Professional Documents
Culture Documents
Mdulo de Networking
Contenido
Protocolo TCP/IP
Configuracin de una red TCP/IP
Servidor DHCP, Configuracin bsica.
Servidor DNS, Configuracin bsica.
Servidor FTP, Configuracin bsica.
Servidor Samba, Configuracin bsica.
Servidor SSH, Configuracin bsica.
Servidor Apache HTTP, Configuracin bsica.
Conexin a Internet y configuracin de proxy
SSH y la seguridad del sistema.
Protocolo TCP/IP
TCP/IP es la plataforma que sostiene Internet y que permite la comunicacin
entre diferentes sistemas operativos en diferentes computadoras, ya sea
sobre redes de rea local (LAN) o redes de rea extensa (WAN).
Los dos protocolos mas importantes y que fueron tambin los primeros en
definirse y tambin los mas utilizados, son TCP (Protocolo de Control de
Transmision o Transmission Control Protocol) e IP (Protocolo de Internet o
Internet Protocol), de ah que se denomine tambin como Conjunto de
Protocolos TCP/IP. Los cuales podemos mencionar como los mas conocidos a
HTTP, FTP, SMTP, POP, ARP, etc.
Protocolo TCP/IP
Modelo TCP/IP: Utiliza encapsulamiento para proveer la abstraccin de
protocolos y servicios hacia diferentes capas en la pila. La pila consiste de
cinco niveles:
Protocolo TCP/IP
Protocolo TCP/IP
en
lugar
del
archivo
NETWORKING=yes
HOSTNAME=nombre.dominio.tld
NOZEROCONF=yes
Servidor DHCP
Configuracin de servidor DHCP:
DHCP (acronimo de Dynamic Host
Configuration Protocol, que se traduce Protocolo de configuracion dinamica de
servidores) es un protocolo que permite a dispositivos individuales en una red de
direcciones IP obtener su propia informacion de configuracion de red (direccion
IP; mascara de sub-red, puerta de enlace, etc.) a partir de un servidor DHCP. Su
propsito principal es hacer mas faciles de administrar las redes.
Existen tres metodos de asignacion en el protocolo DHCP:
Asignacin manual: La asignacion utiliza una tabla con direcciones MAC
(acronimo de Media Access Control Address, que se traduce como direccion de
Control de Acceso al Medio). Solo los anfitriones con una direccion MAC definida
en dicha tabla recibira el IP asignada en la misma
tabla. Esto se hace a traves de la opcion hardware ethernet combinado con deny
unknown-clients.
Servidor DHCP
Asignacin automtica: Una direccion de IP disponible dentro de un rango
determinado se asigna permanentemente al anfitrion que la requiera.
Servidor DHCP
El fichero a configurar es el siguiente /etc/dhcp/dhcpd.conf.
vi /etc/dhcp/dhcpd.conf
Servidor DHCP
Para levantar el servicio DHCP por primera vez copiamos en la consola start
Service dhcpd start
Servidor DHCP
Errores que presenta a la hora de instalar el servicio. Para parar los logs utilice
CTRL+C as:
tail f /var/log/messages &
Comprobacion del DHCP en un cliente Windows:
1. Lo primero que haremos sera verificar la direccion IP con la cual esta
definida la maquina con el comando ipconfig.
2. Ahora renovaremos la IP para que el servicio DHCP me pueda asignar la
direccion correspondiente a la configuracion que asignamos anteriormente.
Para esto utilizamos los comandos ipconfig /release seguido de ipconfig
/renew. Podemos ver que el cliente al final quedo con una direccion
corresponiente al rango configurado.
Servidor DHCP
Modificaciones necesarias en el muro cortafuegos: Por lo general, jamas se
abren puertos de DHCP a las redes publicas. Es necesario abrir los puerto 67 y 68
(BOOTPS y BOOTPC) por UDP, tanto para trafico entrante como saliente.
Servicio iptables: Asumiendo que el servicio funcionara a traves de la interfaz
eth1, puede ejecutar iptables conlas siguientes opciones:
iptables -A INPUT -i eth1 -p udp -m state --state NEW -m udp \
--sport 67:68 --dport 67:68 -j ACCEPT
Servidor DHCP
Ejecute lo siguiente para guardar los cambios:
service iptables save
Servidor DHCP
Shorewall: Edite el archivo /etc/shorewall/interfaces:
vi /etc/shorewall/interfaces
Asumiendo que el servicio funcionara a traves de la interfaz eth1 (zona loc),
anada la opcion dhcp a las opciones de la interfaz sobre la cual funciona el
servicio dhcpd. Esta opcion, tras reiniciar el servicio shorewall, habilita las
comunicaciones de entrada y salida, para DHCP.
