Configuracion Servidores Linux 20120520 MAYO

Configuracin De Servidores Con GNU/Linux Configuracin De Servidores Con GNU/Linux
Edicin Edicin Mayo 2012 Mayo 2012

20 De Mayo De 2012 20 De Mayo De 2012
Joe !arrios Due"as Joe !arrios Due"as
|oe Barros Dueas Confguracn de Servdores con GNU/Lnux
2
S este bro e ha sdo de utdad, puede contrbur a desarroo de ste a travs de suscrpcones
vountaras a nuestro porta. Sus aportacones nos ayudarn a crecer y desarroar ms y me|or
contendo en e sto de red y para me|orar este bro.
http://www.acancebre.org/statcpages/ndex.php/suscrpcones
Acance Lbre ofrece soporte tcnico gratuito excusvamente a travs de nuestros foros
ocazados en:
http://www.acancebre.org/forum/
Para cuaquer consuta a travs de otros medos, como correo eectrnco, tefono o mensa|era
nstantnea, ofrecemos un servicio comercial de consultora.
Acance Lbre ofrece os sguentes productos y servcos basados sobre Software Lbre, gracas a
os cuaes fnanca sus operacones. Para mayor nformacn, estamos dsponbes a travs de
nmero teefnco (52) (55) 5677-7130 de a cudad de Mxco, a travs de nuestro Formulario
de contacto o ben drectamente en nuestras ofcnas centraes en Aumnos #34, Coona San
Mgue Chaputepec, deegacn Mgue Hdago, Mxco, D.F., C.P. 11850, Mxco.
Capactacn (cursos)
Conferencas y ptcas
Consutora
Impementacones (Servdores)
Soporte Tcnco
Pubcdad en e porta
3
A mi difunto padre, a quien debo reconocer jams supe comprender y a quien jams le d la
oportunidad de entenderme.
Blanca, eres el amor de mi vida, y gracias a ti inici mi gusto por escribir. Te agradezco el
aberme permitido escribirte todas esas cosas ace tantos a!os, y el que oy seas mi compa!era
en la vida.
A mis ijos, "oel Alejandro Barrios #aullieres, y $ergio Armando Barrios #aullieres.
A
4
Conformacin.
Me encuentro de regreso en mis races,
reviso mis trabajos pasados,
entre risas y otros cursis versos
(sueos entonces de adolescente),
desde existenciales a lo absurdo,
ligerezas tan sentimentales
construyendo un carcter (mi mundo).
5
Acerca de Joel Barrios Dueas.
Hay poco que decr respecto de m. Soa ser mdco veternaro zootecnsta, dedcado
prncpamente a a atencn mdca de pequeas especes y otras mascotas (perros, gatos, peces
y tortugas) y a a venta de amentos y accesoros para mascotas. Traba|o actvamente con
computadoras personaes desde 1990, con as cuaes sempre he tendo gran facdad. M prmera
computadora, fue una Appe IIe que me prest un amgo, y que eventuamente me vend.
Curosamente, savo por una case que tom en tercero de secundara, durante a cua nos
mparteron una ntroduccn a a programacn en BASIC y e uso genera de computadoras
Comodore 16, |ams he tomado un curso o capactacn reaconada con a nformtca o
computacn. Sempre he sdo auto-ddctca.
Utzo GNU/Lnux desde Febrero de 1998, y desde |uno de 1999 como nca pataforma en m
traba|o daro. Creo que es ms que evdente que equvoque de carrera.
Gran parte de as razones de m ncursn en e mundo de a nformtca fueron verdaderamente
ncdentaes. En 1997, nunca hubera magnado que me estara ganado a vda en un mbto
competamente dstnto a que me dedcaba durante ese tempo. Yo ya tena un consutoro
veternaro y negoco pequeo de dstrbucn de amentos para mascotas, os cuaes me
aseguraban un ngreso reguar y constante. Lamentabemente as condcones de mercado
durante e sguente ao repercuteron de forma mportante en ms ngresos, y fue entonces que
empec a buscar aternatvas. Durante 1999 me estuve dedcando a a venta de equpo de
cmputo y ago de dseo de stos de red. Fueron agunos meses durante os cuaes pude
sobrevvr gracas a ms ahorros y a a suerte de contar un con taento poco comn con as
computadoras.
Cmo empec este proyecto?
A medados de 1999, mentras vstaba a un buen amgo mo, tuve un encuentro amstoso de unos
10 mnutos con quen fue, en agn momento, a persona ms mportante que ha habdo en m
vda, Banca.
Yo suba por un eevador, dvagando en ms pensamentos con sutezas y otros menesteres
reaconados con m profesn de veternaro. Sa de ascensor y me drg haca a puerta de m
amgo. Me detuve unos nstantes antes de pusar e botn de tmbre. Haba una extraa sensacn
que crcundaba m mente, como un aroma famar que no era posbe recordar. M amgo tena una
reunn con varas personas, agunas de as cuaes yo conoca desde haca agunos aos pero que
por dversas crcunstancas no frecuentaba, as que supuse que era soo a sensacn de vover a
ver a personas despus de mucho tempo. Toque e tmbre y un nstante despus m amgo abr
a puerta. Le saud con un apretn de manos y tras saudare de a acostumbrada forma corts,
qued mudo a ver que a chca de a que me haba enamorado durante ms aos de preparatora,
estaba presente. Frente a m, sonrendo y mrndome.
Haban pasado varos aos desde a tma vez que nos habamos vsto. Conversamos un poco
mentras ea cargaba a perro de m amgo, a cua me dspona a apcar una vacuna. Fue dfc
de|ar de mrare y o fue tambn e gusto de vover a vere de nuevo. Me desped, pues tena otro
compromso, pero en m mente qued un sentmento de aegra de ver que aquea persona que
haba tendo un gran mpacto en m vda, estaba ben, muy hermosa y, en aparenca, fez.
6
Fue ese breve encuentro e que me nspr agunos meses despus a crear ago que me
proporconara os medos para ograr hacer ago mportante en vda. Fue ese deseo de ser aguen
y tener ago que ofrecer s agn da, y s as crcunstancas o permtan, buscar una segunda
oportundad con a persona de a que me haba enamorado muchos aos atrs y que de aguna
forma |ams ovd. Fue as que tras pasar muchas semanas paneando y tratando de dar forma a
as deas, e proyecto de comundad que nc con Lnux Para Todos un 27 de agosto de 1999 y
que hoy en da contnuo con Alcance i!re. Surg como un sueo, se materaz, se desarroo y
crec ms a de o que hubera magnado.
Es rnco que aos despus, m reencuentro con Banca, quen es hoy en da m esposa y madre
de m h|o |oe Ae|andro, concdera con e fn de cco de Lnux Para Todos, aunque tambn
concde con e nco de otros proyectos y una nueva etapa con Alcance i!re.
Esta obra, que ahora comparto con os ectores, consttuye a cumnacn de traba|o de ms de
10 aos de nvestgacn y experencas. Mucho de matera que e compone fue escrto durante
dferentes etapas de m cco mentras fu propetaro y admnstrador de Lnux Para Todos. E fn de
dcho cco me da a oportundad de exporar otras reas de a nformtca desde un dferente
enfoque, msmo que se ver refe|ado en e matera actuazado que compone esta obra. Nunca
me ha nteresado ser famoso o un monaro.
Respecto de futuro, tengo una percepcn dstnta acerca de trascender ms a de os recuerdos
famares y trascender en a hstora. Ta vez agn da, ta vez cen aos despus de haya muerto,
se que de aguna forma m egado en a hstora ser a travs de todo o que escrb y as cosas que
pensaba y aqueas en as que crea.
7
Currculo.
Datos personales
Nombre: |oe Barros Dueas.
Ao y ugar de nacmento: 1970, Mxco, Dstrto Federa.
Sexo: mascuno.
Estado cv: Unn Lbre.
"scolaridad
Secundara: Coego Mxco (Acoxpa). 1982-1985
Preparatora: Insttuto Centro Unn. 1985-1988
Facutad de Medcna Veternara y Zootecna, U.N.A.M. 1989-1993
"mpleos en los #ue me $e desempeado.
1993-1999
M propa sub-dstrbudora de amentos y accesoros para mascotas. Dreccn
genera.
Vstador Mdco y asesor en nformtca. Dstrbudora de Amentos para Pequeas
Especes (Dape). |uno 1997 - Novembre 1997.
Consutor externo de Dape 1998 - 1999.
1999 a 2006:
Fu e creador, drector y admnstrador LnuxParaTodos.net. Dcho domno fue
tomado hostmente por m ex-soco quen se qued con todo y teramente me de|
en a cae. Dcha empresa contnua comercazando m traba|o voando a cenca
Creatve Commons Reconocmento-NoComerca-CompartrIgua 2.1, a cua
expctamente prohbe a expotacn comerca de matera sn a autorzacn de
autor.
Asesora y consutora en GNU/Lnux.
Capactacn en GNU/Lnux.
2002 - 2003:
Drector Operatvo Grupo MPR S.A. de C.V. (Actuamente Buytek Network Soutons)
2002 a 2006:
Drector de proyecto LPT Desktop.
2004 a 2006:
Drector Operatvo de a undad Lnux de Factor Evoucn S.A. de C.V.
2007 a a fecha:
Drector de proyecto AL Desktop (descartado).
Drector de proyecto AL Server.
Drector de proyecto ALDOS.
Fundador y drector de proyecto de AcanceLbre.org
Drector Genera Acance Empresara, S.A. De C.V.
Drector de rea de soporte tcnco de Buytek Network Soutons.
Capacidades
Ings 97.5%
Ensambe, confguracn y mantenmento de computadoras personaes.
Lengua|e HTML 4.0
Lengua|e CSS 1.0
Programacn BASH
Instaacn, confguracn y admnstracn de Lnux y servcos que traba|an sobre
ste (Samba, Apache, Sendma, Postfx, CamAV, OpenLDAP, NFS, OpenSSH, VSFTPD,
Shorewa, SNMP, MRTG, Squd, etc.)
8
ndice de contenido
1.Oue es GNU/Lnux?............................................................................................34
1.1.Requermentos de sstema................................................................................................. 35
2.Estndar de |erarqua de Sstema de Archvos...................................................36
2.1.Introduccn.......................................................................................................................... 36
2.2.Estructura de drectoros...................................................................................................... 36
2.3.Partcones recomendadas para nstaar CentOS, o Red Hat Enterprse Lnux.......................38
2.4.Bbografa........................................................................................................................... 40
3.Procedmento de nstaacn de CentOS 6.........................................................41
3.1.Procedmentos..................................................................................................................... 41
3.1.1.Paneacn.................................................................................................................................... 41
3.1.2.Obtencn de os medos.............................................................................................................. 41
3.1.3.Instaacn de sstema operatvo................................................................................................. 42
3.2.Posteror a a nstaacn....................................................................................................... 74
4.A|ustes posterores a a nstaacn de CentOS 6................................................75
4.1.Procedmentos..................................................................................................................... 75
4.1.1.Dspostvos de red....................................................................................................................... 75
4.1.2.Locazacn.................................................................................................................................. 76
4.1.3.Desactvar Pymouth..................................................................................................................... 77
4.1.4.Instaar, y habtar, e modo grfco............................................................................................. 79
5.Panfcadores de Entrada/Sada en Lnux..........................................................83
5.1.Introduccn.......................................................................................................................... 83
5.2.Panfcadores de Entrada/Sada dsponbes en e nceo de Lnux......................................83
5.2.1.Antcpatory.................................................................................................................................. 83
5.2.2.CFO.............................................................................................................................................. 84
5.2.3.Deadne....................................................................................................................................... 85
5.2.4.Noop............................................................................................................................................. 86
5.3.Ou panfcador de Entrada/Sada eegr?..........................................................................87
5.4.Bbografa........................................................................................................................... 88
6.Utzando e dsco de rescate de CentOS 6........................................................89
6.1.Procedmentos..................................................................................................................... 89
7.Incando e sstema en nve de e|ecucn 1 (nve mono-usuaro)...................100
7.1.Introduccn........................................................................................................................ 100
7.2.Procedmentos................................................................................................................... 100
8.Cmo compar e nceo (kerne) de GNU/Lnux en CentOS.............................106
8.1.Introduccn........................................................................................................................ 106
8.1.1.Un e|empo de porque convene recompar e nceo...............................................................106
8.2.Procedmentos................................................................................................................... 107
8.2.1.Determnar e sustento fsco y controadores............................................................................. 107
8.2.2.Instaacn e equpamento gco necesaro............................................................................. 109
8.2.3.Obtener e cdgo fuente de nceo........................................................................................... 110
8.2.4.Confguracn de nceo............................................................................................................ 113
9
9.Gestn de espaco de memora de ntercambo (swap) en GNU/Lnux............120
9.1.Introduccn........................................................................................................................ 120
9.1.1.Ago de hstora.......................................................................................................................... 120
9.1.2.Ou es y como funcona e espaco de ntercambo?.................................................................120
9.1.3.Crcunstancas en asque se requere aumentar a cantdad de memora de ntercambo...........120
Procedmentos......................................................................................................................... 121
9.1.4.Cambar e tamao de a partcn.............................................................................................. 121
9.1.5.Crear un archvo para memora de ntercambo......................................................................... 121
9.2.Procedmentos................................................................................................................... 121
9.2.1.Actvar una partcn de ntercambo adcona...........................................................................121
9.2.2.Utzar un archvo como memora de ntercambo...................................................................... 122
9.2.3.Optmzando e sstema, cambando e vaor de /proc/sys/vm/swappness..................................123
10.Procedmentos de emergenca......................................................................125
10.1.Introduccn...................................................................................................................... 125
10.2.Dsco de rescate............................................................................................................... 125
10.3.Verfcacn de a ntegrdad de dsco..............................................................................126
10.4.Asgnacn de formato de as partcones.........................................................................127
11.Gestn de vomenes gcos........................................................................129
11.1.Introduccn...................................................................................................................... 129
Procedmentos......................................................................................................................... 129
11.1.1.Crear un voumen gco a partr de un dsco duro nuevo.........................................................129
11.1.2.Aadr un voumen fsco a un voumen gco exstente, a partr de espaco bre sn partconar
en un dsco duro.................................................................................................................................. 132
11.1.3.Outar una undad fsca a un voumen gco........................................................................... 135
11.2.Bbografa....................................................................................................................... 137
12.Optmzacn de os sstemas de archvos ext3 y ext4...................................139
12.1.Introduccn...................................................................................................................... 139
12.1.1.Acerca de Ext3......................................................................................................................... 139
12.1.2.Acerca de Ext4......................................................................................................................... 139
12.1.3.Acerca de regstro por daro (|ournang)................................................................................ 139
12.2.Procedmentos................................................................................................................. 140
12.2.1.Utzando e mandato e2fsck.................................................................................................... 140
12.2.2.Opcones de montado............................................................................................................... 141
12.2.3.Convrtendo partcones de Ext3 a Ext4................................................................................... 143
12.2.4.Emnando e regstro por daro (|ourna) de Ext4....................................................................145
12.3.Bbografa....................................................................................................................... 147
13.Cfrado de partcones con LUKS.....................................................................148
13.1.Introduccn...................................................................................................................... 148
13.2.Equpamento gco necesaro.........................................................................................148
13.3.Procedmentos................................................................................................................. 148
14.Cmo confgurar y utzar Sudo......................................................................151
14.1.Introduccn...................................................................................................................... 151
14.1.1.Hstora..................................................................................................................................... 151
14.2.1.Instaacn a travs de yum...................................................................................................... 152
14.2.2.Instaacn a travs de Up2date............................................................................................... 152
14.3.Archvo /etc/sudoers......................................................................................................... 152
14.3.1.Cmnd_Aas............................................................................................................................... 152
14.3.2.User_Aas................................................................................................................................. 153
14.3.3.Host_Aas................................................................................................................................. 153
14.3.4.Runas_Aas.............................................................................................................................. 153
10
14.4.Candados de segurdad.................................................................................................... 153
14.5.Lo que no se recomenda.................................................................................................. 154
14.6.Factando a vda a travs de -/.bash_profe..................................................................154
15.Cmo crear cuentas de usuaro......................................................................156
15.1.Introduccn...................................................................................................................... 156
15.2.Procedmentos................................................................................................................. 156
15.2.1.Creando una cuenta en e modo de texto: useradd y passwd...................................................156
15.2.2.Emnar una cuenta de usuaro................................................................................................ 158
15.3.Mane|o de grupos............................................................................................................. 159
15.3.1.Ata de grupos.......................................................................................................................... 159
15.3.2.Ata de grupos de sstema........................................................................................................ 159
15.3.3.Ba|a de grupos......................................................................................................................... 159
15.3.4.Asgnacn de usuaros exstentes a grupos exstentes............................................................159
15.4.Comentaros fnaes acerca de a segurdad.....................................................................159
15.5.Apndce: Confgurando vaores predefndos para e ata de cuentas de usuaro............161
15.5.1.Archvo /etc/defaut/useradd para defnr varabes utzadas por e mandato useradd............161
15.5.2.Drectoro /etc/ske como mode para crear os drectoros de nco de os usuaros.................162
15.6.Apndce: E|ercco: Creando cuentas de usuaro.............................................................163
15.6.1.Introduccn............................................................................................................................. 163
15.6.2.Procedmentos......................................................................................................................... 163
16.Breve eccn de mandatos bscos................................................................165
16.1.Introduccn...................................................................................................................... 165
16.2.Procedmentos................................................................................................................. 165
16.2.1.Vsuazando contendo de archvos.......................................................................................... 174
16.2.2.Buces....................................................................................................................................... 178
16.2.3.Aases...................................................................................................................................... 180
16.2.4.Apagado y renco de sstema.................................................................................................. 181
17.Compresn y descompresn de archvos......................................................183
17.1.Introduccn...................................................................................................................... 183
17.1.1.Acerca de ZIP........................................................................................................................... 183
17.1.2.Acerca de TAR.......................................................................................................................... 183
17.1.3.Acerca de GZIP......................................................................................................................... 183
17.1.4.Acerca de BZIP2....................................................................................................................... 183
17.1.5.Acerca de XZ............................................................................................................................ 184
17.2.Procedmentos................................................................................................................. 184
17.2.1.Compresn y descompresn de archvos *.zp........................................................................ 184
17.2.2.Creacn y extraccn de archvos *.tar.................................................................................... 184
17.2.3.Compresn y descompresn de archvos *.tar.gz...................................................................185
17.2.4.Compresn y descompresn de archvos *.tar.bz2.................................................................185
17.2.5.Compresn y descompresn de archvos *.tar.xz................................................................... 186
18.Gestn de procesos y traba|os.......................................................................187
18.1.Introduccn...................................................................................................................... 187
18.2.Procedmentos................................................................................................................. 187
18.2.1.Uso de |obs, bg y fg.................................................................................................................. 187
18.2.2.Uso de ps, k y ka............................................................................................................... 188
18.2.3.Uso de nce y rence................................................................................................................. 192
18.2.4.Uso de mandato top................................................................................................................ 194
19.Confguracn y uso de Crond.........................................................................195
19.1.Introduccn...................................................................................................................... 195
19.1.1.Acerca de servco crond.......................................................................................................... 195
19.3.Procedmentos................................................................................................................. 196
11
19.3.1.Formato para e archvo /etc/crontab........................................................................................ 196
Formato para utzar con e mandato crontab -e................................................................................. 197
19.3.2.E|empos de confguracones.................................................................................................... 198
20.Funcones bscas de v..................................................................................200
20.1.Introduccn...................................................................................................................... 200
20.2.Procedmentos................................................................................................................. 200
20.2.1.Instaacn y paquetes adconaes........................................................................................... 200
20.3.Conocendo v................................................................................................................... 200
20.4.Otras combnacones de tecas.........................................................................................213
20.5.Ms a de as funcones bscas..................................................................................... 214
21.Introduccn a sed..........................................................................................215
21.1.Introduccn...................................................................................................................... 215
21.1.1.Acerca de sed........................................................................................................................... 215
21.2.Procedmentos................................................................................................................. 215
21.3.Bbografa....................................................................................................................... 219
22.Introduccn a AWK.........................................................................................220
22.1.Introduccn...................................................................................................................... 220
22.1.1.Acerca de AWK......................................................................................................................... 220
22.1.2.Estructura de os programas escrtos en AWK.......................................................................... 220
22.2.Procedmentos................................................................................................................. 221
23.Permsos de Sstema de Archvos..................................................................226
23.1.Introduccn...................................................................................................................... 226
23.2.Notacn smbca........................................................................................................... 226
23.3.Notacn octa................................................................................................................... 227
23.3.1.Permsos adconaes................................................................................................................ 227
23.4.E|empos........................................................................................................................... 228
23.4.1.E|empos de permsos reguares............................................................................................... 228
23.4.2.E|empos de permsos especaes............................................................................................. 229
23.5.Uso de chmod................................................................................................................... 229
23.5.1.Opcones de chmod.................................................................................................................. 230
23.5.2.E mandato chmod y os enaces smbcos............................................................................. 230
24.Cmo utzar e mandato chattr.....................................................................231
24.1.Introduccn...................................................................................................................... 231
24.1.1.Acerca de mandato chattr....................................................................................................... 231
24.2.Opcones........................................................................................................................... 231
24.3.Operadores....................................................................................................................... 232
24.4.Atrbutos........................................................................................................................... 232
24.5.Utzacn......................................................................................................................... 233
24.5.1.E|empos................................................................................................................................... 233
25.Creando depstos yum..................................................................................234
25.1.Introduccn...................................................................................................................... 234
25.2.Procedmentos................................................................................................................. 234
26.Uso de yum para nstaar y desnstaar paquetera y actuazar sstema........236
26.1.Introduccn...................................................................................................................... 236
26.2.Procedmentos................................................................................................................. 236
26.2.1.Actuazar sstema.................................................................................................................... 236
26.2.2.Bsquedas................................................................................................................................ 236
26.2.3.Consuta de nformacn........................................................................................................... 236
12
26.2.4.Instaacn de paquetes............................................................................................................ 237
26.2.5.Desnstaacn de paquetes...................................................................................................... 237
26.2.6.Lstado de paquetes................................................................................................................. 238
26.2.7.Lmpeza de sstema................................................................................................................ 238
27.Cmo utzar RPM...........................................................................................239
27.1.Introduccn...................................................................................................................... 239
27.1.1.Acerca de RPM.......................................................................................................................... 239
27.2.Procedmentos................................................................................................................. 239
27.2.1.Reconstruccn de a base de datos de RPM............................................................................. 239
27.2.2.Consuta de paquetera nstaada en e sstema.......................................................................240
27.2.3.Instaacn de paquetes............................................................................................................ 242
27.2.4.Desnstaacn de paquetes...................................................................................................... 248
28.Cmo crear paquetera con rpmbud.............................................................250
28.1.Introduccn...................................................................................................................... 250
28.2.Instaacn de equpamento gco necesaro.................................................................250
28.3.Procedmentos................................................................................................................. 251
28.3.1.Creacn de a cave GnuPG...................................................................................................... 251
28.3.2.Confguracn y creacn de una |aua para rpmbud...............................................................251
28.3.3.Creacn de os archvos*.spec................................................................................................. 253
28.3.4.Uso de mandato rpmbud....................................................................................................... 256
28.4.E|erccos.......................................................................................................................... 258
28.4.1.Paquete RPM bnaro y e paquete *.src.rpm correspondente creando e archvo *.spec necesaro
............................................................................................................................................................ 258
28.4.2.Paquete RPM bnaro y e paquete *.src.rpm correspondente reazando mpeza de drectoro,
frma dgta......................................................................................................................................... 259
29.Cmo nstaar y utzar CamAV en CentOS....................................................260
29.1.Introduccn...................................................................................................................... 260
29.1.1.Acerca de CamAV.................................................................................................................... 260
29.2.1.Creacn de usuaro para CamAV............................................................................................ 260
29.3.Procedmentos................................................................................................................. 261
29.3.1.SELnux y e servco camav-mter.......................................................................................... 261
29.3.2.Confguracn de Freshcam..................................................................................................... 261
29.3.3.Uso bsco de mandato camscan............................................................................................ 262
30.Cmo asgnar cuotas de dsco en GNU/Lnux..................................................264
30.1.Introduccn...................................................................................................................... 264
30.1.1.Acerca de as cuotas de dsco................................................................................................... 264
30.1.2.Acerca de Inodos...................................................................................................................... 264
30.1.3.Acerca de Boques.................................................................................................................... 264
30.3.Procedmentos................................................................................................................. 265
30.3.1.Edquota.................................................................................................................................... 266
30.4.Comprobacones............................................................................................................... 268
31.Introduccn a TCP/IP......................................................................................270
31.1.Introduccn...................................................................................................................... 270
31.2.Nvees de pa.................................................................................................................. 270
31.2.1.Modeo TCP/IP........................................................................................................................... 271
31.2.2.Modeo OSI............................................................................................................................... 276
32.Introduccn a IP versn 4..............................................................................278
13
32.1.Introduccn...................................................................................................................... 278
32.2.Dreccones....................................................................................................................... 278
32.2.1.Representacn de as dreccones............................................................................................ 278
32.3.Asgnacn........................................................................................................................ 279
32.3.1.Boques reservados.................................................................................................................. 279
32.4.Referenca de sub-redes de IP versn 4...........................................................................281
32.5.Referencas....................................................................................................................... 282
33.Cmo confgurar os parmetros de red en Lnux...........................................283
33.1.Introduccn...................................................................................................................... 283
33.2.Procedmentos................................................................................................................. 283
33.2.1.Deteccn y confguracn de sustento fsco (hardware).........................................................283
33.2.2.NetworkManager...................................................................................................................... 284
33.2.3.Asgnacn de parmetros de red............................................................................................. 285
33.2.4.Agregar rutas esttcos............................................................................................................ 286
33.2.5.Funcn de Reenvo de paquetes para IP versn 4...................................................................287
33.2.6.Comprobacones....................................................................................................................... 287
33.2.7.Ata de dreccones IP vrtuaes................................................................................................. 288
33.2.8.La funcn Zeroconf.................................................................................................................. 288
E|erccos.................................................................................................................................. 289
33.2.9.Rutas esttcas......................................................................................................................... 289
33.2.10.E|ercco: Dreccones IP vrtuaes........................................................................................... 292
34.Cmo confgurar VLANs en GNU/Lnux............................................................296
34.1.Introduccn...................................................................................................................... 296
34.3.Procedmentos................................................................................................................. 296
34.3.1.Admnstrando dreccones IP de as VLANs a travs de un servdor DHCP................................299
35.Cmo confgurar acopamento de tar|etas de red (bondng).........................301
35.1.Introduccn...................................................................................................................... 301
35.2.Procedmentos................................................................................................................. 301
35.2.1.Archvo de confguracn /etc/modprobe.conf........................................................................... 301
35.2.2.Archvo de confguracn /etc/sysconfg/network-scrpts/bond0................................................303
35.2.3.Incar, detener y rencar e servco network.......................................................................... 304
35.3.Comprobacones............................................................................................................... 304
35.4.Bbografa....................................................................................................................... 305
36.Cmo conectarse a una red Wf desde a termna........................................306
36.1.Introduccn...................................................................................................................... 306
36.1.1.Oue es WPA? Por qu debera usaro en ugar de WEP?........................................................306
36.2.2.Preparatvos............................................................................................................................. 307
36.2.3.Autentcando en e punto de acceso......................................................................................... 308
36.2.4.Asgnando parmetros de red a a nterfaz............................................................................... 309
36.3.Bbografa....................................................................................................................... 311
37.Cmo utzar sof............................................................................................312
37.1.Introduccn...................................................................................................................... 312
37.1.1.Acerca de sof........................................................................................................................... 312
37.2.Procedmentos................................................................................................................. 312
38.Cmo utzar Netcat (nc)................................................................................315
38.1.Introduccn...................................................................................................................... 315
38.1.1.Acerca de Netcat...................................................................................................................... 315
14
38.3.Procedmentos................................................................................................................. 315
38.3.1.Conexones smpes.................................................................................................................. 315
38.3.2.Revsn de puertos.................................................................................................................. 316
38.3.3.Creando un modeo cente servdor......................................................................................... 317
38.3.4.Transferenca de datos............................................................................................................. 317
39.Como utzar Netstat......................................................................................318
39.1.Introduccn...................................................................................................................... 318
39.1.1.Acerca de Netstat..................................................................................................................... 318
39.2.Procedmentos................................................................................................................. 318
40.Cmo utzar ARP...........................................................................................323
40.1.Introduccn...................................................................................................................... 323
40.1.1.Acerca de ARP.......................................................................................................................... 323
40.2.Procedmentos................................................................................................................. 323
41.Introduccn a IPTABLES.................................................................................326
41.1.Introduccn...................................................................................................................... 326
41.1.1.Acerca de Iptabes y Netfter.................................................................................................... 326
41.3.Procedmentos................................................................................................................. 326
41.3.1.Cadenas................................................................................................................................... 326
41.3.2.Regas de destno..................................................................................................................... 327
41.3.3.Potcas por defecto................................................................................................................. 327
41.3.4.Lmpeza de regas especfcas................................................................................................. 327
41.3.5.Regas especfcas.................................................................................................................... 327
E|empos de regas.............................................................................................................................. 328
41.3.6.Emnar regas.......................................................................................................................... 329
41.3.7.Mostrar a sta de cadenas y regas......................................................................................... 329
41.3.8.Incar, detener y rencar e servco ptabes........................................................................... 331
41.3.9.Agregar e servco ptabes a arranque de sstema................................................................331
41.4.Bbografa....................................................................................................................... 331
42.Cmo utzar CBO...........................................................................................332
42.1.Introduccn...................................................................................................................... 332
42.1.1.Acerca de cbq........................................................................................................................... 332
42.2.Comprendendo a veocdad bnara (bt rate)..................................................................332
42.3.2.Instaacn a travs de up2date................................................................................................ 333
42.4.Preparatvos..................................................................................................................... 333
42.4.1.Parmetro DEVICE.................................................................................................................... 333
42.4.2.Parmetro de case WEIGHT..................................................................................................... 334
42.4.3.Parmetro de case PRIO.......................................................................................................... 334
42.4.4.Parmetro de case PARENT..................................................................................................... 334
42.4.5.Parmetro de case LEAF.......................................................................................................... 335
42.4.6.Parmetro de case BOUNDED.................................................................................................. 336
42.4.7.Parmetro de case ISOLETED.................................................................................................. 336
42.4.8.Parmetros de ftracn........................................................................................................... 336
42.5.Procedmentos................................................................................................................. 338
42.5.1.CBO sn compartr ancho de banda entre cases.......................................................................339
42.5.2.CBO compartendo ancho de banda entre cases.....................................................................340
42.5.3.Incar, detener y rencar e servco cbq................................................................................. 340
42.5.4.Agregar e servco cbq a arranque de sstema....................................................................... 341
15
43.Introduccn a SELnux en CentOS 5 y Fedora................................................342
43.1.Introduccn...................................................................................................................... 342
43.2.Ou es SELnux?.............................................................................................................. 342
43.3.Mandato getseboo........................................................................................................... 342
43.4.Mandato setseboo........................................................................................................... 343
43.4.1.Servcos de FTP....................................................................................................................... 343
43.4.2.OpenVPN.................................................................................................................................. 344
43.4.3.Apache..................................................................................................................................... 344
43.4.4.Samba...................................................................................................................................... 344
43.4.5.Otros servcos.......................................................................................................................... 345
44.Cmo confgurar un servdor DHCP en una LAN.............................................347
