciones o integraciones con otros paquetes, consultad el ma- *http://www.mantisbt.org
nual [8] o acceded a la página de la wiki del proyecto* [14]. Se puede ejecutar /wiki/doku.php
/mantisbt:mantis_recipies
una demo en los propios servidores del proyecto**. **http://demo.mantisbt.org
/my_view_page.php
GNUFDL • PID_00174428 38 Administración de datos
Actividades
1. Definid en PostgreSQL una base de datos que tenga al menos 3 tablas con 5 columnas
(de las cuales 3 deben ser numéricas) en cada tabla. Generad un listado ordenado por cada
tabla/columna. Generad un listado ordenado por el mayor valor de la columna X de todas
las tablas. Cambiad el valor numérico de la columna Y con el valor numérico de la columna
Z + el valor de la columna W/2.
3. Configurad el CVS para hacer tres revisiones de un directorio donde hay 4 archivos .c y un
Makefile. Haced una ramificación (branch) de un archivo y luego mezcladlo con el principal.
5. Realizad el mismo ejercicio anterior, pero uno de los usuarios debe conectarse al reposito-
rio desde otra máquina.
7. Cread un repositorio sobre Git y hacedlo visible a través del web, de tal modo que dos
usuarios de la misma máquina puedan modificar los archivos y actualizar el repositorio.
8. Instalad Mantis, generad un usuario anónimo que pueda acceder a un proyecto público
como reporter, pero no a uno privado.
Bibliografía
[6] Mourani, G. (2001). Securing and Optimizing Linux: The Ultimate Solution. Open Network
Architecture, Inc.
[12] Kiesling, R. The RCS (Revision Control System). The Linux Documentation Project.
[17] PgAdmin.
<http://www.pgadmin.org>
[18] PgpPGAdmin.
<http://phppgadmin.sourceforge.net/>
[19] PostgresSQL.
<http://www.postgresql.org>
[20] Subversion.
<http://subversion.apache.org/>
[23] WebMin.
<http://www.webmin.com/>
Administración
de seguridad
Josep Jorba Esteve
PID_00174429
GNUFDL • PID_00174429 Administración de seguridad
Índice
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3. Seguridad local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
3.1. Bootloaders . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
3.2. Contraseñas y shadows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
3.3. Bits sticky y setuid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.4. Habilitación de hosts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
3.5. Módulos PAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
3.6. Alteraciones del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4. SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
4.1. Arquitectura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.2. Crítica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.3. Algunas alternativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
5. Seguridad en red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
5.1. Cliente de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
5.2. Servidor: inetd y xinetd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
6. Detección de intrusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
8. Herramientas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
9. Análisis de registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Actividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
GNUFDL • PID_00174429 5 Administración de seguridad
Introducción
El salto tecnológico realizado desde los sistemas de escritorio aislados hasta los
sistemas actuales integrados en redes locales e Internet, ha traído una nueva
dificultad a las tareas habituales del administrador: el control de la seguridad
de los sistemas.
Los ataques pueden provenir de muchas fuentes y afectar desde a una apli-
cación o servicio hasta a algún usuario, o a todos, o al sistema informático
entero.
Los posibles ataques pueden cambiar el comportamiento de los sistemas, in- Seguridad absoluta
cluso “hacerlos caer” (es decir, inutilizarlos), o dar una falsa impresión de se-
La seguridad absoluta no
guridad, que puede ser difícilmente detectable. Podemos encontrarnos con existe. Una falsa impresión de
seguridad puede ser tan
ataques de autentificación (obtener acceso por parte de programas o usuarios
perjudicial como no tenerla.
previamente no habilitados), escuchas (redirigir o pinchar los canales de co- El área de la seguridad es
muy dinámica y hay que
municación y los datos que circulan) o sustitución (de programas, máquinas,
mantener actualizados
comunicaciones o usuarios por otros, sin que se noten los cambios). constantemente los
conocimientos.
Una idea clara que hay que tener en mente es que es imposible poder
conseguir una seguridad al 100 %.
Las técnicas de seguridad son un arma de doble filo, que fácilmente pueden
darnos una falsa impresión de control del problema. La seguridad actual es
un problema amplio, complejo y, lo que es más importante, dinámico. Nunca
podemos esperar o asegurar que la seguridad esté garantizada en un determi-
nado sistema, sino que con bastante probabilidad será una de las áreas a la
cual el administrador tendrá que dedicar más tiempo y mantener actualizados
sus conocimientos sobre el tema.
También es preciso mencionar que en este módulo solo podemos hacer una
mera introducción a algunos de los aspectos que intervienen en la seguridad
de hoy en día. Para cualquier aprendizaje real con más detalle, se recomienda
consultar la bibliografía disponible, así como los manuales asociados a los
productos o herramientas comentados.
GNUFDL • PID_00174429 7 Administración de seguridad
Objetivos
Con respecto a los intrusos, hay que establecer algunas diferencias, que no
suelen estar muy claras en los términos coloquiales. Normalmente nos referi-
mos a hacker [Him01] como aquella persona con grandes conocimientos en
informática, más o menos apasionada por los temas de programación y seguri-
dad informática y que, normalmente sin finalidad malévola, utiliza sus cono-
cimientos para protegerse a sí mismo o a terceros, introducirse en redes para
demostrar sus fallos de seguridad y, en algunos casos, para reconocimiento pú-
blico de sus habilidades. Un ejemplo sería la propia comunidad GNU/Linux,
que debe mucho a sus hackers, ya que hay que entender el término hacker co-
mo experto en unos temas computacionales, más que como intruso que afecta
a la seguridad.
Por otro lado encontraríamos a los crackers. Aquí es cuando se utiliza el tér-
mino, de manera más o menos despectiva, hacia aquellos que utilizan sus
habilidades para corromper (o destrozar) sistemas, ya sea sólo por fama pro-
pia, por motivos económicos, por ganas de causar daño o simplemente por
molestar, por motivos de espionaje tecnológico, actos de ciberterrorismo, etc.
La complejidad cada vez mayor del software (y del hardware), hace que au-
mente la dificultad para testear de manera razonable la seguridad de los siste-
mas informáticos. El uso habitual de los sistemas GNU/Linux en red, ya sea en
la propia Internet o en redes propias con tecnología TCP/IP como las intranets,
nos lleva a exponer nuestros sistemas, como víctimas, a ataques de seguridad
[Bur02, Fen02, Line].
Los posibles ataques son una amenaza constante a nuestros sistemas y pueden Amenazas
comprometer su funcionamiento, así como los datos que gestionamos. Ante Las amenazas afectan a la
todo esto, siempre tenemos que definir una cierta política de requisitos de confidencialidad, integridad
o accesibilidad de nuestros
seguridad sobre nuestros sistemas y datos. Las amenazas que podemos sufrir sistemas.
podrían afectar a los aspectos siguientes:
• Integridad: la información solo podrá ser modificada por aquellos que es-
tén autorizados: ¿qué se podrá hacer con ella?
Los métodos utilizados y las técnicas precisas pueden variar mucho (es más,
cada día se crean novedades) y nos obligan, como administradores, a estar en
contacto permanente con el campo de la seguridad para conocer a qué nos
podemos enfrentar diariamente.
Respecto a dónde se produce el ataque, hemos de tener claro qué puede ha- Finalidad de los ataques
cerse o cuál será el objetivo de los métodos:
Los ataques pueden tener
finalidades destructivas,
inhabilitadoras o de
• Hardware. A este respecto, la amenaza está directamente sobre la accesi-
espionaje, de nuestros
bilidad, ¿qué podrá hacer alguien que tenga acceso al hardware? En este componentes, ya sea
hardware, software o
caso normalmente necesitaremos medidas “físicas”, como controles de se-
sistemas de comunicación.
guridad para acceder a los locales donde estén situadas las máquinas, para
evitar problemas de robo o rotura del equipo con el fin de eliminar su ser-
vicio. También puede comprometerse la confidencialidad y la integridad si
el acceso físico a las máquinas permite utilizar algunos de sus dispositivos
como las unidades de disco (extraibles o no), el arranque de las máquinas
o el acceso a cuentas de usuario que podrían estar abiertas.
GNUFDL • PID_00174429 12 Administración de seguridad
• Canal de comunicación (en la red, por ejemplo). Para los métodos que
afectan a la accesibilidad, nos puede provocar destrucción o eliminación
de mensajes e impedir el acceso a la red. En confidencialidad, se puede dar
la lectura y observación del tráfico de mensajes, desde o hacia la máquina.
Y respecto a la integridad, podemos vernos afectados por cualquier modi-
ficación, retardo, reordenación, duplicación o falsificación de los mensajes
entrantes o salientes.
A pesar de ello, normalmente siempre hay técnicas o métodos “de moda”, Evolución de las técnicas
de ataque
del momento actual. Algunas breves indicaciones de estas técnicas de ataque
(actuales) son: Las técnicas de los ataques
son muy variadas y
evolucionan constantemente
• Explotación de agujeros (bug exploits): se trata de la explotación de agu- en lo que a los detalles
tecnológicos usados se
jeros o errores [Cerb, Ins, San] de un hardware, software, servicio, proto- refiere.
colo o del propio sistema operativo (por ejemplo, en el núcleo o kernel)
y, normalmente de alguna de las versiones de estos en concreto. En ge-
neral, cualquier elemento informático es más o menos propenso a errores
en su concepción o simplemente a cosas que no se han tenido en cuenta
GNUFDL • PID_00174429 13 Administración de seguridad
Los sistemas GNU/Linux están protegidos casi totalmente contra estos me-
canismos por varias razones: en los programas ejecutables, tienen un ac-
ceso muy limitado al sistema, en particular a la cuenta del usuario. Con
excepción del usuario root, quien debe tener mucho cuidado con lo que
ejecuta. El correo no suele utilizar lenguajes de macros no verificados (co-
mo en el caso de Outlook y Visual Basic Script en Windows, que es un
agujero de entrada de virus), mientras en el caso de los documentos, esta-
mos en condiciones parecidas, ya que no soportan lenguajes de macros no
verificados (como el VBA en Microsoft Office). Aunque hay que comentar
que varios aspectos de este mismo tipo comienzan a tener cierta impor-
tancia, ya que algunas de las suites de ofimática para GNU/Linux utilizan
ya lenguajes de macros, y los clientes de correo cada vez incorporan más
soporte de html empotrado con soporte de JavaScript, una de las fuentes
con más problemas, como veremos en algunos apartados siguientes. Que
estos problemas no hayan sido explotados (o solo mínimamente) es solo
una cuestión de cuán usada es una plataforma, como GNU/Linux. En la
medida en que crece su uso, también se hace más atractiva para los ata-
cantes.
En todo caso, habrá que prestar atención a lo que pueda pasar en un futu-
ro, ya que podrían surgir algunos virus específicos para GNU/Linux apro-
vechando algunos bugs o exploits. Un punto que sí que hay que tener en
cuenta es el de los sistemas de correo, ya que si bien nosotros no genera-
remos virus, sí que podemos llegar a transmitirlos; por ejemplo, si nuestro
sistema funciona como router o relay de correo, podrían llegar mensajes con
virus que podrían ser enviados a otros. Aquí se puede implementar algu-
GNUFDL • PID_00174429 14 Administración de seguridad
pero ya no hacen nada más con ella, simplemente la dejan abierta. Esto Sobre SYN flood, véase:
consume recursos del sistema en estructuras de datos del núcleo y recursos http://www.cert.org
/advisories/CA-1996-21.html.
de conexión por red. Si se repite este ataque centenares o miles de veces, Sobre E-mail bombing y
se consigue ocupar todos los recursos sin utilizarlos, de modo que cuando spam, véase:
http://www.cert.org
algunos usuarios quieran utilizar el servicio, les sea denegado porque los /tech_tips/email_bombing
_spamming.html.
recursos están ocupados. Otro caso conocido es el bombardeo de correo
(mail bombing) o, simplemente, el reenvío de correo (normalmente con
emisor falso) hasta que se saturan las cuentas de correo y el sistema de co-
rreo cae o se vuelve tan lento que es inutilizable. Estos ataques son en cierta
medida sencillos de realizar con las herramientas adecuadas, y no tienen
GNUFDL • PID_00174429 17 Administración de seguridad
de cualquier API que permita el acceso a una base de datos, por ejemplo
php o perl) son utilizados directamente para construir las consultas (en
SQL) que atacarán a una determinada base de datos (a la que en principio
no se tiene acceso directo). Normalmente, si existen las vulnerabilidades y
hay poco control de los formularios, se puede inyectar código SQL en el
formulario, de manera que se construyan consultas SQL que proporcionen
la información buscada. En casos drásticos podría obtenerse la informa-
ción de seguridad (usuarios y contraseñas de la base de datos) o incluso
tablas o la base de datos entera, y también podrían producirse pérdidas de
información o borrados intencionados de datos. En particular, esta técnica
en ambientes web puede ser grave (para la empresa proveedora de servicio,
con fuertes consecuencias económicas), debido a las leyes que protegen la
privacidad de datos personales, que se pueden ver comprometidos, hacerse
públicos o ser vendidos a terceros si se obtienen por un ataque de este tipo.
En este caso de ataque, más que una cuestión de seguridad del sistema, se
trata de un problema de programación y control con tipado fuerte de los
datos esperados en la aplicación, además del adecuado control de cono-
cimiento de vulnerabilidades presentes del software usado (base de datos,
servidor web, API como php, perl, etc.).