Reinicie el servicio shorewall a fin de que surtan efecto los cambios.
service shorewall restart
Servidor DHCP
Limitar el acceso por direccin MAC: Es posible limitar el acceso al servidor
DHCP a traves de la opcion deny con el valor unknown-clients y definiendo una
lista de direcciones MAC. De tal modo, a los anfitriones que esten ausentes en
dicha lista les sera denegado el servicio. Ejemplo:
deny unknown-clients;
host impresora {
hardware ethernet 00:24:2B:65:54:84;
}
host pc1 {
hardware ethernet 00:50:BF:27:1C:1C;
}
Edite el archivo /etc/dhcp/dhcpd.conf o bien /etc/dhcpd.conf, segun
corresponda:
vim /etc/dhcp/dhcpd.conf
Servidor DHCP
Ejecute lo siguiente para iniciar el servicio:
service dhcpd start
Servidor DNS
Configuracin de servidor de nombres de dominio (DNS).
Acerca del protocolo DNS (Domain Name System): DNS (acronimo de Domain
Name System) es una base de datos distribuida y jerarquica, que almacena la
informacion necesaria para los nombres de dominio. Sus usos principales son la
asignacion de nombres de dominio a direcciones IP y la localizacion de los
servidores de correo electronico correspondientes para cada dominio.
Los Servidores DNS utilizan TCP y UDP, en el puerto 53 para responder las
consultas. Casi todas las consultas consisten de una sola solicitud UDP desde un
Cliente DNS, seguida por una sola respuesta UDP del servidor. Se realiza una
conexion TCP cuando el tamano de los datos de la respuesta exceden los 512
bytes, tal como ocurre con tareas como transferencia de zonas.
Servidor DNS
NIC (Network Information Center): NIC (acronimo de Network Information
Center o Centro de Informacion sobre la Red) es una institucion encargada de
asignar los nombres de dominio en Internet ya sean nombres de dominio
genericos o por paises, permitiendo personas o empresas, montar sitios de
Internet a traves de un ISP, mediante un DNS. Tecnicamente existe un NIC por
cada pais en el mundo y cada uno de estos es responsable por todos los
dominios con la terminacion correspondiente a su pais.
Servidor DNS
Como ejemplo: suponiendo que se tiene un dispositivo cuyo nombre de anfitrion
es maquina1 y un dominio llamado dominio.com, el FQDN seria
maquina1.dominio.com., asi es que se define de forma unica al dispositivo
mientras que pudieran existir muchos anfitriones llamados maquina1,
solamente puede haber uno llamado maquina1.dominio.com..
La longitud maxima de un FQDN es de 255 bytes, con una restriccion adicional
de 63 bytes para cada etiqueta dentro del nombre del dominio. Solamente se
permiten los caracteres A-Z de ASCII, digitos y el caracter - (guion medio).
Sin distincion de mayusculas y minusculas.
Servidor DNS
Componentes de DNS: DNS opera a traves de tres componentes: Clientes DNS,
Servidores DNS y Zonas de Autoridad.
Clientes DNS: Son programas que ejecuta un usuario y que generan peticiones
de consulta para resolver nombres. Basicamente preguntan por la direccion IP
que corresponde a un nombre determinado.
Servidores DNS: Son servicios que contestan las consultas realizadas por los
Clientes DNS. Hay dos tipos de servidores de nombres:
Servidor Maestro: Tambien denominado Primario. Obtiene los datos del
dominio a partir de un archivo alojado en el mismo servidor.
Servidor Esclavo: Tambien denominado Secundario. Al iniciar obtiene los datos
del dominio a traves de un
Servidor Maestro (o primario), realizando un proceso denominado transferencia
de zona.
Servidor DNS
Zonas de Autoridad: Permiten al Servidor Maestro o Primario cargar la
informacion de una zona. Cada Zona de Autoridad abarca al menos un dominio y,
posiblemente, sus sub-dominios, si estos ultimos son imposibles de delegar a
otras zonas de autoridad.
La informacion de cada Zona de Autoridad es almacenada de forma local en un
archivo en el Servidor DNS. Este archivo puede incluir varios tipos de registros:
Servidor DNS
Servidor DNS
Las zonas que se pueden resolver son:
Zonas de Reenvo: Devuelven direcciones IP para las busquedas hechas para
nombres FQDN (Fully Qualified Domain Name).