44.1.Introduccn...................................................................................................................... 347
44.1.1.Acerca de protocoo DHCP....................................................................................................... 347
44.1.2.Acerca de dhcp por Internet Software Consortum, Inc.............................................................348
44.3.Modfcacones necesaras en e muro cortafuegos...........................................................348
44.4.Procedmentos................................................................................................................. 349
44.4.1.SELnux y e servco dhcpd...................................................................................................... 349
44.4.2.Archvo de confguracn /etc/sysconfg/dhcpd.........................................................................349
44.4.3.Archvo de confguracn dhcpd.conf........................................................................................ 349
44.4.4.Incar, detener, y rencar, e servco dhcpd........................................................................... 351
44.4.5.Agregar e servco dhcpd a nco de sstema......................................................................... 352
44.4.6.Lmtar e acceso por dreccn MAC......................................................................................... 352
44.4.7.Confguracn para funconar con DNS dnmco......................................................................353
44.5.Comprobacones desde cente DHCP...............................................................................357
45.Instaacn y confguracn vsftpd (Very Secure FTP Daemon).......................359
45.1.Introduccn...................................................................................................................... 359
45.1.1.Acerca de protocoo FTP.......................................................................................................... 359
45.1.2.Acerca de protocoo FTPS........................................................................................................ 359
45.1.3.Acerca de RSA.......................................................................................................................... 359
45.1.4.Acerca de OpenSSL.................................................................................................................. 360
45.1.5.Acerca de X.509....................................................................................................................... 360
45.1.6.Acerca de vsftpd....................................................................................................................... 360
45.3.Archvos de confguracn................................................................................................. 360
45.4.Procedmentos................................................................................................................. 361
45.4.1.SELnux, y e servco vsftpd..................................................................................................... 361
45.4.2.Archvo /etc/vsftpd/vsftpd.conf................................................................................................. 361
45.4.3.Parmetro anonymous_enabe................................................................................................. 362
45.4.4.Parmetro oca_enabe............................................................................................................ 362
45.4.5.Parmetro wrte_enabe............................................................................................................ 362
45.4.6.Parmetro anon_upoad_enabe............................................................................................... 362
45.4.7.Parmetro anon_mkdr_wrte_enabe........................................................................................ 362
45.4.8.Parmetro ftpd_banner............................................................................................................. 362
45.4.9.Estabecendo |auas para os usuaros: parmetros chroot_oca_user, y chroot_st_fe..........363
45.4.10.Contro de ancho de banda.................................................................................................... 363
45.4.11.Soporte SSL/TLS para VFSTPD................................................................................................ 364
45.4.12.Incar, detener, y rencar e servco vsftpd..........................................................................367
45.4.13.Agregar e servco vsftpd a arranque de sstema.................................................................367
46.Confguracn de OpenSSH.............................................................................369
46.1.Introduccn...................................................................................................................... 369
46.1.1.Acerca de SSH.......................................................................................................................... 369
16
46.1.2.Acerca de SFTP......................................................................................................................... 369
46.1.3.Acerca de SCP.......................................................................................................................... 369
46.1.4.Acerca de OpenSSH.................................................................................................................. 369
46.3.SELnux y e servco sshd................................................................................................. 370
46.3.1.Potca ssh_chroot_rw_homedrs.............................................................................................. 370
46.3.2.Potca fenced_can_ssh............................................................................................................ 370
46.3.3.Potca ssh_sysadm_ogn......................................................................................................... 370
46.3.4.Potca aow_ssh_keysgn........................................................................................................ 370
46.4.Archvos de confguracn................................................................................................. 371
46.5.Procedmentos................................................................................................................. 371
46.5.1.Parmetro Port......................................................................................................................... 371
46.5.2.Parmetro LstenAddress.......................................................................................................... 371
46.5.3.Parmetro PermtRootLogn...................................................................................................... 371
46.5.4.Parmetro X11Forwardng........................................................................................................ 371
46.5.5.Parmetro AowUsers............................................................................................................... 372
46.6.Apcando os cambos...................................................................................................... 372
46.7.Probando OpenSSH........................................................................................................... 372
46.7.1.Acceso a travs de ntrprete de mandatos............................................................................. 372
46.7.2.Transferenca de archvos a travs de SFTP.............................................................................. 373
46.7.3.Transferenca de archvos a travs de SCP............................................................................... 375
47.OpenSSH con autentcacn a travs de frma dgta.....................................378
47.1.Introduccn...................................................................................................................... 378
47.2.Procedmentos................................................................................................................. 378
47.2.1.Modfcacones en e Servdor remoto....................................................................................... 378
47.2.2.Modfcacones en e cente...................................................................................................... 379
47.2.3.Comprobacones....................................................................................................................... 380
48.Cmo confgurar NTP......................................................................................381
48.1.Introduccn...................................................................................................................... 381
48.1.1.Acerca de NTP.......................................................................................................................... 381
48.1.2.Acerca de UTC.......................................................................................................................... 382
48.3.Procedmentos................................................................................................................. 382
48.3.1.Herramenta ntpdate................................................................................................................ 382
48.3.2.Archvo de confguracn /etc/ntp.conf..................................................................................... 383
48.3.3.Incar, detener y rencar e servco ntpd................................................................................ 384
48.3.4.Agregar e servco ntpd a arranque de sstema...................................................................... 384
49.Cmo confgurar e sstema para sesones grfcas remotas..........................385
49.1.Introduccn...................................................................................................................... 385
49.2.Sesn grfca remota con GDM........................................................................................ 385
49.2.1.Procedmento.......................................................................................................................... 385
50.Cmo confgurar un servdor NFS...................................................................388
50.1.Introduccn...................................................................................................................... 388
50.2.Procedmentos................................................................................................................. 388
50.2.1.Instaacn de equpamento gco necesaro......................................................................... 388
50.3.Confgurando a segurdad................................................................................................ 388
50.3.1.Compartr un voumen NFS....................................................................................................... 389
50.3.2.Confgurando as mqunas centes......................................................................................... 390
50.4.Instaacn de GNU/Lnux a travs de un servdor NFS......................................................392
17
51.Cmo confgurar Samba bsco......................................................................393
51.1.Introduccn...................................................................................................................... 393
51.1.1.Acerca de protocoo SMB......................................................................................................... 393
51.1.2.Acerca de Samba...................................................................................................................... 393
51.3.Procedmentos................................................................................................................. 394
51.3.1.SELnux y e servco smb......................................................................................................... 394
51.3.2.Ata de cuentas de usuaro....................................................................................................... 395
51.3.3.E archvo mhosts.................................................................................................................... 395
51.3.4.Parmetros prncpaes de archvo smb.conf........................................................................... 396
51.3.5.Parmetro remote announce.................................................................................................... 397
51.3.6.Impresoras en Samba............................................................................................................... 398
51.3.7.Compartendo drectoros a travs de Samba...........................................................................398
51.4.Incar e servco, y aadro a arranque de sstema.......................................................400
51.5.Comprobacones............................................................................................................... 401
51.5.1.Modo texto............................................................................................................................... 401
51.5.2.Modo grfco............................................................................................................................. 402
52.Cmo confgurar Samba denegando acceso a certos archvos......................404
52.1.Introduccn...................................................................................................................... 404
52.2.Procedmentos................................................................................................................. 404
52.4.Comprobacones............................................................................................................... 405
53.Cmo confgurar Samba con Papeera de Recca|e........................................406
53.1.Introduccn...................................................................................................................... 406
53.2.Procedmentos................................................................................................................. 406
53.4.Comprobacones............................................................................................................... 408
54.Cmo nstaar y confgurar Samba-Vscan en CentOS 5..................................411
54.1.Introduccn...................................................................................................................... 411
54.2.Acerca de Samba-Vscan................................................................................................... 411
54.3.Instaacn de equpamento gco necesaro..................................................................411
54.4.Procedmentos................................................................................................................. 411
55.Cmo confgurar Samba como cente o servdor WINS..................................415
55.1.Introduccn...................................................................................................................... 415
55.2.Procedmentos................................................................................................................. 415
55.2.1.Parmetros wns server, y wns support................................................................................... 415
55.2.2.Parmetro name resove order................................................................................................. 416
55.2.3.Parmetro wns proxy............................................................................................................... 416
55.2.4.Parmetro dns proxy................................................................................................................ 416
55.2.5.Parmetro max tt..................................................................................................................... 416
55.2.6.Parmetros max wns tt y mn wns tt..................................................................................... 417
56.La ngenera soca y os |ncorrectos| hbtos de usuaro.............................418
56.1.Introduccn...................................................................................................................... 418
56.2.Recomendacones para evtar ser vctmas de a ngenera soca a travs de correo
eectrnco................................................................................................................................ 419
57.Instaacn, confguracn y optmzacn de Spamassassn...........................420
57.1.Introduccn...................................................................................................................... 420
18
57.1.1.Acerca de SpamAssassn.......................................................................................................... 420
57.1.2.Acerca de Procma................................................................................................................... 420
57.3.SELnux y e servco spamasssassn.................................................................................421
57.3.1.Potcas de SEnux................................................................................................................... 421
57.3.2.Otros a|ustes de SELnux.......................................................................................................... 422
57.4.Procedmentos................................................................................................................. 424
57.4.1.Incar e servco y aadro a os servcos de arranque de sstema........................................424
57.4.2.Confguracn de Procma........................................................................................................ 424
57.4.3.Confguracn de archvo /etc/ma/spamassassn/oca.cf........................................................425
57.5.Conse|os para sacare me|or provecho a Spamassassn utzando sa-earn......................427
57.6.Incrementando as capacdades de ftrado......................................................................428
57.6.1.Optmzando Spamassassn...................................................................................................... 429
57.6.2.Por qu Per-Ma-SPF, Per-Razor-Agent, Pyzor, Spamassassn-FuzzyOcr y popper-uts?.......430
58.Confguracn smpe para Antvrus y Antspam............................................431
58.1.Procedmentos................................................................................................................. 431
59.Introduccn a os protocoos de correo eectrnco.......................................435
59.1.Introduccn...................................................................................................................... 435
59.1.1.Preparatvos............................................................................................................................. 435
59.1.2.Protocoos utzados................................................................................................................. 436
59.2.Referencas....................................................................................................................... 439
60.Confguracn bsca de Sendma..................................................................440
60.1.Introduccn...................................................................................................................... 440
60.1.1.Acerca de Sendma.................................................................................................................. 440
60.1.2.Acerca de Dovecot.................................................................................................................... 440
60.1.3.Acerca de SASL, y Cyrus SASL.................................................................................................. 440
Instaacn a travs de yum................................................................................................................. 441
60.3.Procedmentos................................................................................................................. 441
60.3.1.Defnendo Sendma como agente de transporte de correo predetermnado...........................441
60.3.2.Ata de cuentas de usuaro, y asgnacn de caves de acceso.................................................442
60.3.3.Domnos a admnstrar............................................................................................................ 443
60.3.4.Contro de acceso..................................................................................................................... 443
60.3.5.Aas de a cuenta de root......................................................................................................... 445
60.3.6.Confguracn de funcones de Sendma.................................................................................. 446
60.3.7.Confguracn de Dovecot........................................................................................................ 450
60.3.8.Aadr a nco de sstema e ncar servcos dovecot, y sendma...........................................451
60.5.Lecturas posterores......................................................................................................... 452
61.Cmo confgurar Sendma y Dovecot con soporte SSL/TLS............................453
61.1.Introduccn...................................................................................................................... 453
61.1.1.Acerca de DSA.......................................................................................................................... 453
61.1.2.Acerca de RSA.......................................................................................................................... 453
61.1.3.Acerca de X.509....................................................................................................................... 453
61.2.Procedmentos................................................................................................................. 454
61.2.1.Generando frma dgta y certfcado........................................................................................ 454
61.2.2.Confguracn de Sendma. ..................................................................................................... 456
61.2.3.Confguracn de Dovecot. ....................................................................................................... 458
61.3.Comprobacones............................................................................................................... 459
61.3.1.Confguracn de GNOME Evouton.......................................................................................... 459
61.3.2.Confguracn Moza Thunderbrd........................................................................................... 461
19
62.Confguracn avanzada de Sendma.............................................................464
62.1.Antes de contnuar........................................................................................................... 464
62.2.Usuaros Vrtuaes............................................................................................................. 464
62.3.Encamnamento de domnos........................................................................................... 466
62.3.1.Redundanca de servdor de correo......................................................................................... 466
62.3.2.Servdor de correo ntermedaro.............................................................................................. 467
62.4.Verfcando e servco....................................................................................................... 467
62.5.Pruebas de envo de correo.............................................................................................. 469
62.5.1.Utzando nc............................................................................................................................. 469
62.5.2.Utzando mutt......................................................................................................................... 470
63.Opcones avanzadas de segurdad para Sendma..........................................472
63.1.Introduccn...................................................................................................................... 472
63.2.Funcones......................................................................................................................... 472
63.2.1.confMAX_RCPTS_PER_MESSAGE............................................................................................... 472
63.2.2.confBAD_RCPT_THROTTLE........................................................................................................ 472
63.2.3.confPRIVACY_FLAGS................................................................................................................. 473
63.2.4.confMAX_HEADERS_LENGTH..................................................................................................... 473
63.2.5.confMAX_MESSAGE_SIZE.......................................................................................................... 473
63.2.6.confMAX_DAEMON_CHILDREN.................................................................................................. 473
63.2.7.confCONNECTION_RATE_THROTTLE.......................................................................................... 474
64.Cmo nstaar y confgurar Postfx y Dovecot con soporte para TLS y
autentcacn.......................................................................................................475
64.1.Introduccn...................................................................................................................... 475
64.1.1.Acerca de Postfx...................................................................................................................... 475
64.1.2.Acerca de Dovecot.................................................................................................................... 475
64.1.3.Acerca de SASL, y Cyrus SASL.................................................................................................. 475
64.1.4.Acerca de DSA.......................................................................................................................... 476
64.1.5.Acerca de RSA.......................................................................................................................... 476
64.1.6.Acerca de X.509....................................................................................................................... 476
64.3.Procedmentos................................................................................................................. 477
64.3.1.Defnendo Postfx como agente de transporte de correo predetermnado...............................477
64.3.2.SELnux, y Postfx..................................................................................................................... 477
64.3.3.Confguracn de Postfx........................................................................................................... 480
64.3.4.Confguracn de Dovecot en CentOS 5, y Red Hat Enterprse Lnux 5.....................................483
64.3.5.Confguracn de Dovecot en CentOS 6, y Red Hat Enterprse Lnux 6.....................................484
64.3.6.Incar servcos, y aadr stos a arranque de sstema...........................................................485
64.3.7.Soporte para LMTP................................................................................................................... 485
64.3.8.Modfcacones necesaras en e muro cortafuegos................................................................... 485
64.3.9.Requstos en a zona de reenvo en e servdor DNS................................................................486
64.4.Comprobacones............................................................................................................... 486
64.4.1.A travs de termna................................................................................................................. 486
64.4.2.A travs de centes de correo eectrnco................................................................................ 487
65.Cmo nstaar y confgurar Amavsd-new con Postfx en CentOS 5................492
65.1.Introduccn...................................................................................................................... 492
65.1.1.Acerca de Amavsd-new........................................................................................................... 492
65.2.Equpamento gco necesaro. ....................................................................................... 492
65.2.2.Confguracn de depstos YUM para CentOS 5 y Red Hat Enterprse Lnux 5.........................493
65.3.Procedmentos................................................................................................................. 493
65.3.1.Confguracn de SELnux......................................................................................................... 493
65.3.2.Confguracn de Amavsd-new................................................................................................ 494
20
65.3.4.Incar, detener y rencar e servco spamass-mter...............................................................495
65.3.5.Postfx con domnos vrtuaes y Amavsd-new..........................................................................496
66.Cmo confgurar Postfx en CentOS 5 para utzar domnos vrtuaes con
usuaros de sstema............................................................................................497
66.1.Introduccn...................................................................................................................... 497
66.2.Procedmentos................................................................................................................. 497
66.2.3.Rencar e servco postfx....................................................................................................... 501
67.Cmo confgurar Cyrus IMAP...........................................................................502
67.1.Introduccn...................................................................................................................... 502
67.3.Procedmentos................................................................................................................. 503
67.3.1.Ata de cuentas de usuaro y asgnacn de caves de acceso..................................................503
67.3.2.Incar, detener y rencar e servco cyrus-mapd....................................................................504
67.3.3.Agregar e servco cyrus-mapd a arranque de sstema.........................................................504
67.3.4.Integracn con Sendma......................................................................................................... 504
67.4.Comprobacones............................................................................................................... 504
68.Apndce: Envar correo a todos os usuaros de sstema..............................507
68.1.Procedmentos................................................................................................................. 507
68.2.Acerca de a segurdad..................................................................................................... 507
69.Cmo nstaar y confgurar e programa vacaton para responder avsos
automtcos en vacacones..................................................................................508
69.1.Intruccn......................................................................................................................... 508
69.3.Procedmentos................................................................................................................. 509
70.Cmo confgurar camav-mter......................................................................511
70.1.Introduccn...................................................................................................................... 511
70.1.1.Acerca de camav-mter........................................................................................................... 511
70.1.2.Acerca de CamAV.................................................................................................................... 511
70.3.Procedmentos................................................................................................................. 512
70.3.1.SELnux, y e servco camav-mter......................................................................................... 512
70.3.2.Requstos prevos.................................................................................................................... 514
70.3.3.Archvo /etc/ma/sendma.mc.................................................................................................. 514
70.3.4.Confguracn........................................................................................................................... 514
70.3.5.Incar, detener, y rencar e servco camav-mter................................................................515
71.Cmo confgurar spamass-mter....................................................................516
71.1.Introduccn...................................................................................................................... 516
71.1.1.Requstos prevos.................................................................................................................... 516
71.1.2.Acerca de spamass-mter........................................................................................................ 516
71.1.3.Acerca de SpamAssassn.......................................................................................................... 516
21
71.3.Procedmentos................................................................................................................. 517
71.3.1.SELnux y e servco spamass-mter........................................................................................ 517
71.3.2.Archvo /etc/ma/sendma.mc.................................................................................................. 519
71.3.3.Archvo /etc/sysconfg/spamass-mter...................................................................................... 520
71.3.4.Archvo /etc/procmarc............................................................................................................. 521
Archvo /etc/sysconfg/spamassassn................................................................................................... 522
71.3.5.Incar, detener y rencar e servco spamass-mter...............................................................522
72.Cmo confgurar un servdor NIS....................................................................524
72.1.Introduccn...................................................................................................................... 524
72.2.Procedmentos................................................................................................................. 524
Instaacn de equpamento gco necesaro en e servdor NIS........................................................524
72.2.2.Confguracn de servdor NIS.................................................................................................. 525
72.2.3.Instaacn de equpamento gco necesaro en e cente NIS...............................................527
72.2.4.Confguracn de cente NIS.................................................................................................... 527
73.Introduccn a OpenLDAP...............................................................................530
73.1.Introduccn...................................................................................................................... 530
73.1.1.Acerca de LDAP........................................................................................................................ 530
73.1.2.Acerca de RSA.......................................................................................................................... 530
73.1.3.Acerca de X.509....................................................................................................................... 530
74.Cmo confgurar OpenLDAP como servdor de autentcacn.........................532
75.Introduccn....................................................................................................533
Instaacn a travs de yum................................................................................................................. 533
75.2.Procedmentos................................................................................................................. 533
75.2.1.SELnux y e servco dap......................................................................................................... 533
75.2.2.Certfcados para TLS/SSL......................................................................................................... 533
75.2.3.Creacn de drectoros............................................................................................................. 535
75.2.4.Creacn de caves de acceso para LDAP.................................................................................. 535
75.2.5.Archvo de confguracn /etc/opendap/sapd.conf................................................................... 536
75.2.6.Inco de servco...................................................................................................................... 538
75.2.7.Mgracn de cuentas exstentes en e sstema......................................................................... 538
75.3.Comprobacones............................................................................................................... 540
75.4.Confguracn de centes................................................................................................. 541
75.5.Admnstracn.................................................................................................................. 542
75.6.Respado de datos............................................................................................................ 542
75.7.Restauracn de datos...................................................................................................... 543
76.Cmo nstaar y confgurar MySOL...............................................................546
76.1.Introduccn...................................................................................................................... 546
76.1.1.Acerca de MySOL................................................................................................................... 546
76.3.Procedmentos................................................................................................................. 547
76.3.1.SELnux y e servco mysqd..................................................................................................... 547
76.3.2.Incar, detener y rencar e servco mysqd............................................................................ 547
76.3.3.Agregar e servco mysqd a arranque de sstema................................................................. 547
76.3.4.Asgnacn de cave de acceso a usuaro root..........................................................................547
76.4.Creando y destruyendo bases de datos............................................................................549
76.5.Otorgando permsos a os usuaros...................................................................................549
22
77.Confguracn bsca de Apache.....................................................................552
77.1.Introduccn...................................................................................................................... 552
77.1.1.Acerca de protocoo HTTP........................................................................................................ 552
77.1.2.Acerca de Apache..................................................................................................................... 552
77.3.Incar servco y aadr e servco a arranque de sstema..............................................553
77.4.Procedmentos................................................................................................................. 554
77.4.1.SELnux y Apache..................................................................................................................... 554
77.4.2.UTF-8 y codfcacn de documentos........................................................................................ 555
77.4.3.Archvos de confguracn........................................................................................................ 556
77.4.4.Drectoros vrtuaes................................................................................................................. 556
77.4.5.Redreccn de drectoros........................................................................................................ 557
77.4.6.Tpos de MIME.......................................................................................................................... 557
77.4.7.Soporte para CGI con extensn *.cg....................................................................................... 557
77.4.8.Robo de mgenes.................................................................................................................... 559
77.6.Apndce: Confguracn de Stos de Red vrtuaes en Apache.........................................560
78.Cmo habtar os archvos .htaccess y SSI )Server Sde Incudes) en Apache
2.x........................................................................................................................562
78.1.Introduccn...................................................................................................................... 562
78.2.Procedmentos................................................................................................................. 562
78.2.1.Autentcacn de drectoros..................................................................................................... 562
78.2.2.Asgnacn de drectvas para PHP............................................................................................ 564
79.Confguracn de Apache con soporte SSL/TLS. .............................................566
79.1.Introduccn...................................................................................................................... 566
79.1.1.Acerca de HTTPS...................................................................................................................... 566
79.1.2.Acerca de RSA.......................................................................................................................... 566
79.1.3.Acerca de Trpe DES................................................................................................................ 566
79.1.4.Acerca de X.509....................................................................................................................... 567
79.1.6.Acerca de mod_ss.................................................................................................................... 567
79.2.Requstos......................................................................................................................... 567
79.4.Procedmentos................................................................................................................. 568
79.4.1.Generando frma dgta y certfcado........................................................................................ 568
79.4.2.Confguracn smpe de Apache para un soo domno.............................................................569
79.4.3.Confguracn de Apache para mtpes domnos...................................................................570
79.4.4.Comprobacn.......................................................................................................................... 571
79.4.5.Modfcacones necesaras en e muro cortafuegos................................................................... 572
80.Introduccn a protocoo DNS........................................................................573
80.2.Conceptos......................................................................................................................... 573
80.2.1.Acerca de protocoo DNS (Doman Name System)................................................................... 573
80.2.2.Ou es un NIC (Network Informaton Center)?......................................................................... 573
80.2.3.Ou es un FODN (Fuy Ouafed Doman Name)?................................................................... 573
80.2.4.Componentes de DNS............................................................................................................... 574
80.2.5.Herramentas de bsqueda y consuta..................................................................................... 577
81.Cmo confgurar un servdor de nombres de domno (DNS)..........................580
81.1.Introduccn...................................................................................................................... 580
23
81.1.1.Acerca de Bnd (Berkeey Internet Name Doman)....................................................................580
81.3.Procedmentos................................................................................................................. 581
81.3.1.SELnux y e servco named..................................................................................................... 581
81.3.2.Preparatvos............................................................................................................................. 583
81.3.3.Creacn de os archvos de zona............................................................................................. 586
81.3.4.Segurdad adcona en DNS para uso pbco.......................................................................... 591
81.3.5.Segurdad adcona en DNS para uso excusvo en red oca....................................................597
81.3.6.Las zonas escavas................................................................................................................... 599
81.3.7.Segurdad adcona para transferencas de zona..................................................................... 600
81.3.8.Rencar servco y depuracn de confguracn...................................................................... 603
82.Confguracn de Squd: Parmetros bscos..................................................605
82.1.Introduccn...................................................................................................................... 605
82.1.1.Ou es Servdor Intermedaro (Proxy)?................................................................................... 605
82.1.2.Acerca de Squd........................................................................................................................ 606
82.3.SELnux y e servco squd................................................................................................ 607
82.4.Antes de contnuar........................................................................................................... 607
82.5.Confguracn bsca........................................................................................................ 608
82.5.1.Controes de acceso................................................................................................................. 608
82.5.2.Apcando Lstas y Regas de contro de acceso........................................................................610
82.5.3.Parmetro cache_mgr.............................................................................................................. 612
82.5.4.Parmetro http_port................................................................................................................. 612
82.5.5.Parmetro cache_dr................................................................................................................. 612
82.5.6.Parmetro cache_mem............................................................................................................. 613
82.5.7.Parmetro cache_peer: caches padres y hermanos..................................................................613
82.6.Estabecendo e doma de os mensa|es mostrados por de Squd haca e usuaro..........614
82.7.Incando, rencando y aadendo e servco a arranque de sstema.............................614
82.8.Depuracn de errores...................................................................................................... 615
82.9.A|ustes para e muro corta-fuegos....................................................................................615
Re-drecconamento de petcones a travs de ptabes......................................................................616
82.9.1.Re-drecconamento de petcones a travs de a opcn REDIRECT en Shorewa....................616
83.Confguracn de Squd: Acceso por autentcacn.........................................617
83.1.Introduccn...................................................................................................................... 617
Egendo e mduo de autentcacn.......................................................................................617
83.2.1.Autentcacn a travs de mduo LDAP.................................................................................. 617
83.2.2.Autentcacn a travs de mduo NCSA.................................................................................. 618
83.3.Lstas y regas de contro de acceso.................................................................................619
83.3.1.Fnazando procedmento........................................................................................................ 620
84.Confguracn de Squd: Restrccn de acceso a Stos de Internet...............621
84.1.Introduccn...................................................................................................................... 621
84.2.Restrccn por expresones reguares..............................................................................621
84.3.Restrccn por expresones reguares..............................................................................622
84.3.1.Permtendo acceso a stos nocentes ncdentamente boqueados.........................................623
85.Confguracn de Squd: Restrccn de acceso a contendo por extensn.. . .625
85.1.Introduccn...................................................................................................................... 625
85.2.Defnendo eementos de a Lsta de Contro de Acceso....................................................625
24
86.Confguracn de Squd: Restrccn de acceso por horaros..........................628
86.1.Introduccn...................................................................................................................... 628
86.2.Procedmentos................................................................................................................. 628
86.2.1.Ms e|empos............................................................................................................................ 629
87.Cmo confgurar squd con soporte para dreccones MAC.............................631
87.1.Introduccn...................................................................................................................... 631
87.1.1.Acerca de Squd........................................................................................................................ 631
87.3.Procedmentos................................................................................................................. 631
Archvo /etc/squd/stas/macsredoca................................................................................................. 632
87.3.1.Archvo /etc/squd/squd.conf.................................................................................................... 632
87.4.Incar, detener y rencar e servco squd.......................................................................633
88.Cmo nstaar y confgurar a herramenta de reportes Sarg..........................634
88.1.Introduccn...................................................................................................................... 634
88.3.Procedmentos................................................................................................................. 634
89.Apndce: Lstas y regas de contro de acceso para Squd............................638
89.0.1.Regas apcadas....................................................................................................................... 638
90.Cmo confgurar un muro cortafuegos con Shorewa y tres nterfaces de red....