• Entre los usuarios, está aquel que es un poco olvidadizo (o indiscreto), que
olvida la contraseña cada dos por tres, la menciona en conversaciones, la
escribe en un papel que olvida o que está junto (o pegada) al ordenador
o sobre la mesa de trabajo, o que simplemente la presta a otros usuarios o
conocidos. Otro tipo es el que coloca contraseñas muy predecibles, ya sea
su mismo identificador de usuario, su nombre, su DNI, el nombre de su
novia, el de su madre, el de su perro, etc., cosas que con un mínimo de in-
formación pueden encontrarse fácilmente (más en estos momentos de au-
ge de las redes sociales, donde es fácil obtener este tipo de información
desde diferentes redes en las que participe el usuario). Otro caso son los
usuarios normales con un cierto conocimiento, que colocan contraseñas
válidas, pero siempre hay que tener en cuenta que hay mecanismos que
pueden encontrarlas (cracking de passwords, husmeadores, suplantación,
etc.). Hay que establecer una cierta cultura de seguridad entre los usua-
rios y, mediante diferentes técnicas, obligarles a que cambien las contra-
señas, que no utilicen palabras típicas, que usen contraseñas largas (tener
más de 6 o 8 cáracteres mínimo), etc. Últimamente, en muchas empresas e
instituciones se está implantando la técnica de hacer firmar un contrato (o
carta de compromisos) al usuario de manera que se le obliga a no divulgar
la contraseña o cometer actos de vandalismo o ataques desde su cuenta
(claro que esto no impide que otros lo hagan por él).
1.2. Contramedidas
Respecto a las medidas que se pueden tomar sobre los tipos de ataques pre-
sentados, podemos encontrar algunas preventivas y de detección de lo que
sucede en nuestros sistemas.
Veamos algunos tipos de medidas que podríamos tomar en los ámbitos de pre-
vención y detección de intrusos (se mencionan herramientas útiles, algunas
las examinaremos más adelante):
car los últimos parches y actualizaciones disponibles, tanto para las aplica- Sobre vulnerabilidades, una
ciones como para el sistema operativo, probar herramientas que detecten buena herramienta es
Nessus. Para descubrir
vulnerabilidades y mantenerse al día de las vulnerabilidades que se vayan nuevas vulnerabilidades,
descubriendo. véase CERT en:
http://www.cert.org
/advisories/,
sitio antiguo y
• Virus: se deben utilizar mecanismos o programas antivirus, sistemas de fil-
http://www.us-cert.gov
trado de mensajes sospechosos, evitar la ejecución de sistemas de macros /cas/techalerts/index.html.
(que no se puedan verificar). No hay que minimizar los posibles efectos de
los virus, cada día se perfeccionan más y técnicamente es posible realizar Enlaces de interés
virus simples que pueden desactivar redes en cuestión de minutos (sólo hay
Véanse parches para el
que observar algunos de los virus de los últimos años en ambientes Win- sistema operativo en:
dows). En especial, si en nuestros sistemas existen entornos Windows, sería http://www.debian.org
/security,
interesante la posibilidad de examinar virus que puedan afectar a estos sis- http://www.redhat.com
temas. Existen antivirus para UNIX y Linux, como ClamAV, que evitarán /security,
http://fedoraproject.org
que se transmitan virus a nuestros sistemas internos. En sistemas de correo /wiki/Security.
basados en GNU/Linux, podemos establecer combinaciones de productos
antivirus y antispam para evitar estas transmisiones, como por ejemplo
utilizar ClamAV y otros productos como SpamAssasin.
• Bombas lógicas: en este caso, suelen ocultarse tras activaciones por tiempo
o por acciones del usuario. Podemos verificar que no existan en el sistema
trabajos no interactivos introducidos de tipo crontab, at y otros procesos
(por ejemplo, de tipo nohup), que dispongan de ejecución periódica o que
estén en ejecución en segundo plano desde hace mucho tiempo (coman-
dos w, jobs). En cualquier caso, podrían utilizarse medidas preventivas que
impidieran trabajos programados no interactivos a los usuarios (crontab)
o que solamente los permitiesen a aquellos que realmente lo necesiten.
macenará o comunicará en algún lugar. Habrá que examinar situaciones La herramienta chkrootkit
donde aparezca algún proceso extraño perteneciente a nuestro usuario, o puede encontrarse en:
http://www.chkrootkit.org.
bien detectar si tenemos algún fichero abierto con el que no estemos tra-
bajando directamente (por ejemplo, podría ser de ayuda lsof, ver man), o
bien conexiones de red, si se tratase de un registrador de tecleo con envío
externo. Para probar un funcionamiento muy básico de un registrador de
tecleo muy sencillo, puede verse el comando de sistema script (ver man
script). El otro caso, el rootkit (que suele incluir también algún registrador
de tecleo) suele ser un paquete de unos cuantos programas con varias téc-
nicas, y permite al atacante, una vez entra en una cuenta, utilizar diversos
elementos como un registrador de tecleo, puertas traseras, troyanos (sus-
tituyendo a comandos del sistema), etc., con tal de obtener información
y puertas de entrada al sistema. Muchas veces se acompaña de programas
que realizan limpieza de los registros, para eliminar las pruebas de la in-
trusión. Un caso particularmente peligroso lo forman los rootkits, que se
usan o vienen en forma de módulos de núcleo, lo que les permite actuar a
nivel del mismo núcleo. Una herramienta útil para verificar los rootkits es
chkrootkit, u otras alternativas como rkhunter.
• Escaneo de puertos: los escaneadores suelen lanzar sobre uno o más siste-
mas bucles de escaneo de puertos conocidos para detectar los que quedan
abiertos y aquellos servicios que están funcionando (y obtener informa-
ción de las versiones de los servicios) y que podrían ser susceptibles de
ataques.
GNUFDL • PID_00174429 23 Administración de seguridad
Respecto a los usuarios finales, hay que esforzarse por mejorar su cultura de
contraseñas, evitar que la dejen apuntada en cualquier sitio, a la vista de ter-
ceros o, simplemente, que la divulguen de forma indirecta (nuevamente, rela-
cionado con el uso de redes sociales o servicios inseguros).
GNUFDL • PID_00174429 25 Administración de seguridad
Para la prevención local, hay que examinar los diferentes mecanismos de au-
tentificación y permisos de acceso a los recursos para poderlos definir correc-
tamente, de manera que se garantice la confidencialidad y la integridad de
nuestra información.
Respecto a la seguridad en red, tenemos que garantizar que los recursos que
ofrecemos (si proporcionamos unos determinados servicios) tengan los pará-
metros de confidencialidad necesarios (más si estos están garantizados por le-
yes jurídicas nacionales, el incumplimiento de las cuales puede causar graves
sanciones, así como la publicidad negativa indirecta por la falta de cumpli-
miento). Los servicios ofrecidos no pueden ser usados por terceros no desea-
dos, de modo que un primer paso será controlar que los servicios ofrecidos
sean los que realmente queremos y que no estamos ofreciendo, además, otros
servicios que no tenemos controlados. En el caso de servicios de los que no-
sotros somos clientes, también habrá que asegurar los mecanismos de auten-
tificación, en el sentido de acceder a los servidores correctos y que no existan
casos de suplantación de servicios o servidores (normalmente bastante difíci-
les de detectar a nivel de usuario).
tos sitios de seguridad, de conocida solvencia, para conocer los últimos fallos
detectados en el software, tanto de aplicaciones como de sistema, y las vulne-
rabilidades que se derivan de ellos y que podrían exponer nuestros sistemas a
fallos de seguridad, ya sea localmente o por red.
GNUFDL • PID_00174429 27 Administración de seguridad
3. Seguridad local
.
La seguridad local [Pen, Hatb] es básica para la protección del sistema [Deb, Acceso local
Hatc], ya que, normalmente, tras un primer intento de acceso desde la red, es Diversos ataques, aunque
la segunda barrera de protección antes de que un ataque consiga hacerse con vengan del exterior, tienen
como finalidad conseguir el
parte del control de la máquina. Además, la mayoría de los ataques acaban acceso local.
haciendo uso de recursos internos del sistema.
3.1. Bootloaders
El siguiente paso es proteger el bootloader, ya sea Lilo o Grub, para que el ata-
cante no pueda modificar las opciones de arranque del núcleo o modificar
directamente el arranque (caso de Grub). Cualquiera de los dos puede prote-
gerse también por contraseñas adicionales.
password=contraseña
image = /boot/vmlinuz-version
password = contraseña
restricted
En este caso restricted indica, además, que no se podrán cambiar los pará-
metros pasados al núcleo desde la línea de comandos. Hay que tener cuidado
de poner el fichero /etc/lilo.conf protegido a solo lectura/escritura desde
el root (chmod 600), si no cualquiera puede leer las contraseñas.
En este último punto, cabe recordar una recomendación general: nunca los Encryptfs
ficheros con información sensible deberían estar disponibles con permisos de
Los sistemas de ficheros
lectura a terceros, y siempre que sea posible se deberá evitarlos o cifrarlos. En encriptados también son una
particular para datos sensibles, seria deseable algún tipo de sistema de ficheros buena opción para proteger
los datos sensibles de
que permitiese el cifrado de los ficheros presentes. Por ejemplo, podemos des- usuarios, como por ejemplo
tacar Encryptfs que ya está disponible en varias distribuciones, para el cifraje Ecryptfs, que está disponible
con soporte de núcleo desde
de los archivos de los directorios privados de los usuarios. la versión 2.6.19.
user:sndb565sadsd:...
Pero el problema está en que este fichero es legible por cualquier usuario del
sistema, con lo que un atacante podía obtener el fichero y utilizar un ataque
de fuerza bruta, hasta que descifrase las contraseñas contenidas en el fichero,
o bien mediante ataques de fuerza bruta un poco más inteligentes, por medio
de diccionarios.
nistradores son John the Ripper y crack. Pueden funcionar también por
diccionario, con lo cual, será interesante disponer de algún ASCII de español
(pueden encontrarse en la red). Otra herramienta es Slurpie, que puede pro-
bar varias máquinas a la vez.
Una cuestión que debe tenerse en cuenta siempre es hacer estas pruebas sobre
nuestros sistemas. No hay que olvidar que los administradores de otros siste-
mas (o el proveedor de acceso o ISP) tendrán sistemas de detección de intrusos
habilitados y podemos ser objeto de denuncia por intentos de intrusión, ya
sea ante las autoridades competentes (unidades de delitos informáticos) o en
nuestro ISP para que se nos cierre el acceso. Hay que tener mucho cuidado
con el uso de herramientas de seguridad, que están siempre al filo de la navaja
entre ser de seguridad o de intrusión.
Otro problema importante son algunos permisos especiales que son utilizados
sobre ficheros o scripts.
El bit setuid permite a un usuario ejecutar (ya sea un programa binario ejecu-
table o un shell script) con los permisos de otro usuario. Esto en algún caso
puede ser de utilidad, pero es potencialmente peligroso. Es el caso, por ejem-
plo, de programas con setuid de root: un usuario, aunque no tiene permisos de
root, puede ejecutar un programa con setuid que puede disponer de permisos
internos de usuario root. Esto es muy peligroso en caso de scripts, ya que po-
drían editarse y modificarse para hacer cualquier cosa. Por lo tanto, hay que
tener controlados estos programas y, en caso de que no se necesite el setuid,
eliminarlo. El bit se coloca mediante chmod +s, ya sea aplicándolo al pro-
pietario (se llama entonces suid) o al grupo (se llama bit sgid); puede quitarse
con -s. En el caso de visualizar con ls, el fichero aparecerá con -rwSrw-rw
(observad la S), si es sólo suid, en sgid la S aparecería tras la segunda w.
En caso de utilizar chmod con notación octal, se usan cuatro cifras, donde
las tres últimas son los permisos clásicos rwxrwxrwx (recordad que se debe
GNUFDL • PID_00174429 31 Administración de seguridad
Sería deseable hacer un análisis periódico del sistema de ficheros para detectar
los ficheros con suid y sgid en el sistema y determinar si estos son realmente
necesarios o pueden provocar problemas de seguridad.
Los módulos PAM [Pen, Mor03] son un método que permite al administrador
controlar cómo se realiza el proceso de autentificación de los usuarios para
determinadas aplicaciones. Las aplicaciones tienen que haber sido creadas y
enlazadas a las bibliotecas PAM. Básicamente, los módulos PAM son un con-
junto de bibliotecas compartidas que pueden incorporarse a las aplicaciones
como método para controlar la autentificación de sus usuarios. Es más, pue-
de cambiarse el método de autentificación (mediante la configuración de los
módulos PAM) sin que sea necesario cambiar la aplicación.
Los módulos PAM (las bibliotecas) suelen estar en /lib/security (en for-
Enlace de interés
ma de ficheros objeto cargables dinámicamente). La configuración de PAM
está presente en el directorio /etc/pam.d, donde aparece un fichero de con- Para saber más sobre los
módulos PAM, se puede ver
figuración de PAM por cada aplicación que está usando módulos PAM. Nos
la The Linux-PAM System
encontramos con la configuración de autentificación de aplicaciones y servi- Administrators Guide en:
http://www.kernel.org/pub
cios como ssh, de login gráfico de X Window System, como xdm, gdm, kdm, /linux/libs/pam
xscreensaver, etc. o, por ejemplo, del login del sistema (la entrada por identifi- /Linux-PAM-html.