En el caso de dominios publicos, la responsabilidad de que exista una Zona de
Autoridad para cada Zona de Reenvo, corresponde a la autoridad misma del
dominio, es decir quien este registrado como autoridad del dominio la base de
datos WHOIS donde este registrado el dominio. Quienes adquieren dominios a
traves de un NIC (por ejemplo: www.nic.es), son quienes deben hacerse cargo de
las Zonas de Reenvo ya sea a traves de su propio Servidor DNS o bien a traves de
los Servidores DNS de su ISP.
Servidor DNS
Zonas de Resolucin Inversa: Devuelven nombres FQDN (Fully Qualified Domain
Name) para las busquedas hechas para direcciones IP.
En el caso de segmentos de red publicos, la responsabilidad de que exista una
Zona de Autoridad para cada Zona de Resolucin Inversa, corresponde a la
autoridad misma del segmento, es decir, corresponde a quien este registrado
como autoridad del bloque de direcciones IP, informacion que puede ser
obtenida al consultar una base de datos WHOIS.
Uso de host: Host es una herramienta simple para hacer consultas en Servidores
DNS. Es utilizado para obtener las direcciones IP de los nombres de anfitrion y
viceversa.
De modo predeterminado, realiza las consultas en los Servidores DNS que esten
definidos en el archivo /etc/resolv.conf del anfitrion local, pudiendo definirse de
manera opcional cualquier otro Servidor DNS.
host www.google.es
Servidor DNS
Uso de dig: Dig (domain information groper) es una herramienta flexible para
realizar consultas en Servidores DNS. Realiza busquedas y muestra las respuestas
que son regresadas por los servidores que fueron consultados. Debido a su
flexibilidad y claridad en la salida, es que la mayoria de los administradores
utilizan dig para diagnosticar problemas de DNS.
De modo predeterminado, realiza las busquedas en los Servidores DNS definidos
en el archivo /etc/resolv.conf, pudiendo definirse de manera opcional cualquier
otro Servidor DNS. La sintaxis basica seria:
dig @servidor dominio.tld TIPO
Donde servidor corresponde al nombre o direccion IP del Servidor DNS a
consultar, dominio.tld corresponde al nombre del registro del recurso que se
esta buscando y TIPO corresponde al tipo de consulta requerido (ANY, A, MX,
SOA, NS, etc.)
Servidor DNS
Equipamiento lgico necesario:
Servidor DNS
1. Validamos que el paquete bin este instalado.
# rpm q bind
2. Para instalarlo se debe hacer desde el superusuario para estos tres paquetes
# yum install y bind bind-utils bind-libs
3. Una vez instalado vamos al archive /etc/named.conf asi:
# vi / etc/named.conf asi:
En listen-on port vamos a poner la IP de la interface por la cual va a recibir
las peticiones de DNS.
El campo de allow-query es para decir de quien va a recibir peticiones de
DNS aca podemos poner redes o any que es cualquiera.
allow-query {any;};
Servidor DNS
El campo forward first es para decirle que revise primero en sus registros
antes de enviar la consulta a otros servidores.
Servidor DNS
Servidor DNS
4. Reiniciamos el servicio :
# service name start
5. Ya tenemos un servidor cache el cual guarda la informacin temporal de los
registros que haya consultado. Volvemos al archivo named.conf para crear una
zona directa la cual resuelve nombres en IPs
Servidor DNS
7. Guardamos y salimos
8. Nos dirigimos al directorio /var/named
# cd /var/named/
# ls
9. Copiamos el archivo named.empy el cual nos va a servir de plantilla a
grupo4.redes.com asi:
# cp named empy grupo4.redes.com
# ls l
Servidor DNS
10. Vemos que no es del mismo grupo y lo cambiamos al grupo named asi:
# chgrp named grupo4.redes.com
Servidor DNS
13. En el lugar donde se borraron los dos registros colocamos nuestras zonas con
la letra A que significa que es directa con la IP deseada a la cual ser la que nos
va a resolver.
Servidor DNS
Servidor DNS
14. Arrancamos el servico
# service named restart
15. Y ahora podemos hacer una solicitud directa la cual nos va a resolver de un
nombre a una IP.
16. Procedemos a crear una zona inversa la cual nos resolver.
# vi /etc/named.conf
Servidor DNS
17. Copiamos el archivo grupo4.redes.com a inversa.redes.com
# cp grupo4.redes.com inversa.redes.com
Servidor DNS
Servidor DNS
20. Reestablecemos el servicio.
21. Probamos en el mismo servidor
# nslookup grupo4.redes.com
22. Lo hacemos en el archivo /etc/resolv.conf
23. Agregamos la IP del servidor y tambin nuestro dominio.
24. Probamos de nuevo y con la inversa y vemos que resuelve de las dos
maneras.