640
90.1.Introduccn...................................................................................................................... 640
90.1.1.Acerca de Shorewa................................................................................................................. 640
90.1.2.Acerca de Iptabes y Netfter.................................................................................................... 640
90.1.3.Acerca de Iproute..................................................................................................................... 640
90.1.4.Requstos................................................................................................................................. 641
90.2.Conceptos requerdos....................................................................................................... 641
90.2.1.Ou es una zona desmtarzada?........................................................................................... 641
90.2.2.Oue es una Red Prvada?........................................................................................................ 642
90.2.3.Ou es un NAT?...................................................................................................................... 642
90.2.4.Ou es un DNAT?.................................................................................................................... 642
90.4.Procedmentos................................................................................................................. 643
90.4.2.Archvo de confguracn /etc/shorewa/shorewa.conf............................................................644
90.4.3.Archvo de confguracn /etc/shorewa/zones......................................................................... 644
90.4.4.Archvo de confguracn /etc/shorewa/nterfaces................................................................... 644
90.4.5.Archvo de confguracn /etc/shorewa/pocy......................................................................... 645
90.4.6.Archvo de confguracn /etc/shorewa/masq.......................................................................... 646
90.4.7.Archvo de confguracn /etc/shorewa/rues........................................................................... 646
90.5.Incar e cortafuegos y aadro a os servcos de arranque de sstema..........................649
91.Cmo confgurar un servdor de OpenVPN......................................................651
91.1.Introduccn...................................................................................................................... 651
91.1.1.Acerca de OpenVPN.................................................................................................................. 651
91.1.2.Breve expcacn de o que se ograr con este documento....................................................651
91.2.1.Instaacn en CentOS 5........................................................................................................... 652
91.3.Procedmentos................................................................................................................. 653
91.3.1.Confguracn de muro cortafuegos con Shorewa................................................................... 657
91.3.2.Confguracn de centes Wndows.......................................................................................... 658
25
91.3.3.Centes GNU/Lnux................................................................................................................... 661
91.4.Bbografa....................................................................................................................... 667
92.Cmo confgurar SNMP...................................................................................668
92.1.Introduccn...................................................................................................................... 668
92.1.1.Acerca de SNMP....................................................................................................................... 668
92.1.2.Acerca de Net-SNMP................................................................................................................. 668
92.3.Procedmentos................................................................................................................. 669
Archvo de confguracn /etc/snmp/snmpd.conf................................................................................. 669
92.3.2.Un e|empo funcona de confguracn..................................................................................... 671
92.3.3.Incar, detener y rencar e servco snmpd............................................................................ 671
92.3.4.Agregar e servco snmpd a arranque de sstema..................................................................672
92.4.Comprobacones............................................................................................................... 672
93.Cmo confgurar MRTG...................................................................................673
93.1.Introduccn...................................................................................................................... 673
93.1.1.Acerca de MRTG....................................................................................................................... 673
93.3.Procedmentos................................................................................................................. 673
93.4.Comprobacones............................................................................................................... 674
94.Cmo confgurar Freeradus con MySOL en CentOS 5....................................676
94.1.Introduccn...................................................................................................................... 676
94.1.1.Acerca de RADIUS.................................................................................................................... 676
94.1.2.Acerca de Freeradus................................................................................................................ 676
94.1.3.Acerca de Daoradus................................................................................................................ 677
94.2.Procedmentos................................................................................................................. 677
94.2.1.Instaar Daoradus para admnstracn a travs de HTTP........................................................681
94.3.Bbografa....................................................................................................................... 682
95.Cmo nstaar |ava 1.6 en CentOS 5...............................................................683
95.1.Introduccn...................................................................................................................... 683
95.3.Procedmentos................................................................................................................. 683
95.3.1.Creacn de usuaro para utzar rpmbud............................................................................... 683
95.3.2.Creacn de estructura de drectoros para rpmbud................................................................683
96.Cmo confgurar escner en red.....................................................................687
96.1.Introduccn...................................................................................................................... 687
96.1.1.Acerca de SANE........................................................................................................................ 687
96.1.2.Acerca de Xsane....................................................................................................................... 687
96.2.1.Instaacn de servco saned................................................................................................... 688
96.2.2.Instaacn de cente Xsane.................................................................................................... 688
96.3.Procedmentos................................................................................................................. 688
96.3.1.Confguracn de servco saned.............................................................................................. 688
96.3.2.Confguracn de cente Xsane................................................................................................ 690
97.Cmo confgurar un servdor de respados con BackupPC..............................691
26
97.1.Introduccn...................................................................................................................... 691
97.2.1.Instaacn en CentOS 5........................................................................................................... 691
97.3.Procedmentos................................................................................................................. 692
97.3.1.Confguracn de Apache.......................................................................................................... 692
97.3.2.Confguracn de BackupPC...................................................................................................... 693
97.3.3.Confguracn de os sstemas GNU/Lnux a respadar..............................................................694
97.3.4.Confguracn de os sstemas Wndows a respadar.................................................................696
98.Cmo confgurar un racmo (custer) de ata dsponbdad con Heartbeat en
CentOS 5..............................................................................................................701
98.1.Introduccn...................................................................................................................... 701
98.1.1.Acerca de Heartbeat................................................................................................................. 701
98.2.Procedmentos................................................................................................................. 702
98.2.1.Servcos que deben desactvarse............................................................................................. 702
98.2.2.SELnux y Heartbeat................................................................................................................. 702
98.2.3.Confguracn de Nodo 1......................................................................................................... 705
98.2.4.Confguracn de Nodo 2......................................................................................................... 710
98.2.5.Verfcando e agrupamento (custer)....................................................................................... 712
99.Usando Smartd para antcpar os desastres de dsco duro............................714
99.1.Introduccn...................................................................................................................... 714
99.2.Procedmentos................................................................................................................. 714
100.Cmo crear un dsco con nstaacn personazada de CentOS 5................716
100.1.Instaacn de equpamento gco necesaro................................................................716
100.2.Procedmentos............................................................................................................... 716
100.2.1.Creacn de archvo de confguracn de nstaacn personazada.......................................716
100.2.2.Creacn de drectoro de traba|o y contendo de msmo......................................................717
100.2.3.Aadr equpamento gco adcona..................................................................................... 719
100.2.4.Creacn de a magen ISO..................................................................................................... 720
101.E|erccos.......................................................................................................722
101.1.E|ercco NFS................................................................................................................... 722
101.1.1.Introduccn........................................................................................................................... 722
101.1.2.Procedmentos....................................................................................................................... 722
101.2.E|ercco SAMBA.............................................................................................................. 724
101.2.1.Procedmentos....................................................................................................................... 724
101.3.E|ercco Apache y VSFTPD.......................................................................................... 727
101.3.1.Procedmentos....................................................................................................................... 727
101.3.2.Comprobacones..................................................................................................................... 728
101.4.E|ercco: Cuotas de dsco, Apache, VSFTPD y DNS.........................................................730
101.4.1.Procedmentos....................................................................................................................... 730
101.4.2.Comprobacones..................................................................................................................... 733
Notas....................................................................................................................735
27
%n&ormacin de Derec$os reservados
de esta pu!licacin.
'econocimiento()oComercial(Compartir%gual *.+
,sted es li!re de-
copar, dstrbur y comuncar pbcamente a obra
hacer obras dervadas
Ba.o las condiciones siguientes-
'econocimiento. Debe reconocer y ctar a autor orgna.
)o comercial. No puede utzar esta obra para fnes comercaes.
Compartir !a.o la misma licencia. S atera o transforma esta obra, o
genera una obra dervada, so puede dstrbur a obra generada ba|o una
cenca dntca a sta.
A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta
obra.
Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os
derechos de autor
os derec$os derivados de usos legtimos u otras limitaciones no se ven a&ectados por
lo anterior.
'econocimiento()oComercial(Compartir%gual *.+
CREATIVE COMMONS CORPORATION NO ES UN DESPACHO DE ABOGADOS Y NO PROPORCIONA SERVICIOS |URDICOS. LA DISTRIBUCION DE
ESTA LICENCIA NO CREA UNA RELACION ABOGADO-CLIENTE. CREATIVE COMMONS PROPORCIONA ESTA INFORMACION TAL CUAL (ON AN "AS-
IS" BASIS). CREATIVE COMMONS NO OFRECE GARANTA ALGUNA RESPECTO DE LA INFORMACION PROPORCIONADA, NI ASUME
RESPONSABILIDAD ALGUNA POR DANOS PRODUCIDOS A CONSECUENCIA DE SU USO.
%icencia
LA OBRA (SEGN SE DEFINE MAS ADELANTE) SE PROPORCIONA BA|O TRMINOS DE ESTA LICENCIA PBLICA DE CREATIVE COMMONS ("CCPL"
O "LICENCIA"). LA OBRA SE ENCUENTRA PROTEGIDA POR LA LEY ESPANOLA DE PROPIEDAD INTELECTUAL Y/O CUALESOUIERA OTRAS NORMAS
RESULTEN DE APLICACION. OUEDA PROHIBIDO CUALOUIER USO DE LA OBRA DIFERENTE A LO AUTORIZADO BA|O ESTA LICENCIA O LO
DISPUESTO EN LAS LEYES DE PROPIEDAD INTELECTUAL.
28
MEDIANTE EL E|ERCICIO DE CUALOUIER DERECHO SOBRE LA OBRA, USTED ACEPTA Y CONSIENTE LAS LIMITACIONES Y OBLIGACIONES DE
ESTA LICENCIA. EL LICENCIADOR LE CEDE LOS DERECHOS CONTENIDOS EN ESTA LICENCIA, SIEMPRE OUE USTED ACEPTE LOS PRESENTES
TRMINOS Y CONDICIONES.
+. De&iniciones
a. La /o!ra/ es a creacn terara, artstca o centfca ofrecda ba|o os trmnos de esta cenca.
b. E /autor/ es a persona o a entdad que cre a obra.
c. Se consderar /o!ra con.unta/ aquea susceptbe de ser ncuda en aguna de as sguentes categoras:
. /0!ra en cola!oracin/, entendendo por ta aquea que sea resutado untaro de a coaboracn de varos autores.
d. /0!ra colectiva/, entendendo por ta a creada por a ncatva y ba|o a coordnacn de una persona natura o |urdca que a
modfque y dvugue ba|o su nombre y que est consttuda por a reunn de aportacones de dferentes autores cuya contrbucn
persona se funde en una creacn nca y autnoma, para a cua haya sdo concebda sn que sea posbe atrbur separadamente
a cuaquera de eos un derecho sobre e con|unto de a obra reazada.
e. /0!ra compuesta e independiente/, entendendo por ta a obra nueva que ncorpore una obra preexstente sn a coaboracn
de autor de esta tma.
f. Se consderarn /o!ras derivadas/ aqueas que se encuentren basadas en una obra o en una obra y otras preexstentes, taes
como: as traduccones y adaptacones; as revsones, actuazacones y anotacones; os compendos, resmenes y extractos; os
arregos muscaes y, en genera, cuaesquera transformacones de una obra terara, artstca o centfca, savo que a obra
resutante tenga e carcter de obra con|unta en cuyo caso no ser consderada como una obra dervada a os efectos de esta
cenca. Para evtar a duda, s a obra consste en una composcn musca o grabacn de sondos, a sncronzacn tempora de
a obra con una magen en movmento ("synchng") ser consderada como una obra dervada a os efectos de esta cenca.
g. Tendrn a consderacn de /o!ras audiovisuales/ as creacones expresadas medante una sere de mgenes asocadas, con o
sn sonorzacn ncorporada, as como as composcones muscaes, que estn destnadas esencamente a ser mostradas a travs
de aparatos de proyeccn o por cuaquer otro medo de comuncacn pbca de a magen y de sondo, con ndependenca de a
naturaeza de os soportes materaes de dchas obras.
h. E /licenciador/ es a persona o a entdad que ofrece a obra ba|o os trmnos de esta cenca y e cede os derechos de
expotacn de a msma conforme a o dspuesto en ea.
. /,sted/ es a persona o a entdad que e|ercta os derechos ceddos medante esta cenca y que no ha voado prevamente os
trmnos de a msma con respecto a a obra, o que ha recbdo e permso expreso de cencador de e|erctar os derechos ceddos
medante esta cenca a pesar de una voacn anteror.
|. La /trans&ormacin/ de una obra comprende su traduccn, adaptacn y cuaquer otra modfcacn en su forma de a que se
derve una obra dferente. Cuando se trate de una base de datos segn se defne ms adeante, se consderar tambn
transformacn a reordenacn de a msma. La creacn resutante de a transformacn de una obra tendr a consderacn de
obra dervada.
k. Se entende por /reproduccin/ a f|acn de a obra en un medo que permta su comuncacn y a obtencn de copas de toda o
parte de ea.
. Se entende por /distri!ucin/ a puesta a dsposcn de pbco de orgna o copas de a obra medante su venta, aquer,
prstamo o de cuaquer otra forma.
m. Se entender por /comunicacin p1!lica/ todo acto por e cua una puradad de personas pueda tener acceso a a obra sn
preva dstrbucn de e|empares a cada una de eas. No se consderar pbca a comuncacn cuando se ceebre dentro de un
mbto estrctamente domstco que no est ntegrado o conectado a una red de dfusn de cuaquer tpo. A efectos de esta
cenca se consderar comuncacn pbca a puesta a dsposcn de pbco de a obra por procedmentos ambrcos o
nambrcos, ncuda a puesta a dsposcn de pbco de a obra de ta forma que cuaquer persona pueda acceder a ea desde
e ugar y en e momento que e|a.
n. La /e2plotacin/ de a obra comprende su reproduccn, dstrbucn, comuncacn pbca y transformacn.
29
o. Tendrn a consderacn de /!ases de datos/ as coeccones de obras a|enas, de datos o de otros eementos ndependentes
como as antoogas y as bases de datos propamente dchas que por a seeccn o dsposcn de sus contendos consttuyan
creacones nteectuaes, sn per|uco, en su caso, de os derechos que puderan subsstr sobre dchos contendos.
p. Los /elementos de la licencia/ son as caracterstcas prncpaes de a cenca segn a seeccn efectuada por e cencador e
ndcadas en e ttuo de esta cenca: Reconocmento de autora (Reconocmento), Sn uso comerca (NoComerca), Compartr de
manera gua (CompartrIgua).
*. mites y uso legtimo de los derec$os. Nada en esta cenca pretende reducr o restrngr cuaesquera mtes egaes de os derechos
excusvos de ttuar de os derechos de propedad nteectua de acuerdo con a Ley de Propedad Inteectua o cuaesquera otras eyes
apcabes, ya sean dervados de usos egtmos, taes como e derecho de copa prvada o e derecho a cta, u otras mtacones como a
dervada de a prmera venta de e|empares.
3. Concesin de licencia. Conforme a os trmnos y a as condcones de esta cenca, e cencador concede (durante toda a vgenca de
os derechos de propedad nteectua) una cenca de mbto munda, sn derecho de remuneracn, no excusva e ndefnda que ncuye a
cesn de os sguentes derechos:
a. Derecho de reproduccn, dstrbucn y comuncacn pbca sobre a obra;
b. Derecho a ncorporara en una o ms obras con|untas o bases de datos y para su reproduccn en tanto que ncorporada a dchas
obras con|untas o bases de datos;
c. Derecho para efectuar cuaquer transformacn sobre a obra y crear y reproducr obras dervadas;
d. Derecho de dstrbucn y comuncacn pbca de copas o grabacones de a obra, como ncorporada a obras con|untas o bases de
datos;
e. Derecho de dstrbucn y comuncacn pbca de copas o grabacones de a obra, por medo de una obra dervada.
Los anterores derechos se pueden e|erctar en todos os medos y formatos, tangbes o ntangbes, conocdos o por conocer. Los derechos
menconados ncuyen e derecho a efectuar as modfcacones que sean precsas tcncamente para e e|ercco de os derechos en otros
medos y formatos. Todos os derechos no ceddos expresamente por e cencador quedan reservados, ncuyendo, a ttuo enuncatvo pero
no mtatvo, os estabecdos en a seccn 4(e).
4. 'estricciones. La cesn de derechos que supone esta cenca se encuentra su|eta y mtada a as restrccones sguentes:
a. Usted puede reproducr, dstrbur o comuncar pbcamente a obra soamente ba|o trmnos de esta cenca y debe ncur una
copa de a msma, o su Identfcador Unforme de Recurso (URI), con cada copa o grabacn de a obra que usted reproduzca,
dstrbuya o comunque pbcamente. Usted no puede ofrecer o mponer nngn trmno sobre a obra que atere o restrn|a os
trmnos de esta cenca o e e|ercco de sus derechos por parte de os cesonaros de a msma. Usted no puede subcencar a
obra. Usted debe mantener ntactos todos os avsos que se referan a esta cenca y a a ausenca de garantas. Usted no puede
reproducr, dstrbur o comuncar pbcamente a obra con meddas tecnogcas que controen e acceso o uso de a obra de una
manera contrara a os trmnos de esta cenca. Lo anteror se apca a una obra en tanto que ncorporada a una obra con|unta o
base de datos, pero no mpca que stas, a margen de a obra ob|eto de esta cenca, tengan que estar su|etas a os trmnos de
a msma. S usted crea una obra con|unta o base de datos, preva comuncacn de cencador, usted deber qutar de a obra
con|unta o base de datos cuaquer referenca a dcho cencador o a autor orgna, segn o que se e requera y en a medda de
o posbe. S usted crea una obra dervada, preva comuncacn de cencador, usted deber qutar de a obra dervada cuaquer
referenca a dcho cencador o a autor orgna, o que se e requera y en a medda de o posbe.
b. Usted puede reproducr, dstrbur o comuncar pbcamente una obra dervada soamente ba|o os trmnos de esta cenca, o de
una versn posteror de esta cenca con sus msmos eementos prncpaes, o de una cenca Commons de Creatve Commons
que contenga os msmos eementos prncpaes que esta cenca (e|empo: Reconocmento-NoComerca-Compartr 2.0 |apn).
Usted debe ncur una copa de a esta cenca o de a menconada anterormente, o ben su Identfcador Unforme de Recurso
(URI), con cada copa o grabacn de a obra que usted reproduzca, dstrbuya o comunque pbcamente. Usted no puede ofrecer o
mponer nngn trmno respecto de as obras dervadas o sus transformacones que ateren o restrn|an os trmnos de esta
cenca o e e|ercco de sus derechos por parte de os cesonaros de a msma, Usted debe mantener ntactos todos os avsos que
se referan a esta cenca y a a ausenca de garantas. Usted no puede reproducr, dstrbur o comuncar pbcamente a obra
dervada con meddas tecnogcas que controen e acceso o uso de a obra de una manera contrara a os trmnos de esta
cenca. Lo anteror se apca a una obra dervada en tanto que ncorporada a una obra con|unta o base de datos, pero no mpca
que stas, a margen de a obra ob|eto de esta cenca, tengan que estar su|etas a os trmnos de esta cenca.
c. Usted no puede e|erctar nnguno de os derechos ceddos en a seccn 3 anteror de manera que pretenda prncpamente o se
encuentre drgda haca a obtencn de un benefco mercant o a remuneracn monetara prvada. E ntercambo de a obra por
otras obras protegdas por a propedad nteectua medante sstemas de compartr archvos no se consderar como una manera
que pretenda prncpamente o se encuentre drgda haca a obtencn de un benefco mercant o a remuneracn monetara
prvada, sempre que no haya nngn pago de cuaquer remuneracn monetara en reacn con e ntercambo de as obras
protegdas.
30
d. S usted reproduce, dstrbuye o comunca pbcamente a obra o cuaquer obra dervada, con|unta o base datos que a ncorpore,
usted debe mantener ntactos todos os avsos sobre a propedad nteectua de a obra y reconocer a autor orgna, de manera
razonabe conforme a medo o a os medos que usted est utzando, ndcando e nombre (o e seudnmo, en su caso) de autor
orgna s es factado; e ttuo de a obra s es factado; de manera razonabe, e Identfcador Unforme de Recurso (URI), s
exste, que e cencador especfca para ser vncuado a a obra, a menos que ta URI no se refera a avso sobre propedad
nteectua o a a nformacn sobre a cenca de a obra; y en e caso de una obra dervada, un avso que dentfque e uso de a
obra en a obra dervada (e.g., "traduccn francesa de a obra de Autor Orgna," o "gun basado en obra orgna de Autor
Orgna"). Ta avso se puede desarroar de cuaquer manera razonabe; con ta de que, sn embargo, en e caso de una obra
dervada, con|unta o base datos, aparezca como mnmo este avso a donde aparezcan os avsos correspondentes a otros
autores y de forma comparabe a os msmos.
e. Para evtar a duda, sn per|uco de a preceptva autorzacn de cencador, y especamente cuando a obra se trate de una obra
audovsua, e cencador se reserva e derecho excusvo a percbr, tanto ndvduamente como medante una entdad de gestn
de derechos, o varas, (por e|empo: SGAE, Dama, VEGAP), os derechos de expotacn de a obra, as como os dervados de obras
dervadas, con|untas o bases de datos, s dcha expotacn pretende prncpamente o se encuentra drgda haca a obtencn de
un benefco mercant o a remuneracn monetara prvada.
f. En e caso de a ncusn de a obra en aguna base de datos o recopacn, e propetaro o e gestor de a base de datos deber
renuncar a cuaquer derecho reaconado con esta ncusn y concernente a os usos de a obra una vez extrada de as bases de
datos, ya sea de manera ndvdua o con|untamente con otros materaes.
5. "2oneracin de responsa!ilidad
A MENOS OUE SE ACUERDE MUTUAMENTE ENTRE LAS PARTES, EL LICENCIADOR OFRECE LA OBRA TAL CUAL (ON AN "AS-IS" BASIS) Y NO
CONFIERE NINGUNA GARANTA DE CUALOUIER TIPO RESPECTO DE LA OBRA O DE LA PRESENCIA O AUSENCIA DE ERRORES OUE PUEDAN O
NO SER DESCUBIERTOS. ALGUNAS |URISDICCIONES NO PERMITEN LA EXCLUSION DE TALES GARANTAS, POR LO OUE TAL EXCLUSION PUEDE
NO SER DE APLICACION A USTED.
6. imitacin de responsa!ilidad.
SALVO OUE LO DISPONGA EXPRESA E IMPERATIVAMENTE LA LEY APLICABLE, EN NINGN CASO EL LICENCIADOR SERA RESPONSABLE ANTE
USTED POR CUALOUIER TEORA LEGAL DE CUALESOUIERA DANOS RESULTANTES, GENERALES O ESPECIALES (INCLUIDO EL DANO
EMERGENTE Y EL LUCRO CESANTE), FORTUITOS O CAUSALES, DIRECTOS O INDIRECTOS, PRODUCIDOS EN CONEXION CON ESTA LICENCIA O
EL USO DE LA OBRA, INCLUSO SI EL LICENCIADOR HUBIERA SIDO INFORMADO DE LA POSIBILIDAD DE TALES DANOS.
7. Finali8acin de la licencia
a. Esta cenca y a cesn de os derechos que contene termnarn automtcamente en caso de cuaquer ncumpmento de os
trmnos de a msma. Las personas o entdades que hayan recbdo obras dervadas, con|untas o bases de datos de usted ba|o esta
cenca, sn embargo, no vern sus cencas fnazadas, sempre que taes personas o entdades se mantengan en e cumpmento
ntegro de esta cenca. Las seccones 1, 2, 5, 6, 7 y 8 permanecern vgentes pese a cuaquer fnazacn de esta cenca.
b. Conforme a as condcones y trmnos anterores, a cesn de derechos de esta cenca es perpetua (durante toda a vgenca de
os derechos de propedad nteectua apcabes a a obra). A pesar de o anteror, e cencador se reserva e derecho a dvugar o
pubcar a obra en condcones dstntas a as presentes, o de retrar a obra en cuaquer momento. No obstante, eo no supondr
dar por concuda esta cenca (o cuaquer otra cenca que haya sdo concedda, o sea necesaro ser concedda, ba|o os trmnos
de esta cenca), que contnuar vgente y con efectos competos a no ser que haya fnazado conforme a o estabecdo
anterormente.
9. :iscel;nea
a. Cada vez que usted expote de aguna forma a obra, o una obra con|unta o una base datos que a ncorpore, e cencador orgna
ofrece a os terceros y sucesvos cencataros a cesn de derechos sobre a obra en as msmas condcones y trmnos que a
cenca concedda a usted.
b. Cada vez que usted expote de aguna forma una obra dervada, e cencador orgna ofrece a os terceros y sucesvos
cencataros a cesn de derechos sobre a obra orgna en as msmas condcones y trmnos que a cenca concedda a usted.
c. S aguna dsposcn de esta cenca resuta nvda o napcabe segn a Ley vgente, eo no afectar a vadez o apcabdad
de resto de os trmnos de esta cenca y, sn nnguna accn adcona por cuaquera as partes de este acuerdo, ta dsposcn
se entender reformada en o estrctamente necesaro para hacer que ta dsposcn sea vda y e|ecutva.
d. No se entender que exste renunca respecto de agn trmno o dsposcn de esta cenca, n que se consente voacn aguna
de a msma, a menos que ta renunca o consentmento fgure por escrto y eve a frma de a parte que renunce o consenta.
e. Esta cenca consttuye e acuerdo peno entre as partes con respecto a a obra ob|eto de a cenca. No caben nterpretacones,
acuerdos o trmnos con respecto a a obra que no se encuentren expresamente especfcados en a presente cenca. E
cencador no estar obgado por nnguna dsposcn compementara que pueda aparecer en cuaquer comuncacn de usted.
Esta cenca no se puede modfcar sn e mutuo acuerdo por escrto entre e cencador y usted.
31
Creatve Commons no es parte de esta cenca, y no ofrece nnguna garanta en reacn con a obra. Creatve Commons no ser responsabe
frente a usted o a cuaquer parte, por cuaquer teora ega de cuaesquera daos resutantes, ncuyendo, pero no mtado, daos generaes
o especaes (ncudo e dao emergente y e ucro cesante), fortutos o causaes, en conexn con esta cenca. A pesar de as dos (2)
oracones anterores, s Creatve Commons se ha dentfcado expresamente como e cencador, tendr todos os derechos y obgacones de
cencador.
Savo para e propsto mtado de ndcar a pbco que a obra est cencada ba|o a CCPL, nnguna parte utzar a marca regstrada
"Creatve Commons" o cuaquer marca regstrada o nsgna reaconada con "Creatve Commons" sn su consentmento por escrto.
Cuaquer uso permtdo se har de conformdad con as pautas vgentes en cada momento sobre e uso de a marca regstrada por "Creatve
Commons", en tanto que sean pubcadas su pgna web (webste) o sean proporconadas a petcn preva.
<uede contactar con Creative Commons en- $ttp-==creativecommons.org=.
32
0tras notas acerca de esta pu!licacin.
La nformacn contenda en este manua se dstrbuye con a esperanza de que sea de utdad, y se proporcona ta cua es pero >%)
?A'A)@AA A?,)A, an sn a garanta mpcta de comercazacn o adecuamento para un propsto en partcuar, y e autor o autores
no asumrn responsabdad aguna s e usuaro o ector hace ma uso de esta.
Lnux es una marca regstrada de Lnus Torvads, Red Hat Lnux, RPM y GLINT son marcas regstradas de Red Hat Software, Unx es
marca regstrada de X/Open. MS-DOS, MS-Offce y Wndows son marcas regstradas de Mcrosoft Corporaton. X Wndow System es
marca regstrada de X Consortum, Inc., TrueType es una marca regstrada de Appe Computer, WordPerfect es una marca regstrada de
Core Corporaton, StarOffce es una marca regstrada de Sun Mycrosystems. Apache es una marca regstrada de The Apache Group.
Fetchma es una marca regstrada de Erc S. Raymond. Sendma es una marca regstrada de Sendma, Inc. Darkshram es 1987 y
marca regstrada de |oe Barros Dueas.
33
+. Bue es ?),=inu2?
Autor: "oel Barrios &ue!as
Correo electrnico: dar'sram en gmail punto com
Sitio de Red: http://www.alcancelibre.org/
Creative Commons 'econocimiento()oComercial(Compartir%gual *.+
1999-2011 |oe Barros Dueas. Usted es bre de copar, dstrbur y comuncar pbcamente a obra y hacer obras dervadas ba|o as
condcones sguentes: a) Debe reconocer y ctar a autor orgna. b) No puede utzar esta obra para fnes comercaes. c) S atera o
transforma esta obra, o genera una obra dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o
dstrbur a obra, tene que de|ar ben caro os trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se
obtene e permso de ttuar de os derechos de autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o
anteror. La nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn
responsabdad aguna s e usuaro o ector hace ma uso de stos.
?), es un acrnmo recursvo que sgnfca ?), )o es ,ni2 (?NU s )ot ,nx). Este proyecto fue
ncado por 'ic$ard >tallman, y anuncado e 27 de septembre de 1983, con e ob|etvo de crear
un sstema operatvo competamente bre.
?),=inu2C es un poderoso y sumamente verst sstema operatvo con cenca bre y que
mpemente e estndar <0>%D (acrnmo de <ortabe 0peratng >ystem %nterface, que se traduce
como Interfaz de Sstema Operatvo Portabe). Fue creado en 1991 por inus @orvalds, sendo
entonces un estudante de a Unversdad de Hesnsk, Fnanda. En 1992, e nceo inu2> fue
combnado con e sstema ?),. E Sstema Operatvo formado por esta combnacn se conoce
como ?),=inu2.