La línea típica de estos ficheros (en /etc/pam.d) tendría este formato (si se
utiliza /etc/pam.conf habría que añadir el servicio a que pertenece como
primer campo):
donde se especifica:
@include servicio
GNUFDL • PID_00174429 33 Administración de seguridad
Un pequeño ejemplo del uso de módulos PAM (en una distribución Debian),
puede ser su uso en el proceso de login (se han listado también las líneas in-
cluidas provenientes de otros servicios):
Otros módulos controlan su sesión para ver cuándo ha entrado por última vez,
o guardan cuándo entra y sale (para el comando lastlog). También hay un
módulo que se encarga de verificar si el usuario tiene correo por leer (también
hay que autentificarse) y otro que controla que se cambie la contraseña (si
está obligado a hacerlo en el primer login que haga) y que tenga de 4 a 8 letras.
Puede utilizarse md5 para el cifrado de contraseñas.
Otro problema puede ser la alteración de comandos o configuraciones bási- Tenéis más información
cas del sistema, mediante la introducción de troyanos o puertas trasera en sobre AusCert UNIX
checklist en:
el sistema, por la simple introducción de software que sustituya o modifique http://www.auscert.org.au
ligeramente el comportamiento del software de sistema. /5816.
GNUFDL • PID_00174429 34 Administración de seguridad
Un caso típico es la posibilidad de forzar al usuario root para que ejecute co-
mandos falsos de sistema; por ejemplo, si el root incluyese el “.” en su variable
de PATH, esto permitiría la ejecución de comandos desde su directorio actual,
lo que habilitaría la colocación de archivos que sustituyesen a comandos del
sistema y que serían ejecutados en primer término antes que los de sistema.
El mismo proceso puede hacerse con un usuario, aunque por ser más limita-
dos sus permisos, puede no afectar tanto al sistema, cuanto más a la propia
seguridad del usuario. Otro caso típico es el de las pantallas de login falsas, que
pueden sustituir el típico proceso de login, passwd, por un programa falso
que almacene las contraseñas introducidas.
4. SELinux
.
Por otro lado, las técnicas MAC (mandatory access control, control de acceso
obligatorio) desarrollan políticas de seguridad (definidas por el administrador)
en las que el sistema tiene control completo sobre los derechos de acceso que
se conceden sobre cada recurso. Por ejemplo, con permisos (de tipo UNIX)
podemos dar acceso a ficheros, pero mediante políticas MAC tenemos control
adicional para determinar a qué ficheros explícitamente se permite acceso por
parte de un proceso, y qué nivel de acceso queremos conceder. Se fijan con-
textos, en los cuales se indican en qué situaciones un objeto puede acceder a
otro objeto.
root:sysadm_r:sysadm_t
Por ejemplo, en una máquina con SELinux activado (una Fedora en este caso)
podemos ver con la opción -Z del ps los contextos asociados a los procesos:
# ps -ax -Z
# ls -Z
drwxr-xr-x josep josep user_u:object_r:user_home_t Desktop
drwxrwxr-x josep josep user_u:object_r:user_home_t proves
-rw-r--r-- josep josep user_u:object_r:user_home_t yum.conf
$ id -Z
user_u:system_r:unconfined_t
copias de seguridad del sistema de ficheros tiene que tener en cuenta que se
conserven las etiquetas de SELinux.
Con respecto a la política usada, SELinux soporta dos tipos diferentes: tar-
geted y strict. En targeted la mayoría de procesos operan sin restricciones, y
solo servicios (ciertos daemons) específicos son puestos en diferentes contex-
tos de seguridad que son confinados a la política de seguridad. En strict todos
los procesos son asignados a contextos de seguridad y confinados a políticas
definidas, de manera que cualquier acción es controlada por las políticas defi-
nidas. En principio estos son los dos tipos de políticas definidas generalmente,
pero la especificación está abierta a incluir más.
4.1. Arquitectura
– Ficheros que sirven para etiquetar los contextos de los ficheros y directorios
durante la carga o en determinados momentos.
Veamos, de este último punto, las herramientas típicas de que solemos dispo-
ner, algunos de los comandos principales:
GNUFDL • PID_00174429 40 Administración de seguridad
Nombre Utilización
chcon Etiqueta un fichero especifico, o un conjunto de ficheros con un
contexto especifico.
checkpolicy Realiza diversas acciones relacionadas con las políticas, incluyendo
la compilación de las políticas a binario; típicamente se invoca
desde las operaciones de makefile.
getenforce Genera mensaje con el modo actual de SELinux (permissive o en-
forcing). O bien desactivado si es el caso.
getsebool Obtiene la lista de booleanos, o sea la lista de opciones on/off
para cada contexto asociado a un servicio, u opción general del
sistema.
newrole Permite a un usuario la transición de un rol a otro.
runn_init Utilizado para activar un servicio (start, stop), asegurándose de
que se realiza en el mismo contexto que cuando se arranca auto-
máticamente (con init).
setenforce Cambia de modo a SELinux: 0 permissive, 1 enforcing.
setfiles Etiqueta directorios y subdirectorios con los contextos adecuados;
es típicamente utilizado en la configuración inicial de SELinux.
setstatus Obtiene el estado del sistema con SELinux.
• cron: Modificado para incluir los contextos para los trabajos en ejecución
por cron.
• pam: Modificado para colocar el contexto inicial del usuario y para usar la
API SELinux y obtener acceso privilegiado a la información de contraseñas.
• ssh: Modificado para colocar el contexto inicial del usuario cuando entra
en el sistema.
4.2. Crítica
que aunque tuviésemos SELinux mal configurado, aún seguirían activos los
permisos UNIX y otras herramientas y SELinux no permitiría una operación
que los permisos originales ya no permitieran. De hecho, podemos verlo como
una etapa más de seguridad más estricta.
los usuarios.
Sobre AppArmor véase:
http://www.novell.com
/linux/security/apparmor/.
Básicamente se compone de un módulo de núcleo para la gestión de perfiles Para el caso de LSM y otros
de aplicaciones, módulo basado, al igual que SELinux, en LSM (Linux Secu- proyectos basados:
http://en.wikipedia.org/wiki
rity Modules), juntamente con diferentes utilidades. Mediante estas utilidades /Linux_Security_Modules.
podemos establecer permisos de los programas para el acceso al sistema de Véase comentarios de
proyectos en:
ficheros y a los dispositivos. La mayor diferencia con SELinux, es que las po- https://security.wiki.kernel
líticas de seguridad no se aplican con etiquetas a los ficheros, sino respecto a .org/index.php/Projects.
5. Seguridad en red
.
Como clientes de servicios básicamente tenemos que asegurar que no pone- Clientes y servicios
inseguros
mos en peligro a nuestros usuarios (o se pongan en peligro ellos solos) por
usar servicios inseguros. Hay que evitar el uso de servicios que no utilicen ci- Como clientes de servicios,
tendremos que evitar el uso
frado de datos y contraseñas (ftp, telnet, correo no seguro) y utilizar en este
de servicios inseguros.
caso técnicas de conexión cifrada, como SSH y SSL/TSL.
Otros ficheros de apoyo (con información útil) son: /etc/services, que es-
tá formado por una lista de servicios locales o de red conocidos, junto con
el nombre del protocolo (tcp, udp u otros) que se utiliza en el servicio y el
puerto que utiliza; /etc/protocols es una lista de protocolos conocidos, y
/etc/rpc es una lista de posibles servidores RPC, junto con los puertos (rpc)
usados. Estos ficheros vienen con la distribución y son una especie de base de
datos que utilizan los comandos y herramientas de red para determinar los
nombres de servicios, protocolos o rpc y sus puertos asociados. Cabe desta-
car que son ficheros más o menos históricos, que no tienen porqué contener
todas las definiciones de protocolos y servicios. Pueden asimismo buscarse di-
ferentes listas en Internet de puertos conocidos.
ciales del script por otro texto: un método sería, por ejemplo, cambiar S20ssh
por STOP_S20ssh y ya no arrancará; la próxima vez, cuando volvamos a nece-
sitarlo, quitamos el prefijo y lo volvemos a tener activo. Aunque este metodo
es posible, es más recomendable utilizar una serie de herramientas simples que
proporcionan las distribuciones para colocar, quitar o activar un determinado
servicio. Por ejemplo, comandos como, service y chkconfig en Fedora, o
similares en Debian como update-rc.d y invoke-rc.d).
• ftp, telnet: en las transmisiones por red no cifran las contraseñas, y cual-
quiera puede hacerse con las contraseñas de servicios o las cuentas asocia-
das (por ejemplo, mediante un husmeador).
• rsh, rexec, rcp: presentan, además, el problema de que bajo algunas con-
diciones ni siquiera necesitan contraseñas (por ejemplo, si se hace desde
sitios validados en fichero .rhosts), con lo cual vuelven a ser inseguros,
y dejan grandes puertas abiertas.
Respecto a SSH, también hay que tener la precaución de usar ssh en la ver-
sión 2. La primera versión tiene algunos exploits conocidos; hay que tener cui-
dado al instalar OpenSSH, y si no necesitamos la primera versión, instalar solo
soporte para ssh2 (véase la opción Protocol en el fichero de configuración
/etc/ssh/sshd_config).
6. Detección de intrusiones
.
Con los sistemas de detección de intrusos [Hat08] (IDS) se quiere dar un paso Detección de intrusos
más. Una vez hayamos podido configurar más o menos correctamente nuestra Los sistemas IDS nos
seguridad, el paso siguiente consistirá en una detección y prevención activa permiten la detección a
tiempo de intrusos, usando
de las intrusiones. nuestros recursos o
explorando nuestros sistemas
en busca de fallos de
Los sistemas IDS crean procedimientos de escucha y generación de alertas seguridad.
al detectar situaciones sospechosas, es decir, buscamos síntomas de posibles
accidentes de seguridad.
Hay sistemas basados en la información local que, por ejemplo, recopilan in-
formación de los registros del sistema, vigilan cambios en los ficheros de siste-
ma o bien en las configuraciones de los servicios típicos. Otros sistemas están
basados en red e intentan verificar que no se produzcan comportamientos
extraños, como por ejemplo los casos de suplantación, donde hay falsificacio-
nes de direcciones conocidas; controlan el tráfico sospechoso y posibles ata-
ques de denegación de servicio, detectando tráfico excesivo hacia determina-
dos servicios y controlando que no hay interfaces de red en modo promiscuo
(síntoma de sniffers o capturadores de paquetes).
Los TCP wrappers [Mou01] son un software que actúa de intermediario en-
tre las peticiones del usuario de servicio y los daemons de los servidores que
ofrecen el servicio. Muchas de las distribuciones vienen ya con los wrappers
activados y podemos configurar los niveles de acceso. Los wrappers se suelen
utilizar en combinación con inetd o xinetd, de manera que protejan los servi-
cios que ofrecen.
de manera que, cuando llegue una petición, será tratada por el daemon tcpd
que se encargará de verificar el acceso (para más detalles, véase la página man
tcpd).
También existe un método alternativo de wrapper TCP, que consiste en que Wrappers
la aplicación original se compile con la biblioteca de wrappers. Entonces la
Los wrappers nos permiten
aplicación no tiene porqué estar en inetd y podremos controlarla igual que el controlar la seguridad
primer caso con la configuración que comentamos a continuación. mediante listas de acceso a
nivel de servicios.
7.1. Cortafuegos
Este tipo de cortafuegos suele combinarse con un enrutador (router) para en-
lazar los paquetes de las diferentes redes. Otra configuración típica es la de
cortafuegos hacia Internet, por ejemplo con dos tarjetas de red: en una ob-
tenemos/proporcionamos tráfico a Internet y en la otra enviamos o propor-
cionamos el tráfico a nuestra red interna, pudiendo así eliminar el tráfico que
no va destinado a nosotros, y también controlar el tráfico que se mueve ha-
cia Internet, por si no queremos que se tenga acceso a algunos protocolos o
bien sospechamos que hay posibilidades de fugas de información por algunos
ataques. Una tercera posibilidad es la máquina individual conectada con una
única tarjeta de red hacia Internet, directa o bien a través de un proveedor. En
este caso, sólo queremos proteger nuestra máquina de ataques de intrusos, de
tráfico no deseado o de que se vea comprometida al robo de datos.
La interfaz del comando iptables permite realizar las diferentes tareas de Elementos de iptables
configuración de las reglas que afectan al sistema de filtrado, ya sea genera-
iptables aporta diferentes
ción de registros, acciones de pre y post enrutado de paquetes, NAT y reenvío elementos como las tablas,
(forwarding) de puertos. chains y las propias reglas.
El sistema de iptables tiene como nivel superior las tablas. Cada una contiene
diferentes cadenas, que a su vez contienen diferentes reglas. Las tres tablas que
existen son: Filter, NAT y Mangled. La primera sirve para las propias normas
de filtrado, la segunda para realizar traslación de direcciones dentro de un sis-
tema que utilice NAT y la tercera, menos usada, sirve para especificar algunas
opciones de control de los paquetes y cómo gestionarlos. Concretamente, si
estamos con un sistema directamente conectado a Internet, utilizaremos, en
general, tan solo la tabla Filter. Si el sistema está en una red privada que tiene
que pasar por un enrutador, pasarela (gateway) o proxy (o combinación de es-
tos), seguramente dispondremos de un sistema de NAT o IP masquerading; si
estamos configurando precisamente la máquina que permite acceso externo,
tendremos que tocar la tabla NAT y la Filter. Si la máquina está en un sistema
de red privada, pero es una de las máquinas internas, será suficiente con la
tabla Filter, a no ser que sea un servidor el que haga NAT a otro segmento
de red.