Servidor DNS
Abrimos el editor de texto vi para configurar el directorio named.conf de la
siguiente manera :
vi /etc/named.conf
Abrimos el archivo de configuracion global del DNS ubicado en la ruta
/etc/named.conf y lo guardamos a la medida que necesitamos nuestro servidor
DNS. Es importante ser cuidadosos a la hora de configurarlo ya que puede fallar
por algun espacio mal dado o un carcter mal escrito.
Servidor DNS
Realizamos lo siguiente:
#cp /var/named/named.empty /var/named/zone.di
#cp /var/named/named.empty /var/named/zone.in
Ahora vamos a abrir el fichero de la zona directa y lo modificaremos:
#vi /var/named/zone.di
Como vemos, ya lo hemos modificado y de esta manera no debe funcionar
correctamente.
Ahora abriremos el fichero de la zona inversa y tambien lo modificaremos.
#vi /var/named/zone.in
Iniciamos el servicio DNS con el comando service named restart
service named restart
Servidor DNS
Vemos que salio bien el inicio de este servicio, ahora vamos a probar que el
servicio funcione bien como tal:
nslookup dhcp.localdomain
Las traducciones son correctas:
#nslookup 192.168.0.145
Comprobacion de DNS en el cliente: Aca no le especificamos al servidor que
clientes pueden obtener su servicio, solamente lo dejamos abierto, osea que
cualquier equipo que se conecte a nuestra red, tendra el servicio activo. Esto se
logra indicandole al servidor el comando (any) en los dos parametros que
podemos observar asi:
Servidor DNS
Option{
listen-on port 53 {127.0.0.1; any;};
directory
/var/named;
dum-file
/var/named/data/cache_dump.db
statistics-file
/var/named/data/named_stats.txt;
memstatistics-file /var/named/data/named_mem_stats.txt;
aloww-query
{localhost;any};
recursion yes;
Servidor DNS
Ahora nos vamos para la terminal de nuestros servidor y le damos ifconfig
para observar que el servidor y el cliente esten en el mismos segmento de red.
# ifconfig
Como podemos ver, si lo estan:
Siendo esto verdadero. Si damos un ping desde el servidor al cliente y visceversa
este nos debe dar efectivo:
Ping desde el servidor hasta el cliente:
#ping 192.168.0 145
Ping desde el cliente hasta el servidor :
#ping 192.168.0 200
Servidor DNS
Los pines fueron efectivos como pudimos observar
Ahora vamos a comprobar que el servicio funcione correctamente, osea que
debe resolver tanto por nombre como por IP
Prueba desde el cliente
nslookup 192.168.0 200
nslookup dhcp.localdomain
Servidor DNS
Preparativos para aadir dominios: Idealmente se deben definir primero los
siguiente datos:
1. Dominio a resolver.
2. Servidor de nombres principal (SOA). ste debe ser un nombre que
ya est plenamente resuelto, y debe ser un FQDN (Fully Qualified
Domain Name).
3. Lista de todos los servidores de nombres (NS) que se utilizaran para
efectos de redundancia. Estos deben ser nombres que ya estn
plenamente resueltos y deben ser ademas FQDN (Fully Qualified
Domain Name).
4. Cuenta de correo del administrador responsable de esta zona. Dicha
cuenta debe existir y debe ser independiente de la misma zona que
se est tratando de resolver.
5. Al menos un servidor de correo (MX), con un registro A, nunca
CNAME.
6. IP predeterminada del dominio.
Servidores FTP
Instalacin y configuracin de vsftpd:
Acerca del protocolo FTP.
FTP (File Transfer Protocol) o Protocolo de Transferencia de Archivos (o archivos
informaticos) es uno de los protocolos estandar mas utilizados en Internet siendo
el mas idoneo para la transferencia de grandes bloques de datos a traves de
redes que soporten TCP/IP. El servicio utiliza los puertos 20 y 21, exclusivamente
sobre TCP.
El puerto 20 es utilizado para el flujo de datos entre cliente y servidor. El puerto
21 es utilizando para el envio de ordenes del cliente hacia el servidor.
Practicamente todos los sistemas operativos y plataformas incluyen soporte para
FTP, lo que permite que cualquier computadora conectada a una red basada
sobre TCP/IP pueda hacer uso de este servicio a traves de un cliente FTP.