GNU/Lnux es e#uipamiento lgico li!re o $oft(are %ibre. Esto sgnfca que e usuaro tene a
bertad de redstrbur y modfcar a de acuerdo a necesdades especfcas, sempre que se ncuya
e cdgo fuente, como o ndca a Lcenca Pbca Genera GNU (acrnmo de ?NU s )ot ,nx),
que es e modo que ha dspuesto a Free Software Foundaton (Fundacn de equpamento gco
bre). Esto tambn ncuye e derecho a poder nstaar e nceo de ?),=inu2C en cuaquer
nmero de ordenadores o equpos de cmputo que e usuaro desee.
GNU/Lnux no es e#uipamiento lgico gratuito (comnmente denomnado como Freeware),
se trata de e#uipamiento lgico li!re o $oft(are %ibre. Cuando nos referrnos a libre, o
hacemos en reacn a a bertad y no a preco. La ?< (acrnmo de ?enera <ubc cence, que
se traduce como Lcenca Pbca Genera), a a cua Lnus Torvads ncorpor a Lnux, est
dseada para asegurar que e usuaro tenga sempre a bertad de dstrbur copas de
equpamento gco (y cobrar por e servco s as o desea). La ?< tene como ob|etvo
garantzar a usuaro a bertad de compartr y cambar e#uipamiento lgico li!re, es decr,
asegurarse de que e equpamento gco sempre permanezca bre para todos os usuaros. La
?< es apcabe a a mayora de equpamento gco de a Free Software Foundaton as como a
cuaquer otro programa cuyos autores se comprometan a usaro.
GNU/Lnux es tambn de a me|or aternatva de sgo XXI para os usuaros que no soo desean
bertad, sno que tambn desean un sstema operatvo estabe, robusto y confabe. Es un sstema
operatvo dneo para utzar en Redes, como es e caso de servdores, estacones de traba|o y
tam!in para computadoras personaes.
Las caracterstcas de GNU/Lnux e permten desempear mtpes tareas en forma smutnea
de forma segura y confabe. Los dstntos servcos servcos se pueden detener, ncar o rencar
ndependentemente sn afectar a resto de sstema permtendo operar as 24 horas de da os
365 das de ao.
34
Ta ha sdo e mpacto acanzado por GNU/Lnux en os tmos aos, que muchas de as
empresas de Software ms mportantes de mundo, entre as cuaes estn IBM, Orace, y Sun
Mcrosystems, han encontrado en GNU/Lnux una pataforma con un muy ampo mercado, y se
han vocado a desarroo de versones para Lnux de sus ms mportantes apcacones. Grandes
corporacones, como Compaq, De, Hewett Packard, IBM y muchos ms, evan varos aos
dstrbuyendo equpos con GNU/Lnux como sstema operatvo.
Gracas a sus caracterstcas, a constante evoucn de os ambentes grfcos para X Wndow,
que cada vez son de ms fc uso, como es e caso de GNOME y KDE, a traba|o de centos de
programadores y usuaros fees arededor de mundo, Lnux ha de|ado de ser un sstema operatvo
poco atractvo y compcado de utzar para convertrse en una aternatva rea para quenes
buscan un sstema operatvo confabe y poderoso, ya sea para una servdor, estacn de traba|o o
a computadora persona de un usuaro ntrpdo.
+.+. 'e#uerimientos del sistema
Se debe contar con a sufcente cantdad de memora y un mcroprocesador en buen estado. Con
cas cuaquer dstrbucn comerca de Lnux, e ambente grfco necestar a menos 640 MB
RAM, y 1 GB de espaco bre en dsco duro para a nstaacn mnma. Para contar con una
cantdad mnma de apcacones, se requeren a menos 2 GB adconaes de espaco bre en dsco
duro, repartdo en a menos 3 partcones. Se recomenda como mnmo un mcroprocesador 686 a
1 GHz. Sn ambente grfco, como es e caso de un servdor, o ben soamente apcacones para
modo de texto, se requeren a menos 384 MB RAM, y un mcroprocesador 686 a 500 MHz sern
sufcentes.
E servdor de vdeo puede funconar con so 128 MB RAM; pero su desempeo ser
e2tremadamente lento. Agunas apcacones para modo grfco pueden necestar escaar 256
MB, 512 MB o 1 GB de RAM adcona. E mnmo recomendado para utzar GNOME 2.x es de 384
MB RAM; se recomendan 512 MB. E ptmo es de 1 GB RAM.
S desea nstaar Lnux en una computadora persona con as sufcentes apcacones para ser
totamente funcona y productvo y contar con e espaco necesaro para nstaar herramentas de
ofcna (OpenOffce.org), se recomienda contar con a menos 4 GB de espaco bre en dsco, a
menos 512 MB RAM, y un mcroprocesador 686, a cuando menos 1 GHz.
E nstaador en modo texto de Cent0> 6 y 'ed Eat "nterprise inu2 6 requere a menos 384
MB RAM., mentras que e nstaador en modo grfco de stos requere a menos 640 MB RAM.
35
*. "st;ndar de Jerar#ua de >istema de Arc$ivos
Sitio de Red: ttp)**(((.alcancelibre.org*
Artculo basado sobre el publicado en ingls por +i'ipedia, ,nciclopedia %ibre, en ttp)**en.(i'ipedia.org*(i'i*-.$.
*.+. %ntroduccin.
E estndar de |erarqua de archvos (FE> o Fesystem Eerarchy >tandard) defne os prncpaes
drectoros y sus contendos en GNU/Lnux y otros sstemas operatvos smares a Unx.
E procesos de desarroar un estndar de sstema de archvos |errquco nc en Agosto de 1993
con un esfuerzo para reorganzar a estructuras de archvos y drectoros de GNU/Lnux. E 14 de
Febrero de 1994 se pubc e F>>@)D (Fesystem >tandard), un estndar de |erarqua de
archvos especfco para GNU/Lnux. Revsones de ste se pubcaron e 9 de Octubre de 1994 y e
28 de Marzo de 1995.
A prncpos de 1996, con a ayuda de membros de a comundad de desarroadores de BSD, se
f| como ob|etvo e desarroar una versn de F>>@)D ms detaada y drgda no soo haca
Lnux sno tambn haca otros sstemas operatvos smares a Unx. Como uno de os resutados e
estndar camb de nombre a FE> o Fesystem Eerarchy >tandard.
E FE> es mantendo por Free >tandards ?roup, una organzacn sn fnes de ucro consttuda
por compaas que manufacturan sustento fsco (.ard(are) y equpamento gco ($oft(are)
como Hewett Packard, De, IBM y Red Hat. La mayora de as dstrbucones de Lnux, ncusve as
que forman parte de Free Software Standards, sn apcar de forma estrcta e estndar.
La versn 2.3 de FHS, que es a utzada por Cent0> 5, Cent0> 6, 'ed Eat "nterprise inu2
5, y 'ed Eat "nterprise inu2 6, fue anuncada e 29 de enero de 2004.
*.*. "structura de directorios.
Todos os archvos y drectoros aparecen deba|o de drectoro raz /, an s estn amacenados
en dspostvos fscamente dferentes.
36
Directorio. Descripcin
/bin/ Mandatos bnaros esencaes (como son cp, mv, s, rm, mkdr, etc.),
/boot/ Archvos utzados durante e nco de sstema (nceo y dscos RAM),
/dev/ Dspostvos esencaes,
/etc/ Archvos de confguracn utzados en todo e sstema, y que son
especfcos de anftrn.
/etc/opt/ Archvos de confguracn utzados por programas ao|ados dentro
de /opt/
/etc/X11/ (opcional) Archvos de confguracn para e sstema X Wndow.
/etc/sgml/ (opcional) Archvos de confguracn para SGML.
/etc/xml/ (opcional) Archvos de confguracn para XML.

/home/ (opcional) Drectoros de nco de os usuaros ocaes.
/lib/ y /lib64/ Bbotecas compartdas esencaes para os bnaros de /bn/, /sbn/ y e
nceo de sstema. /b64/ corresponde a drectoro utzado por
sstemas de 64-bt.
/mnt/ Sstemas de archvos montados temporamente.
/media/ Puntos de monta|e para dspostvos de medos, como son as undades
ectoras de dscos compactos.
/opt/ Paquetes de apcacones de terceros.
/proc/ Sstema de archvos vrtua que documenta sucesos, y estados de
nceo. Contene, prncpamente, archvos de texto.
/root/ (opcional) Drectoro de nco de usuaro root (super-usuaro).
/sbin/ Bnaros de admnstracn de sstema.
/tmp/ Archvos temporaes
/srv/ Datos especfcos de sto, servdos por e sstema.

37
/usr/ |erarqua secundara para datos compartdos de soo ectura (,nx
system resources). Este drectoro debe poder ser compartdo para
mtpes anftrones, y, cuando se comprate a travs de NFS, debe
evtarse que contenga datos especfcos de anftrn que os comparte.
/usr/bin/ Mandatos bnaros.
/usr/include/ Archvos de ncusn estndar (cabeceras de desarroo).
/usr/lib/ y /usr/lib64 Bbotecas compartdas. /usr/b64/ corresponde a drectoro utzado
por sstemas de 64-bt.
/usr/share/ Datos compartdos, ndependentes de a arqutectura de sstema.
Consste en mgenes, archvos de texto, archvos de audo, etc.
/usr/src/ (opcional) Cdgos fuente.
/usr/X11R6/ (opcional) Sstema X Wndow, versn 11, anzamento 6. Prctcamente nnguna
dstrbucn de Lnux o utza en a actuadad.
/usr/local/ |erarqua tercara para datos compartdos de soo-ectura, especfcos
de anftrn.

/var/ Archvos varabes, como son btcoras, bases de datos, drectoro
raz de servdores HTTP, y FTP, coas de correo, archvos temporaes,
etc.
/var/account/ (opcional) Procesa btcoras de cuentas de usuaros.
/var/cache/ Cache da datos de apcacones.
/var/crash/ (opcional) Depsto de nformacn referente a faas de de sstema.
/var/games/ (opcional) Datos varabes de apcacones para |uegos.
/var/lib/ Informacn de estado varabe. Agunos servdores como MySOL, y
PostgreSOL, amacenan sus bases de datos en drectoros
subordnados de ste.
/var/lock/ Archvos de boqueo de os servcos en e|ecucn.
/var/log/ Archvos, y drectoros, utzados para amacenar as btcoras de
eventos de sstema.
/var/mail/ (opcional) Buzones de correo de usuaros.
/var/opt/ Datos varabes de /opt/.
/var/spool/ Coas de procesamento, y carretes de datos de apcacones.
/var/tmp/ Archvos temporaes que prevaecen despus de un renco.
Ms detaes acerca de FE> en http://www.pathname.com/fhs/.
*.3. <articiones recomendadas para instalar Cent0>F o 'ed
Eat "nterprise inu2.
Como mnmo se requeren tres partcones:
38
/boot Requere de 200 MB a 512 MB.
/ Requere de 3072 MB a 5120 MB.
Sap S se tene menos de 1 GB de RAM, se debe asgnar e do!le del
tamao del 'A: &sico; s se tene ms de 1 GB RAM, se debe
asgnar una cantdad gua a tamao de RAM fsco, ms 2 GB. sta
ser sempre a tma partcn de espaco dsponbe para
amacenamento, y |ams se e asgna punto de monta|e.
Lo sguentes drectoros |ams sempre debern estar dentro de a partcn que corresponda a =,
es decr, |ams se deben asgnar como partcones separadas:
/etc
/bn
/dev
/b y /b64
/meda
/mnt
/proc
/root
/sbn
/sys
Para futuras versones de CentOS y Red Hat, probabemente as versones 7 de stos, e
drectoro /var tambn deber estar en a msma partcn que corresponda a =.
Otras partcones que se recomenda asgnar, son:
39
/usr Requere a menos 3072 MB en nstaacones bscas. Debe
consderarse e equpamento gco se panee nstaar a futuro. Para
uso genera se recomendan a menos de 5120 MB, y, de ser posbe,
consdere un tamao ptmo de hasta 20480 MB.
/tmp Requere a menos 350 MB, y puede asgnarse hasta 5 GB, o ms,
dependendo de a carga de traba|o, y de tpo de apcacones. S, por
e|empo, e sstema cuenta con un grabador de DVD, ser necesaro
asgnar a /tmp e espaco sufcente para amacenar una magen de
dsco DVD, es decr, a menos 4.2 GB, asumendo que es de una soa
cara, y de densdad smpe.
/var Requere al menos 3072 MB en estacones de traba|o sin servicios.
En servdores reguarmente se e asgna al menos la mitad del
espacio disponi!le para almacenamiento.
/home En estacones de traba|o, a esta partcn se asgna a menos a mtad
de espaco dsponbe para amacenamento.
/usr/local Requere a menos 3072 MB en nstaacones bscas. Debe
consderarse e equpamento gco que se panee compar desde
cdgo fuente, e nstaar, a futuro. A gua que /usr, para uso genera
se recomendan a menos de 5120 MB, y, de ser posbe, consdere un
tamao ptmo de hasta 20480 MB.
/opt Requere a menos 3072 MB en nstaacones bscas. Debe
consderarse e equpamento gco de terceros que se panee nstaar
a futuro. A gua que /usr, para uso genera se recomendan a menos
de 5120 MB, y, de ser posbe, consdere un tamao ptmo de hasta
20480 MB.
/var/lib S se asgna como partcn ndependente de /var, o cua permtra
optmzar e regstro por daro utzando e modo journal para un me|or
desempeo, requere a menos 3072 MB en nstaacones bscas.
Deben consderarse as bases de datos, o drectoros de LDAP, que se
paneen hospedar a futuro.
/var/ S se asgna como partcn ndependente de /var, o cua permtra
optmzar e regstro por daro utzando e modo (ritebac' para un
me|or desempeo, requere a menos 3072 MB en nstaacones
bscas. Deben consderarse os anftrones vrtuaes, apcacones, y
contendo para ser servdo a travs de protocoo HTTP, que se paneen
hospedar a futuro.
*.4. Bi!liogra&a.
https://secure.wkmeda.org/wkpeda/en/wk/Fesystem_Herarchy_Standard
40
3. <rocedimiento de instalacin de Cent0> 6.
3.+. <rocedimientos.
3.+.+. <laneacin.
Antes de comenzar, determne prmero os sguentes puntos:
Finalidad productiva. Va ser un servdor, estacn de traba|o, o escrtoro? Ou uso va tener e
equpo? Oue servcos va a requerr? Ideamente, o que se estabezca en este punto debe
prevaecer, sn modfcacones, a o argo de su cco productvo.
Ciclo de produccin. Cunto tempo consdera que estar en operacn e equpo? Ses meses,
un ao, dos aos, cnco aos?
Capacidad del e#uipo. A cuantos usuaros dar servco? Tene e equpo a cantdad sufcente
de RAM, y poder de procesamento sufcente?
<articiones del disco duro. Determne como admnstrar e espaco dsponbe de
amacenamento. Para ms detaes a respecto, consute e documento ttuado "st;ndar de
Jerar#ua de >istema de Arc$ivos.
imitaciones. Tenga caro que Cent0>, a gua que sucede con 'ed Eat "nterprise inu2, es un
sstema operatvo dseado, y enfocado especfcamente, para ser utzado como sstema operatvo
en servdores, desarroo de programas, y estacones de traba|o. Savo que, posterormente, se
aada agn amacn YUM como EPEL, Rem, AL Server o RPMFuson, este sstema operatvo
carecer de soporte para medos de audo, y vdeo, en formatos prvatvos (como ocurre son e
soporte para MP3, DvX, H.264, MPEG, etc.), y que soo ncuye $oft(are %ibre que se encuentre
exento de probemas de patentes.
3.+.*. 0!tencin de los medios.
Descargue a magen ISO de DVD de Cent0> 6, para arqutectura 386, o ben arqutectura x86-
64 (soo es necesaro e DVD 1, savo que requera soporte para agn doma extco), desde
agunos de os stos espe|o que encontrar en e sguente URL:
http://mrror.centos.org/centos/6/sos/
S descarga a magen para arqutectura 386, grabe sta en un dsco vrgen DGD(' (capacdad de
4,707,319,808 bytes). La magen de DVD para 386 (4,705,456,128 bytes) es demasado grande
para poder ser grabada en un DGDH' (capacdad de 4,700,372,992 bytes). Las mgenes de os
dos DVD para arqutectura x86-64, 4,238,800,896 bytes, y 1,182,699,520 bytes, respectvamente,
caben perfectamente en dscos DGDH' y DGD('.
41
3.+.3. %nstalacin del sistema operativo.
Inserte e disco DGD de nstaacn de Cent0> 6, y espere 60 segundos para e nco automtco,
o ben puse a teca ")@"' para ncar de manera nmedata, o ben puse a teca I@ABJ, e
ngrese as opcones de nstaacn deseadas.
La prmer pantaa que aparecer, e preguntar s desea verfcar a ntegrdad de medo de
nstaacn. S descarg una magen ISO desde Internet, Es buena dea verfcar medos de
nstaacn. S est hacendo a nstaacn desde una mquna vrtua con una magen ISO,
descarte verfcar.
42
S desea verfcar a ntegrdad de medo de nstaacn (DVD o con|unto de dscos compactos), a
partr de cua se reazar a nstaacn, seeccone I0KJ y puse a teca ")@"', consdere que
esto puede demorar varos mnutos. S est seguro de que e dsco, o dscos a partr de os cuaes
se reazar a nstaacn, est en buen estado, puse a teca I@ABJ para seecconar I>LipJ y
puse a teca ")@"'.
Haga cc sobre e botn I)e2tJ, o ben I>iguienteJ, en cuanto aparezca a pantaa de
benvenda de CentOS.
Seeccone I>panis$J, o ben I"spaolJ, como doma para ser utzado durante a nstaacn.
43
A partr de este punto, todos os textos debern aparecer a espao. Seeccone e mapa de
tecado. E|a e mapa de tecado a I"spaolJ, o ben e mapa de tecado IatinoamericanoJ,
de acuerdo a o que corresponda. A termnar, haga cc sobre e botn denomnado I>iguiente.J
44
CentOS 6 ncuye soporte para reazar una nstaacn sobre dspostvos de amacenamento
especazados, como Redes de Area de Amacenamento (SAN), como FCoE, SCSI, y zFCP.
Requere dsponer de un SAN en a red de rea oca para poder hacer uso de este tpo de
dspostvos de amacenamento. S soo dspone de uno o ms dscos duros en e equpo donde se
reazar a nstaacn, e|a a opcn predetermnada, IDispositivos de almacenamiento
!;sicosJ y haga cc sobre e botn denomnado I>iguiente.J
S se trata de un dsco duro nuevo, sn taba de partcones, recbr una advertenca respecto de
que e dsco duro deber ser inicializado antes de guardar la tabla de particiones que ser creada
posteriormente. $i est seguro de que se trata de un disco duro nuevo, o bien uno al que le fue
borrada la tabla de particiones, aga clic sobre el bot/n Reinicializar todo.
45
Defna e nombre de sstema en e sguente e formato: nom!re.dominio.tld. Procure que e
nombre de equpo sea corto, de hasta a 12 caracteres, y que e domno est resueto en un DNS.
S est ndecso a respecto, de|e e vaor predetermnado como local$ost.localdomain, y haga
cc sobre e botn denomnado I>iguiente.J
46
Seeccone a zona horara que corresponda a su ocadad, $aciendo clic sobre cuaquer punto en
e mapamund. Se recomenda de|ar seecconada a casa I"l relo. del sistema utili8a ,@C.J
sto tmo sgnfca que e reo| de sstema utzar ,@C (@empo ,nversa Coordnado), que es
e sucesor de ?:@ (b>Greenwch :ean @me, que sgnfca Tempo Promedo de Greenwch), y es
a zona horara de referenca respecto a a cua se cacuan todas as otras zonas horaras de
mundo. A termnar, haga cc sobre e botn denomnado I>iguiente.J
Defna, y confrme, a cave de acceso para e usuaro root, e cua ser e utzando para a
admnstracn de sstema. A termnar, haga cc sobre e botn denomnado I>iguiente.J
)ota.
Evte utzar paabras de dcconaro, datos personaes, procurando utzar a menos 8 caracteres, en
combnacones de nmeros, etras mayscuas, etras mnscuas, y otros caracteres.
47
La sguente pantaa e dar a eegr as opcones para crear as partcones en e dsco duro. Savo
que e|a ICrear un diseo personali8adoFJ nvarabemente se apcar un diseo
predeterminado, e cua consstr en:
Una partcn estndar de 200 MB para =!oot
Un voumen gco para =, que utzar a mayor parte de espaco dsponbe, y que posterormente
permtr hacer crecer e sstema aadendo otro dsco duro, con undades fscas que se aadrn a
voumen gco.
Un voumen gco para a particin de memoria de intercam!io (s(ap), que en equpos con
menos de 1 GM RAM, utzar un espaco ser equvaente a dobe de RAM fsco de sstema, o
ben, en equpos con ms de 1 GB RAM, utzar un espaco equvaente a a suma de RAM fsco de
sstema, ms 2 GB.
)ota.
Este dseo predetermnado funconar ben para cuaquer servdor, con cuaquer propsto, sempre
que se trate de un equpo que permta aadr fcmente ms undades de amacenamento, para as
aprovechar os vomenes gcos. S se trata de una computadora portt, o sstema de escrtoro, que
carezca de aguna forma senca de aadr otro dsco duro, este dseo predetermnado resutar
totamente nadecuado, pues se estar utzando una funcn (vomenes gcos) que |ams se podr
aprovechar.
Las opcones en pantaa hacen o sguente:
I,sar todo el espacioJ, emnar cuaquer partcn de cuaquer otro sstema operatvo
presente, y crear de forma automtca as partcones necesaras.
I'eempla8ar sistemaMsN inu2 e2istenteMsNJ, soo emnar todas as partcones Lnux
exstentes, y crear de forma automtca as partcones necesaras.
IAc$icar el sistema actualJ, cambar e tamao de as partcones exstentes de otros sstemas
operatvos, como Wndows, hacendo e espaco necesaro para poder nstaar un dseo
predetermnado de partcones Lnux.
I,sar espacio li!reJ, crear de forma automtca as partcones necesaras en e espaco
dsponbe, basndose sobre un dseo predetermnado.
ICrear un diseo personali8adoJ, permtr eegr as partcones estndar, o vomenes gcos,
que uno requera.
48
Seeccone ICrear un diseo personali8adoJ, y haga cc sobre e botn denomnado
I>iguiente.J
Se mostrar a taba de partcones actua, mostrando e espaco bre dsponbe para crear nuevas
partcones. Haga cc sobre e botn ICrear.J
49
Se abrr una ventana donde podr defnr e tpo de partcn a crear. E|a crear una I<articin
est;ndar.J A termnar, haga cc sobre e botn ICrear.J
En a ventana que aparece sobre a taba de partcones, defna =!oot como punto de monta|e,
mantenga e formato ext4, mantenga e tamao de 200 MB, y actve a casa de opcn
denomnada IFor8ar a particin primaria.J A termnar, haga cc sobre e botn IAceptar.J
50
)ota.
"2t4 (fourth extended fesystem, o cuarto sstema de archvos extenddo) es, a gua que ext3, un
sstema de archvos con regstro por daro, con muchas me|oras respecto de ext3, entre as que se
ncuyen, entre otras cosas, e soporte de vomenes de hasta 1024 PB, soporte aaddo de extents
(con|unto de boques fscos contguos), menor uso de recursos de sstema, me|oras sustancaes en a
veocdad de ectura y escrtura, y verfcacn ms rpda con e mandato &scL. En resumen, prefera
utzar ext4.
Se deber mostrar a taba de partcones, donde deber aparecer a partcn recn creada. Para
aadr a sguente partcn, vueva a hacer cc sobre e botn ICrear.J
51
En a ventana que aparece sobre a taba de partcones, defna = como punto de monta|e,
mantenga e formato ext4, y defna un tamao de 3O7* :B, y actve a casa de opcn
denomnada IFor8ar a particin primaria.J A termnar, haga cc sobre e botn IAceptar.J
52
)ota.
Soo se recomenda defnr como particiones primarias a as correspondentes a =!oot y =, con a
fnadad de que stas sean creadas entre os prmeros sectores de dsco duro, o undad de
amacenamento, y para evtare que ncdentamente queden ncudas dentro de a particin
e2tendida. Esta tma se crear de manera automtca despus como a cuarta partcn de dsco
duro, dentro de a cua se crearn cuantas particiones lgicas como sean necesaras.
Los sstemas modernos, basados sobre arqutectura Inte, tenen un mte mxmo de cuatro
partcones. Se puede utzar un dseo de $asta cuatro particiones primarias, o ben un dseo de
tres particiones primarias y una particin e2tendida, dentro de a cua se pueden crear un
nmero mtado de particiones lgicas, as cuaes en readad son sub-partcones de a particin
e2tendida.
53
En a ventana que aparece sobre a taba de partcones, defna =usr como punto de monta|e,
mantenga e formato ext4, y defna un tamao de +O*4O :B, o ms, s consdera que ocupar
ms espaco para aguna apcacn, o con|unto de apcacones, en partcuar. A termnar, haga
cc sobre e botn IAceptar.J
54
55
En a ventana que aparece sobre a taba de partcones, defna =tmp como punto de monta|e,
mantenga e formato ext4, y defna un tamao de 5+*O :B. A termnar, haga cc sobre e botn
IAceptar.J
56
)ota.
E tamao de a partcn para =tmp depender de tpo de apcacones que se utzarn posteror a a
nstaacn. Consute a documentacn de programa o apcacn que tenga paneado utzar. Para a
mayora de os casos, ser ms que sufcente con asgnar 5+*O :B.
57
En a ventana que aparece sobre a taba de partcones, defna =$ome como punto de monta|e,
mantenga e formato ext4, y e|a a casa de opcn denomnada ICompletar $asta el tamao
m;2imo acepta!le.J A termnar, haga cc sobre e botn IAceptar.J
58
Se deber mostrar a taba de partcones, donde deber aparecer a partcn recn creada.
@emporalmente notar que =$ome tene asgnado todo e espaco de amacenamento que
anterormente estaba bre. En cuanto haya creado a partcn =var, ambas se repartrn
nuevamente e espaco, cas equtatvamente. Para aadr a sguente partcn, vueva a hacer
cc sobre e botn ICrear.J
59
En a ventana que aparece sobre a taba de partcones, defna =var como punto de monta|e,
mantenga e formato ext4, y e|a a casa de opcn denomnada ICompletar $asta el tamao
m;2imo acepta!le.J A termnar, haga cc sobre e botn IAceptar.J
60
Se deber mostrar a taba de partcones, donde deber aparecer a partcn recn creada.
@emporalmente notar que =$ome y =var se han repartdo e espaco dsponbe. Para aadr a
tma partcn, a correspondente a a de a memora de ntercambo, vueva a hacer cc sobre e
botn ICrear.J
61
Para e tamao de a partcn de memora de ntercambo (s(ap), sga as sguentes regas:
>i el sistema tiene menos de + ?B 'A:- Defna una cantdad equvaente a dos veces a
cantdad de RAM fsco. E|empos:
S e sstema tene 512 MB RAM, defna 1024 MB para a partcn de memora de
ntercambo.
S e sstema tene 768 MB RAM, defna 1536 de memora de ntercambo.
S e sstema tene 1 GB RAM, defna 2048 MB para a partcn de memora de ntercambo.
>i el sistema tiene m;s de + ?B 'A:- Defna una cantdad equvaente a a suma de a cantdad
de RAM fsco, ms 2 GB. E|empos:
S e sstema tene 1.5 GB RAM, defna 3584 MB para a partcn de memora de
ntercambo.
S e sstema tene 8 GB RAM, defna 10240 MB para a partcn de memora de
ntercambo.
Se mostrar a taba de partcones. Notar que a partcn de ntercambo ha tomado a mtad de
su espaco asgnado de =$ome, y a otra mtad de =var. Examne a detae, y verfque que estn
presentes todas as partcones que paneo, asegurndose que tengan os tamaos aproxmados a
o que se especfc en os pasos anterores. S est conforme con e dseo, haga cc sobre e
botn denomnado I>iguiente.J
62
)ota.
Otras partcones recomendadas pueden ser =var=li!, y =var=PPP. Asgnar como partcones a estos
drectoros permtr posterormente una optmzar cambando e formato de regstro por daro
(journal). Para ms detaes consute e documento ttuado Como optimi8ar el sistema de arc$ivos
e2t3 y e2t4, con a fnadad de conocer os procedmentos necesaros para optmzar e sstema de
archvos despus de termnar a nstaacn, y una vez que nce e sstema operatvo por prmera vez.
Puede asgnar a cada una de estas partcones cuanto espaco como consdere necesaro para
necesdades partcuares.
Sendo que =var=li! suee utzarse prncpamente para amacenar bases de datos, servdores
drectoros, como LDAP, y otros tpos de datos, sobre os cuaes se reaza ectura y escrtura
smutnea, convene optmzar e regstro por daro de esta partcn, utzando e formato .ournal,
obtenendo como resutado un me|or rendmento para as bases de datos y servdores de drectoros,
como LDAP.
S =var=PPP va a contener os archvos de un porta de Internet, y stos sufrrn pocos cambos, o ben
sufrrn cambos poco frecuentes, convene optmzar e regstro por daro de esta partcn, utzando
e formato Prite!acL, obtenendo como resutado una me|or veocdad de ectura.