Con esta fase de añadir reglas hay que tomar precauciones, ya que el orden
importa. Hay que colocar las menos restrictivas al principio, puesto que, si
primero ponemos una regla que elimine los paquetes, aunque haya otra re-
gla, esta no será tenida en cuenta. La opción -j permite decidir qué hare-
mos con los paquetes, típicamente accept (aceptarlos), reject (rechazarlos)
o drop (simplemente perderlos). Es importante la diferencia entre reject y
drop. Con el primero, rechazamos el paquete y normalmente informamos al
emisario de que hemos rechazado el intento de conexión (normalmente por
un paquete de tipo ICMP). Con el segundo (drop), simplemente perdemos el
paquete como si nunca hubiese existido y no enviamos ningún tipo de res-
puesta. Otro target utilizado es log, para enviar el paquete al sistema de
registros. Normalmente, en este caso hay dos reglas, una con el log y otra
igual con accept, drop o reject, para permitir enviar al registro la infor-
mación de qué paquetes han sido aceptados, rechazados o perdidos. Con las
opciones de generarlos en el cortafuegos hay que controlar precisamente su
uso, ya que son capaces, dependiendo del ambiente de red, de generar una
enorme cantidad de información en los ficheros de registro.
que nos dice que se coloque la regla en la cadena input en tercera posición;
y se van a aceptar paquetes (-j) que provengan (con fuente, o source, -s) de
la subred 10.0.0.0 con máscara de red 255.0.0.0. De forma parecida, con -D
podemos borrar o un número de regla o la regla exacta, como se especifica a
continuación, borrando la primera regla de la cadena o la regla que mencio-
namos:
iptables -D INPUT 1
iptables -D INPUT -s 10.0.0.0/8 -j ACCEPT
También hay reglas que permiten definir una política por defecto de los paque-
tes (opción -P); se va a hacer con todos los paquetes lo mismo. Por ejemplo,
se suele colocar al inicio que se pierdan todos los paquetes por defecto, y se
habilitan luego los que interesan, y muchas veces también se evita que haya
reenvío de paquetes si no es necesario (si no actuamos de enrutador). Esto
podría ponerse:
Todo lo cual establece unas políticas por defecto que consisten en denegar la
entrada de paquetes, no permitir salir y no reenviar paquetes. Ahora se podrán
añadir las reglas que conciernen a los paquetes que deseemos utilizar, diciendo
qué protocolos, puertos y orígenes o destinos queremos permitir o evitar. Esto
puede ser difícil, ya que tenemos que conocer todos los puertos y protocolos
que utilicen nuestro software o servicios. Otra táctica sería dejar solo activos
aquellos servicios que sean imprescindibles y habilitar con el cortafuegos el
acceso de los servicios a las máquinas deseadas.
Donde:
2) Rechazamos los paquetes tcp con destino al puerto 113, emitiendo una
respuesta de tipo tcp-reset.
3) Los mismos paquetes que en 2) pero que provengan de 10.x.x.x serán acep-
tados.
/etc/init.d/iptables save
y se guardan en:
/etc/sysconfig/iptables
GNUFDL • PID_00174429 54 Administración de seguridad
En el primer caso hay que tener cuidado de que antes exista el directorio
/var/lib/iptables, que es donde se guardan los ficheros; nombre-reglas
será un fichero en el directorio.
si las queremos aplicar, así como la configuración del cortafuegos (el pro-
grama es interactivo). Funciona en varias distribuciones, tanto en Fedora
como en Debian.
• fwbuilder: una herramienta que permite construir las reglas del cortafuegos
de forma gráfica. Se puede usar en varios sistemas operativos (GNU/Linux
tanto Fedora como Debian, OpenBSD, MacOS), con diferentes tipos de cor-
tafuegos (iptables incluido).
7.4. Consideraciones
Aunque dispongamos de cortafuegos bien configurados, hay que tener presen- Niveles de seguridad
te que no son una medida de seguridad absoluta, ya que hay ataques comple-
Nunca se debe confiar en un
jos que pueden saltarse el control o falsear datos que creen confusión. Además, único mecanismo o sistema
de seguridad. Hay que
las necesidades de conectividad modernas obligan a veces a crear software que
establecer la seguridad del
permita el bypass (paso a través) de los cortafuegos: sistema a diferentes niveles.
• Los códigos móviles por web (ActiveX, Java y JavaScript) cruzan los corta-
fuegos (via web) y, por lo tanto, es difícil proteger los sistemas si estos son
vulnerables a los ataques contra agujeros descubiertos.
Así, aunque los cortafuegos son una muy buena solución a la mayor parte
de amenazas a la seguridad, siempre pueden tener vulnerabilidades y dejar
pasar tráfico que se considere válido, pero que incluya otras fuentes posibles
de ataques o vulnerabilidades.
En seguridad nunca hay que considerar (y confiar en) una única solu-
ción y esperar que nos proteja absolutamente; hay que examinar los
diversos problemas, plantear soluciones que los detecten a tiempo y
políticas de prevención que nos curen en salud, por lo que pueda pasar.
GNUFDL • PID_00174429 57 Administración de seguridad
8. Herramientas de seguridad
.
9. Análisis de registros
.
Observando los ficheros de registro (logs) del sistema [Ano99, Fri02], pode-
mos hacernos una idea rápida del estado global del sistema, así como de las
últimas ocurrencias de sucesos, y detectar accesos (o intentos de acceso) in-
debidos. Pero también cabe tener presente que los registros, si ha sucedido
una intrusión real, pueden haber sido limpiados o falseados. La mayoría de
archivos de registro residen en el directorio /var/log.
Comentamos en los siguientes puntos algunos ficheros de registro que habría Ficheros de registro
que tener en cuenta (quizás los más utilizados):
Hay que tener en cuenta que
en la mayoría de ataques
sofisticados exitosos se
1) /var/log/messages: es el fichero de registro por defecto del demonio falsean o borran los datos de
Syslogd, pero habría que revisar su configuración, no se hubiera dado el caso los ficheros de registro.
Incluso así, dependiendo de
de que estuviera cambiado a otra parte o de que hubiera varios. Este fiche- la técnica usada, puede
detectarse información útil
ro contiene una amplia variedad de mensajes de orígenes diversos (arranque,
sobre el ataque.
GNUFDL • PID_00174429 61 Administración de seguridad
En el sistema de registros, otra cosa que habría que asegurar es que el directorio
de registros /var/log solo pueda ser escrito por el usuario root (o deamons
asociados a servicios). De otro modo, cualquier atacante podría falsificar la
información de los registros. Aun así, si el atacante consigue acceso a root,
puede, y suele, borrar las pista de sus accesos.
GNUFDL • PID_00174429 62 Administración de seguridad
Primero examinaremos qué ofrece nuestra máquina a la red. Para ello, utili-
zaremos la herramienta nmap como escaneador de puertos. Con el comando
(desde root):
obtenemos:
(The 3079 ports scanned but not shown below are in state: closed)
Port State Service
9/tcp open discard
9/udp open discard
13/tcp open daytime
22/tcp open ssh
25/tcp open smtp
37/tcp open time
37/udp open time
80/tcp open http
111/tcp open sunrpc
111/udp open sunrpc
113/tcp open auth
631/tcp open ipp
728/udp open unknown
731/udp open netviewdm3
734/tcp open unknown
Vamos ahora a /etc/inetd.conf para desactivar estos servicios (si han apa-
recido o no en el escaneo previo, dependerá de la distribución GNU/Linux y
de la configuración previa de estos servicios). Buscamos líneas como:
Ahora tenemos que reiniciar inetd para que vuelva a leer la configuración que
hemos cambiado: /etc/init.d/inetd restart.
Volvemos a nmap:
De lo que nos queda, tenemos el servicio ssh, que queremos dejar activo, y el
servidor de web, que lo pararemos de momento:
/etc/init.d/apache2 stop
Los servicios RPC que se ofrecen se pueden ver con el comando rpcinfo:
root@maquina:# rpcinfo -p
programa vers proto puerto
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100024 1 udp 731 status
100024 1 tcp 734 status
391002 1 tcp 39797 sgi_fam
391002 2 tcp 39797 sgi_fam
GNUFDL • PID_00174429 65 Administración de seguridad
donde observamos los servicios RPC con algunos de los puertos que ya se
habían detectado. Otro comando que puede resultar útil es lsof, que, en-
tre otras funciones, permite relacionar puertos con los servicios que los han
abierto (por ejemplo: lsof -i | grep 731).
/etc/init.d/nfs-common
/etc/init.d/nfs-kernel-server
/etc/init.d/portmap
dándoles el parámetro stop para parar los servicios RPC (en este caso NFS). En
todos estos casos sólo estamos parando los servicios para la ejecución actual;
si queremos desactivar realmente estos servicios, hemos de ir al nivel de ejecu-
ción concreto (runlevel) y desactivar los servicios (como se ha comentado en
el módulo), porque si no se reiniciarán en el siguiente arranque del sistema.
sshd: 1.2.3.4
GNUFDL • PID_00174429 66 Administración de seguridad
nos dice que sería concedido el acceso. Un detalle es que nos dice que sshd no
está en el inetd.conf y, si lo verificamos, vemos que así es: no se activa por
el servidor inetd, sino por daemon propio (sshd) en el runlevel en que estemos.
Además (en Debian), este es un caso de demonio que está compilado con las
bibliotecas de wrappers incluidas (y, por lo tanto, no necesita tcpd para fun-
cionar). En Debian hay varios daemons así: ssh, portmap, in.talk, rpc.statd y
rpc.mountd, entre otros. Esto permite asegurar estos daemons mediante wrap-
pers por los ficheros hosts mencionados.
Otra cuestión por verificar son las conexiones actuales existentes. Con el co-
mando netstat -utp podemos listar las conexiones tcp, u udp establecidas
con el exterior, ya sean entrantes o salientes; así en cualquier momento po-
demos detectar los clientes conectados y a quién estamos conectados. Otro
comando importante (de múltiples funciones) es lsof, que puede relacio-
nar ficheros abiertos con procesos o conexiones por red establecidas mediante
lsof -i, pudiéndose así detectar accesos indebidos a ficheros.
root@aopcjj:# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
GNUFDL • PID_00174429 67 Administración de seguridad
En este punto, podríamos añadir un cortafuegos que nos permitiese una ges-
tión más adecuada de paquetes que recibimos y enviamos, y que sería un con-
trol previo para mejorar la seguridad. Dependiendo de nuestras necesidades,
estableceríamos las reglas necesarias de modo parecido a las que comentamos
en los ejemplos de cortafuegos de la unidad.
Resumen
Actividades
1. Supongamos que colocamos en nuestra máquina un sitio web, por ejemplo con Apache.
Nuestro sitio está pensado para diez usuarios internos, pero no controlamos este número.
Más adelante nos planteamos poner en Internet este sistema, ya que creemos que puede ser
útil para los clientes, y lo único que hacemos es poner el sistema con una IP pública en
Internet. ¿Qué tipo de ataques podría sufrir este sistema?
2. ¿Cómo podemos detectar los ficheros con suid en nuestro sistema? ¿Qué comandos serán
necesarios? ¿Y los directorios con SUID o SGID? ¿Por qué es necesario, por ejemplo, que
/usr/bin/passwd tenga bit de SUID?
3. Los ficheros .rhosts, como hemos visto, son un peligro importante para la seguridad.
¿Podríamos utilizar algún método automático que comprobase su existencia periódicamen-
te? ¿Cómo?
4. Supongamos que queremos deshabilitar un servicio del cual sabemos que tiene el script
/etc/init.d/servicio que lo controla: queremos desactivarlo en todos los runlevels en los
que se presenta. ¿Cómo encontramos los runlevels en los que está? (por ejemplo, buscando
enlaces al script).
5. Examinad los servicios en activo en vuestra máquina. ¿Son todos necesarios? ¿Cómo ha-
bría que protegerlos o desactivarlos?
7. ¿Qué reglas iptables serían necesarias para una máquina en la que solo queremos acceso
por SSH desde una dirección concreta?
Bibliografía
[Bur02] Burgiss, H. (2002). Security QuickStart HOWTO for Linux. The Linux Documenta-
tion Project.
[Fen02] Kevin Fenzi. Linux security HOWTO. The Linux Documentation Project.
[Gre] Grennan, M.. Firewall and Proxy Server HOWTO. The Linux Documentation Pro-
ject.
[Mou01] Mourani, G. (2001). Securing and Optimizing Linux: The Ultimate Solution. Open
Network Architecture, Inc.
[Neu] Neufeld, C.. Setting Up Your New Domain MiniHOWTO. The Linux Documenta-
tion Project.
[Usa] The United States Department of Justice. División del Departamento de Justicia
de Estados Unidos para el ciberdelito.
<http://www.usdoj.gov/criminal/cybercrime/>
[Pen] Imprescindible para Debian, muy buena descripción para seguir paso a paso la confi-
guración de seguridad, [Hatb] sería equivalente para Fedora/Red Hat.
[Mou01] Excelente referencia de seguridad para Red Hat (aplicable también a Debian).
[Hat08] Libros sobre seguridad en GNU/Linux, que cubren gran número de aspectos y téc-
nicas.
[Sei] Guía paso a paso de identificación de los puntos clave que hay que verificar y los pro-
blemas que puedan surgir.
[Proa] [Sno] [Insb] [Nes] Algunas de las herramientas de seguridad más usadas.
[NSAb] Versión de Linux con miras a la seguridad, producida por la NSA. Referencia para
SELinux.
PID_00174430
GNUFDL • PID_00174430 Sintonización, optimización y alta disponibilidad
Índice
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Actividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
GNUFDL • PID_00174430 5 Sintonización, optimización y alta disponibilidad
Introducción
De entre todas las herramientas que existen para tratar estos aspectos (Heart-
beat, ldirectord y LVS –Linux Virtual Server–, Piranha, UltraMonkey, Kimber-
lite, etc), en este módulo analizaremos algunas que permiten gestionar esta
infraestructura redundante, como Heartbeat o Kimberlite.