Servidores FTP
Existen dos metodos, el modo activo y el modo pasivo:
Modo activo:
En este modo, el cliente crea una conexion de datos a traves del puerto 20 del
servidor, mientras que en el cliente asocia esta conexion desde un puerto
aleatorio entre 1024 y 65535, enviando PORT para indicar al servidor el puerto a
utilizar para la transferencia de datos. Tiene como desventaja que el cliente FTP
debe estar dispuesto a aceptar cualquier conexion de entrada asociada a puertos
entre 1024 y 65535, lo que significa que el cliente tendria que estar detras de un
muro cortafuegos que acepte establecer conexiones entrantes en este rango de
puertos o bien acceder hacia Internet sin un muro cortafuegos de por medio, lo
que evidentemente implica un enorme riesgo de seguridad. El modo activo solo
es conveniente en la ausencia de un muro cortafuegos entre el servidor y el
cliente, como ocurre en los escenarios de una red de area local.
Servidores FTP
Modo pasivo.
Fue creado como una alternativa al problema que representa el modo activo. A
diferencia de este ultimo, el modo pasivo envia PASV en lugar PORT a traves del
puerto de control del servidor. Este devuelve como respuesta el numero de
puerto a traves del cual debe conectarse el cliente para hacer la transferencia de
datos.
El servidor puede elegir al azar cualquier puerto entre 1024 y 65535 o bien el
rango de puertos determinado por el administrador del sistema. En el caso de
Vsftpd, se puede definir un rango arbitrario de puertos para conexiones pasivas
utilizando las opciones pasv_min_port y pasv_max_port. Este es el metodo
recomendado para servidores de acceso publico.
Servidores FTP
Acerca del protocolo FTPS: FTPS tambien referido como FTP/SSL es la forma
de designar diferentes metodos a traves de las cuales se pueden realizar
transferencias de archivos seguras a traves del protocolo FTP utilizando SSL o
TLS. Son metodos muy diferentes a los del protocolo SFTP (SSH File Transfer
Protocol).
Acerca de RSA: RSA, acronimo de los apellidos de sus autores, Ron Rivest, Adi
Shamir y Len Adleman, es un algoritmo para cifrar claves publicas, el cual fue
publicado en 1977 y patentado 1983, en EE.UU., por el Instituto Tecnologico de
Michigan (MIT). RSA es utilizado en todo el mundo para los protocolos
destinados para el comercio electronico.
Servidores FTP
Acerca de OpenSSL.
OpenSSL es una implementacion libre, de codigo fuente abierto, de los
protocolos SSL (Secure Sockets Layer o Nivel de Zocalo Seguro) y TLS (Transport
Layer Security o Seguridad para Nivel de Transporte). Esta basado sobre el
extinto proyecto SSLeay, iniciado por Eric Young y Tim Hudson, hasta que estos
comenzaron a trabajar para la division de seguridad de EMC Corporation.
Acerca de X.509.
X.509 es un estandar ITU-T (estandarizacion de Telecomunicaciones de la
International Telecommunication Union) para infraestructura de claves publicas
(PKI o Public Key Infrastructure). Entre otras cosas, establece los estandares para
certificados de claves publicas y un algoritmo, para validacion de ruta de
certificacion. Este ultimo se encarga de verificar que la ruta de un certificado sea
valida bajo una infraestructura de clave publica determinada. Es decir, desde el
certificado inicial, pasando por certificados intermedios, hasta el certificado de
confianza emitido por una Autoridad Certificadora (CA o Certification Authority).
Servidores FTP
Acerca de vsftpd.
Vsftpd (Very Secure FTP Daemon) es un equipamiento logico utilizado para
implementar servidores de archivos a traves del protocolo FTP. Se distingue
principalmente porque sus valores predeterminados son muy seguros y por la
sencillez para su configuracion cuando se le es comparado con otras alternativas
como ProFTPD y Wu-ftpd. En la actualidad se estima que vsftpd podria ser quiza
el servidor FTP mas seguro del mundo.
Servidores FTP
Instalacion:
Ingresamos como superusuario y miramos si el paquete para este servicio esta
instalado, asi:
$ rpm qa|grep ftp
Con la opcin ftp lo que se le esta diciendo es que filtre todo lo que contenga
ftp, debera estar instalado vsftp que es el servidor y el ftp que es el cliente.
Como no esta instalado, lo vamos a instalar tanto el cliente como el servidor ftp
asi:
# yum y install ftp vsftpd
Una vez ya es instalado, vamos al archivo de configuracin asi:
# vi /etc/vsftpd/vsftpd.conf
Servidores FTP
Una vez entramos en el archivo de configuracin analicemos los siguientes
campos:
Este campo es para decir si queremos un ingreso annimo, en este caso vamos a
decir que no:
anonymous_enable=NO
Nota: recordemos que en el editor vi, si queremos editar el archivo presionamos
la tecla i cuando acabamos de editar presionamos la tecla Esc una vez que
hallamos presionado esto para guardar lo hacemos con :wq o para salir sin
guardar :q!