Se soctar que confrme de manera expcta que se proceder a emnar o dar formato a
partcones exstentes en e medo de amacenamento. S desea proceder, haga cc sobre e botn
IFormato.J
63
Se soctar confrme que desea escrbr os cambos a dsco duro. S desea proceder, haga cc
sobre e botn I"scri!ir cam!ios al disco.J
Espere agunos mnutos mentras de guarda a taba de partcones, y se da formato a todas as
partcones defndas en os pasos anterores.
64
Por segurdad, convene asgnar una cave de acceso a gestor de arranque. sto tene como
fnadad e de evtar que cuaquera que tenga acceso fsco a sstema, pueda modfcar os
parmetros de arranque de gestor de arranque, e ncar en modo mono-usuaro (nve de
e|ecucn 1). S desea proceder, haga cc sobre a casa de opcn denomnada I,sar la
contrasea del gestor de arran#ue.J
Asgne y confrme una cave de acceso para e gestor de arranque.
65
A termnar, haga cc en e botn I>iguiente.J
E|a e tpo de nstaacn.
66
)ota.
Es una buena prctca de segurdad e reazar una instalacin mnima (casa de opcn I:inimalJ),
y posterormente r nstaando soo os paquetes que reamente se requeran. Mentras menos paquetes
estn nstaada, habr menos servcos por os cuaes preocuparse, adems de que sern menores as
descargas de paquetes durante as actuazacones y parches de segurdad. La instalacin mnima
bscamente consste en e nceo de sstema, un con|unto de mandatos bscos, o necesaro para
confgurar as nterfaces de red, herramentas bscas para admnstrar e sstema de archvos, un
con|unto bsco de potcas para SELnux, e mandato yum, y o mnmo necesaro para tener un
sstema operatvo funcona en modo texto.
Tras fnazar a nstaacn, y una vez que nce por prmera vez e sstema operatvo, probabemente
querr nstaar, a travs de mandato yum, os paquetes system(con&ig(&irePall(tui, system(con&ig(
netPorL(tui, policycoreutils(pyt$on, selinu2(policy(targeted, selinu2(policy(mls, vim(
en$anced, Pget, !ind(utils, y openss$(clients.
yum !y install system!con"ig!"ireall!tui openssh!clients
yum !y install system!con"ig!netork!tui bind!utils
yum !y install policycoreutils!python
yum !y install selinux!policy!targeted selinux!policy!mls
yum !y install vim!enhanced get
S desea apcar de una vez as actuazacones, y parches de segurdad, que estn dsponbes, o
cua sera una exceente prctca de segurdad, haga cc sobre e botn denomnado IH Agregar
repositorios de so&tPare adicional.J sto abrr una ventana donde podr ngresar a dreccn
de cuaquer sto de Internet que haga espe|o de as actuazacones de CentOS 6. S desconoce
que dreccn defnr, utce http://mrror.centos.org/centos/6/updates/386/, s est nstaando a
edcn 386, o ben http://mrror.centos.org/centos/6/updates/x86_64/, s est nstaando a edcn
x86-64. A termnar, haga cc sobre e botn IAceptar.J
67
S dspone de a menos una tar|eta de red, e programa de nstaacn e soctar seeccone que
dspostvo utzar para confgurar una conexn de red que permta conectarse haca e URL que
especfc en e paso anteror. Una vez seecconado e dspostvo de red, haga cc sobre e botn
denomnado IAceptar.J
Lo anteror abrr a ventana ICone2iones de redJ de NetworkManager. Seeccone a nterfaz de
red deseada, y haga cc sobre e botn denomnado I"ditar.J
68
Abrr a ventana de edcn de a nterfaz. Haga cc sobre a pestaa denomnada IA.ustes de
%<v4.J
Confgure os parmetros necesaros para poder estabecer una conexn de red. A termnar, haga
cc sobre e botn denomnado IAplicar.J
69
Regresar a a ventana de ICone2iones de redJ. Haga cc sobre e botn denomnado
ICerrar.J
Deber regresar a a pantaa prncpa, donde deber aparecer e amacn YUM que acaba de
confgurar.
70
Para eegr grupos especfcos de paquetes, haga cc sobre a casa de opcn denomnada
I<ersonali8ar a$ora.J A termnar, haga cc sobre e botn denomnado I>iguiente.J
Podr seecconar cuaquer grupo de paquetes que srva a necesdades partcuares. Prefera
conservar e dseo de instalacin mnima, y, cuando mucho, aadr e grupo de paquetes
denomnado IBase.J
71
)ota.
Una vez nstaado e sstema, s decde que necestar utzar e entorno grfco, soo requerr
e|ecutar:
yum !y groupinstall x11 basic!desktop general!desktop
yum !y install system!con"ig!services system!con"ig!"ireall
yum !y install system!con"ig!users system!con"ig!date
yum !y install system!con"ig!printer system!con"ig!lvm
yum !y install system!con"ig!language system!con"ig!keyboard
yum !y install cups!pk!helper policycoreutils!gui
Luego, hay que edtar e archvo =etc=initta!.
vim /etc/inittab
A fna de archvo, ocace a sguente nea:
id#3#initde"ault#
Y reempazar en sta e 3 por un 5:
id#5#initde"ault#
Guarde e archvo, saga de edtor de texto, y rence e sstema para que nce en modo grfco.
S desea personazar a sta de paquetes que se nstaar en un grupo en partcuar, haga cc
sobre e botn denomnado I<a#uetes opcionales.J abrr una ventana desde a cua podr
seecconar o que requera, y de-seecconar o que se quera omtr. A termnar, haga cc sobre e
botn denomnado ICerrar.J
72
S est conforme, y consdera que ha termnado de seecconar os grupos de paquetes, haga cc
sobre e botn denomnado I>iguiente.J
Incar e proceso de nstaacn de paquetes. E tempo que demore e proceso depender de a
cantdad de grupos, y paquetes, que se hayan seecconado.
73
Una vez competada a nstaacn, haga cc sobre e botn I'einciarFJ y retre e DVD o dsco
compacto de a undad ptca.
3.*. <osterior a la instalacin.
Revse e documento ttuado A.ustes posteriores a la instalacin de Cent0> 6.
74
4. A.ustes posteriores a la instalacin de
Cent0> 6.
Hay agunos a|ustes que se recomenda reazar, una vez termnada a nstaacn de Cent0> 6.
4.+.+. Dispositivos de red.
S reaz a nstaacn mnma, sn agregar grupos de paquetes a dseo predetermnado, o
confgurar dspostvos de red para ncur actuazacnes, descubrr que probabemente os
dspostvos de red estn desactvados.
Edte os archvos de nterfaz de sus dspostvos de red:
vi /etc/syscon"ig/netork!scripts/i"c"g!eth$
Asegrese que a menos una de as nterfaces de red tenga e parmetro I0)B00@J con e vaor
IyesJ:
%&'()&*+eth$+
,-.)/,0R/11&%*+yes+
ONBOOT="yes"
234%%R*$5#$$#67#58#19#:&
0;<&*&thernet
://0<R/0/*dhcp
%&=R/>0&*yes
<&&R%,S*yes
<&&RR/>0&S*yes
%2)<.)1(&,0.(%*pruebas!centos6
(<'4.=4(1>R&.=4041*yes
(<'6(,(0*no
,4-&*+System eth$+
>>(%*9"b$6bd$!$bb$!7""b!49"1!d6edd69"?e$?
S e equpo se va a utzar como servdor, convene desactvar que a gestn de as nterfaces de
red se haga a travs de servco )etPorL:anager, y de|ar que se encargue de sta e servco
netPorL. Cambe ):QC0)@'0"DR/yes/, por ):QC0)@'0"DR/no/:
75
%&'()&*+eth$+
NM_CONTROLLED="no"
/,://0*+yes+
234%%R*$5#$$#67#58#19#:&
0;<&*&thernet
://0<R/0/*dhcp
%&=R/>0&*yes
<&&R%,S*yes
<&&RR/>0&S*yes
%2)<.)1(&,0.(%*pruebas!centos6
(<'4.=4(1>R&.=4041*yes
(<'6(,(0*no
,4-&*+System eth$+
>>(%*9"b$6bd$!$bb$!7""b!49"1!d6edd69"?e$?
Para apcar os cambos, rence e servco netPorL:
service netork restart
4.+.*. ocali8acin.
S durante a nstaacn estabec Espao como doma predetermnado, se estabecer a
varabe de entorno IA)?J con e vaor IesQ">.,@F(9FJ o cua resutar convenente para os
usuaros que radcan en Espaa. Sn embargo, sto har que en os nmeros as dvsones de
mes se hagan con un punto, y que a dvsn para decmaes se haga con una coma..
Edte e archvo =etc=syscon&ig=i+9n:
vi /etc/syscon"ig/i15n
Locace A)?R/esQ">.,@F(9/:
LANG="es_ES.UTF-8"
S;S=/,0*+latarcyrheb!sun16+
Cambe A)?R/esQ">.,@F(9/ por A)?R/esQ:D.,@F(9/ (espao de Mxco), o ben a
ocazacn que corresponda a su pas:
LANG="es_MX.UTF-8"
S;S=/,0*+latarcyrheb!sun16+
Edte e archvo =!oot=gru!=gru!.con&:
vi /boot/grub/grub@con"
Locace en ste A)?ResQ">.,@F(9 (sn comas):
76
A grub@con" generated by anaconda
A
A ,ote that you do not have to rerun grub a"ter making changes to this "ile
A ,/0()&# ;ou have a /boot partition@ 0his means that
A all kernel and initrd paths are relative to /boot/B eg@
A root (hd$B$)
A kernel /vmlinuC!version ro root*/dev/sda6
A initrd /initrd!Dgeneric!Eversion@img
Aboot*/dev/sda
de"ault*$
timeout*9
splashimage*(hd$B$)/grub/splash@xpm@gC
hiddenmenu
passord !!md9 F1Fx>@ti4boF9a55(G6yH<vtd;I9ld4mi/
title centos (6@6@?6!71@68@1@el6@i656)
root (hd$B$)
kernel /vmlinuC!6@6@?6!71@68@1@el6@i656 ro root*>>(%*$8c6dc?8!a66b!4$8e!5?$6!9?4464$cd1$4 r
d.1'-.1'*Sap/1og'ol$$ rd.,/.1>HS rd.,/.-% rd.,/.%- LANG=es_ES.UTF-8 S;S=/,0*latarcyrheb!sun16 H&;:
/4R%0;<&*pc H&;04:1&*la!latin1 crashkernel*auto rhgb Juiet
initrd /initram"s!6@6@?6!71@68@1@el6@i656@img
Cambe A)?ResQ">.,@F(9 por A)?ResQ:D.,@F(9 (espao de Mxco, sn comas), o ben
a ocazacn que corresponda a su pas:
A
A root (hd$B$)
Aboot*/dev/sda
de"ault*$
timeout*9
hiddenmenu
title centos (6@6@?6!71@68@1@el6@i656)
root (hd$B$)
d.1'-.1'*Sap/1og'ol$$ rd.,/.1>HS rd.,/.-% rd.,/.%- LANG=es_MX.UTF-8 S;S=/,0*latarcyrheb!sun16 H&;:
/4R%0;<&*pc H&;04:1&*la!latin1 crashkernel*auto rhgb Juiet
Rence e sstema para que surtan efecto os cambos.
reboot
4.+.3. Desactivar <lymout$.
<lymout$ es a nueva mpementacn para mostrar un arranque grfco. S se hzo una
nstaacn mnma, e arranque de sstema se mostrar de a sguente forma:
77
Para vsuazar que ocurre detrs de Pymouth, soo hay que pusar a teca I>uprJ para conmutar
a arranque tradcona en texto, y vceversa.
En un servdor, probabemente resute poco convenente, y se prefera un arranque tradcona,
mostrando os mensa|es de nco de os servcos.
Edte e archvo =!oot=gru!=gru!.con&:
vi /boot/grub/grub@con"
Locace r$g!:
78
A
A root (hd$B$)
Aboot*/dev/sda
de"ault*$
timeout*9
hiddenmenu
title centos (6@6@?6!71@68@1@el6@i656)
root (hd$B$)
d.1'-.1'*Sap/1og'ol$$ rd.,/.1>HS rd.,/.-% rd.,/.%- 14,I*es.-X@>0=!5 S;S=/,0*latarcyrheb!sun16 H&;:
/4R%0;<&*pc H&;04:1&*la!latin1 crashkernel*auto rh! Juiet
Emne r$g!:
A
A root (hd$B$)
Aboot*/dev/sda
de"ault*$
timeout*9
hiddenmenu
title centos (6@6@?6!71@68@1@el6@i656)
root (hd$B$)
/4R%0;<&*pc H&;04:1&*la!latin1 crashkernel*auto Juiet
Rence e sstema para que surtan efecto os cambos.
reboot
4.+.4. %nstalarF y $a!ilitarF el modo gr;&ico.
S consdera que requere utzar e modo grfco, omta a seccn anteror (Desactvar Pymouth),
e nstae os sguentes grupos:
yum !y groupinstall x11 basic!desktop general!desktop
Compemente nstaando agunos paquetes de herramentas de admnstracn.
yum !y install system!con"ig!services system!con"ig!date
yum !y install system!con"ig!printer system!con"ig!lvm
yum !y install system!con"ig!language system!con"ig!keyboard
yum !y install cups!pk!helper policycoreutils!gui
79
)ota.
Probabemente quera emnar os sguentes paquetes, que soo son tes para reazar depuracn de
nceo, y envar reportes de errores de as apcacones grfcas a os desarroadores de CentOS.
yum remove kexec!tools abrt!K
Luego, hay que edtar e archvo =etc=initta!.
vi /etc/inittab
A fna de archvo, ocace a sguente nea:
id#3#initde"ault#
Y reempazar en sta e 3 por un 5:
id#5#initde"ault#
Guarde e archvo, saga de edtor de texto
Instae e compemento para GDM (e gestor de pantaa de GNOME), con a fnadad de que os
mensa|es de error que se puderan generar a arrancar e sstema, se muestren con cono de
advertenca en a pantaa grfca de autentcacn:
yum !y install plymouth!gdm!hooks
E|ecute o sguente para nstaar, y estabecer, e tema grfco predetermnado de CentOS 6
(rngs) para Pymouth:
yum !y install plymouth!theme!rings
plymouth!set!de"ault!theme rings
/usr/libexec/plymouth/plymouth!update!initrd
80
S desea un tema ms atractvo, y vstoso, estabezca e tema soar:
yum !y install plymouth!theme!solar
plymouth!set!de"ault!theme solar
/usr/libexec/plymouth/plymouth!update!initrd
81
)ota.
Pymouth soo se mostrar s e sstema dspone de una tar|eta de grfcos con soporte para K:>
(Kerne mode-settng) en e nceo de Lnux, o ben defnendo manuamente una resoucn como
parmetro de nco de nceo de Lnux (e|empo: vga=0x315 actvar a resoucn a 800x600,
vga=0x317 actvar una resoucn de 1024x768).
Rence e sstema para que apquen os cambos, e nce en modo grfco.
reboot
82
5. <lani&icadores de "ntrada=>alida en inu2.
5.+. %ntroduccin.
La panfcacn de Entrada/Sada (0nput*1utput $ceduling, o 0*1 sceduling) consste en e
mtodo medante e cua os sstemas operatvos decden e orden en que se procesan as
petcones de ectura/escrtura en e dsco duro, o undad de amacenamento. E ob|etvo de
optmzar e sstema, egendo un agortmo de panfcacn de Entrada/sada, es dsmnur os
tempos de bsqueda (see' times), prorzar as petcones de certos procesos de Entrada/sada,
asgnar un ancho de banda ms adecuado a cada procesos, o garantzar que agunas petcones se
atendern antes de una fecha de caducdad. Bscamente, fueron dseados para mtgar a
demora de os tempos de bsqueda que utzan e brazo, y e cabeza, de os dsco duros, para
moverse desde una poscn, haca otra poscn ms ae|ada.
La mayora de os panfcadores de Entrada/Sada (0*1 scedulers) se basan sobre e algoritmo
del elevador, e cua determna e movmento de brazo de un dsco y cabeza a servr petcones
de ectura/escrtura. Este agortmo basa su nombre sobre e comportamento de eevador de un
edfco, donde ste contna su trayectora actua, haca arrba, o haca aba|o, hasta que ste se
vaca por competo, detenndose soo para permtr que nuevos ndvduos o aborden, sempre
que stos vayan en a msma dreccn actua de eevador.
5.*. <lani&icadores de "ntrada=>alida disponi!les en el n1cleo
de inu2.
5.*.+. Anticipatory.
E panfcador de Entrada/Sada Anticipatory consste en un agortmo cuyo ob|etvo es
ncrementar a efcenca de a utzacn de dsco duro a anticipar operacones sncrncas de
ectura. Fue e panfcador de Entrada/Sada de nceo de Lnux desde a versn 2.6.0 hasta a
versn 2.6.18. Desde a versn 2.6.33, fue emnado de nceo de Lnux, pues prctcamente hoy
en da hay muy pocos dscos duros basados sobre e estndar estndar >C>%(+, o %D"=A@A, y que
an estn en operacn.
Era dea para servdores HTTP, o sstemas de Escrtoro, con dscos duros >C>%(+, o %D"=A@A, pues
se consegua un rendmento sensbemente superor.
Este panfcador de Entrada/Sada funcona reazando una demora controada antes de
despachar os procesos de Entrada/Sada, con a fnadad de agregar, o re-ordenar, as
operacones de bsqueda que son hechas, me|orando e desempeo, y reducendo de manera
sgnfcatva as operacones de petcn de os dscos duros. Est dseado especfcamente para
optmzar os sstemas con sub-sstemas de dscos pequeos, o ben muy entos, como es e caso
de dscos duros con estndar SCSI-1, y agunos modeos de IDE/ATA.
83
Es totamente nadecuado para dscos duros que utcen @CB (Tagged Command Queuing), que
es una tecnooga consste en a optmzacn de petcones de ectura/escrtura desde a propa
undad de dsco duro, permtendo a sstema operatvo reazar mtpes petcones de
ectura/escrtura. Esta tecnooga es utzada en os dscos duros con e estndar SCSI-2, PATA, y
SATA, es decr todos os modernos dsco duros que actuamente exsten en mercado. Tampoco se
recomenda con dscos duros de ato desempeo, as como con arregos de dscos por RAID.
Asumendo que se dspone de un dsco duro basado sobre e estndar SCSI-1, o ben IDE/ATA, que
se ha asgnado como e dspostvo =dev=sda, este panfcador de Entrada/Sada puede apcarse
de manera nmedata e|ecutando:
echo +anticipatory+ L /sys/block/sda/Jueue/scheduler
Lo anteror har que e sstema utce este panfcador de Entrada/Sada hasta e sguente
renco. Verfque que reamente se ha estabecdo como e panfcador de Entrada/Sada actua
e|ecutando:
cat /sys/block/sda/Jueue/scheduler
Lo cua debe devover una sada smar a a sguente:
"#n$%&%'#$ory( noop deadline c"J
Para que e cambo sea permanente, se debe edtar e archvo =!oot=gru!=gru!.con&:
vim /boot/grub/grub@con"
Y aadr a os parmetros de nco de nceo e parmetro elevator, con e vaor anticipatory.
A
A root (hd$B$)
Aboot*/dev/sda
de"ault*$
timeout*9
hiddenmenu
title centos (6@6@?6!71@68@1@el6@i656)
root (hd$B$)
/4R%0;<&*pc H&;04:1&*la!latin1 crashkernel*auto rhgb Juiet e)e*#$or=#n$%&%'#$ory
5.*.*. CFB.
CFO, que es e acrnmo de Completely Fair Queuing, que podra traducrse como encolado de
procesamiento completamente justo, es e panfcador de Entrada/Sada predetermnado de
CentOS y Red Hat Enterprse Lnux. Ofrece un exceente rendmento para a mayora de os usos
que se e pueda dar a sstema operatvo.
84
Su ob|etvo es mantener una coa de procesamento de Entrada/Sada escaabe por proceso, e
ntentar dstrbur equtatvamente e ancho de banda dsponbe para os procesos de
Entrada/Sada, entre todas as petcones de Entrada/Sada.
Funcona coocando petcones sncrncas, envadas por un proceso, dentro de un nmero de
coas de procesamento por proceso, y uego dstrbuyendo ntervaos de tempo para cada una de
as coas de procesamento, a fn de que puedan acceder a dsco duro.
La ongtud de os ntervaos de tempo, as como tambn e nmero de petcones que tene
permtdo una coa de procesamento, depende de a prordad de msmo procesos de
Entrada/Sada. De este modo, as petcones asncrncas para todos os procesos son agrupadas,
y procesadas, en menos coas de procesamentos, asgnando una por prordad.
Tcncamente, tene e msmo efecto smar a de panfcador de Entrada/Sada Antcpatory,
mantenendo una buena capacdad de procesamento, a permtr que as coas de procesamento
puedan pausar a fnazar un procesos de Entrada/Sada, anticipando e procesos de
Entrada/Sada ms cercano de ese msmo proceso.
Puede verfcar que CFO es e panfcador de Entrada/Sada utzado por e sstema, e|ecutando o
sguente:
anticipatory noop deadline "&+,(
Para utzar este panfcador de Entrada/Sada, es nnecesaro hacer modfcacn aguna, pues es
e predetermnando de sstema.
5.*.3. Deadline.
Este panfcador de Entrada/Sada funcona de modo smar a tempo rea, utzando una potca
de asgnacn en crcuto (round robin), para ntentar dstrbur equtatvamente as petcones de
Entrada/Sada, evtando se agote a capacdad de procesamento.
Bscamente mpone tempos de caducdad (deadline) a todas as operacones de Entrada/Sada,
con a fnadad de mpedr que se agote a capacdad de recbr petcones. Utza cnco coas de
procesamento, dos de as cuaes son ordenadas de acuerdo a os tempos de caducdad, a msmo
tempo que as coas de procesamento son ordenadas de acuerdo a su nmero de sector.
Antes de servr a sguente petcn, decde que coa de procesamento utzar, otorgando mayor
prordad a as petcones de ectura, verfcando despus s ha caducado a prmera petcn en a
coa de procesamento.
De modo predetermnado, os tempos de caducdad son de 500 ms para as petcones de ectura,
y de 5 segundos para as petcones de escrtura.
Se recomenda su uso para servdores dedcados para bases de datos, y partcuarmente para
aqueos sstemas que dsponen de dscos duros con capacdad de @CB, as como en sstemas con
dscos duros de ato desempeo. Es decr, dscos duros con e estndar SCSI-2, PATA, o SATA
85
Asumendo que se dspone de un dsco duro, o undad de amacenamento, que se ha asgnado
como e dspostvo =dev=sda, este panfcador de Entrada/Sada puede apcarse de manera
nmedata e|ecutando:
echo +deadline+ L /sys/block/sda/Jueue/scheduler
e|ecutando:
anticipatory noop "-e#-)%ne( c"J
Y aadr a os parmetros de nco de nceo e parmetro elevator, con e vaor deadline.
A
A root (hd$B$)
Aboot*/dev/sda
de"ault*$
timeout*9
hiddenmenu
title centos (6@6@?6!71@68@1@el6@i656)
root (hd$B$)
/4R%0;<&*pc H&;04:1&*la!latin1 crashkernel*auto rhgb Juiet e)e*#$or=-e#-)%ne
5.*.4. )oop.
Es e panfcador de Entrada/Sada ms smpe que exste para e nceo de Lnux. Funcona
nsertando todas as petcones de Entrada/Sada, dentro de una coa de procesamento tpo F%F0
(irst in, irst out, que se traduce como primero en entrar, primero en salir), e mpementando
fusn de petcones.
Asume que a optmzacn de desempeo de Entrada/Sada ser gestonado por otro nve de a
|erarqua de Entrada/Sada, como pudera ser en e dspostvo de boque, o ben un HBA (Host Bus
Adapter, o adaptador de transporte de anftrn) ntegente, como en e caso en os controadores
RAID para SAS (Serial Attaced S#$0), o ben un controador conectado de manera externa, como
ocurre con os >A) (Storage Area !et(or', o Redes de Area de Amacenamento).
86
Este panfcador de Entrada/Sada es prncpamente utzado con undades de estado sdo
(SSD, Sod State Drves) basadas sobre memora Fash, y en dspostvos que carecen de
dependenca a movmentos mecncos, os cuaes carecen de re-ordenamento de petcones
mtpes de Entrada/Sada, donde se agrupan |untas as petcones de Entrada/Sada que estn
fscamente cercanas, reducendo e tempo de petcn, y a varabdad de tempo de servco de
Entrada/Sada.
Asumendo que se dspone de un dsco duro, o undad de amacenamento, que se ha asgnado
como e dspostvo =dev=sda, este panfcador de Entrada/Sada puede apcarse de manera
nmedata e|ecutando:
echo +noop+ L /sys/block/sda/Jueue/scheduler
e|ecutando:
anticipatory "noo'( deadline c"J
Y aadr a os parmetros de nco de nceo e parmetro elevator, con e vaor noop.
A
A root (hd$B$)
Aboot*/dev/sda
de"ault*$
timeout*9
hiddenmenu
title centos (6@6@?6!71@68@1@el6@i656)
root (hd$B$)
/4R%0;<&*pc H&;04:1&*la!latin1 crashkernel*auto rhgb Juiet e)e*#$or=noo'
5.3. Bu plani&icador de "ntrada=>alida elegir?
Depende de tpo de dsco duro, servcos utzados en e sstema, capacdades de procesamento,
y os tpos de procesos que se queran prorzar.
87
En genera, se puede utzar anticipatory en equpos con dscos duros ve|os (>C>%(+, o
%D"=A@A). En o que respecta a c&#, se recomenda en sstemas para uso genera. Defntvamente
se recomenda utzar deadline en servdores para bases de datos. En cuanto a noop, ser
convenente en sstemas con undades de estado sdo basadas sobre memora fash, o ben
sstemas con undades de amacenamento controadas por EBA ntegentes.
Se recomenda reazar pruebas de desempeo, y de rendmento, antes de eegr e panfcador de
Entrada/sada defntvo para un sstema en partcuar. Smpemente, eegr e que se consdere
que funcone me|or.
5.4. Bi!liogra&a.
https://secure.wkmeda.org/wkpeda/en/wk/Eevator_agorthm
https://secure.wkmeda.org/wkpeda/es/wk/Panfcac%C3%B3n_de_E/S
https://secure.wkmeda.org/wkpeda/en/wk/Antcpatory_schedung
https://secure.wkmeda.org/wkpeda/en/wk/CFO
https://secure.wkmeda.org/wkpeda/en/wk/Deadne_scheduer
https://secure.wkmeda.org/wkpeda/en/wk/Noop_scheduer
https://www.redhat.com/magazne/008|un05/features/scheduers/
88
6. ,tili8ando el disco de rescate de Cent0> 6.
Ince e sstema con e dsco de nstaacn. En cuanto aparezca a pantaa de benvenda, puse
cuaquera de a teca , o ben a teca J. Tendr 60 segundos para hacero.
Seeccone a entrada denomnada I'escue installed system.J
89
Puede pusar a teca + (")@"') y contnuar. S desea ver que opcones de arranque utza esta
entrada, puse a teca @AB. Notar que a opcn de arranque es smpemente rescue. Puse a
teca + (")@"') para proceder.
E dsco de nstaacn ncar en modo rescate. Lo prmero a confgurar es e doma.
90
Seeccone >panis$, puse a teca @AB hasta que resate 0L, y puse a teca + (")@"').
A partr de este punto, todos os mensa|es se mostrarn a espao.
S su tecado tene dsposcn Espao/Espaa, seeccone es, puse a teca @AB hasta que resate
Aceptar, y puse a teca + (")@"').
91
S su tecado tene dsposcn Espao/Latnoamrca, seeccone la(latin+, puse a teca @AB
hasta que resate Aceptar, y puse a teca + (")@"').
Seeccone CD=DGD ocal, puse a teca @AB hasta que resate Aceptar, y puse a teca +
(")@"').
92
Se e preguntar s desea actvar as tar|etas de red de sstema. Puse a teca @AB hasta que
resate >i, o ben )o, y puse a teca + (")@"').
S respond con >i en a pantaa anteror, e sstema e soctar que e|a qu tar|eta, o ben
tar|etas, desea utzar para estabecer una conexn de red. Utce a teca "><AC%0 para defnr
actvar os dspostvos de red, y puse a teca @AB para conmutar entre os eementos de pantaa.
Confgure o necesaro para estabecer a conexn de red por DHCP, o ben por dreccn IP f|a.
Una vez termnado o anteror, puse a teca @AB hasta que resate Aceptar, y puse a teca +
(")@"').
93
Tene cuatro opcones a eegr.
Continuar. E entorno de rescate ntentar encontrar una nstaacn de GNU/Lnux en e dsco duro,
e ntentar montar todas as partcones en e rbo que corresponde, deba|o de drectoro
=mnt=sysimage. De este modo se podr acceder en modo ectura y escrtura a sstema de
archvos, y as poder reazar os cambos o modfcacones que requera.
:odo lectura. Smar a a opcn anteror, pero todo e sstema de archvos se montar en modo
de soo ectura.
0mitir. Se omtr e montado de sstema de archvos de dsco duro. Esta opcn es dnea para
reazar reparacones de sstema de archvos de as partcones, utzando e mandato &scL, o ben
para reazar operacones que requeren que as partcones estn sn montar.
Avan8ado. Permtr hacer uso de dspostvos espacaes de amacenamento, como como Redes
de Area de Amacenamento (SAN), es decr FCoE, SCSI, y zFCP.
Seeccone Continuar, y puse a teca + (")@"').
E sstema examnar os dspostvos de amacenamento. sto puede demorar varos segundos.