GNUFDL • PID_00174430 6 Sintonización, optimización y alta disponibilidad
Objetivos
2) Ley de Amdahl: según esta ley, “hay un límite de cuánto puede uno me-
jorar en velocidad una cosa si solo se optimiza una parte de ella”; es decir, si
se tiene un programa que utiliza el 10 % de la CPU y se optimiza reduciendo
la utilización en un factor 2, el programa mejorará sus prestaciones (speedup)
en un 5 %, lo cual puede significar un tremendo esfuerzo no compensado por
los resultados.
Hay un conjunto de archivos y directorios. A continuación veremos algunos *Consúltese la página del
manual para obtener más
de los más interesantes*: información.
GNUFDL • PID_00174430 9 Sintonización, optimización y alta disponibilidad
/proc/1: un directorio con la información del proceso 1 (el número del directorio es el
PID del proceso).
/proc/cpuinfo: información sobre la CPU (tipo, marca, modelo, prestaciones, etc.).
/proc/devices: lista de dispositivos configurados en el núcleo.
/proc/dma: canales de DMA utilizados en ese momento.
/proc/filesystems: sistemas de archivos configurados en el núcleo.
/proc/interrupts: muestra qué interrupciones están en uso y cuántas de ellas se han
procesado.
/proc/ioports: ídem con los puertos.
/proc/kcore: imagen de la memoria física del sistema.
/proc/kmsg: mensajes generados por el núcleo, que luego son enviados a syslog.
/proc/ksyms: tabla de símbolos del núcleo.
/proc/loadavg: carga del sistema.
/proc/meminfo: información sobre la utilización de memoria.
/proc/modules: módulos cargados por el núcleo.
/proc/net: información sobre los protocolos de red.
/proc/stat: estadísticas sobre el sistema.
/proc/uptime: desde cuándo el sistema está funcionando.
/proc/version: versión del núcleo.
Se debe tener en cuenta que estos archivos son visibles (texto), pero algunas
veces los datos están “en crudo” y son necesarios comandos para interpretar-
los, que serán los que veremos a continuación. Los sistemas compatibles UNIX
SV utilizan los comandos sar y sadc para obtener estadísticas del sistema. En
Debian es atsar (y atsadc), que es totalmente equivalente a los que hemos
mencionado y posee un conjunto de parámetros que nos permiten obtener
información de todos los contadores e información sin procesar del /proc.
Debian también incluye el paquete sysstat que contiene los comandos sar
(información general del la actividad del sistema), iostat (utilización CPU y
de E/S), mpstat (informes globales por procesador), pidstat (estadísticas de
procesos), sadf (muestra información del sar en varios formatos). El coman-
do atsar lee contadores y estadísticas del fichero /proc y las muestra por
la salida estándar. La primera forma de llamar al comando es (ejecutarlo co-
mo root o agregar el usuario a la categoría correspondiente del sudoers para
ejecutar con el sudo):
El comando extrae datos del archivo especificado por -f (que por defecto
es /var/log/atsar/atsarxx, siendo xx el día del mes) y que fueron pre-
viamente guardados por atsadc (se utiliza para recoger los datos, salvarlos
y procesarlos y en Debian está en /usr/lib/atsar). El parámetro -n pue-
de ser utilizado para indicar el día del mes y -s,-e la hora de inicio y fi-
nal, respectivamente. Para activar atsadc, por ejemplo, se podría incluir en
/etc/cron.d/atsar una línea como la siguiente:
Opciones Descripción
u Utilización de CPU
d Actividad de disco
I (i) Número de interrupciones/s
v Utilización de tablas en el núcleo
y Estadísticas de utilización de ttys
p Información de paginación y actividad de swap
r Memoria libre y ocupación de swap
l (L) Estadísticas de red
L Información de errores de red
w Estadísticas de conexiones IP
t Estadísticas de TCP
U Estadísticas de UDP
m Estadísticas de ICMP
N Estadísticas de NFS
A Todas las opciones
Linux debian 2.6.26-2-686 #1 SMP Thu May 28 15:39:35 UTC 2009 i686 11/30/2010
05:32:54 cpu %usr %nice %sys %irq %softirq %wait %idle _cpu_
05:33:05 all 3 0 8 0 0 88 0
05:33:09 all 4 0 12 0 0 84 0
05:33:14 all 15 0 19 1 0 65 0
...
05:41:09 all 0 0 1 0 0 0 99
zado de CPU por los procesos en estado de espera (no incluye espera de disco).
wait es el tiempo que la CPU ha estado libre cuando el sistema estaba reali-
zando entrada o salida (por ejemplo de disco). irq y sofirq es el tiempo
que la CPU ha dedicado a gestionar las interrupciones, que es un mecanismo
de sincronización entre lo que hace la CPU y los dispositivos de entrada y
salida. En el caso idle=99 % significa que la CPU está ociosa, por lo que no
hay procesos por ejecutar y la carga es baja; si idle ≃ y el número de pro-
cesos es elevado, debería pensarse en optimizar la CPU, ya que podría ser el
cuello de botella del sistema. En el ejemplo podemos ver que hay poca utili-
zación de CPU y mucho uso de entrada y salida, por lo cual se puede verificar
que en este caso la carga del sistema la está generando el disco (para el ejemplo
se habían abierto 5 copias del programa OpenOffice Writer).
Linux debian 2.6.26-2-686 #1 SMP Thu May 28 15:39:35 UTC 2009 i686 11/30/2010
05:46:30 cpu iq00 iq01 iq05 iq08 iq09 iq10 iq11 iq12 iq14 iq15 _intr/s_
05:46:34 all 0 0 0 0 33 0 0 134 4 5
05:46:37 all 0 0 0 0 54 1 0 227 38 13
05:46:42 all 0 0 0 0 41 0 0 167 10 8
Linux debian 2.6.26-2-686 #1 SMP Thu May 28 15:39:35 UTC 2009 i686 11/30/2010
05:57:10 memtot memfree buffers cached slabmem swptot swpfree _mem_
05:57:17 1011M 317M 121M 350M 30M 729M 729M
05:57:21 1011M 306M 121M 351M 30M 729M 729M
05:57:25 1011M 300M 121M 351M 30M 729M 729M
Esto indica que de 1 Gb casi las 3/4 partes de la memoria están ocupadas y que
aproximadamente 1/3 son de caché. Además, nos indica que el swap no se está
utilizando para nada, por lo que podemos concluir que el sistema está bien.
Si quisiéramos más detalles deberíamos utilizar el comando vmstat (con más
detalles que el sar -r) para analizar qué es lo que está causando problemas
o quién está consumiendo tanta memoria. A continuación se muestra una *Consúltese el manual para
obtener una descripción de las
salida de vmstat 1 10*: columnas.
Linux debian 2.6.26-2-686 #1 SMP Thu May 28 15:39:35 UTC 2009 i686 11/30/2010
06:14:02 superb-sz inode-sz file-sz dquota-sz flock-sz _curmax_
06:14:06 0/0 32968/36 3616/101976 0/0 13/0
06:14:10 0/0 32968/36 3616/101976 0/0 13/0
06:14:13 0/0 32984/36 3616/101976 0/0 13/0
06:14:17 0/0 32984/36 3616/101976 0/0 13/0
06:14:22 0/0 33057/36 3680/101976 0/0 13/0
debian:/proc# ps -Alw
F S UID PID PPID C PRI NI ADDR SZ WCHAN TTY TIME CMD
4 S 0 1 0 0 80 0 - 525 - ? 00:00:01 init
5 S 0 2 0 0 75 -5 - 0 - ? 00:00:00 kthreadd
1 S 0 3 2 0 -40 - - 0 - ? 00:00:00 migration/0
...
5 S 1 1601 1 0 80 0 - 473 - ? 00:00:00 portmap
5 S 102 1612 1 0 80 0 - 489 - ? 00:00:00 rpc.statd
...
4 S 113 2049 2012 0 80 0 - 31939 - ? 00:00:03 mysqld
...
4 S 0 2654 2650 0 80 0 - 6134 - tty7 00:00:49 Xorg
1 S 0 2726 1 0 80 0 - 6369 - ? 00:00:00 apache2
0 S 0 2746 1 0 80 0 - 441 - tty1 00:00:00 getty
...
GNUFDL • PID_00174430 13 Sintonización, optimización y alta disponibilidad
También se pueden utilizar las herramientas del paquete systat para cono-
cer el estado de los recursos, como por ejemplo vmstat (estadísticas de CPU,
memoria y entrada/salida), iostat (estadísticas de discos y CPU) y uptime
(carga de CPU y estado general).
tener con el comando free, que nos mostrará (o con dmesg), por ejemplo
(total/used/free/buffers/cached):
1036092/723324/312768/124396/367472,
Para ello, se debe utilizar el comando sysctl -a para obtener todas las varia-
bles del núcleo y sus valores en el archivo*. Otros comandos alternativos son el *Consúltese el manual para
cambiar los valores y el archivo
systune y systunedump, que permiten descargar las variables en un archivo de configuración
y modificarlas, para cargarlas nuevamente en el /proc (el comando systune /etc/sysctl.conf
se podrían modificar (se debe proceder con cuidado, porque el núcleo puede
quedar fuera de servicio) las variables de la categoría /proc/sys/vm (memo-
ria virtual) o /proc/sys/kernel (configuración del core del núcleo).
Se debe tener en cuenta que una alta actividad de interrupciones puede afectar
a las prestaciones de la CPU con relación a los procesos que ejecuta. Mediante
monitorización (atsar -I) se puede mirar cuál es la relación de interrupcio-
nes por segundo y tomar decisiones con respecto a los dispositivos que las
causan. Por ejemplo, cambiar de módem por otro más inteligente o cambiar
la estructura de comunicaciones si detectamos una actividad elevada sobre el
puerto serie donde se encuentra conectado.
• Planificar dónde estarán los servidores para reducir el tráfico hacia ellos y
los tiempos de acceso.
6) Otras acciones sobre parámetros del núcleo: Existe otro conjunto de pa-
rámetros sobre el núcleo que es posible sintonizar para obtener mejores pres-
taciones, si bien, teniendo en cuenta lo que hemos tratado anteriormente, se
debe ir con cuidado, ya que podríamos causar el efecto contrario o inutili-
zar el sistema. Consultad en la distribución del código fuente en el directorio
kernel-source-2.x/Documentation/sysctl algunos archivos como por
ejemplo vm.txt, fs.txt y kernel.txt. /proc/sys/vm controla la memo-
ria virtual del sistema (swap) y permite que los procesos que no entran en
la memoria principal sean aceptados por el sistema pero en el dispositivo
de swap, por lo cual, el programador no tiene límite para el tamaño de su
GNUFDL • PID_00174430 17 Sintonización, optimización y alta disponibilidad
programa (obviamente debe ser menor que el dispositivo de swap). Los pa-
rámetros susceptibles de sintonizar se pueden cambiar muy fácilmente con
sysctl (o también con gpowertweak). /proc/sys/fs contiene parámetros
que pueden ser ajustados de la interacción núcleo-sistema de ficheros, tal co-
mo file-max (y exactamente igual para el resto de los archivos de este direc-
torio).
.
Enlaces de interés
Una buena configuración del núcleo permitirá que se ejecute más rá-
Es interesante consultar
pido, que se disponga de más memoria para los procesos de usuario y, los siguientes artículos:
además, resultará más estable. Hay dos formas de construir un núcleo: http://people.redhat.com
/alikins/system_tuning.html
monolítico (mejores prestaciones) o modular (basado en módulos, que sobre información de
tendrá mejor portabilidad si tenemos un sistema muy heterogéneo y no optimización de sistemas
servidores Linux y
se desea compilar un núcleo para cada uno de ellos). Para compilar su http://www.linuxjournal.com
propio núcleo y adaptarlo a su hardware y necesidades, cada distribu- /article/2396, Performance
Monitoring Tools for Linux. El
ción tiene sus reglas (si bien el procedimiento es similar). primero tiene ya más de
cuatro años, pero la
mayoría de los
procedimientos continúan
vigentes y el segundo es un
artículo antiguo y algunas
1.1.3. Optimizaciones de carácter general opciones no están
disponibles, pero la
metodología sigue siendo la
Existen una serie de optimizaciones de índole general que pueden mejorar las misma.
b) el atributo de optimización -O1,2,3 (-O3 generará la versión más rápida Paquetes no-free
del programa, gcc -O3 -march = i686), y
Recordad que sobre Debian
c) los atributos -f (consultad la documentación para los diferentes tipos). se debe activar el repositorio
de paquetes no-free para
3) Optimización del disco: en la actualidad, la mayoría de ordenadores in- poder instalar los paquetes
de documentación del
cluye disco UltraDMA (100) por defecto; sin embargo, en una gran cantidad de compilador gcc-doc y
gcc-doc-base.
casos no están optimizados para extraer las mejores prestaciones. Existe una
herramienta (hdparm) que permite sintonizar el núcleo a los parámetros del
disco tipo IDE y SATA (aunque estos últimos cuentan también con una utili-
dad específica llamada sdparm). Se debe tener cuidado con estas utilidades, so-
bre todo en discos UltraDMA (hay que verificar en el BIOS que los parámetros
para soporte por DMA están habilitados), ya que pueden inutilizar el disco.