Este campo es para decir si los usuarios locales van a tener acceso al servidor, en
este caso le decimos que YES.
Local_enable=YES
Servidores FTP
Este campo es para permitir que los que ingresen al servidor puedan escribir, por
seguridad es recomendable decirle que NO.
write_enable=NO
Este campo es para poner un mensaje de bienvenida al servidor, debemos
descomentar para activarlo y poner el mensaje deseado.
Ftpd_banner=BIENVENIDO AL SERVIDOR FTP
Este campo es si queremos que los usuarios locales puedan tener acceso a todos
los directorios del pc, para que esto pueda pasar debemos ingresar los usuarios
que queremos que tengan estos permisos en una archivo que luego crearemos,
descomentamos para activarlo.
chroot_local_user=YES
Servidores FTP
Este campo es para activar la lista de los usuario que tendrn acceso a todo.
chroot_list_enable=YES
Servidores FTP
Vamos a crear los usuarios que van a poder ingresar al servidor FTP con su
respectiva contrasea.
Ejemplo:
# useradd santi
# Passwd santi
Cambiando la contrasea del usuario santi
Nueva contrasea:
Asi sucesivamente se hace con cada usuario.
Luego procedemos a abrir el archivo de chroot_list para ah ingresar los usuarios
a no enjaular.
#vi /etc/vsftpd/chroot_list
Servidores FTP
A continuacin se ingresan los usuario a no enjaular, que van a poder ver todos
los directorios del servidor
Santi
Julio
Se guarda el archivo con :wq!
Ahora intentamos ingresar al ftp con la IP que le asignamos en este caso 10.0.0.1
#ftp 10.0.0.1
ftp:connect: Conexin rehusada
ftp>
Esto significa que no sale conexin rehusada, miremos que sucede viendo que
puertos estn habilitados y vamos a activar el puerto 20 y 21 los cuales son para
datos y control respectivamente as:
# iptables-save
Servidores FTP
Con la opcin I la regla que creamos se inserta al inicio.
# iptables I INPUT p udp m state state NEW m udp dport 20 j
ACCEPT
# iptables I INPUT p udp m state state NEW m udp dport 21 j
ACCEPT
Guardamos los cambios hechos en iptables y reiniciamos el servicio.
# service iptables sabe
# service iptables restart
Volvemos a intentar ingresar al ftp
# ftp 10.0.0.1
ftp: connect : Conexin rehusada
ftp>
# ip a
Servidores FTP
Probamos desde el navegador para ver si aun no sale error:
No olvidemos iniciar el servicio vsftpd.
# service vsftpd start
Ahora nos pide la identificacin requerida, vamos a utilizar uno de los usuarios
creados anteriormente:
Servidores FTP
Nombre de usuario: santi
Contrasea: santi
Vemos que no nos deja cambiar de directorio porque el selinux esta activado, si
deseamos cambiar de usuario debemos ingresar el siguiente comando setsebool
P ftp_home_dir on o simplemente desactivar el selinux y reiniciar.
Servidores FTP
Si deseamos ingresar como otro usuario debemos borrar el historial y abrir una
nueva ventana.
# cd /home/santi/
# mkdir prueba
# cd prueba
# touch santi
# echo redes > santi
# cat santi
Servidores FTP
Actualizamos y vemos que nos aparece la carpeta que creamos:
Servidores FTP
Vemos que estn las dos maquinas en red y hay conectividad entre las 2.
Servidores FTP
Ahora vamos nuevamente al navegador y vemos que nos entra al servidor:
Y vemos que el usuario que pusimos dentro de la lista puede navegar por todos
los directorios.
Servidores FTP
Igualmente podemos probar con un usuario que no haya sido ingresado en la lisa
y veremos que no puede cambiar de directorios diferentes desde su home
Servidores FTP
Ahora vamos a hacer las pruebas desde un cliente Linux: Previamente se
configur esta maquina para que estuviera en red y se prob que hubiera
conectividad.
Servidor Samba
Configuracion de Samba en Centos 6.5
Acerca del protocolo SMB: SMB (acronimo de Server Message Block) es un
protocolo, del Nivel de Presentacin del modelo OSI de TCP/IP.