94
Una vez detectada a nstaacn en e dsco duro, e entorno de rescate e nformar que as
partcones de a nstaacn exstente de GNU/Lnux estarn montadas deba|o de drectoro
/mnt/sysmage. Para contnuar, puse a teca + (")@"').
Aparecer una pantaa con tres opcones.
>tart s$ell. Incar e ntrprete de mandatos, desde e cua podr traba|ar de modo smar a nve
de e|ecucn 1 (mono usuaro), y tendr acceso a un con|unto bsco de herramentas de dagnstco
y reparacn.
'un diagnostic. E|ecutar FrstAdKt, una herramenta que reaza verfcacn, y reparacn,
automtca de agunos probemas comnes.
'e!oot. Rencar e sstema.
Seeccone >tart s$ell, y puse a teca + (")@"').
95
Lo anteror e devover un ntrprete de mandatos.
Verfque que todas as partcones de a nstaacn de GNU/Lnux han sdo montadas, utzado e
mandato d& con a opcn ($.
96
E|ecute e mandato ext para regresar a a pantaa anteror.
97
)ota.
S e|ecuta e sguente mandato:
chroot /mnt/sysimage
Cambar de sstema operatvo de dsco de rescate, a sstema operatvo en e dsco duro. Esto puede
ser de mucha utdad, s acaso fuese necesaro, para cambar a cave de acceso de usuaro root.
passd
O ben renstaar manuamente e gestor de arranque de sstema.
grub!install /dev/sda
Para regresar a sstema operatvo de entorno de rescate, e|ecute e mandato e2it.
exit
S o desea, puede seecconar e|ecutar &aLd, es decr FrstAdKt, que es una herramenta de
dagnstco para verfcacn, y reparacn automtca, de gestor de arranque, magen de dsco
RAM para e nco de sstema (initrd), arregos de dscos por soft(are, y re-nstaacn de agunos
paquetes bscos.
S hay ago que reparar, FirstAidKit o har de manera automtca. Puse a teca + (")@"') para
sar, y regresar a a pantaa anteror.
98
Seeccone 'e!oot y puse a teca + (")@"') para rencar e sstema.
Retre e DVD o dsco compacto de a undad ptca.
99
7. %niciando el sistema en nivel de e.ecucin +
Mnivel mono(usuarioN.
7.+. %ntroduccin
Exsten stuacones en as cuaes se puede requerr ncar e sstema en nve de e|ecucn 1,
tambn denomnado nivel monousuario, a fn de reazar tareas de mantenmento, o ben para
reazar correccones, y otros a|ustes.
7.*. <rocedimientos.
A ncar e sstema, ste presentar a pantaa de gestor de arranque, conocdo como ?',B
(?rand ,nfed Boot Loader). Puse cuaquer teca, e2cepto a teca ")@"', para detener a
cuenta regresva de 3 segundos, y poder ngresar a men de ?',B.
S durante a nstaacn de CentOS, se de&ini una clave de acceso para el gestor de
arran#ue, aparecer a sguente pantaa.
100
Para ngresar a cave de acceso, puse a teca IpJ.
Ingrese a cave de acceso que se asgn a gestor de arranque durante a nstaacn de sstema
operatvo:
101
E texto de a seccn de opcones cambar despus de ngresar a cave de acceso. Puse a teca
IeJ para edtar as opcones de arranque de nceo seecconado:
Seeccone a nea referente a nceo.
102
Con e fn de reazar una edcn de esta nea, vueva a pusar a teca IeJ. Se mostrar a
sguente pantaa
Agregue un espaco, y un nmero 1, a fna de a nea, y puse a teca ")@"'.
103
Regresar a a pantaa anteror.
Puse a teca I!J. sto har que e sstema nce en nve de e|ecucn 1:
104
105
9. Cmo compilar el n1cleo MLernelN de
?),=inu2 en Cent0>.
condcones sguentes: a) Debe reconocer y ctar a autor orgna. b) No puede utzar esta obra para fnes comercaes Mincluyendo su
pu!licacinF a travs de cual#uier medioF por entidades con &ines de lucroN. c) S atera o transforma esta obra, o genera una obra
dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os
trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de
autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. Lcenca competa en casteano. La
nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna
s e usuaro o ector hace ma uso de stos.
9.+. %ntroduccin.
Una de as grandes venta|as de que e nceo ('ernel) ?),=inu2 sea equpamento gco bre
($oft(are %ibre) es e poder descargar e cdgo fuente de nceo, confgurar ste para compar
especfcamente con opcones adecuadas a necesdades partcuares o con controadores
especfcos para un sustento fsco (ard(are) en partcuar, comparo y obtener como resutado
me|oras en e desempeo.
La gran varedad de dstrbucones de ?),=inu2 nstaan un nceo ('ernel) que fue confgurado
y compado con opcones genrcas y que permten utzar ste en una gran varedad de
dspostvos y computadoras. Esto facta a vda a os desarroadores y empaquetadores que
traba|an para cada dstrbucn pues de esta forma con cuatro o cnco versones de paquete de
nceo abarcan a mayora de os sustentos fscos en e mercado. sto emna a necesdad de os
usuaros por compar e nceo.
Por menconar un e|empo, e paquete de nceo de Cent0> 5 y 'ed Eat "nteprise inu2 5 que
se dstrbuye para arqutecturas i696 ncuye opcones y optmzacones genrcas que permten
utzar un msmo paquete '<: de nceo para una ampa varedad de sstemas. ste ncuye e
soporte para ser utzado con mcroprocesadores como <entium <ro, <entium %%, <entium %%%,
<entium 4, <entium :, Celeron, At$lon, Duron, Cyri2 i696, etc. Evdentemente este soporte
genrco mpde poder expotar todo e potenca e nstruccones de un modeo de mcroprocesador
en partcuar.
9.+.+. ,n e.emplo del por#ue conviene recompilar el n1cleo.
S, por e|empo, se dspone una computadora portt (%aptop) Compa# Armada :3OO con
mcroprocesador <entium %%% (Coppermine) de 500 MHz, con 3*O :B 'A:, crcutos ntegrados
%ntel <%%D4, tar|eta de audo ">> @ec$nology ">+S79, tar|eta de red "t$ernet <ro +OO y otros
certos dspostvos en partcuar, e nceo genrco ncudo en a nstaacn funconar ben, pero
se tendr un desempeo nferor. Confgurar y compar e nceo especfcamente para as
caracterstcas de este modeo de computadora portt, excuyendo de a confguracn funcones
que |ams se utzarn en este sstema, me|orar su desempeo sgnfcatvamente.
En sstemas caseros y computadoras porttes con certa antgedad, pueden excurse funcones
como e soporte para ms de 4 GB de RAM, soporte genrco para arqutectura i296, soporte para
otros modeos de computadoras porttes, soporte para ms de un mcroprocesador, soporte para
%<v6 y otras opcones que soo seran tes en otro tpo de sstemas como servdores.
106
Puede agregarse soporte para ms perfrcos, como por e|empo ms dspostvos ,>B, y compar
agunos controadores (cmo e soporte para G:) dentro de nceo en ugar de hacero como
mduos a fn de me|orar e desempeo durante e arranque de sstema.
En un servdor se puede me|orar mucho e desempeo confgurando y compando excusvamente
as opcones y mduos especfcos para a confguracn de sustento fsco (ard(are) y funcones
requerdas para os servcos a brndar.
9.*.+. Determinar el sustento &sico y controladores.
Este procedmento es compcado e mpca contar con un certa experenca y conocmentos
generaes acerca de sustento fsco (ard(are).
9.*.+.+. :dulos utili8ados por el sistema.
Utzando e mandato lsmod es posbe determnar que controadores se estn utzando en e
sstema. Esta sta de controadores debe tomarse muy en cuenta a fn de evtar excur aguno de
stos. Utce e mandato de a sguente forma:
/sbin/lsmod
Lo anteror puede devover una sada smar a a sguente, que depender de sustento fsco de
sstema:
-odule SiCe >sed by
nls.ut"5 1555 1
v"at 16765 1
"at 9$665 1 v"at
sg ?99?6 $
sd.mod 65116 6
usb.storage 46545 1
scsi.mod 145$44 ? sgBsd.modBusb.storage
i6c.dev 7486 $
dm.multipath 15596 $
backlight 966$ $
snd.es1865 65186 1
gameport 1?6$5 1 snd.es1865
snd.ac87.codec 8776$ 1 snd.es1865
ac87.bus 1765 1 snd.ac87.codec
snd.seJ.dummy ?996 $
snd.seJ.oss ?$876 $
snd.seJ.midi.event 7$$5 1 snd.seJ.oss
snd.seJ 47596 9 snd.seJ.dummyBsnd.seJ.ossBsnd.seJ.midi.event
snd.pcm.oss 41154 $
snd.mixer.oss 16186 1 snd.pcm.oss
battery 168?6 $
ac 9786 $
snd.pcm 76165 ? snd.es1865Bsnd.ac87.codecBsnd.pcm.oss
button 7854 $
parport.pc 67964 $
snd.timer 66145 6 snd.seJBsnd.pcm
snd.page.alloc 1$616 6 snd.es1865Bsnd.pcm
parport ?94$$ 1 parport.pc
snd.mpu4$1.uart 7576 1 snd.es1865
107
snd.ramidi 6??86 1 snd.mpu4$1.uart
Moydev 116?6 $
snd.seJ.device 5$44 4 snd.seJ.dummyBsnd.seJ.ossBsnd.seJBsnd.ramidi
snd 96$65 1? snd.es1865Bsnd.ac87.codecBsnd.seJ.ossBsnd.seJB
snd.pcm.ossBsnd.mixer.ossBsnd.pcmBsnd.timerB
snd.mpu4$1.uartBsnd.ramidiBsnd.seJ.device
e1$$ ?466$ $
soundcore 7664 1 snd
mii 944$ 1 e1$$
i6c.piix4 575$ $
pcspkr 6664 $
i6c.core 644?6 6 i6c.devBi6c.piix4
serio.ra 69$$ $
"loppy 99696 $
dm.snapshot 17476 $
dm.Cero 186$ $
dm.mirror 69965 $
ext? 1?6455 6
Mbd 461$$ 1 ext?
uhci.hcd 6?686 $
ohci.hcd 66816 $
ehci.hcd ??74$ $
9.*.+.*. @ipo de microprocesador.
La nformacn de mcroprocesador se puede consutar eyendo e contendo de archvo vrtua
=proc=cpuin&o utzando e mandato less de sguente modo:
less /proc/cpuin"o
Lo anteror puede devover una sada smar a a sguente, que depender de tpo de
mcroprocesador de que se dsponga:
processor # $
vendor.id # Ienuine(ntel
cpu "amily # 6
model # 5
model name # <entium ((( ()oppermine)
stepping # ?
cpu -2C # 485@164
cache siCe # 696 H:
"div.bug # no
hlt.bug # no
"$$".bug # no
coma.bug # no
"pu # yes
"pu.exception # yes
cpuid level # 6
p # yes
"lags # "pu vme de pse tsc msr pae mce cx5 sep
mtrr pge mca cmov pat pse?6 mmx "xsr sse
bogomips # 886@56
cl"lush siCe # ?6
108
9.*.+.3. Dispositivos <C%.
E mandato lspci permte determnar os dspostvos <C% (<erphera Component %nterconnect o
Interconexn de Componentes Perfrcos) presentes en e sstema.
/sbin/lspci
Lo anteror puede devover una sada smar a a sguente, que depender de os dspostvos <C%
de os que que se dsponga:
$$#$$@$ 2ost bridge# (ntel )orporation 44$:X/GX/%X ! 5644?:X/GX/%X 2ost bridge
(4I< disabled) (rev $?)
$$#$4@$ )ard:us bridge# 0exas (nstruments <)(1611
$$#$9@$ 'I4 compatible controller# 40( 0echnologies (nc ?% Rage 10 <ro (rev dc)
$$#$7@$ :ridge# (ntel )orporation 56?714:/&:/-: <((X4 (S4 (rev $6)
$$#$7@1 (%& inter"ace# (ntel )orporation 56?714:/&:/-: <((X4 (%& (rev $1)
$$#$7@6 >S: )ontroller# (ntel )orporation 56?714:/&:/-: <((X4 >S: (rev $1)
$$#$7@? :ridge# (ntel )orporation 56?714:/&:/-: <((X4 4)<( (rev $?)
$$#$5@$ -ultimedia audio controller# &SS 0echnology &S1875 -aestro 6& (rev 1$)
$$#$8@$ &thernet controller# (ntel )orporation 56997/5/8/$/1 &thernet <ro 1$$ (rev $8)
$$#$8@1 Serial controller# 4gere Systems 10 3in-odem
$1#$$@$ &thernet controller# ?)om )orporation ?)R<4I179 3ireless <) )ard (rev $1)
9.*.+.4. Dispositivos ,>B.
De manera smar a mandato lspci, e mandato lsus! permte determnar os dspostvos ,>B
(,nversa >era Bus o Transporte Unversa en Sere) presentes en e sstema. Conecte a as
ranuras ,>B de sstema os dspostvos ,>B ms frecuentemente utzados y utce e mandato
lsus!.
/sbin/lsusb
Lo anteror puede devover una sada smar a a sguente, que depender de tpo de dspostvos
,>B de os que se dsponga:
:us $$1 %evice $$9# (% $497#$191 Silicon (ntegrated Systems )orp@ Super =lash
1I: / IX0 64-: =lash %rive
:us $$1 %evice $$4# (% $9ac#$6$1 4ppleB (nc@ >S: Heyboard D4lps or 1ogitechB
-6496E
:us $$1 %evice $$?# (% $9ac#1$$1 4ppleB (nc@ Heyboard 2ub D41<SE
:us $$1 %evice $$1# (% 1d6b#$$$1 1inux =oundation 1@1 root hub
9.*.*. %nstalacin el e#uipamiento lgico necesario.
Para Cent0>, a fn de dsponer de os paquetes '<: de fuentes, se debe confgurar prmero os
depstos yum de os paquetes '<: fuentes (.src.rpm) como e nuevo archvo
=etc=yum.repos.d=Cent0>(>ources.repo, con e sguente contendo:
Asource packages
DsourcesE
name*)ent/S!Freleasever ! Sources
baseurl*http#//mirror@centos@org/centos/Freleasever/os/SR<-S/
gpgcheck*1
enabled*1
gpgkey*http#//mirror@centos@org/centos/R<-!I<I!H&;!)ent/S!9
Asource packages
109
Dsources!updatesE
name*)ent/S!Freleasever ! Sources >pdates
baseurl*http#//mirror@centos@org/centos/9/updates/SR<-S/
gpgcheck*1
enabled*1
gpgkey*http#//mirror@centos@org/centos/R<-!I<I!H&;!)ent/S!9
A termnar se contna con a nstaacn de os paquetes '<: bnaros de e compador gcc,
cabeceras de desarroo para e engua|e de programacn C, paquete de desarroo de ncurses,
para construr a herramenta de confguracn de nceo, y e paquete para creacn de
paquetera '<::
yum !y install gcc glibc!devel ncurses!devel rpm!build
S se va a utzar a herramenta de confguracn grfcos, hay que nstaar adems os paquetes
#t(devel y gcc(cHH de sguente modo:
yum !y install Jt!devel gcc!cNN
9.*.3. 0!tener el cdigo &uente del n1cleo.
9.*.3.+. A partir de los depsitos de la distri!ucin utili8ada.
Utzar e paquete fuente de a dstrbucn de ?),=inu2 utzada garantza que se utzar a
msma versn ofca de nceo para produccn de dstrbudor, a cua seguramente ncuye
parches especfcos para funconar con a nstaacn de esa dstrbucn de ?),=inu2. Esto
garantza que se mantendr a compatbdad de os A<% (Appcaton <rogrammng %nterface o
Interfaz de Programacn de Apcacones) requerdos por apcacones de terceros.
Prmero se nstaa e paquete yum(utils de a sguente forma:
yum !y install yum!utils
E paquete yum(utils ncuye a herramenta yumdoPnloader, msma que se utzar para
descargar e paquete fuente de paquete '<: de kerne, de sguente modo:
yumdonloader !!source kernel
Suponendo que se tene nstaado e paquete de nceo denomnado Lernel(*.6.+9(S*.+.6.el5,
o anteror descargara desde os depstos de equpamento gco en Internet e paquete Lernel(
*.6.+9(S*.+.6.el5.src.rpm dentro de drectoro de traba|o actua.
Se procede a nstaar e paquete fuente Lernel(*.6.+9(S*.+.6.el5.src.rpm de a sguente forma:
rpm !ivh kernel!K@src@rpm
Esto nstaar os fuentes y parches para e nceo en e drectoro =usr=src=red$at=>0,'C">= y e
archvo de especfcacn para construr e paquete bnaro '<: como
=usr=src=red$at=><"C>=Lernel(*.6.spec.
110
Para poder utzar e cdgo fuente, hay que descomprmr y apcar os parches ncudos por e
dstrbudor. Esto se consgue utzando e mandato rpm!uild con as opcones -!p y
((targetRTar#uitecturaU, donde Tar#uitecturaUrepresenta a arqutectura genrca de
mcroprocesador. En e caso de Cent0> 5, estn dsponbes as confguracones genrcas para
i596, i696, 296Q64, ia64, ppc, ppc64, s3SO y s3SO2, y as varantes i696(<A", para equpos ,
i696(2en, ia64(2en y 296Q64(2en, para utzar as funcones de Den que permten utzar
paravrtuazacn.
Las opcones (!p ncan parcamente e a construccn de paquete (build) pero soo hasta a
seccn Vprep (preparatvos) de archvo de especfcacn, o que sgnfca que se descomprmr
e fuente de nceo y se apcarn os parches.
Se debe acceder a drectoro =usr=src=red$at=><"C>=.
cd /usr/src/redhat/S<&)S/
Posterormente se procede a descomprmr fuentes y apcar parches. La opcn ((targetRi696 se
utzar en e|empo a contnuacn para que se nstae un archvo prevamente confgurado con
opciones genricas para a arqutectura i696.
rpmbuild !bp !!target*i656 kernel!6@6@spec
Consderando en e e|empo que se nsta e paquete fuente '<: Lernel(*.6.+9(
S*.+.6.el5.src.rpm, soo resta es acceder a drectoro =usr=src=red$at=B,%D=Lernel(
*.6.+9=linu2(*.6.+9.i696= para confgurar as opcones que se utzarn.
cd @@/:>(1%/kernel!6@6@15/linux!6@6@15@i656/
Dentro de paquete '<: se ncuyen varos archvos con confguracones genrcas de acuerdo a
a arqutectura, os cuaes se nstaan dentro de drectoro =usr=src=red$at=>0,'C">=. Uno de
estos archvos se seeccona y copa automtcamente dentro de drectoro
=usr=src=red$at=B,%D=Lernel(*.6.+9=linu2(*.6.+9.i696= cuando se defne a arqutectura con
a opcn ((target de mandato rpm!uild.
kerne-2.6.18-
586.confg
Confguracn genrca para arqutectura i596 (Pentum, Pentum MMX, AMD
K5, AMD K6, AMD K6 II, AMD K6 III).
kerne-2.6.18-
686.confg
Confguracn genrca para arqutectura i696 (Pentum Pro, Pentum II,
Pentum III, Pentum 4, Pentum M, Xeon, Ceeron, AMD K7, AMD Athon XP,
AMD Duron).
kerne-2.6.18-686-
debug.confg
Confguracn genrca para arqutectura i696, con opcones de depuracn.
Soo recomendado para desarroadores y escenaros donde se requere
dagnstco.
kerne-2.6.18-686-
PAE.confg
Confguracn genrca para arqutectura i696, con soporte <A" (<hysca
Address "xtenson) que aade capacdades para utzar mayor espaco de
ntercambo (s(apspace). Utzado en sstemas con ms de 4 GB de RAM.
kerne-2.6.18-686-
xen.confg
Confguracn genrca para arqutectura ia64 (Inte Itanum), con soporte
para Xen. Permte utzar paravrtuazacn a travs de Xen.
kerne-2.6.18-
a64.confg
Confguracn genrca para arqutectura ia64.
kerne-2.6.18-a64- Confguracn genrca para arqutectura ia64, con opcones de depuracn.
111
debug.confg Soo recomendado para desarroadores y escenaros donde se requere
dagnstco.
kerne-2.6.18-a64-
xen.confg
Confguracn genrca para arqutectura ia64, con soporte para Xen.
Permte utzar paravrtuazacn a travs de Xen.
kerne-2.6.18-
ppc64.confg
Confguracn genrca para arqutectura <<C de 64 bt (G5).
kerne-2.6.18-ppc64-
debug.confg
Confguracn genrca para arqutectura <<C de 64 bt, con opcones de
depuracn. Soo recomendado para desarroadores y escenaros donde se
requere dagnstco.
kerne-2.6.18-
ppc.confg
Confguracn genrca para arqutectura <<C de 32 bt (G3 y G4).
kerne-2.6.18-ppc-
smp.confg
Confguracn genrca para arqutectura <<C de 32 bt, con soporte de
Mut-Procesamento Smtrco (>:<).
kerne-2.6.18-
s390.confg
Confguracn genrca para arqutectura s3SO.
kerne-2.6.18-
s390x.confg
Confguracn genrca para arqutectura s3SO2.
kerne-2.6.18-s390x-
debug.confg
Confguracn genrca para arqutectura s3SO, con opcones de depuracn.
Soo recomendado para desarroadores y escenaros donde se requere
dagnstco.
kerne-2.6.18-
x86_64.confg
Confguracn genrca para arqutectura 296Q64 (AMD K8, AMD Athon 64,
AMD Opteron).
kerne-2.6.18-
x86_64-debug.confg
Confguracn genrca para arqutectura 296Q64, con opcones de
depuracn. Soo recomendado para desarroadores y escenaros donde se
requere dagnstco.
kerne-2.6.18-
x86_64-xen.confg
Confguracn genrca para arqutectura 296Q64, con soporte para Xen.
Permte utzar paravrtuazacn a travs de Xen.
9.*.3.*. Descargar desde Lernel.org
La prncpa venta|a de descargar e nceo desde Lernel.org es que se contar con a ms
recente versn, me|oras y ms dspostvos soportados. E nconvenente es que puede perderse
a estandarzacn con a dstrbucn utzada o ben a compatbdad con agunas apcacones
de terceros que dependen drecta o ndrectamente de una versn en partcuar de nceo, o un
A<% ncudo en aguna versn en partcuar de nceo.
Se accede haca $ttp-==PPP.Lernel.org= y se descarga, desde a parte nferor de a portada de
sto, a versn ms recente de nceo.
get O
http#//@kernel@org/pub/linux/kernel/v6@6/linux!6@6@69@1$@tar@bC6
Lo anteror descargar e paquete linu2(*.6.*5.+O.tar.!8*.
Se procede a descomprmr linu2(*.6.*5.+O.tar.!8* utzando o sguente:
tar Mxv" linux!6@6@69@1$@tar@bC6
112
Lo anteror descomprmr e contendo en un drectoro denomnado linu2(*.6.*5.+O. Soo resta
es acceder haca este drectoro para confgurar as opcones que se utzarn.
cd linux!6@6@69@1$
9.*.4. Con&iguracin del n1cleo.
Se puede utzar e mandato maLe con a opcn con&ig de a sguente forma:
make con"ig
E nconvenente de sto es que se tendr que responder una a una cada una de as opcones de
nceo. Soo se recomenda para usuaro muy expermentados.
Se puede utzar e mandato maLe con a opcn menucon&ig de a sguente forma:
make menucon"ig
Lo anteror compar y e|ecutar una nterfaz hecha en ncurses que permtr examnar e rbo
de opcones y habtar y deshabtar de una forma ms amstosa, pues cada opcn ncuye una
ayuda que expca para que srve y s es seguro ncura, compara como mduo o excura.
113
En genera, se puede empezar excuyendo as optmzacones genrcas y funcones que nunca se
utzarn en e sstema como e mutprocesamento smtrco y soporte para ms de 4 GB de RAM.
114
Y uego seecconado e tpo exacto de mcroprocesador y excur as funcones genrcas.
115
Pueden habtarse o excurse funcones y mduos, de acuerdo a as necesdades y e sustento
fsco determnado prevamente con os mandatos lsmod, lspci y lsus!, en e resto de as
opcones de rbo de confguracn de menucon&ig.
En genera se puede compar dentro de nceo o sguente:
Controadores para dspostvos ntegrados en a tar|eta madre que sean de uso contnuo.
Controadores de dspostvos de uso contnuo, como controadores de dsco y transportes
(buses) >C>% (>ma Computers >ystem %nterface o Sstema de Interfaz para Pequeas
Computadoras), A@A (Advanced @echnoogy Attachment), <A@A (<arae Advanced
@echnoogy Attachment), >A@A (>era Advanced @echnoogy Attachment), 'A%D
('edundant Array of %nexpensve Dsks o con|unto redundante de dscos ndependentes),
etc.
Soporte de G: (ogca Goume :anager o Gestor de Vomenes Lgcos).
Controadores para sstemas de archvos (e2t3).
En genera se debe evtar ncur dentro de kerne y soo compar como mduo o sguente:
116
Controadores de dspostvos perfrcos (como os controadores para cmaras dgtaes).
Controadores para cuaquer dspostvo que se pueda remover de sstema (es decr
dspostvos ,>B, FirePire, Bluetotoot$, etc.).
Controadores de dspostvos que se ntercamben con frecuenca.
La rega genera es mantener el n1cleo lo m;s pe#ueo posi!le y evtar ncur dentro de ste
demasados controadores. S se compa un controador dentro de nceo y e dspostvo es
retrado de sstema o ste sufre agn tpo de dao que afecte su funconamento, e nceo puede
sufrr confctos con e resto de os controadores, o ben sufrr un fao. Es preferbe compar como
mduos os controadores de todo aqueo que se pueda remover de sstema, ncuyendo os
dspostvos que utcen ranuras <C%.
A termnar de confgurar o anteror, smpemente se sae de menucon&ig para guardar os
cambos.
9.*.4.+. Compilacin del n1cleo.
La compacn se nca utzando e mandato maLe.
117
make
9.*.4.*. %nstalacin del n1cleo.
Despus de varos mnutos, dependendo de a capacdad de sstema, se procede a nstaar
prmero os mduos:
make modules.install
A concur e procedmento, se nstaa e nceo.
make install
Lo anteror nstaar e nceo en e drectoro =!oot, crear e archvo system.map
correspondente, crear a magen de dsco RAM correspondente y aadr una entrada en e
archvo =!oot=gru!=gru!.con&, respetando os nceos prevamente nstaados a coocarse como
opcn de arranque secundara.
Smpemente rence y pruebe e nuevo nceo. S todo parece funconar correctamente, puede
edtar e archvo =!oot=gru!=gru!.con& y coocar e nuevo nceo como predetermnado.
A
A root (hd$B$)
A kernel /vmlinuC!version ro root*/dev/'olIroup$$/1og'ol$$
A initrd /initrd!version@img
Aboot*/dev/hda
-e+#.)$=/
timeout*9
hiddenmenu
$%$)e Cen$OS 12.3.25.4/5
roo$ 1h-/6/5
7erne) 8*9)%n.:-2.3.25.4/ ro roo$=8-e*8;o)Gro.'//8Lo;o)//
%n%$r- 8%n%$r--2.3.25.4/.%9
title )ent/S (6@6@15!86@1@6@el9)
root (hd$B$)
kernel /vmlinuC!6@6@15!86@1@6@el9 ro root*/dev/'olIroup$$/1og'ol$$
initrd /initrd!6@6@15!86@1@6@el9@img
)0@A- Es muy mportante sempre conservar una copa de nceo que vene con a dstrbucn
utzada en caso de presentarse probemas.
9.*.4.3. Creando pa#uete '<:.
Se puede crear un paquete '<: a partr de os bnaros recn compados. Acceda de nuevo haca
e drectoro de nceo recn compado y utce e mandato maLe con a opcn !inrpm(pLg de
a sguente forma:
make binrpm!pkg
118
S desea crear un paquete '<: compando todo de nuevo, puede utzar e mandato maLe con a
opcn rpm(pLg de a sguente forma:
make rpm!pkg
La nstaacn de paquete resutante se reaza utzando e mandato rpm con as opcones (iv$
(nstaar, descrptvo y mostrar barra de progreso), a fn de que se mantengan nstaados os
paquetes de nceo exstentes en e sstema y estos coexstan, permtendo eegr con cua ncar
e sstema desde e arranque con ?ru!.
rpm !ivh /usr/src/redhat/R<-S/i?56/kernel!6@69@1$!6@i?56@rpm
Lo anteror nstaar e paquete '<: de nceo recn creado, sn afectar a otras versones de
paquetes de nceo que estn prevamente nstaadas. A termnar, soo ser necesaro egr
desde ?ru! e nceo con e cua se ncar e sstema.
Gr.! *ers%on /.<= 133<> )o?er 8 234/53> .''er 9e9ory5
_________________________________________________________________
@Cen$OS 12.3.25.4/5 @
@Cen$OS 12.3.48-<2.4.3.e)55 @
@Cen$OS 12.3.48-<2.4.4.e)55 @
@ @
@ @
@ @
@ @
@ @
@ @
@ @
@ @
@________________________________________________________________@
Use $he P #n- $he Q $o se)e&$ ?h%&h en$ry %s h%h)%h$e-.
Aress en$er $o !oo$ $he se)e&$e- OS or B'B $o en$er #
'#ss?or- $o .n)o&7 $he neC$ se$ o+ +e#$.res.