Consultad las referencias y la documentación ([14] y man hdparm/sdparm)
sobre cuáles son (y el riesgo que comportan) las optimizaciones más impor-
tantes, por ejemplo: -c3, -d1, -X34, -X66, -X12, -X68, -mXX, -a16, -u1, -W1,
-k1, -K1. Cada opción significa una optimización y algunas son de altísimo
riesgo, por lo que habrá que conocer muy bien el disco. Para consultar los pa-
rámetros optimizados, se podría utilizar hdparm -vtT /dev/hdX (donde X es
el disco optimizado) y la llamada a hdparm con todos los parámetros se puede
poner en /etc/init.d para cargarla en el boot. Para consultar la información
del disco se puede hacer, por ejemplo, hdparm -i /dev/sdb
También se debería, por ejemplo, configurar los grupos para controlar cómo y
a dónde pueden acceder y también los límites máximos (limits.conf) para
establecer los tiempos máximos de utilización de CPU, E/S, etc. y así evitar
ataques por denegación de servicio (DoS).
usuario único. hay que configurar el sistema para que el arranque de este mo-
do siempre sea con contraseña. Para ello, en el archivo /etc/inittab se debe
verificar que existe la línea S:wait:/sbin/sulogin y que tiene habilitado el
/bin/sulogin. Por ejemplo, si trabajamos con Lilo como bootloader, el archi-
vo /etc/ lilo.conf debe tener los permisos adecuados para que nadie lo
pueda modificar excepto el root (chmod 600 /etc/lilo.conf). Para preve-
nir cambios accidentales, se debe cambiar el atributo de bloqueo con chattr
+i /etc/lilo.conf (usad -i cuando se desee cambiar). Este archivo permi-
te una serie de opciones que es conveniente considerar: timeout=0 si el sis-
tema tiene solo un sistema operativo para que haga el boot inmediatamente;
restricted para evitar que se puedan insertar comandos en el momento del
boot como linux init = /bin/sh y tener acceso como root sin autoriza-
ción; en este caso, debe acompañarse de password=palabra-de-password;
si solo se pone password, solicitará la contraseña para cargar la imagen del
núcleo. Consultad Grub(2), que tiene opciones similares.
Se puede probar el riesgo que esto representa haciendo lo siguiente (siempre que el
Grub/Lilo no tenga contraseña), que puede ser útil para entrar en el sistema cuando
no se recuerde la contraseña de usuario, pero representa un gran peligro de seguridad
cuando es un sistema y se tiene acceso a la consola y el teclado:
c) buscamos la línea que comienza por kernel ... y presionamos nuevamente la te-
cla “e”,
11) Conexión del root: hay que modificar el archivo /etc/securetty que
contiene las TTY y VC (virtual console) en que se puede conectar el root de-
jando solo una de cada, por ejemplo, tty1 y vc/1 y, si es necesario, hay que
conectarse como sysadm y hacer un su.
bin, daemon, sync, nobody, sysadm) y los que se hayan creado con la insta-
lación de paquetes o por comandos (lo mismo con /etc/group). Si el siste-
ma es crítico, podría considerarse el bloqueo (chattr +i file) de los archi-
vos /etc/passwd, /etc/shadow, /etc/group, /etc/gsahdow para evitar
su modificación (cuidado con esta acción, porque no permitirá cambiar pos-
teriormente las contraseñas).
14) Protecciones varias: se puede cambiar a 700 las protecciones de los ar-
chivos de /etc/init.d (servicios del sistema) para que solo el root pueda
modificarlos, arrancarlos o pararlos y modificar los archivos /etc/issue y
/etc/issue.net para que no den información (sistema operativo, versión,
etc.) cuando alguien se conecta por telnet, ssh, etc.
16) Archivos sospechosos: hay que buscar periódicamente archivos con nom-
bres no usuales, ocultos o sin un uid/gid válido, como “...” (tres puntos), “.. ”
(punto punto espacio), “..Ĝ” o equivalentes. Para ello, habrá que utilizar: find
/ -name=”.*” -print | cat -v o sino find / -name ”..” -print.
18) X Display manager: para indicar los hosts que se podrán conectar a través
de XDM y evitar que cualquier host pueda tener una pantalla de login se puede
modificar el archivo /etc/X11/xdm/Xaccess.
1) Observar el estado del sistema y analizar los procesos que consumen mu-
cha CPU utilizando, por ejemplo, el comando ps auxS -H (o el comando
GNUFDL • PID_00174430 22 Sintonización, optimización y alta disponibilidad
top) y mirando las columnas %CPU, %MEM y TIME; se debe observar la jerarquía
de procesos y prestar atención a cómo se está utilizando la CPU y la memo-
ria y analizar el tiempo de ejecución de los procesos para encontrar procesos
zombies mirando en la columna STAT aquellos que tengan el identificador Z
(los cuales se podrán eliminar sin problemas). También se debe prestar espe-
cial atención a los que estén con D, S (que están haciendo entrada o salida) y
W (que están utilizando el swap). En estos tres últimos utilizad el atsar y free
(sar o vmstat) para verificar la carga de entrada y salida, ya que puede ser que
estos procesos estén haciendo que las prestaciones del sistema bajen notable-
mente (generalmente por sus necesidades, en cuyo caso no podremos hacer
gran cosa, pero en otros casos puede ser que el código no esté optimizado o
bien escrito).
3) Tened en cuenta que %CPU + % E/S + %Idle = 100 % por lo cual vemos que
la E/S (I/O en vmstat) también afecta a un proceso.
debian:/home/remo# vmstat 2
procs -----------memory---------- ---swap-- -----io---- -system-- ----cpu----
r b swpd free buff cache si so bi bo in cs us sy id wa
...
0 0 0 623624 29400 231596 0 0 7184 0 393 1389 10 8 10 73
0 0 0 623596 29400 231612 0 0 0 0 416 800 0 2 98 0
1 0 0 622540 29408 231604 0 0 0 276 212 549 2 2 94 2
0 0 0 613544 29536 240620 0 0 4538 0 464 1597 10 8 29 54
0 0 0 612552 29560 240824 0 0 112 0 412 850 1 2 85 12
En este caso podemos observar que hay una utilización muy grande de I/O
(E/S) pero 0 de swap un y alto valor de CPU tanto en wa (waiting) como en
id (idle) lo que quiere decir que la CPU está esperando a que algo que está
en E/S, termine (en este caso es la ejecución de unas cuantas instancias del
OpenOffice, lo que significa lectura de disco y carga de un ejecutable a me-
moria principal). Si esta situación se repite o es constante, se debería analizar
GNUFDL • PID_00174430 23 Sintonización, optimización y alta disponibilidad
4) Se debe tener en cuenta que el %CPU está constituido por la suma de dos
valores “us” (User Time) y “sy” (System Time). Estos valores representan el
tiempo empleado ejecutando código del usuario (non-kernel code) y el tiem-
po gastado ejecutando código del núcleo, respectivamente y pueden ser úti-
les cuando se desea optimizar el código de un programa con el fin de que
consuma menos tiempo de CPU. Utilizaremos el comando time, que nos
da el tiempo gastado en cada tipo de código, haciendo, por ejemplo, time
find /usr, de modo que tendremos que nos da real 1m41.010s, user
0m0.076s, sys 0m2.404s; en cambio, si hacemos time ls -R /usr la sa-
lida es real 0m5.530s user 0m0.160s sys 0m0.068s. Como vemos, pa-
ra la obtención de información equivalente (listado de archivos y directorios)
un comando ha gastado 2,404 s en espacio de núcleo y el otro 0,06 s, por
lo cual es interesante analizar qué comandos escogemos para hacer el traba-
jo. Otro aspecto interesante es que si ejecutamos, por ejemplo, time find
/var >/dev/null (para no ver la salida) la primera vez obtenemos real
0m23.900s, user 0m0.000s, sys 0m0.484s pero una segunda vez obte-
nemos real 0m0.074s, user 0m0.036s, sys 0m0.036s. ¿Qué ha pasa-
do? El sistema ha almacenado en las tablas de caché la información y la si-
guientes veces ya no tarda lo mismo, sino mucho menos. Si se desea utilizar
el time en el formato avanzado o extendido, los usuarios que ejecuten bash
como shell deberán ejecutar el time junto con el path donde se encuentre; por
ejemplo /usr/bin/time ls -R /usr, para obtener los resultados deseados
(consultad man time para más información).
#include <stdio.h>
#include <sys/time.h>
#include <time.h>
int main(void)
{int x=1, y=2, z=3; long iter1=0,iter2=0;
struct timeval tv1,tv2;
gettimeofday(&tv1,NULL);
for(;;){
x=(x*3+y*7+z*9)%11;
y=(x*9+y*11+z*3)%29;
z=(x*17+y*13+z*11)%37;
iter1++;
if(iter1==1000000){ iter2++; iter1=0;}
gettimeofday(&tv2,NULL);
if(tv2.tv_sec==tv1.tv_sec+5 && tv2.tv_usec>=tv1.tv_usec || tv2.tv_sec>tv1.tv_sec+5)
break;}
printf("Iteraciones: %ldM Resultado: %d %d %d\n",iter2,x,y,z);
return 0;}
El resultado de la ejecución es
time ./c: Iteraciones: 22M real 0m5.001s, user 0m1.756s, sys 0m3.240s
GNUFDL • PID_00174430 24 Sintonización, optimización y alta disponibilidad
donde se puede observar que los 3,240 s han alcanzado para 22 millones de
iteraciones. ¿En qué se gastan los 3,240 s? Pues en calcular la hora en ca-
da iteración, ya que son múltiples llamadas al núcleo. Si mejoramos el código
y solo calculamos el gettimeofday cada millón de iteraciones, obtenemos
Iteraciones: 135M real 0m5.025s, user 0m4.968s, sys 0m0.056s
y vemos que se reduce notablemente el tiempo sys y obtenemos más tiempo
para ejecutar el código del usuario, por lo cual sube el número de iteracio-
nes (135 millones), teniendo en cuenta que hemos pasado de 22 millones de
ejecución de la llamada gettimeofday a 135 millones de veces. ¿Cuál es la
consecuencia? Que la finalización de ejecución de este ejemplo se obtiene por
comparación de 5 s con el tiempo absoluto, por lo cual al calcular el tiempo
absoluto menos veces se obtiene cierta “imprecisión” al determinar cuándo
finaliza la ejecución (real 0m5.001s en el primer caso, mientras que en el
segundo 0m5.025s, una diferencia de 24 milésimas). Una solución optimiza-
da para este caso sería no usar este tipo de llamadas al sistema para determi-
nar cuándo debe finalizar un proceso y buscar alternativas, por ejemplo, con
alarm y una llamada a signal. [1]
1.2. Monitorización
1.2.1. Munin
Munin [16] produce gráficos sobre diferentes parámetros del servidor (load
average, memory usage, CPU usage, MySQL throughput, eth0 traffic, etc.)
sin excesivas configuraciones y presenta gráficos importantes para recono-
cer dónde y qué está generando problemas. Consideremos que nuestro sis-
GNUFDL • PID_00174430 25 Sintonización, optimización y alta disponibilidad
dbdir /var/lib/munin
htmldir /var/www/munin
logdir /var/log/munin
rundir /var/run/munin
tmpldir /etc/munin/templates
[debian.nteum.org]
address 127.0.0.1
use_node_name yes
mkdir -p /var/www/munin
chown munin:munin /var/www/munin
/etc/init.d/munin-node restart
AuthType Basic
AuthName “Members Only”
AuthUserFile /var/www/munin/.htpasswd
<limit GET PUT POST>
require valid-user
</limit>
1.2.2. Monit
1.2.3. MRTG
El MRTG (Multi-Router Traffic Grapher) [15] fue creado para mostrar informa-
ción gráfica sobre datos de red, como se verá en el ejemplo que mostramos
a continuación, para monitorizar la red Ethernet, pero se pueden usar otros
datos para visualizar el comportamiento y para generar las estadísticas de car-
ga (load average) del servidor. Para ello hacemos uso de los paquetes mrtg
(apt-get install mrtg mrtg-contrib mrtgutils) y atsar. Una vez ins-
talados, configuramos el fichero /etc/mrtg.cfg [5].
# Global configuration
WorkDir: /var/www/mrtg
WriteExpires: Yes
Title[^]: Traffic Analysis for
Target[average]: ‘/usr/bin/cpu-load-mrtg‘
MaxBytes[average]: 1000
Options[average]: gauge, nopercent, growright, integer
YLegend[average]: Load average
kMG[average]: ,,
ShortLegend[average]:
Legend1[average]: Load average x 100
LegendI[average]: load:
LegendO[average]:
Title[average]: Load average x 100 for debian.nteum.org
PageTop[average]: <H3>Load average x 100 for debian.nteum.org</H3>
<TABLE>
<TR><TD>System:</TD>
<TD>debian.nteum.org</TD></TR>
<TR><TD>Maintainer:</TD> <TD>webmaster@debian.nteum.org</TD></TR>
<TR><TD>Max used:</TD> <TD>1000</TD></TR>
</TABLE>
Para generar los datos con atsar (o sar) creamos un script en el directorio
/usr/local/bin/cpu-load/average (que tenga permisos de ejecución pa-
ra todos) que pasará los datos a mrtg:
#!/bin/sh
load=‘/usr/bin/atsar -u 1 | tail -n 1 | awk -F" " ’{print $9}’‘
echo "($load -100) * 100 " | bc | awk -F"." ’{print $1}’
GNUFDL • PID_00174430 28 Sintonización, optimización y alta disponibilidad
Enlace de interés
• atsar, ac, sac, sysstat, isag: herramientas de auditoría tales como ac, last,
accton, sa, atsar o isag (Interactive System Activity Grapher) para la audi-
toría de recursos hw y sw.
• arpwatch; mon: monitor de actividad Ethernet/FDDI que indica si hay
cambios en tablas MACIP; monitor de servicios de red.