SMB fue originalmente disenado para trabajar a traves del protocolo
NetBIOS, el cual a su vez trabaja sobre NetBEUI (acronimo de NetBIOS
Extended User Interface, que se traduce como Interfaz de Usuario Extendida
de NetBIOS), IPX/SPX (acronimo de Internet Packet Exchange/Sequenced
Packet Exchange, que se traduce como Intercambio de paquetes interred/Intercambio de paquetes secuenciales) o NBT, aunque tambien puede
trabajar directamente sobre TCP/IP.
Servidor Samba
Samba utiliza dos demonios:
1. Smbd: Permite la comparticin de archivos e impresoras sobre una red
SMB y proporciona autenticacin y autorizacin de acceso para clientes
SMB
2. Nmbd: Se ocupa de anunciar servicios, es decir, informa a las maquinas
en la red de cuales son los servicios disponibles.
Servidor Samba
Configuracion de smb.conf
Este archivo se puede encontrar en la ruta /etc o en /usr/local/samba/lib/,
este archivo es quien determina que recursos del sistema va a compartir y
que restricciones desea colocar en ellos.
Consta de varias secciones distintas que empiezan por [nombre-recurso].
Tiene una seccion general y comn [global]
Se inicia y se para con: /etc/init.d/samba {start/stop}
Servidor Samba
Secciones:
[global] -> Define variables de carcter general y aplicables a todos
los recursos.
[homes] -> Permite a los usuarios remotos acceder a su directorio
personal desde su maquina local (ya sean clientes Windows o
linux), pero han de tener cuenta en la maquina servidora.
Servidor Samba
Ejemplo:
[global]
workgroup = grupo8
server string = samba server
; hosts allow = 192.168.1. 192.168.2.127.
printcap name = /etc/printcap
load printers = yes
log file = /var/log/samba/log.%m
max log size = 50
encrypt passwords = yes
smb passwd file = /etc/smbpasswd
[DATGRUP]
comment = espacio para grupo red8
path = /usr/local/datgrup
writable = yes
printable = no
public = no
valid users = @red8
Servidor Samba
Cliente de Samba
En Windows es transparente para el usuario,
smbclient:
Podemos buscar recursos en un host
# smbclient L host
Conexin a un recurso:
#smbclient servicio <password>
Servicio maquina y servicio
Password es un literal con la clave
El resultado es un prompt (estilo ftp)
y en Linux usaremos el
Servidor Samba
Actualmente Samba utiliza cuatro niveles de seguridad:
Seguridad a nivel de recursos (share)
Seguridad a nivel de usuario (user)
Seguridad a nivel de servidor (server)
Seguridad a nivel de dominio (domain)
Contraseas pueden ser cifradas o no. Por defecto no se cifran, para
compatibilidad con sistemas Windows tales como Win95 o NT 3.x
Es mas seguro si estas estn cifradas, y para ello aadimos a la seccin
global:
Servidor Samba
[global]
Security = user
Encrypt passwords = yes
Smb passwd file = /usr/local/samba/prvate/smbpasswd
Instalacion:
1. Verificamos si los paquetes de samba estan instalados con el comando:
# rpm q samba
2. Vemos que no esta instalado
3. Ingresamos como root para descargar los paquetes con el comando. Los
paquetes necesarios para samba son: samba-common, smbfs y smbclient
# yum y install samba common smbfs smbclient
Servidor Samba
4. Abrimos el archivo de configuracin
/etc/samba/smb.conf
# vi /etc/samba/smb.conf
smb
que
esta
en:
Creamos
Servidor Samba
[compartir]
Comment= Carpeta compartida
Path = /home/compartida
Guest ok= no
Writable = no
9. Luego crearemos la carpeta que deseamos compartir en la misma ruta que
se indigo en el archivo de configuracin. /home/compartida
# mkdir /home/compartida
10. Vemos los permisos que tiene la carpeta
# cd /home/
# ls l
11. El comando testparm verifica la validez del archivo smb.conf
# testparm
Servidor Samba
12. Verificamos que este en red interna.
Servidor Samba
13. Verificamos la direccin IP , para el server samba ser la 192.168.1.145 y
para el cliente 192.168.1.200
# setup
14. Esta configuracin tambin se puede realizar por consola en
/etc/sysconfig/network-scripts/
Servidor Samba
15. Reanudamos el servicio de red y validamos la IP:
# service network restart
# ip a
16. Confirmamos conectividad entre las dos maquinas.
12.