119
S. ?estin de espacio de memoria de
intercam!io MsPapN en ?),=inu2.
condcones sguentes: a) Debe reconocer y ctar a autor orgna. b) No puede utzar esta obra para fnes comercaes Mincluyendo su
pu!licacinF a travs de cual#uier medioF por entidades con &ines de lucroN. c) S atera o transforma esta obra, o genera una obra
dervada, so puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os
trmnos de a cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de
autor. Los derechos dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. Lcenca competa en casteano. La
nformacn contenda en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna
s e usuaro o ector hace ma uso de stos.
S.+. %ntroduccin.
S.+.+. Algo de $istoria.
Hace muchos aos, ?),=inu2, en os tempos de nceo versn 2.0, se encontraba mtado a
utzar una soa partcn de memora de ntercambo de un mxmo de 128 MB, sendo esto una
de os prncpaes argumentos utzados por sus detractores. Por fortuna as cosas han cambado, y
hoy en da ya no exste dcho mte, y es posbe adems utzar cuanta memora de ntercambo
sea requerda para satsfacer as necesdades de cuaquer sstema.
S.+.*. Bu es y como &unciona el espacio de intercam!io?
E espaco de memora de ntercambo o >Pap, es o que se conoce como memoria virtual. La
dferenca entre a memora rea y a vrtua es que est tma utza espaco en e dsco duro en
ugar de un mduo de memora. Cuando a memora rea se agota, e sstema copa parte de
contendo de esta drectamente en este espaco de memora de ntercambo a fn de poder reazar
otras tareas.
Utzar memora vrtua tene como venta|a e proporconar a memora adcona necesara cuando
a memora rea se ha agotado y se tene que reazar un proceso. E nconvenente radca en que,
como consecuenca de utzar espaco en e dsco duro, a utzacn de esta es mucho muy enta.
Uno puede percatarse de esto cuando e dsco duro empeza a traba|ar repentnamente hasta por
varos mnutos despus de abrr varas apcacones.
Cuanto espaco para memora de ntercambo se debe asgnar a sstema?
Menos de 1 GB RAM Dobe de a cantdad tota de memora RAM.
Ms de 1 GB RAM Msma cantdad de tota de memora RAM, ms 2 GB.
S.+.3. Circunstancias en las#ue se re#uiere aumentar la cantidad de
memoria de intercam!io.
Contar con mayor espaco para utzar memora vrtua puede ser prctco en os sguentes casos:
120
Sstemas en donde adqurr memora adcona es mposbe, y se est; consciente
#ue la memoria de intercam!io es muc$simo m;s lenta que a memora RAM.
En equpos con traba|o ntensvo que consume mucha memora (dseo grfco, por
e|empo).
Servdores de ato desempeo en donde se desea contar con un ampo margen de
espaco de ntercambo para satsfacer as demandas de servcos.
Sstemas que actuazaron desde una versn de nceo 2.2, a una versn de nceo
2.4 o 2.6.
Sstemas donde se aument a cantdad de memora RAM, y se encuentran con a
probemtca de cubrr a cuota mnma de espaco de memora de ntercambo.
<rocedimientos.
Todos os procedmentos stados a contnuacn requeren hacerse como e usuaro root o ben
utzando e mandato sudo.
S.+.4. Cam!iar el tamao de la particin.
Cambar e tamao de as partcones e dsco duro y cambar as dmensones una partcn de
memora de ntercambo adcona es e mtodo ms efectvo.Sn embargo,sto representa un
resgo, debdo que podra ocurrr un error durante e procesos de repartcn que podra
desencadenar en prdda de datos en un dsco duro. S se utza este mtodo, es mportante
dsponer de un respado de todos os datos mportantes antes de comenzar e proceso.
S.+.5. Crear un arc$ivo para memoria de intercam!io.
Otro mtodo ms senco y sn resgo aguno, consste en utzar un archvo de ntercambo de
forma smar a como se hace en otros sstemas operatvos.
Ante todo, a me|or soucn sempre ser adqurr ms RAM.
S.*. <rocedimientos.
S.*.+. Activar una particin de intercam!io adicional.
S se cambo a taba de partcones de dsco duro y se ha creado una nueva partcn de memora
de ntercambo, se e da formato de a sguente forma con e mandato mLsPap, donde a opcn
(c ndca se verfquen sectores de dsco duro buscando boques daados a fn de marcar estos, y
evtar utzaros:
mksap !c DdispositivoE
En e sguente e|empo se dar formato como partcn de memora de ntercambo a a partcn
=dev=sda9, de aproxmadamente 1 GB, verfcando sectores en busca de boques daados:
mksap !c /dev/sda5
Lo anteror puede devover una sada smar a a sguente:
Setting up sapspace version 1B siCe*1$45976 bytes
no labelB >>(%*d6"ea9ab!c677!5$47!758a!e94ae18c9$6b
121
Para actvar a partcn y que sea utzada nmedatamente por e sstema operatvo, se e|ecuta e
mandato sPapon de a sguente forma:
sapon DdispositivoE
En e sguente e|empo se actva como partcn de memora de ntercambo a a partcn
=dev=sda9:
sapon /dev/sda5
Para corroborar que a nueva partcn de memora de ntercambo est sendo utzada por e
sstema operatvo, se e|ecuta e e mandato &ree, que puede devover una sada smar a a
sguente:
total used "ree shared bu""ers cached
-em# ?61?64 ?16976 5755 $ 84$ 6?465
!/N bu""ers/cache# 6456$5 7?196
S?#'D 4E23E43 / 4E23E43
Para que esta partcn se utce como memora de ntercambo automtcamente en e sguente
arranque de sstema, se edta e archvo =etc=&sta!:
vim /etc/"stab
La nea que se deba agregar, eva e sguente formato:
DparticiRnE sap sap de"aults $ $
De ta modo, en e sguente e|empo se defnr como partcn de memora de ntercambo a a
partcn =dev=sda9:
/dev/sda5 sap sap de"aults $ $
S.*.*. ,tili8ar un arc$ivo como memoria de intercam!io.
Este mtodo no requere hacer cambos en a taba de partcones de dsco duro. Es dneo para
usuaros poco expermentados, para quenes desean evtar tomar resgos a cambar a taba de
partcones e dsco duro, o ben para quenes requeren ms de memora de ntercambo ocasona,
o de manera crcunstanca.
Consderando que e archvo de memora de ntercambo puede ser coocado en cuaquer
drectoro de dsco duro, se e|ecuta e mandato dd, especfcando que se escrbrn ceros
(i&R=dev=8ero) para crear e archvo =sPap (o&R=sPap), en boques de 1024 bytes (!sR+O*4)
hasta competar una cantdad en bytes determnada (countRTcantidad multiplicada por el
valor de !sU). En e sguente e|empo se reaza o anteror hasta competar 5*4*99OOO !ytes
(+O*4 por ), que equvaen a 5+* :B:
dd i"*/dev/Cero o"*/sap bs*1$64 count*916$$$
122
Para dar formato de memora de ntercambo a archvo creado, se e|ecuta e mandato mLsPap,
de sguente modo:
mksap /sap
Setting up sapspace version 1B siCe * 911886 Hi:
no labelB >>(%*"ed6aba9!77c6!475$!8a75!4ae9e18c9$6b
Para actvar a partcn, y que sea utzada nmedatamente por e sstema operatvo, se e|ecuta
e mandato sPapon. En e sguente e|empo se actva como partcn de memora de ntercambo
a e archvo =sPap:
sapon /sap
Para corroborar que nuevo archvo de memora de ntercambo est sendo utzada por e sstema
operatvo, se e|ecuta e e mandato &ree, que puede devover una sada smar a a sguente:
total used "ree shared bu""ers cached
-em# ?61?64 ?16976 5755 $ 84$ 6?465
!/N bu""ers/cache# 6456$5 7?196
S?#'D 34E5=2E / 34E5=2E
Para que este archvo se utce como memora de ntercambo automtcamente en e sguente
arranque de sstema, se edta e =etc=&sta!:
Y se agrega a nea correspondente, de sguente modo, donde en ugar de e dspostvo, se pone
a ruta de archvo de memora de ntercambo creado:
vim /etc/"stab
/sap sap sap de"aults $ $
S.*.3. 0ptimi8ando el sistemaF cam!iando el valor de
=proc=sys=vm=sPappiness
E nceo de ?),=inu2 permte cambar con que frecuenca as apcacones y programas son
movdas de a memora fsca haca a memora de ntercambo. E vaor predetermnado es 60,
como puede observarse a mrar e contendo de =proc=sys=vm=sPappiness de a sguente forma:
cat /proc/sys/vm/sappiness
Pueden estabecerse vaores entre 0 y 100, donde e vaor ms ba|o estabece que se utce menos
a memora de ntercambo, o cua sgnfca que se recamar en su ugar e cach de a memora.
E vaor predetermnado de 60, fue estabecdo tenendo en mente a quenes desarroan e nceo
de Lnux, con a fnadad de permtr reazar pruebas y dagnstcos.
123
Para a mayora de os casos, convene cambar este vaor por uno ms ba|o a fn de que e sstema
utce menos a memora de ntercambo, y utce ms a memoria cac$e. sta es una case de
memora RAM esttca de acceso aeatoro (>'A: o >tatc 'andom Access :emory). Se sta
entre a ,nidad Central de <rocesamiento (C<,) y a memora RAM y se presenta de forma
tempora y automtca para e usuaro proporconado acceso rpdo a os datos de uso ms
frecuente.
Un vaor apropado y que funconar para a mayora de os sstemas en produccn es +O. En e
sguente e|empo se apca e vaor +O para e archvo =proc=sys=vm=sPappiness.
echo 1$ L /proc/sys/vm/sappiness
Para o anteror, tambn se puede e|ecutar e mandato sysctl de a sguente forma:
sysctl ! vm@sappiness*1$
Lo anteror devueve una sada smar a a sguente, confrmando que se ha apcado e cambo:
vm@sappiness * 1$
Este cambo en as varabes de sstema de forma apca nmedata hasta e sguente renco de
sstema. Para hacer que e cambo sea permanente, se edta e archvo =etc=sysctl.con&.
vim /etc/sysctl@con"
Y se aade a sguente nea:
vm@sappiness * 1$
124
+O. <rocedimientos de emergencia
+O.+. %ntroduccin
En ocasones suee ser necesaro reazar tareas de mantenmento y de reparacn en e sstema
de archvos. Estas stuacones requeren que e admnstrador conozca a menos as herramentas
correspondentes.
+O.*. Disco de rescate
E prmer dsco de nstaacn de Red Hat Enterprse Lnux 3 y Whte Box Enterprse Lnux 3
ncuye a opcn de ncar e sstema en modo de rescate desde ste. Soo bastar dgtar nux
rescue en e avso de nco (prompt) que aparece a arrancar e sstema con e dsco 1:
boot# linux rescue
Despus de ncar, confgurar e tecado y, de forma opcona, a conectvdad a travs de
dspostvos de red, se ngresar a un nterprete de mandatos (BASH) con un con|unto bsco de
herramentas que permtrn reazar tareas de mantenmento y reparacn.
Dgte o sguente a fn de mostrar en pantaa as partcones de sstema:
d" !h
Lo anteror deber mostrar ago parecdo a o sguente:
S@archivos 0amaSo >sado %isp >soT -ontado en
/dev/sda6 19I 4@5I 8@6I ?4T /
/dev/sda1 76- 5@1- 64- 16T /boot
none 9$7- $ 9$7- $T /dev/shm
/dev/hda9 4$I ?9I 6@6I 84T /home
/dev/sdb? 6@$I ?6- 1@8I 6T /tmp
/dev/sdb1 6@4I 4@$I 6@6I 66T /usr/local
/dev/sdb9 6@4I 4@?I 1@5I 71T /usr/src
/dev/sdb6 6@$I 97$- 1@4I ?$T /var
/dev/hda6 18I 17I 885- 89T /var/"tp
/dev/hda6 6@$I 697- 9@4I 9T /var/lib
/dev/hda1 6@8I 786- 9@5I 16T /var/
125
+O.3. Geri&icacin de la integridad del disco
La verfcacn de cuaquer partcn de dsco duro requere, necesaramente, desmontar antes
sta. Utzar e mandato &scL en una partcn montada, puede ocasonar a prdda o corrupcn
de datos. Una vez desmontada a partcn a verfcar, es posbe reazar una verfcacn y/o
reparacn utzando cuaquera de os sguentes e|empos de uso de mandato &scL.
Forzar a verfcacn de sstema de archvos, responder automtcamente con 2$i3 (opcn (y) a
a reparacn de cuaquer probema que requera ntervencn humana (opcn (y) y mostrando
una barra de progreso (opcn (C).
"sck !"y) /dev/sdXX
Forzar a verfcacn de sstema de archvos y responder automtcamente con 2$i3 (opcn (y) a
a reparacn de cuaquer probema que requera ntervencn humana (opcn (y).
"sck !"y /dev/sdXX
Lo msmo que e mandato anteror, pero adems con verfcacn de soo-ectura para buscar
boques daados (opcn (c), preservando a sta de boques daados exstente donde se aadrn
nuevos boques daados a sta (opcn (L).
"sck !"ykc /dev/sdXX
Lo msmo que e mandato anteror, pero con verfcacn de lectura(escritura no(destructiva
para buscar boques daados (opcn (cc), preservando a sta de boques daados exstente
donde se aadrn nuevos boques daados a sta (opcn (L). S se encuentra un boque daado,
este se aade a nodo de boques daados.
"sck !"ykcc /dev/sdXX
Forzar a verfcacn de sstema de archvos, reparar automtcamente cuaquer probema que
pueda ser resueto sin ntervencn humana (opcn (p) y mostrando una barra de progreso
(opcn (C).
"sck !"p) /dev/sdXX
Forzar a verfcacn de sstema de archvos y reparar automtcamente cuaquer probema que
pueda ser resueto sin ntervencn humana (opcn (p).
"sck !"p /dev/sdXX
Lo msmo que e mandato anteror, pero adems con verfcacn de soo-ectura para buscar
boques daados (opcn (c), preservando a sta de boques daados exstente donde se aadrn
nuevos boques daados a sta (opcn (L).
"sck !"pkc /dev/sdXX
126
Lo msmo que e mandato anteror, pero con verfcacn de lectura(escritura no(destructiva
para buscar boques daados (opcn (cc), preservando a sta de boques daados exstente
donde se aadrn nuevos boques daados a sta (opcn (L). S se encuentra un boque daado,
este se aade a nodo de boques daados.
"sck !"pkcc /dev/sdXX
Verfcar e sstema de archvos, reparando automtcamente cuaquer probema que pueda ser
resueto sn ntervencn humana y tratando de optmzar os drectoros de sstema de archvos
(opcn (D).
"sck !"p% /dev/sdXX
La optmzacn de drectoros se reaza vovendo a crear un ndce de stos s e sstema de
archvos ncuye soporte para ndces (como es e caso de Ext4), o ben re-ordenando y
comprmendo drectoros en os casos de drectoros pequeos o ben sstemas de archvos que
utcen drectoros neaes tradconaes.
Lo msmo que e mandato anteror, pero con verfcacn de ectura-escrtura no-destructva para
buscar boques daados (opcn (cc), preservando a sta de boques daados exstente donde se
aadrn nuevos boques daados a sta (opcn (L). S se encuentra un boque daado, este se
aade a inodo (nodo ndce) de boques daados.
"sck !"p%kcc /dev/sdXX
+O.4. Asignacin de &ormato de las particiones
Cuando a stuacn o amerte, ser posbe dar formato a una partcn en partcuar con formato
EXT3 de a sguente forma:
mk"s@ext? /dev/hda1
Cuando a stuacn o amerte, y est nstaado e paquete e4&sprogs, ser posbe dar formato a
una partcn en partcuar con formato EXT4 de a sguente forma:
mk"s@ext4 /dev/hda1
Se encuentran tambn dsponbes as sguentes herramentas para asgnacn de formato:
mkfs.ext2
mkfs.vfat (fat32)
mkfs.msdos (fat16)
mkswap
S se necesta dar un formato de ba|o nve a fn de emnar toda a nformacn de dsco duro,
puede utzarse o sguente, consderando en e e|empo que se ntenta dar formato de ba|o nve
a dsco duro =dev=$da, para escrbr 0 (ceros) en cada sector de dsco duro.
dd i"*/dev/Cero o"*/dev/hda
127
S se requere, tambn es posbe dar formato de ba|o nve escrbendo nmeros aeatoros en
todos os sectores de dsco duro:
dd i"*/dev/urandom o"*/dev/hda
128
++. ?estin de vol1menes lgicos.
condcones sguentes: a) Debe reconocer y ctar a autor orgna. b) No puede utzar esta obra para fnes comercaes (ncuyendo su
pubcacn, a travs de cuaquer medo, por entdades con fnes de ucro). c) S atera o transforma esta obra, o genera una obra dervada, so
puede dstrbur a obra generada ba|o una cenca dntca a sta. A reutzar o dstrbur a obra, tene que de|ar ben caro os trmnos de a
cenca de esta obra. Aguna de estas condcones puede no apcarse s se obtene e permso de ttuar de os derechos de autor. Los derechos
dervados de usos egtmos u otras mtacones no se ven afectados por o anteror. Lcenca competa en casteano. La nformacn contenda
en este documento y os dervados de ste se proporconan ta cua son y os autores no asumrn responsabdad aguna s e usuaro o ector
hace ma uso de stos.
++.+. %ntroduccin.
LVM es una mpementacn que consste en un admnstrador de vomenes gcos para e nceo
de Lnux. Fue orgnamente escrto en 1998 por Henz Maueshagen, quen se bas sobre e
admnstrador de vomenes de Vertas, e cua soa ser utzado en en sstemas HP-UX.
Bscamente, LVM2 permte hacer o sguente:
Cambo de tamao de grupos de vomenes.
Cambo de tamao de vomenes gcos.
Instantneas de ectura y escrtura (a partr de LVM2).
RAID0 de vomenes gcos.
LVM carece de soporte para mpementar RAID1 o RAID5, por o que se recomenda confgurar este
tpo de arregos RAID, traba|ando con vomenes gcos por encma de os arregos RAID.
LVM se compone de tres partes:
1. Vomenes fscos (pv, physca voume). Son partcones en e dsco duro, con a
bandera 8e. Se pueden dvdr en extensones fscas (pe, o physca extents).
2. Vomenes gco (v, o ogca voume). Se componen de vomenes fscos. Se
pueden dvdr en extensones gcas (e, ogca extents).
3. Grupos de vomenes (vg, o voume group). Se componen de uno o ms vomenes
gcos utzados, y vomenes fscos sn utzar. Son undades admnstratvas donde
se agrupan os recursos.
<rocedimientos.
++.+.+. Crear un volumen lgico a partir de un disco duro nuevo.
E|ecute e mandato parted para crear una nueva etqueta en e dsco duro nuevo.
parted /dev/sdb mklabel msdos
Utce nuevamente e mandato parted para crear una partcn prmara tpo ext4, que tendr
10240 MB (nco en 1, fn en 10240):
parted /dev/sdb mkpart primary ext4 1 1$45$
129
Cambe e tpo de partcn a LVM:
parted /dev/sdb set 1 lvm on
Para vsuazar a taba de partcones, y verfcar que se ha creado una partcn prmara de 10240
MB, tpo LVM, e|ecute o sguente:
parted /dev/sdb print
Lo anteror debe devover una sada smar a a sguente:
-odel# 404 ':/X 24R%%(SH (scsi)
%isk /dev/sdb# 61@9I:
Sector siCe (logical/physical)# 916:/916:
<artition 0able# msdos
,umero (nicio =in 0amaSo 0ypo Sistema de "icheros :anderas
1 1$48k: 1$@9I: 1$@9I: primary lvm
Para presentar a nueva partcn ante e nceo de sstema, e|ecute e mandato partpro!e de
sguente modo:
partprobe /dev/sdb1
)ota.
S o anteror faa, e|ecute e mandato $daparm de sguente modo:
hdparm !C /dev/sdb
Para crear un voumen fsco, e|ecute e mandato pvcreate de sguente modo:
pvcreate /dev/sdb1
E|ecute e mandato pvscan para verfcar e procedmento anteror:
pvscan
Lo anteror deber devover una sada smar a a sguente:
<' /dev/sda6 'I 'olIroup$$ lvm6 D9?@5$ Ii: / $ "reeE
<' /dev/sda? 'I 'olIroup$1 lvm6 D5@$$ Ii: / $ "reeE
A; 8-e*8s-!4 )*92 "<.=3 G%B(
0otal# ? D71@99 Ii:E / in use# 6 D61@78 Ii:E / in no 'I# 1 D8@76 Ii:E
Para crear e grupo de vomenes denomnado VoDatos, e|ecute e mandato vgcreate de
sguente modo:
vgcreate 'ol%atos /dev/sdb1
E|ecute e mandato vgscan para verfcar e procedmento anteror:
130
vgscan
Reading all physical volumes@ 0his may take a hile@@@
Fo.n- *o).9e ro.' ";o)D#$os//" .s%n 9e$#-#$# $y'e )*92
=ound volume group +'olIroup$$+ using metadata type lvm6
=ound volume group +'olIroup$1+ using metadata type lvm6
Para crear un voumen gco, denomnado Datos00, pertenecente a grupo de vomenes
denomnado VoDatos, asgnando e 100% de as extensones gcas bres, e|ecute e mandato
lvcreate de sguente modo:
lvcreate !l 1$$T=R&& 'ol%atos$$ !n %atos$$
E|ecute e mandato lvscan para verfcar e procedmento anteror:
lvscan
ACTF;E B8-e*8;o)D#$os//8D#$os//B "<.=3 G%B( %nher%$
4)0('& U/dev/1og'ol$$/1og'ol$1U D9?@5$ Ii:E inherit
4)0('& U/dev/1og'ol$1/1og'ol$$U D5@$$ Ii:E inherit
Para dar formato a nuevo voumen gco, e|ecute e mandato mkfs.ext4 de sguente modo:
mk"s@ext4 /dev/'ol%atos$$/%atos$$
E|ecute e mandato mLdir para crear e punto de monta|e /datos:
mkdir /datos
Para montar e voumen gco en e drectoro /datos, e|ecute o sguente:
mount /dev/'ol%atos$$/%atos$$ /datos
E|ecute e mandato d& para verfcar e procedmento anteror:
d"
131
S@"icheros :loJues de 1H >sado %ispon >soT -ontado en
/dev/mapper/'olIroup$$!1og'ol$$
66?9144$ 661$$5 661?$4?6 1T /
tmp"s ?18$86 55 ?18$$5 1T /dev/shm
/dev/sda1 185??7 64?76 16?761 1?T /boot
/
8-e*89#''er8;o)D#$os//-D#$os//
4//=42/8 45353/ <E/3/3/ 2G 8-#$os
Para que e voumen gco se monte automtcamente a ncar e sstema, edte e archvo
/etc/fstab:
vim /etc/"stab
Aada e sguente contendo:
/dev/mapper/'ol%atos$$!%atos$$ /datos ext4 de"aultsBnoatimeBnodiratime 1 6
Desmonte, y monte de nuevo e voumen gco para verfcar que todo traba|e correctamente.
umount /datos
mount /datos
++.+.+.+. :over contenidos desde un volumen &sico a otro en un nuevo disco
duro.
Asumendo que se ha reazado todo e procedmento anteror, y que e contendo actua de
voumen gco es menor a tamao de nuevo voumen fsco aaddo a voumen gco, so se
requere utzar e mandato pvmove para mover e contendo de un voumen fsco a otro.
pvmove /dev/sda1 /dev/sdb1
Una vez termnado e movmento, asumendo que e tamao de voumen fsco en /dev/sdb1, es
gua o mayor a de voumen fsco en /dev/sda1, so resta emnar /dev/sda1 de voumen gco.
vgreduce 'olIroup$$ /dev/sda1
++.+.*. Aadir un volumen &sico a un volumen lgico e2istenteF a partir
de espacio li!re sin particionar en un disco duro.
Se asume un escenaro donde:
Se utzar e msmo dsco duro de procedmento anteror, y que corresponde a
dspostvo /dev/sdb
E grupo de LVM a cua se aadr e dsco es VoGroup00
Oue e voumen gco que se har crecer con un nuevo voumen fscos, ser
LogVo00.
Determne e espaco dsponbe de dsco duro, e|ecutando e mandato parted de sguente modo:
parted /dev/sdb unit -: print "ree
132
Determne en qu MB comenza e espaco bre.
Para crear una nueva partcn de aproxmadamente 5120 MB, e|ecute e mandato parted de
sguente modo:
parted /dev/sdb mkpart primary ext4 1$451 196$$
)ota.
Es posbe que e sstema devueva una advertenca que ndca que se necesta rencar para que e
nceo de Lnux pueda eer a nueva taba de partcones:
4viso# 34R,(,I# the kernel "ailed to re!read the partition table on /dev/sdb
(%ispositivo o recurso ocupado)@ 4s a resultB it may not re"lect all o" your changes
until a"ter reboot@
Ignore a advertenca, y contne traba|ando. De ser necesaro, rence e sstema ms adeante, o ben
e|ecute e mandato partpro!e de sguente modo:
partprobe /dev/sdb6
S o anteror faa, e|ecute e mandato $daparm de sguente modo:
hdparm !C /dev/sdb
Cambe e tpo de partcn a LVM:
parted /dev/sdb set 6 lvm on
Para vsuazar a taba de partcones, y verfcar que se ha creado una partcn prmara de 5120
MB, tpo LVM, e|ecute o sguente:
-odel# 404 ':/X 24R%%(SH (scsi)
%isk /dev/sdb# 61@9I:
Sector siCe (logical/physical)# 916:/916:
<artition 0able# msdos
,umero (nicio =in 0amaSo 0ypo Sistema de "icheros :anderas
1 1$48k: 1$@9I: 1$@9I: primary lvm
6 1$@9I: 19@6I: 9118-: primary lvm
Para crear un voumen fsco, e|ecute e mandato pvcreate de sguente modo:
pvcreate /dev/sdb6
E|ecute e mandato pvscan para verfcar e procedmento anteror:
pvscan
133
<' /dev/sda6 'I 'olIroup$$ lvm6 D9?@5$ Ii: / $ "reeE
<' /dev/sda? 'I 'olIroup$1 lvm6 D5@$$ Ii: / $ "reeE
<' /dev/sdb6 lvm6 D4@77 Ii:E
0otal# 4 D76@?6 Ii:E / in use# ? D71@99 Ii:E / in no 'I# 1 D4@77 Ii:E
Para aadr este voumen fsco, que corresponde a a partcn /dev/sdb2, a grupo de vomenes
denomnado VoGroup00, e|ecute e mandato vgextend de sguente modo:
vgextend 'olIroup$$ /dev/sdb6
'olume group +'olIroup$$+ success"ully extended
Para asgnar e 100% nuevo espaco bre dsponbe, provsto por e nuevo voumen fsco aaddo
a grupo de vomenes denomnado VoGroup00, a voumen gco LogVo00, e|ecute e mandato
vextend de sguente modo:
lvextend !l N1$$T=R&& /dev/'olIroup$$/1og'ol$$
&xtending logical volume 1og'ol$$ to ?1@66 Ii:
1ogical volume 1og'ol$$ success"ully resiCed
Para camba e tamao de sstema de archvos, y que ste utza e nuevo espaco bre recn
asgnado a voumen gco, e|ecute e mandato resze2fs de sguente modo:
resiCe6"s /dev/'olIroup$$/1og'ol$$
resiCe6"s 1@41@16 (17!-ay!6$1$)
=ilesystem at /dev/%atos/1og'ol$$ is mounted on /homeV on!line resiCing reJuired
old desc.blocks * 6B ne.desc.blocks * 6
<er"orming an on!line resiCe o" /dev/%atos/1og'ol$$ to 5?$$944 (4k) blocks@
&l sistema de "icheros en /dev/'olIroup$$/1og'ol$$ tiene ahora 5?$$944 bloJues@
E|ecute df, con a opcn -h, para ver e nuevo tamao de de sstema de archvos ao|ado en
/dev/VoGroup00/LogVo00:
d" !h
134
S@"icheros SiCe >sed 4vail >seT -ontado en
/dev/mapper/'olIroup$$!1og'ol$$
?6I 616- ?$I 1T /
/dev/sda1 184- 64- 16$- 1?T /boot
/dev/mapper/'ol%atos$$!%atos$$
8@7I 668- 5@8I ?T /datos
++.+.3. Buitar una unidad &sica a un volumen lgico.
Antes de proceder, es mportante contar con un respado de os datos amacenados en e voumen
gco a cua se e qutar a undad fsca. Verfque que e respado es confabe.
Este procedmento requere que e voumen gco est sn montar. S se trata de un voumen
gco cuyo sstema de archvos est en uso, como /, /usr, o /var, e procedmento debe hacerse
desde un dsco vvo, o ben utzando e dsco de nstaacn en modo de rescate.
Ince e sstema con e dsco de nstaacn en modo de rescate.
E|ecute e mandato d&, y desmonte todas as partcones que estn deba|o de drectoro
/mnt/sysmage.
E|ecute e mandato &scL, con a opcn -f, para verfcar a partcn a reducr.
"sck !" /dev/'olIroup$$/1og'ol$$
Para determnar e tamao a que debe reducrse e sstema de archvos, e|ecute e mandato
parted de sguente modo:
E|ecute e mandato resze2fs para reducr e tamao de sstema de archvos, a una cantdad
Desmonte a partcn
E|ecute e mandato pvdspay para determnar e tamao de as partcones /dev/sda2, y /dev/sdb2,
y cuantas extensones fscas contenen cada una.
pvdisplay /dev/sda6 /dev/sdb6
135
!!! <hysical volume !!!