• diffmon, fcheck: generación de informes sobre cambios en la configura-
ción del sistema y monitorización del sistemas de ficheros para detectar
intrusiones.
• fam: file alteration monitor, monitor de alteración de ficheros.
• genpower: monitor para gestionar los fallos de alimentación.
• gkrellm: monitorización gráfica de CPU, procesos (memoria), sistemas de
ficheros y usuarios, disco, red, Internet, swap, etc.
• ksensors (lm-sensors): monitor de la placa base (temperatura, alimenta-
ción, ventiladores, etc.).
• lcap, systune: herramienta para retirar capacidades asignadas al núcleo
en el fichero /proc/sys/kernel y se adapta según las necesidades con
systune.
• powertweak: monitorización y modificación de diferentes parámetros del
hardware, núcleo, red, VFS o VM (permite modificar algunos de los pará-
metros mostrados anteriormente sobre /proc).
• gps, gtop, lavaps (de más a menos amigable): monitores de procesos de
varios tipos (generalmente utilizan información de /proc) y permiten ver
recursos, zócalos (sockets), archivos, entorno y otra información que estos
utilizan, así como administrar sus recursos y estados.
• swatch: monitor para la actividad del sistema a través de archivos de regis-
tro.
• vtgrab: monitorización de máquinas remotas (similar a VNC).
• whowatch: herramienta en tiempo real para la monitorización de usua-
rios.
• wmnd: monitor de tráfico de red y monitorización de un clúster por red.
• xosview: monitor de recursos gráfico.
En este subapartado se dará una breve descripción de cómo construir un clús- *La información detallada se
ter de alta disponibilidad de dos nodos con Heartbeat*. Es interesante (aunque puede consultar en
file:///usr/share
un poco antiguo) el artículo [7] y la documentación del sitio web de Linux- /doc/heartbeat
/GettingStarted.html.
HA [3]. Como punto inicial disponemos de dos ordenadores similares (no es
necesario, pero si uno debe ocupar el lugar del otro es aconsejable). A los
servidores los llamaremos NteumA (primario) y NeteumB (secundario), con
dos interfaces de red cada uno: la primera para que se comuniquen entre si
y la otra servirá a cada uno de ellos para conectarse a Internet, por ejemplo.
De esta forma NteumA: eth0 = 10.0.2.20 y NteumB: eth0 = 10.0.2.30. Estas
dos eth0 se conectan a un enrutador cuya dirección privada es 10.0.2.1. Pa-
ra instalar Heartbeat en Debian ejecutamos apt-get install heartbeat
GNUFDL • PID_00174430 31 Sintonización, optimización y alta disponibilidad
auth 1
1 sha1 key-for-sha1-cualquier-texto-que-se-desee
127.0.0.1 localhost
10.0.2.15 router
10.0.2.20 NteumA
10.0.2.30 NteumB
GNUFDL • PID_00174430 32 Sintonización, optimización y alta disponibilidad
Puesto que Heartbeat utiliza el tráfico ICMP para comunicarse entre nodos y
en nuestro caso el enrutador, se deberá modificar el cortafuegos para que per-
mita este tipo de tráfico (es importante también considerar que se generarán
paquetes ARP y que algún software como Snort u otros IDS pueden considerar
esto como ataques de ARP-spoofing).
Actividades
1. Realizad una monitorización completa del sistema con las herramientas que consideréis
adecuadas y haced un diagnóstico de la utilización de recursos y cuellos de botella que po-
drían existir en el sistema. Simular la carga en el sistema del código de sumdis.c dado en el
módulo “Clusterización”. Por ejemplo, utilizad: sumdis 1 2000000.
2. Cambiad los parámetros del núcleo y del compilador y ejecutad el código mencionado en
la actividad anterior (sumdis.c) con, por ejemplo: time ./sumdis 1 1000000.
3. Con la ejecución de las dos actividades anteriores extraed conclusiones sobre los resul-
tados.
6. Registrad cuatro servicios con Monin y haced la gestión y seguimiento por medio del
programa.
Bibliografía
[1] Bravo E., D. (2006). Mejorando la Performance en Sistemas Linux/Unix. GbuFDL1.2. <die-
gobravoestrada@hotmail.com>
[2] Cacti.
<http://cacti.net/>
[4] Frysk.
<http://sources.redhat.com/frysk/>
[8] Linux-HA.
<http://linux-ha.org/wiki/Main_Page>
[10] Monit.
<http://mmonit.com/monit/>
[14] Mourani, G. (2001). Securing and Optimizing Linux: The Ultimate Solution. Open Network
Architecture, Inc.
GNUFDL • PID_00174430 34 Sintonización, optimización y alta disponibilidad
[15] MRTG.
<http://oss.oetiker.ch/mrtg/>
[16] Munin.
<http://munin.projects.linpro.no/>
[18] Pacemaker.
<http://clusterlabs.org/wiki/Main_Page>
PID_00174431
GNUFDL • PID_00174431 Clusterización
Índice
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1. Clusterización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1.1. Virtualización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1.2. Beowulf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.2.1. ¿Cómo configurar los nodos? . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.3. Beneficios del cómputo distribuido . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1.3.1. ¿Cómo hay que programar para aprovechar la
concurrencia? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.4. Memoria compartida. Modelos de hilos (threading) . . . . . . . . . . . 15
1.4.1. Multihilos (multithreading). . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.5. OpenMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
1.6. MPI, Message Passing Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
1.6.1. Configuración de un conjunto de máquinas para
hacer un clúster adaptado a OpenMPI . . . . . . . . . . . . . . . . 24
1.7. Rocks Cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
1.7.1. Guía rápida de instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
1.8. Monitorización del clúster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
1.8.1. Ganglia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
1.8.2. Cacti. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
1.9. Introducción a la metacomputación o la computación
distribuida o en rejilla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Actividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
GNUFDL • PID_00174431 5 Clusterización
Introducción
Objetivos
1. Clusterización
.
La historia de los sistemas informáticos es muy reciente (se puede decir que
comienza en la década de 1960). En un principio, eran sistemas grandes, pesa-
dos, caros, de pocos usuarios expertos, no accesibles y lentos. En la década de
1970, la evolución permitió mejoras sustanciales llevadas a cabo por tareas in-
teractivas (interactive jobs), tiempo compartido (time sharing), terminales y con
una considerable reducción del tamaño. La década de 1980 se caracteriza por
un aumento notable de las prestaciones (hasta hoy en día) y una reducción del
tamaño en los llamados microordenadores. Su evolución ha sido a través de
las estaciones de trabajo (workstations) y los avances en redes (LAN de 10 Mb/s
y WAN de 56 kB/s en 1973 a LAN de 1/10 Gb/s y WAN con ATM, asynchronous
transfer mode de 1,2 Gb/s en la actualidad), que es un factor fundamental en
las aplicaciones multimedia actuales y de un futuro próximo. Los sistemas dis-
tribuidos, por su parte, comenzaron su historia en la década de 1970 (sistemas
de 4 u 8 ordenadores) y su salto a la popularidad lo hicieron en la década de
1990. Si bien su administración, instalación y mantenimiento es complejo,
porque continúan creciendo en tamaño, las razones básicas de su popularidad
son el incremento de prestaciones que presentan en aplicaciones intrínseca-
mente distribuidas (aplicaciones que por su naturaleza son distribuidas), la
información compartida por un conjunto de usuarios, la compartición de re-
cursos, la alta tolerancia a los fallos y la posibilidad de expansión incremental
(capacidad de agregar más nodos para aumentar las prestaciones y de forma
incremental). Otro aspecto muy importante en la actualidad es la posibilidad,
en esta evolución, de la virtualización. Las arquitecturas cada vez más eficien-
tes, con sistemas multicore, han permitido que la virtualización de sistemas se
transforme en una realidad con todas las ventajas (y posibles desventajas) que
ello comporta.
1.1. Virtualización
y los reparte de forma dinámica entre todas las máquinas virtuales definidas
en el computador central. De este modo nos permite tener varios ordenadores
virtuales ejecutándose sobre el mismo ordenador físico.
1.2. Beowulf
Beowulf [23, 2, 25] es una arquitectura multiordenador que puede ser utili-
zada para aplicaciones paralelas/distribuidas (APD). El sistema consiste básica-
mente en un servidor y uno o más clientes conectados (generalmente) a través
de Ethernet y sin la utilización de ningún hardware específico. Para explotar
esta capacidad de cómputo, es necesario que los programadores tengan un
modelo de programación distribuido que, si bien es posible mediante UNIX
(socket, rpc), puede implicar un esfuerzo considerable, ya que son modelos
de programación a nivel de systems calls y lenguaje C, por ejemplo; pero este
modo de trabajo puede ser considerado de bajo nivel. Un modelo más avan-
zado en esta línea de trabajo son los Posix Threads que permiten explotar
sistemas de memoria compartida y multicores de forma simple y fácil. La capa
de software (interfaz de programación de aplicaciones, API) aportada por siste-
mas tales como Parallel Virtual Machine (PVM) y Message Passing Interface
(MPI) facilita notablemente la abstracción del sistema y permite programar
aplicaciones paralelas/distribuidas de modo sencillo y simple. La forma básica
de trabajo es maestro–trabajadores (master-workers), en que existe un servidor
que distribuye la tarea que realizarán los trabajadores. En grandes sistemas
(por ejemplo, de 1.024 nodos) existe más de un maestro y nodos dedicados
a tareas especiales como, por ejemplo, entrada/salida o monitorización. Otra
opción no menos interesante es OpenMP, una API para la programación mul-
tiproceso de memoria compartida en múltiples plataformas. Esta capa de soft-
ware permite añadir concurrencia a los programas escritos en C, C++ y Fortran
sobre la base del modelo de ejecución fork-join y se compone de un conjunto
de directivas de compilador, rutinas de biblioteca y variables de entorno que
influencian el comportamiento en tiempo de ejecución y proporciona a los
programadores una interfaz simple y flexible para el desarrollo de aplicacio-
nes paralelas para todo tipo de plataformas.
chivos compartido (NFS) y tener habilitados los servicios de red como rsh o
ssh. En estas condiciones, se puede argumentar que se dispone de un clúster
simple de dos nodos.
Por ejemplo:
127.0.0.1 localhost
Y añadir las IP de los nodos (y para todos los nodos), por ejemplo:
192.168.0.1 pirulo1
192.168.0.2 pirulo2
...
Se debe crear un usuario (nteum) en todos los nodos, crear un grupo y añadir este usuario
al grupo:
groupadd beowulf
adduser nteum beowulf
echo umask 007 >> /home/nteum/.bash_profile
Así, cualquier archivo creado por el usuario nteum o cualquiera dentro del
grupo será modificable por el grupo beowulf. Se debe crear un servidor de NFS
(y los demás nodos serán clientes de este NFS). Sobre el servidor hacemos:
mkdir /mnt/nteum
chmod 770 /mnt/nteum
chown nteum:beowulf /mnt/nteum -R
cd /etc
cat >> exports
/mnt/wolf 192.168.0.100/192.168.0.255 (rw)
<control d>
Se debe tener en cuenta que la red propia será 192.168.0.xxx y que es una red
privada, es decir, que el clúster no se verá desde Internet y se deberán ajustar
las configuraciones para que todos los nodos se vean desde todos los otros
(desde los cortafuegos).
RSAAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
¿Cuáles son los beneficios del cómputo en paralelo? Veremos esto con un
ejemplo [23]. Consideremos un programa para sumar números (por ejemplo,
4 + 5 + 6 + . . .) llamado sumdis.c:
#include <stdio.h>
resultado = 0;}
for (tmp = inicial; tmp <= final; tmp++){resultado += tmp; };
printf("%f\n", resultado);
return 0;
}
real 0m0.006s
user 0m0.004s
sys 0m0.000s
se podrá observar que el tiempo en una máquina Debian 2.6.26 sobre una
máquina virtual (Virtualbox) con procesador i7 es (aproximadamente) 6 milé-
simas de segundo (real = 0,006 y user = 0,004). Si, en cambio, hacemos desde
1 a 16 millones, el tiempo real sube hasta 0,082 s, es decir, 14 veces más,
lo cual, si se considera 160 millones, el tiempo será del orden de decenas de
minutos.
Obviamente, este ejemplo es muy simple y solo válido para fines demostrati-
vos. Los programadores utilizan bibliotecas que les permiten realizar el tiempo
de ejecución, la creación y comunicación de procesos en un sistema distribui-
do (por ejemplo, PVM, MPI u OpenMP).
1
speedup =
1–f
2) Single Process Multiple Data (SPMD): mismo programa que se ejecuta con
diferentes conjuntos de datos.
E/S, tendremos concurrencia de ejecución con E/S del mismo programa (pro-
ceso), cosa que mejorará notablemente las prestaciones de dicho programa.
Generalmente, los hilos están contenidos dentro de un proceso y diferentes
hilos de un mismo proceso pueden compartir algunos recursos, mientras que
diferentes procesos no. La ejecución de múltiples hilos en paralelo necesita el
soporte del sistema operativo y en los procesadores modernos existen optimi-
zaciones del procesador para soportar modelos multihilo (multithreading).
Generalmente, existen cuatro modelos de diseño por hilos (en orden de com-
plejidad creciente):
4) Servidor con hilos en granja (worker threads): este método es más com-
plejo pero mejora la escalabilidad de los anteriores. Existe un número fijo
de hilos trabajadores (workers) a los cuales el hilo principal distribuye el tra-
bajo de los clientes. El problema de este método es la elección del número
de trabajadores: con un número elevado, caerán las prestaciones del sistema
por saturación; con un número demasiado bajo, el servicio será deficiente (los
clientes deberán esperar). Normalmente será necesario sintonizar la aplicación
para trabajar con un determinado entorno distribuido.