Colocamos contrasea al usuario
/etc/httpd/conf/users Usuario
# htpasswd /etc/httpd/conf/users sadid
creado
con
htpasswd
Ejemplo:
squid_ldap_auth -b "ou=People,dc=dominio,dc=tld" 127.0.0.1
Edite el archivo /etc/squid/squid.conf
vim /etc/squid/squid.conf
Anada la siguiente configuracion, misma que considera que squid_ldap_auth
se localiza en /usr/lib/squid/ncsa_auth:
auth_param basic program /usr/lib/squid/squid_ldap_auth -b
"ou=People,dc=dominio,dc=tld" 127.0.0.1
Servidor SSH
Configuracin de OpenSSH.
Acerca de SSH: SSH (Secure Shell) es un conjunto de estandares y protocolo de
red que permite establecer una comunicacion a traves de un canal seguro entre
un cliente local y un servidor remoto. Utiliza una llave publica para autenticar el
servidor remoto y de manera opcional permitir al servidor remoto
autenticar al usuario. SSH provee confidencialidad e integridad en la
transferencia de los datos utilizando criptografia y MAC (Message
Authentication Codes o Codigos de Autenticacion de Mensaje). De modo
predeterminado, escucha peticiones a traves del puerto 22 por TCP
Servidor SSH
Acerca de SFTP: SFTP (SSH File Transfer Protocol) es un protocolo que provee
funcionalidad de transferencia y manipulacion de archivos a traves de un flujo
confiable de datos. Comunmente se utiliza con SSH para proveer a este de
transferencia segura de archivos.
Acerca de SCP: SCP (Secure Copy o Copia Segura) es una protocolo seguro para
transferir archivos entre un anfitrion local y otro remoto, a traves de SSH.
Basicamente, es identico a RCP (Remote Copy o Copia Remota), con la
diferencia de que los datos son cifrados durante la transferencia para evitar la
extraccion potencial de informacion a traves de programas de captura de las
tramas de red (packet sniffers). SCP solo implementa la transferencia de
archivos, pues la autenticacion requerida es realizada a traves de SSH.
Acerca de OpenSSH: OpenSSH (Open Secure Shell) es una alternativa de codigo
fuente abierto, con licencia BSD, hacia la implementacion propietaria y de
Servidor SSH
codigo cerrado SSH creada por Tatu Ylnen. OpenSSH es un proyecto creado por
el equipo de desarrollo de OpenBSD y actualmente dirigido por Theo de Raadt.
Se considera es mas segura que la version privativa Ylonen, gracias a la
constante auditoria que se realiza sobre el codigo fuente por parte de una
enorme comunidad de desarrolladores, una ventaja que brinda el Software
Libre.
Servidor SSH
Configurar un servicio SSH en Centos
Primero debemos validar que el openssh esta instalado, con el comando rpm q
openssh
# rpm q openssh
Si el paquete no esta instalado, lo buscamos primero con yum search openssh
# yum search openssh
Instalamos los dos paquetes que necesitamos asi:
# yum y install openssh-clients
# yum y install openssh-server
Ahora estando en el ssh-client el cual vamos a repetir los pasos realizados
anteriormente: primero validamos que este el openssh instalado.
$ rpm q openssh
Servidor SSH
Ingresamos como superusuario para poder instalar los paquetes:
Nuevamente aqu buscamos el paquete as:
# yum search openssh
Igualmente instalamos los dos paquetes que necesitamos as:
# yum y install openssh-clients
# yum y install openssh-server
Nota: puede ocurrir que en el momento en que se esta instalando alguno de
estos dos paquetes salga un error que indique que hay otra descarga en
proceso, si esto pasa lo puede parar con CTROL+Z y cancelamos el proceso con
kill -9 {PID(numero del proceso)} ejemplo:
Kill -9 16997
Servidor SSH
Una vez se ha terminado la instalacin tanto de openssh-clients como de
openssh-server en las dos maquinas, procedemos a averiguar nuestra IIP para
el ssh-clients, esto lo podemos hacer con los siguientes comandos ip a ifconfig:
Ahora procedemos a averiguar nuestra IP para el ssh-server:
# ip a
# ifconfig
Y podemos validar que las dos maquinas estan en la misma red. Ahora vamos a
encender el servidor ssh, para encender el servicio ingresamos el siguiente
comando:
# service sshd start
Ahora procedemos a iniciar el servicio en la maquina ssh-clients con el mismo
comando:
# service sshd start
Servidor SSH
Ahora vamos a acceder desde ssh-server a ssh-clients por ssh, el comando para
esto es ssh {direccin IP destino}: y le damos yes para confirmar que es seguro
acceder a este destino e ingresamos la contrasea de la maquina a la que
vamos a ingresar.
# ssh 192.168.1.200
Are yo usure you want to continue connecting (yes/no)? yes
Password:
Servidor SSH
Con exit nos salimos del ssh:
#exit