• Tareas paralelas con hilos independientes que pueden atender tareas in-
dependientes de la aplicación. Estas tareas independientes serán encapsu-
ladas en hilos que se ejecutarán asincrónicamente y se deberán utilizar
GNUFDL • PID_00174431 17 Clusterización
Function addressBook;
Function inBox;
Function calendar;
Program PIM {
CreateThread (addressBook);
CreateThread (inBox);
CreateThread (calendar); }
Podemos observar que existen tres ejecuciones concurrentes sin relación en-
tre ellas. Otro ejemplo de operaciones con paralelismo de datos podría ser un
corrector de ortografía, que en pseudocódigo sería: Function SpellCheck
{loop (word = 1, words_in_file) compareToDictionary (word);}
Se debe tener en cuenta que ambos modelos (hilos paralelos y datos paralelos)
pueden existir en una misma aplicación. A continuación se mostrará el código
de un productor de datos y un consumidor de datos basado en Posix Threads.
Para compilar sobre Linux, por ejemplo, se debe utilizar gcc -o pc pc.c
-lptread.
#include <pthread.h>
#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#define QUEUESIZE 10
#define LOOP 20
int main () {
queue *fifo; pthread_t pro, con; fifo = queueInit ();
GNUFDL • PID_00174431 18 Clusterización
if (fifo == NULL) { fprintf (stderr, " Error al crear buffer.\n"); exit (1); }
pthread_create (&pro, NULL, producer, fifo); /* Creación del thread productor */
pthread_create (&con, NULL, consumer, fifo); /* Creación del thread consumidor*/
pthread_join (pro, NULL); /* main () espera hasta que terminen ambos threads */
pthread_join (con, NULL);
queueDelete (fifo); /* Eliminación del buffer compartido */
return 0; } /* Fin */
1.5. OpenMP
• omp for o omp do: reparte las iteraciones de un lazo en múltiples hilos.
• single: especifica que el bloque de código será ejecutado por un solo hilo
con una sincronización (barrier) al final del mismo.
• master: similar a single, pero el código del bloque será ejecutado por el
hilo maestro y no hay barrier implicado al final.
#include <stdio.h>
#include <omp.h>
#define N 1000000
int main(int argc, char *argv[]) {
float a[N]; long i;
#pragma omp parallel for
for (i=0;i<N;i++) a[i]= 2*i;
return 0;
}
• private: los datos en la región paralela son privados para cada hilo, y cada
uno tiene una copia de ellos sobre una variable temporal.
GNUFDL • PID_00174431 21 Clusterización
• critical section: el código enmarcado será ejecutado por hilos, pero solo
uno por vez (no habrá ejecución simultanea) y s emantiene la exclusión
mutua.
• atomic: similar a critical section, pero avisa al compilador para que
use instrucciones de hardware especiales de sincronización y así obtener
mejores prestaciones.
• ordered: el bloque es ejecutado en el orden como si de un programa se-
cuencial se tratara.
• barrier: cada hilo espera que los restantes hayan acabado su ejecución (im-
plica sincronización de todos los hilos al final del código).
• nowait: especifica que los hilos que terminen el trabajo asignado pueden
continuar.
omp_set_nested(2);
ris=omp_get_nested();
if (ris) printf("Paralelismo anidado activo %d\n", ris);
omp_set_num_threads(25);
#pragma omp parallel private (nt,tid) {
tid = omp_get_thread_num();
printf("Thread %d\n",tid);
nt = omp_get_num_threads();
if (omp_get_thread_num()==1)
printf("Número de Threads: %d\n",nt);
}
}
La definición de la API de MPI [15, 16] ha sido el trabajo resultante del MPI
Forum (MPIF), que es un consorcio de más de 40 organizaciones. MPI tie-
ne influencias de diferentes arquitecturas, lenguajes y trabajos en el mundo
del paralelismo, como por ejemplo: WRC (Ibm), Intel NX/2, Express, nCUBE,
Vertex, p4, Parmac y contribuciones de ZipCode, Chimp, PVM, Chamaleon,
PICL.
GNUFDL • PID_00174431 23 Clusterización
El principal objetivo de MPIF fue diseñar una API, sin relación particular con
ningún compilador ni biblioteca, y que permitiera la comunicación eficiente
(memory-to-memory copy), cómputo y comunicación concurrente y descarga de
comunicación, siempre y cuando exista un coprocesador de comunicaciones.
Además, se pedía que soportara el desarrollo en ambientes heterogéneos, con
interfaz C y F77 (incluyendo C++, F90), donde la comunicación fuera fiable y
los fallos, resueltos por el sistema. La API también debía tener interfaz para di-
ferentes entornos (PVM, NX, Express, p4, etc.), disponer una implementación
adaptable a diferentes plataformas con cambios insignificantes y que no in-
terfiera con el sistema operativo (thread-safety). Esta API fue diseñada especial-
mente para programadores que utilizaran el Message Passing Paradigm (MPP)
en C y F77, para aprovechar su característica más relevante: la portabilidad. El
MPP se puede ejecutar sobre máquinas multiprocesador, redes de estaciones
de trabajo e incluso sobre máquinas de memoria compartida. La versión MPI1
(la versión más extendida) no soporta creación (spawn) dinámica de tareas,
pero MPI2 (versión que implementa OpenMPI) sí que lo hace.
Muchos aspectos han sido diseñados para aprovechar las ventajas del hard-
ware de comunicaciones sobre SPC (scalable parallel computers) y el estándar
ha sido aceptado en forma mayoritaria por los fabricantes de hardware en pa-
ralelo y distribuido (SGI, SUN, Cray, HPConvex, IBM, etc.). Existen versiones
libres (por ejemplo, Mpich y openMPI) que son totalmente compatibles con
las implementaciones comerciales realizadas por los fabricantes de hardware e
incluyen comunicaciones punto a punto, operaciones colectivas y grupos de
procesos, contexto de comunicaciones y topología, soporte para F77 y C y un
entorno de control, administración y profiling.
Pero existen también algunos puntos que pueden presentar algunos proble-
mas en determinadas arquitecturas como son la memoria compartida, la eje-
cución remota, las herramientas de construcción de programas, la depura-
ción, el control de hilos, la administración de tareas y las funciones de entra-
da/salida concurrentes (la mayor parte de estos problemas de falta de herra-
mientas están resueltos en la versión 2 de la API MPI2). El funcionamiento
en MPI1, al no tener creación dinámica de procesos, es muy simple, ya que
los procesos/tareas se ejecutan de manera autónoma con su propio código es-
tilo MIMD (Multiple Instruction Multiple Data) y comunicándose vía llamadas
MPI. El código puede ser secuencial o multihilo (concurrentes) y MPI funcio-
na en modo threadsafe, es decir, se pueden utilizar llamadas a MPI en hilos
concurrentes, ya que las llamadas son reentrantes.
1) Hay que tener las máquinas “visibles” (por ejemplo a través de un ping) a
través de TCP/IP (IP pública/privada).
3) Se debe generar un mismo usuario (por ejemplo mpiuser) en todas las má-
quinas y el mismo directorio $HOME montado por NFS.
4) Nosotros llamaremos a las máquinas como slave1, slave2, etc. (ya que
luego resultará más fácil hacer las configuraciones) pero se puede llamar a las
máquinas como cada uno prefiera.
cp /home/mpiuser/.ssh/id_dsa.pub /home/mpiuser/.ssh/authorized_keys
GNUFDL • PID_00174431 25 Clusterización
Si no se comparte el directorio hay que asegurar que cada esclavo conoce que
el usuario mpiuser se puede conectar por ejemplo haciendo desde el slaveX
Se puede verificar que esto funciona haciendo, por ejemplo, ssh slave1.
10) Se debe configurar la lista de las máquinas sobre las cuales se ejecutará el
programa, por ejemplo /home/mpiuser/.mpi_hostfile y con el siguiente
contenido:
12) Se debe verificar que los slaveX no piden ninguna contraseña (podemos
indicar la contraseña para la llave ssh con ssh-add ∼/.ssh/id_dsa).
/* Srtest Progam */
#include "mpi.h"
#include <stdio.h>
#include <string.h>
#define BUFLEN 512
GNUFDL • PID_00174431 26 Clusterización
/* CPI Program */
#include "mpi.h"
#include <stdio.h>
#include <math.h>
double f( double );
double f( double a) { return (4.0 / (1.0 + a*a)); }
int main( int argc, char *argv[] ) {
int done = 0, n, myid, numprocs, i;
double PI25DT = 3.141592653589793238462643;
double mypi, pi, h, sum, x; double startwtime = 0.0, endwtime;
int namelen; char processor_name[MPI_MAX_PROCESSOR_NAME];
MPI_Init(&argc,&argv);
MPI_Comm_size(MPI_COMM_WORLD,&numprocs); /*Indica el número de procesos en el grupo*/
MPI_Comm_rank(MPI_COMM_WORLD,&myid); /*Id del proceso*/
MPI_Get_processor_name(processor_name,&namelen); /*Nombre del proceso*/
fprintf(stderr, "Proceso %d sobre %s\n", myid, processor_name);
n = 0;
while (!done) {
if (myid ==0) { /*Si es el primero...*/
if (n ==0) n = 100; else n = 0;
startwtime = MPI_Wtime();} /* Time Clock */
MPI_Bcast(&n, 1, MPI_INT, 0, MPI_COMM_WORLD); /*Broadcast al resto*/
/*Envía desde el 4 arg. a todos los procesos del grupo Los restantes que no son 0
copiarán el buffer desde 4 o arg -proceso 0-*/
/*1:buffer, 2:size, 3:tipo, 5:grupo */
if (n == 0) done = 1;
else {h = 1.0 / (double) n;
sum = 0.0;
for (i = myid + 1; i <= n; i += numprocs) {
x = h * ((double)i - 0.5); sum += f(x); }
mypi = h * sum;
MPI_Reduce(&mypi, &pi, 1, MPI_DOUBLE, MPI_SUM, 0,MPI_COMM_WORLD);
GNUFDL • PID_00174431 27 Clusterización
/* Combina los elementos del Send Buffer de cada proceso del grupo usando la
operación MPI_SUM y retorna el resultado en el Recv Buffer. Debe ser llamada
por todos los procesos del grupo usando los mismos argumentos*/
/*1:sendbuffer, 2:recvbuffer, 3:size, 4:tipo, 5:oper, 6:root, 7:contexto*/
if (myid == 0){ /*Sólo el P0 imprime el resultado*/
printf("Pi es aproximadamente %.16f, el error es %.16f\n", pi,fabs(pi - PI25DT));
endwtime = MPI_Wtime();
printf("Tiempo de ejecución = %f\n", endwtime-startwtime); }
}
}
MPI_Finalize(); /*Libera recursos y termina*/
return 0;
}
6) Para instalar los nodos se debe entrar como root en el frontend y ejecutar
insert-ethers, que capturará las peticiones de DHCP de los nodos y los
agregará a la base de datos del frontend, y seleccionar la opción “Compute”
(por defecto, consultad la documentación para las otras opciones).
GNUFDL • PID_00174431 29 Clusterización
nteum slot=2
compute-0-0 slots=2
compute-0-1 slots=2
compute-0-2 slots=2
compute-0-3 slots=2
1.8.1. Ganglia
Gmond es un daemon multihilo que se ejecuta en cada nodo del clúster que se
desea supervisar (no es necesario tener un sistema de archivos NFS o base de
datos ni mantener cuentas especiales de los archivos de configuración). Las
tareas de Gmond son: monitorizar los cambios de estado en el host, enviar
GNUFDL • PID_00174431 30 Clusterización
1) Ganglia usa RRDTool para generar y mostrar los gráficos, con lo que debe-
mos ejecutar apt-get install rrdtool librrds-perl librrd2-dev y
para visualizar diagramas de secciones, apt-get install php5-gd.
wget http://downloads.sourceforge.net/ganglia/ganglia-3.1.7.tar.gz,
Welcome to..
______ ___
/ ____/___ _____ ____ _/ (_)___ _
/ / __/ __ ‘/ __ \/ __ ‘/ / / __ ‘/
/ /_/ / /_/ / / / / /_/ / / / /_/ /
\____/\__,_/_/ /_/\__, /_/_/\__,_/
/____/
Copyright (c) 2005 University of California, Berkeley
Version: 3.1.7 Library: Release 3.1.7 0:0:0
Type "make" to compile.
<Directory /var/www/>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
RedirectMatch ^/$ /ganglia/
</Directory>
10) Después de haber configurado todos los nodos, el gmetad sobre el servidor
del web debe ser reiniciado con /etc/init.d/gmetad restart y esperar
unos segundo para ver los cambios en los nodos.
1.8.2. Cacti
Entre los beneficios que presenta esta nueva tecnología, se pueden destacar
el alquiler de recursos, la amortización de recursos propios, gran potencia sin
necesidad de invertir en recursos e instalaciones, colaboración y compartición
entre instituciones y organizaciones virtuales, etc. [13].
Enlaces de interés
Actividades
3. Utilizando dos nodos (puede ser con VirtualBox), instalad Ganglia y Cacti y monitorizad
su uso.
Bibliografía
[3] Cacti.
<http://www.cacti.net/>
[9] Globus5.
<http://www.globus.org/toolkit/docs/5.0/5.0.2/>
[18] OpenMPI.
<http://www.open-mpi.org/>
GNUFDL • PID_00174431 37 Clusterización
[21] Qemu.
<http://wiki.qemu.org/Main_Page>