<' ,ame /dev/sda6
'I ,ame 'olIroup$$
<' SiCe 9?@5$ Ii: / not usable 4@$$ -i:
4llocatable yes (but "ull)
<& SiCe 4@$$ -i:
0otal <& 1?776
=ree <& $
4llocated <& 1?776
<' >>(% MG)2g7!ub$R!kCi<!h)y6!'16S!tXRm!6JXont

!!! <hysical volume !!!
<' ,ame /dev/sdb6
'I ,ame 'olIroup$$
<' SiCe 4@77 Ii: / not usable 6@$$ -i:
4llocatable yes (but "ull)
<& SiCe 4@$$ -i:
0otal <& 166$
=ree <& $
4llocated <& 166$
<' >>(% lk6b-t!?vci!y1p!0e6!H<ot!kpMe!l15c4:
Prmero hay que reducr e tamao de sstema de archvos nvoucrado, de modo que e nuevo
tamao sea geramente menor a tamao de voumen fsco que se contnuar utzando en e
voumen gco, sempre y cuando e espaco utzado de sstema de archvos sea menor a
tamao de voumen fsco que se conservara. S se reduce e tamao de sstema de archvos, a
uno menor a de espaco utzado por e contendo actua, se perdern todos os datos.
Asumendo un escenaro como e de e|empo de arrba, donde e tamao de voumen fsco que se
conservar es de 53.80 GB, defna 52 GB.
resiCe6"s /dev/'olIroup$$/1og'ol$$ 96I
ResiCing the "ilesystem on /dev/%atos/1og'ol$$ to 7$77555 (4k) blocks@
&l sistema de "icheros en /dev/%atos/1og'ol$$ tiene ahora 7$77555 bloJues@
Vueva a verfcar e voumen gco con e mandato &scL, de sguente modo:
"sck !" /dev/'olIroup$$/1og'ol$$
Asumendo un escenaro donde e voumen fsco que se emnar de voumen gco tene 1220
extensones, para restar de voumen gco estas extensones fscas, e|ecute e mandato vresze
de sguente modo:
lvresiCe !l !166$ /dev/'olIroup$$/1og'ol$$
Lo anteror e mostrar una advertenca, a cua ndca que tene un ato resgo reducr e tamao
de voumen gco, y que es posbe se perdan todos os datos. Es precsamente por sto que se
redu|o prmero e tamao de sstema de archvos.
136
34R,(,I# Reducing active logical volume to 66@8$ Ii:
02(S -4; %&S0R/; ;/>R %404 ("ilesystem etc@)
%o you really ant to reduce 1og'ol$$W Dy/nE#
S e tamao de sstema de archvos es menor a tamao que se asgnar despus de emnar as
extensones, correspondentes a voumen fsco que se emnar, puede responder con una y sn
temor a perder os datos contendos en e voumen gco.
34R,(,I# Reducing active logical volume to 66@8$ Ii:
02(S -4; %&S0R/; ;/>R %404 ("ilesystem etc@)
%o you really ant to reduce 1og'ol$$W Dy/nE#y
Reducing logical volume 1og'ol$$ to 66@8$ Ii:
1ogical volume 1og'ol$$ success"ully resiCed
Para emnar e voumen fsco de grupo de vomenes denomnado VoGroup00, e|ecute o
sguente:
vgreduce 'olIroup$$ /dev/sdb6
Removed +/dev/sdb6+ "rom volume group +%atos+
Como precaucn, se redu|o e tamao de sstema de archvos a una cantdad menor a a
dsponbe en e voumen fsco que se conserv. sto de|a espaco bre que probabemente se
quera utzar. Para cambar e tamao de sstema de archvos, y que tome todo e espaco
dsponbe en e voumen gco, e|ecute e mandato resze2fs de sguente modo:
resiCe6"s /dev/'olIroup$$/1og'ol$$
resiCe6"s 1@41@16 (17!-ay!6$1$)
=ilesystem at /dev/%atos/1og'ol$$ is mounted on /homeV on!line resiCing reJuired
old desc.blocks * 6B ne.desc.blocks * 6
<er"orming an on!line resiCe o" /dev/%atos/1og'ol$$ to 7$91664 (4k) blocks@
&l sistema de "icheros en /dev/%atos/1og'ol$$ tiene ahora 7$91664 bloJues@
Vueva a verfcar a partcn, e|ecutando e mandato &scL de sguente modo.
"disk !" /dev/'olIroup$$/1og'ol$$
Monte a partcn en e drectoro que e corresponda, y verfque que contene datos. A termnar
rence e sstema, y retre e dsco de rescate.
++.*. Bi!liogra&a.
https://secure.wkmeda.org/wkpeda/es/wk/LVM
137
138
+*. 0ptimi8acin de los sistemas de arc$ivos
e2t3 y e2t4.
+*.+. %ntroduccin.
Cuando se traba|a con servdores, y estacones de traba|o, con nstaacones de ,!untu, Cent0>,
'ed Eat o Fedora, y se busca optmzar e uso de dsco duro de sstemas de archvos en formato
Ext3 o Ext4, hay a|ustes que pueden me|orar e desempeo de manera sgnfcatva.
+*.+.+. Acerca de "2t3.
"2t3 (tird e4tended filesystem o tercer sstema de archvos extenddo) se dferenca de e2t* en
que traba|a con regstro por daro (journaling), y porque utza un rbo bnaro baanceado (rbo
AG, creado por os matemtcos rusos Georg Adeson-Gesk, y Yevgeny ands), y tambn por
ncorporar e mtodo 0rlov de asgnacn para boques de dsco (e msmo que se gestona a
travs de os mandatos lsattr, y c$attr). Adems e2t3 permte ser montado, y utzado, como s
fuera e2t*, y actuazar desde e2t* haca e2t3 sn necesdad de formatear a partcn y, por
tanto, sn perder os datos amacenados en sta. Es e sstema de archvos predetermnado en
Cent0> 5 y 'ed Eat "nterprise inu2 5.
+*.+.*. Acerca de "2t4.
"2t4 (fourt e4tended filesystem, o cuarto sstema de archvos extenddo) es un sstema de
archvos con regstro por daro, pubcado como una me|ora compatbe con e formato Ext3, por
por Andrew Morton, e 10 de octubre de 2006. E 25 de dcembre de 2008 se pubc a versn
2.6.28 de nceo de Lnux, a cua emn a etqueta e4perimental de cdgo de Ext4. Las me|oras
respecto de Ext3 ncuyen, entre otras cosas, e soporte de vomenes de hasta 1024 PB, soporte
aaddo de e4tents (con|unto de boques fscos contguos), menor uso de recursos de sstema,
me|oras sustancaes en a veocdad de ectura, y escrtura, y verfcacn ms rpda con &scL. Es
e sstema de archvos predetermnado en Cent0> 6 y 'ed Eat "nterprise inu2 6.
+*.+.3. Acerca del registro por diario M.ournalingN.
E regstro por daro (journaling) es un mecansmo por e cua un sstema de archvos mpementa
transaccones. Consste en un regstro en e que se amacena a nformacn necesara para
restabecer os datos daados por una transaccn en caso de que sta fae, como puede ocurrr
durante una nterrupcn de energa.
139
+*.*. <rocedimientos
Para determnar que dspostvos corresponden a as partcones en e dsco duro, se utza e
mandato d&. E|empo:
DrootXservidor YEA d"
S@archivos :loJues de 1H >sado %ispon >soT -ontado en
/dev/hda6 1865?$64 1767866$ 16$7954 84T /
/dev/sda1 77748 618$9 915?$ ?$T /boot
/dev/sdb1 17486654 1$61585$ 9855816 64T /home
/dev/hda9 94195544 41654944 1166?664 78T /var/"tp
/dev/sda6 19?96?45 45746?6 8685164 ?4T /home/rpmbuild
tmp"s 7777?6 $ 7777?6 $T /dev/shm
Una vez determnados que dspostvos corresponden a as dferentes partcones, pueden
apcarse varos mtodos de optmzacn.
+*.*.+. ,tili8ando el mandato e*&scL.
E mandato e*&scL se utza reguarmente para revsar, y reparar, partcones con formato e2t*, y
e2t3. Incuye a opcn (D que reaza a optmzacn de drectoros en e sstema de archvos. La
optmzacn de todos os drectoros de una partcn consste en vover a posconar (reinde4ing)
os drectoros, cuando e sstema de archvos ncuye soporte para ta, o vovendo a acomodar, y
comprmendo drectoros. La opcn (D se debe utzar |unto con a opcn (& para forzar a
verfcacn de a partcn de dsco duro.
Para optmzar una partcn en formato e2t3, es ndspensabe que sta est desmontada. Para
poder desmontar una partcn es ndspensabe que e sstema funcone sn procesos hacendo
uso de contendos en dcha partcn. Puede utzarse e mandato lso& para determnar sto, y as
defnr que es o que se debe detener momentneamente. S e sstema funcona sn procesos
hacendo uso de contendos en a partcn, se puede segur e procedmento e|empfcado a
contnuacn con e dspostvo =dev=sda3 que en este partcuar e|empo corresponde a a
partcn para =$ome:
umount /home
e6"sck !" !% /dev/sda?
La sada puede devover ago smar a o sguente:
DrootXm1$$ S<&)SEA e6"sck !% !" /dev/sda?
e6"sck 1@?8 (68!-ay!6$$6)
<ass 1# )hecking inodesB blocksB and siCes
<ass 6# )hecking directory structure
<ass ?# )hecking directory connectivity
A#ss 3AD O'$%9%:%n -%re&$or%es
<ass 4# )hecking re"erence counts
<ass 9# )hecking group summary in"ormation
/home# KKKKK =(1& S;S0&- 34S -/%(=(&% KKKKK
/home# 1?/96447?6 "iles (7@7T non!contiguous)B 6$5?18/964?614 blocks
Una vez termnado e procedmento, se pueden vover a montar as partcones optmzadas.
140
En e caso de tratarse de partcones que sea mposbe desmontar por encontrarse en uso, puede
utzarse e dsco de nstaacn de CentOS, Fedora o Red Hat, en modo de rescate, o un Dsco Vvo
(%ive#&), en e caso de ,!untu, desmontando as partcones que se queran optmzar antes de
proceder con e mandato e*&scL (& (D.
+*.*.*. 0pciones de montado.
Los sstemas de archvos ext3 y ext4 permten tres opcones que me|orar e redmento. Todas se
especfcan en a coumna de opcones de os dspostvos en e archvo =etc=&sta!.
+*.*.*.+. 0pcin noatime Meliminar tiempos de accesoN.
Es a forma ms rpda, y fc, de ograr me|oras en e desempeo. Esta opcn mpde se
actuace os tempos de acceso de os inodos (nodos ndce), os cuaes reamente son poco
utzados por a mayora de os usuaros. Esto permte me|or desempeo en servdores de notcas
y E@@< pues permte un ms rpdo acceso haca e sstema de archvos. En computadoras
porttes permte reducr, de manera consderabe, a cantdad de procesos de "=> o "ntrada, y
>ada (%=0, o %nput/0utput), de dsco duro. Equvae a utzar c$attr HA, pero apcado a todos
os datos de a partcn.
En e sguente e|empo, se confgurar a opcn noatime para a partcn =var=PPP en e
archvo =etc=&sta! de un servdor HTTP.
14:&1*/var/ /var/ ext? de"aultsBnoatime 1 6
+*.*.*.*. 0pcin commit Mconsignacin de cam!iosN.
Esta opcn controa e tempo que se utzar entra cada operacn sncronzacn (sync) de datos
y metadatos en una partcn. E tiempo predeterminado es de 5 segundos. Puede
ncrementarse geramente para me|orar e desempeo, tomando en cuenta que s se especfca
demasado tempo, y ocurre una nterrupcn de energa antes de hacer una operacn de
sncronzacn (sync), se perdern os datos ms recentes con os que se haya traba|ado. Esta
opcn slo se recomienda si se dispone de un sistema de respaldo de energa con&ia!le.
En e sguente e|empo, se confgurar a opcn commit con e vaor equvaente a 9 segundos
para a partcn =var=PPP en e archvo =etc=&sta! de un servdor HTTP.
14:&1*/var/ /var/ ext? de"aultsBcommit*5 1 6
+*.*.*.3. 0pcin data MdatosN.
)ota- Debdo a que se debe desmontar, y vover a montar para apcar os cambos, se requere
que a partcn a optmzar est sin utili8ar. <or lo cual se recomienda reali8ar este
procedimiento desde un disco de rescate o !ien iniciando el sistema en nivel de
e.ecucin + MmonousuarioNF o !ien reali8ar las modi&icaciones y reiniciar el sistema.
Esta opcn permte tres posbes vaores:
ordered: Es e vaor predetermnado. Escrbe os datos asocados a os metadatos
prmero en e sstema de archvos antes de hacero en e regstro por daro. S a
prordad es garantzar a ntegrdad de datos o ben se carece de un sstema de
respado de energa confabe, es a opcn que debe utzarse.
141
.ournal: Es o opuesto a ordered. Obga a escrbr prmero os datos en e regstro
por daro, y uego en e sstema de archvos, por o cua utza un regstro por daro
ms grande, y e cua, por o tanto, demora ms tempo en recuperarse en caso de
una faa de sstema o nterrupcn de energa. ste es, evdentemente, e mtodo
ms ento en a mayora de os casos, savo que se reacen operacones de ectura, y
escrtura, a msmo tempo, como ocurre con as bases de datos.
Prite!acL: Hace que e sstema de archvos se comporte de manera smar a DF>.
Sn preservar e ordenamento a escrbr en e dsco, de modo que as
consignaciones de cam!ios (commits) en e regstro por daro puede ocurrr antes
de a escrtura en e sstema de archvos. Este mtodo es el m;s r;pido porque so
os metadatos se amacenan en e regstro por daro, pero puede hacer que se
muestren datos ve|os despus de una faa de sstema o nterrupcn de energa.
So se recomenda s se dspone de un sstema de respado de energa confabe, o
ben s en a partcn confgurada con este formato de regstro por daro $ay
cam!ios poco &recuentes en los datos (como e caso de =!oot, =, =usr, =opt,
=usr=local, y, en agunos, escenaros para =var=PPP), o ben partcones para
temporaes o caches (como =tmp, =var=tmp, y =var=cac$e. Poco recomendado para
partcones donde hay cambos frecuentes en os datos amacenados, como ocurre
con =$ome o =var, =var=li! o =var=spool.
En e sguente e|empo se confgurar en e archvo =etc=&sta! de un servdor E@@<, y !ases de
datos, a partcn =var=PPP con a opcn data con e vaor Prite!acL, y a partcn =var=li!,
con a opcn data, y e vaor .ournal:
14:&1*/var/ /var/ ext? de"aultsB-#$#=?r%$e!#&7 1 6
14:&1*/var/lib /var/lib ext? de"aultsB-#$#=Ho.rn#) 1 6
Antes de desmontar, y vover a montar, o rencar, e sstema, hay que convertr os regstros de
daros a Prite!acL o ben .ournal, dependendo e caso. Para ta fn se utza e mandato
tune*&s de sguente modo, en e caso donde se desea cambar a modo Prite!acL e regstro
por daro de a partcn AB"R=var=PPP:
tune6"s !o Mournal.data.riteback 14:&1*/var/
En e caso donde se desea cambar a modo .ournal e regstro por daro de a partcn
AB"R=var=li!, se utza o sguente:
tune6"s !o Mournal.data 14:&1*/var/lib
Para revertr e cambo, y vover a utzar e modo ordered, se puede utzar e mandato tune*&s
con a opcn (o .ournalQdata.
Para apcar os cambos, sn correr e resgo de rencar con errores de sntaxs en e archvo
=etc=&sta! que mpedran montar as partcones confguradas, se puede utzar e mandato
umount para desmontar a partcn a modfcar, y posterormente e mandato mount para vover
a desmontaras. E|empos:
umount /var/
umount /var/lib
mount /var/
mount /var/lib
142
Utzar e mandato mount con a opcn (o remount sempre devover un error de opcn
ncorrecta. Esta es a razn por a cua se desmontan, y montan as partcones, para cambar e
tpo de regstro por daro de as partcones.
S o anteror devueve e smboo de sstema sn errores, sgnfca que as opcones se aplicaron
correctamente, y que e sstema puede ser rencado con toda segurdad en e momento que se
consdere apropado.
Para regresar todo a como estaba orgnamente, se edta e archvo =etc=&sta!, y se emna a
opcn dataRvalor, de a partcn nvoucrada:
14:&1*/var/ /var/ ext? de"aults 1 6
14:&1*/var/lib /var/lib ext? de"aults 1 6
Se desmontan as partcones:
umount /var/lib
umount /var/
Y con e mandato tune*&s se defne nuevamente e formato ordered:
tune6"s !o Mournal.data.ordered 14:&1*/var/lib
tune6"s !o Mournal.data.ordered 14:&1*/var/
Y fnamente se vueven a montar as partcones:
mount /var/lib
mount /var/
S o anteror devueve e smboo de sstema sn errores, sgnfca que as opcones &ueron
revertidasF y aplicadasF correctamente, y que e sstema puede ser rencado con toda
segurdad en e momento que se consdere apropado.
+*.*.3. Convirtiendo particiones de "2t3 a "2t4.
En Cent0> 6 o 'ed Eat "nterprise inu2 6, e formato predetermnado en as partcones es
Ext4, por o cua es nnecesaro convertr de Ext3 a Ext4.
Ext4 ha demostrado ser un sstema de archvos con mucho me|or desempeo que su predecesor,
Ext3. S uno so necesta hacer pruebas, es posbe montar una partcn Ext3 como s fuese Ext4,
modfcando e archvo =etc=&sta!, aunque se carecer de muchas de as me|oras de Ext4.
Instaando os paquetes correspondentes, CentOS 5.5, y versones posterores, ncuye e soporte
necesaro para convertr a formato Ext4 as partcones Ext3, preservando os datos orgnaes en
e sstema de archvos, con a nca restrccn de que |ams se deber convertr a Ext4 as
partcones que correspondan =!oot y =, debdo a que en CentOS 5, y Red Hat Enterprse Lnux 5 a
versn de Grub, e gestor de arranque, carece de soporte para ncar desde partcones Ext4.
"s muy importante reali8ar un respaldo de in&ormacin relevante antes de procederF por
si acaso algo saliese mal.. Nuevamente, s se utza Cent0> 5 o 'ed Eat "nterprise inu2 5,
|ams se deben convertr a Ext4 as partcones que correspondan a =!oot o =.
143
En Cent0> 5 o 'ed Eat "nterprise inu2 5, para poder utzar e formato Ext4 en cuaquer otra
partcn, se requere que e sstema tenga nstaado e paquete e4&sprogs:
yum !y install e4"sprogs
Este paquete ncuye as herramentas necesaras para gestonar partcones Ext4, como son
e4&scL, e4la!el, mLe4&s, mL&s.e2t4, y dumpe4&s, entre otras herramentas.
A partr de este punto, y con e ob|etvo de reazar pruebas, so ser necesaro edtar e archvo
=etc=&sta!, y modfcar a confguracn de cuaquer partcn (e2cepto las #ue correspondan a
=!ootF y =), y cambar e2t3 por e2t4. Hasta aqu, es posbe revertr e cambo vovendo a edtar
e archvo =etc=&sta!, y vovendo a defnr e2t3 como formato de a partcn modfcada.
Para convertr una partcn por competo a Ext4, lo cual $ara #ue de modo irreversi!le
.am;s se pueda volver a montar como "2t3, debe desmontarse prmero a partcn a
convertr, y posterormente utzar e mandato tune4fs con as opcones (0
e2tentsFuninitQ!gFdirQinde2. En e sguente e|empo se apca e mandato tune4&s a a partcn
=dev=sda7, que correspondera a =tmp, para convertra a Ext4.
umount /tmp
tune4"s !/ extentsBuninit.bgBdir.index /dev/sda7
En seguda, utce e mandato &scL.e2t4 para verfcar a partcn, y competar as os cambos
necesaros en e sstema de archvos. E mandato &scL.e2t4 debe utzarse con as opcones (&yD
(forzar verfcacn, contestar s a todas as modfcacones necesaras, y optmzar drectoros).
"sck@ext4 !"y% /dev/sda7
S a partcn est en uso, como sera e caso de as correspondentes a =usr y/o =var, ser
necesaro hacer o anteror desde un dsco vvo, o ben un dsco de rescate. E modo de rescate
de dsco de nstaacn de CentOS, versn 5.5 en adeante, ncuye tambn soporte bsco para
Ext4, aunque carece de soporte para convertr partcones de Ext3 a Ext4 a travs de mandato
tune*&s, y carece de mandato tune4&s. Por tanto, e ntrprete de mandatos de modo de rescate
de dsco de nstaacn de CentOS 5.5 so permtr verfcar, y reparar, partcones Ext4 a travs
de mandato &scL.e2t4.
En e archvo =etc=&sta! se reempaza AB"R=tmp por e nombre rea de dspostvo, y e2t3 por
e2t4.
14:&1*/ / ext? de"aults 1 1
14:&1*/boot /boot ext? de"aults 1 6
8-e*8s-#= 8$9' eC$E -e+#.)$s 4 2
tmp"s /dev/shm tmp"s de"aults $ $
devpts /dev/pts devpts gid*9Bmode*66$ $ $
sys"s /sys sys"s de"aults $ $
proc /proc proc de"aults $ $
14:&1*S34<!hda? sap sap de"aults $ $
Ext4 utza ,,%D (5niversally 5nique 0dentifier, o Identfcador Unversamente nco) en ugar de
etquetas. E ,,%D se puede determnar utzando e mandato !lLid de sguente modo:
blkid /dev/sda7
144
Lo cua devovera ago smar a o sguente:
/dev/sda7# 14:&1*+/tmp+ >>(%*+6?5e9?6b!69$c!4a5$!57a?!?aecc8719789+ 0;<&*+ext4+
Con esta nformacn, e archvo =etc=&sta! quedara de sguente modo:
14:&1*/ / ext? de"aults 1 1
UUFD=238e532!-25/&-E#8/-8=#3-3#e&&<=45=<5 8$9' eC$E -e+#.)$s 4 2
Monte de nuevo a partcn.
mount /tmp
Ext3 utza una cartografa de mapas de bts. Ext4 se caracterza por e uso de e4tents. Para
competar e procedmento, hay que mgrar os archvos y drectoros de a partcn para que
utcen e4tents. Los archvos se pueden r mgrando con as subsecuentes escrturas en dsco, pero
mucho de contendo esttco, como bnaros y bbotecas compartdas, pueden pasar meses antes
de poder ser convertdos.
Una forma de convertr todo de una vez, es utzar e mandato chattr para aadr e atrbuto de
e4tents a todos os archvos y drectoros de una partcn en partcuar.
"ind /tmp !xdev !type " !print$ Z xargs !$ chattr Ne
"ind /tmp !xdev !type d !print$ Z xargs !$ chattr Ne
Desmonte de nuevo a partcn.
umount /tmp
Con a fnadad de prevenr cuaquer probema, vueva a verfcar a partcn.
"sck@ext4 !"y% /dev/sda7
Para fnazar e procedmento, monte de nuevo a partcn.
mount /tmp
+*.*.4. "liminando el registro por diario M"ournalN de "2t4.
+*.*.4.+. Advertencias.
Este procedmento apca excusvamente a as partcones con formato Ext4. "l &ormato "2t3
carece de soporte para &uncionar sin registro por diario.
145
Antes de comenzar, es mportante acarar que emnar e regstro por daro mpca perder o que
garantza a ntegrdad de os datos de una partcn en caso de una nterrupcn de energa o una
faa genera de sstema. So se recomenda emnar e regstro por daro en os casos donde se
dspone de un buen respado de energa (utra-porttes, por e|empo), un sstema operatvo
estabe, y/o se tenen partcones asgnadas a drectoros donde a nformacn es poco reevante
(como /tmp, /var/tmp o /var/cache). Este procedmento est totamente contrandcado en
servdores, o ben donde se requera una garanta absouta de ntegrdad de datos.
Hay que consderar adems que a me|ora obtenda puede ser apenas perceptbe, y, muy
probabemente, so amerte emnar e regstro por daro en partcones en undades de estado
sdo (SSD).
"s importante tam!in reali8ar un respaldo de in&ormacin relevante antes de procederF
por si acaso algo saliese mal..
+*.*.4.*. <rocedimientos.
Asumendo que se dspone de una partcn =dev=sda7, que en e e|empo corresponde a =tmp,
que fue prevamente convertda a Ext4, utzando e mtodo descrto en este msmo documento, o
formateada en Ext4, se debe desmontar a partcn:
umount /tmp
Para emnar e regstro por daro de a partcn =dev=sda7 en Cent0> 5 o 'ed Eat "nterprise
inu2 5, se requere e|ecutar e mandato tune4&s, de a sguente forma:
tune4"s !/ [has.Mournal /dev/sda7
Para emnar e regstro por daro de a partcn =dev=sda7 en Cent0> 6 o 'ed Eat "nterprise
inu2 6, se requere e|ecutar e mandato tune*&s, de a sguente forma:
tune6"s !/ [has.Mournal /dev/sda7
E smboo W (acento crcunfe|o) sgnfca que se emna una opcn. En este caso a opcn
emnada fue $asQ.ournal, que es as responsabe de regstro por daro.
sn mportar a versn de sstema operatvo, o anteror requere utzar en seguda e mandato
&scL, con as opcones (pD& (reparar automtcamente o que sea necesaro, y que prescnda de
nteraccn humana, optmzar re-ordenando drectoros, y forzar verfcacn) a fn de reali8ar
correcciones importantes e indispensa!les en e sstema de archvos.
"sck@ext4 !p%" /dev/sda7
Emnar e regstro por daro de una partcn ext4 hace que rremedabemente se perda e
,,%D, por o cua nvarabemente hay que edtar e archvo =etc=&sta!, y estabecer e nombre
rea de dspostvo en ugar de ,,%D:
146
14:&1*/ / ext? de"aults 1 1
8-e*8s-#= 8$9' eC$E -e+#.)$s 4 2
Hecho o anteror, se habr competado e procedmento. Vueva a montar a partcn para
verfcar que todo funcone correctamente.
mount /tmp
La me|ora ser apenas perceptbe, pero brndar e mxmo rendmento posbe para e sstema
de archvos Ext4, superando ncuso e desempeo en cuanto a veocdad de Ext2.
En un equpo con una partcn =tmp con regstro por daro, y a msma partcn =tmp, sn regstro
por daro, a escritura de 1 GB de nformacn demor o sguente:
/tmp con regstro por daro
real $m8@786s
user $m$@444s
sys $m4@441s
/tmp sin regstro por daro
real $m5@875s
user $m$@457s
sys $m?@511s
Como pude verse, a dferenca es muy poca, pero sgnfcatva.
En e dado caso que se quera vover a utzar e regstro por daro, so basta con vover a ncar
con e dsco vvo, abrr una termna, y e|ecutar o sguente.
su !l
umount /home
tune6"s !/ has.Mournal /dev/sda7
"sck !p%" /dev/sda7
mount /home
+*.3. Bi!liogra&a.
http://www.deban-admnstraton.org/artces/643
147
+3. Ci&rado de particiones con ,K>.
+3.+. %ntroduccin.
,K> (nux ,nfed Key >etup-on-dsk-format) es una mpementacn muy senca de utzar
para utzar partcones cfradas en GNU/Lnux. Es partcuarmente t en dspostvos mves,
computadoras porttes y dspostvos de amacenamento cuya nformacn se desee proteger.
E sguente procedmento descrbe cmo cfrar una partcn de dsco asgnada a punto de
monta|e =datos. Ca!e sealar #ue el procedimiento $ar; #ue todos los datos de esta
particin se pierdan. S a partcn contene datos de agn tpo, se debe respadar todo antes
de proceder, y restaurar estos datos uego de termnar e procedmento.
+3.*. "#uipamiento lgico necesario.
Por o genera e paquete cryptsetup(luLs vene nstaado de manera predetermnada en Fedora,
CentOS y Red Hat. S a caso fuese necesaro, nstaar e paquete correspondente con e mandato
yum:
yum !y install cryptsetup!luks
+3.3. <rocedimientos.
A fn de evtar contratempos, convene reazar todos os procedmentos desde e nve de
e|ecucn 1 (mono usuaro). Como root e|ecute:
init 1
Antes de proceder, es muy mportante cercorarse de qu dspostvo se va a utzar para e
procedmento. De ser necesaro, y s acaso estuvese montada, utce e mandato d& para
determnar que dspostvo corresponde a a partcn que se desea cfrar.
d" !h
Respade todos os datos de a partcn que neceste cfrar. Cope, o mueva, os datos haca otro
dspostvo de amacenamento. "l procedimiento eliminar;F de manera inevita!leF todo el
contenido actual de dic$a particin. Antes de contnuar, verfque, y compruebe, que e
respado es confabe.
Una vez hecho e respado, desmonte a partcn que se pretende cfrar:
148
umount /datos
E sguente paso es opcional, pero se recomenda evaro a cabo, pues me|ora e cfrado a enar
prevamente a partcn con datos aeatoros. Debe tomarse en consderacn que, dependendo
de tamao de a partcn, sto puede demorar varas horas, o ncuso das.
dd i"*/dev/urandom o"*/dev/sdaX bs*4$86
La partcn a utzar se ncaza con e mandato cryptsetup, con as opcones ((ver!ose (para
obtener una sada ms descrptva en caso de probemas), ((veri&y(passp$ase (para asgnar una
frase de acceso, o ben una cave de acceso), luLsFormat para dar formato en LUKS, y e nombre
de dspostvo.
cryptsetup !!verbose !!veri"y!passphrase luks=ormat /dev/sdaX
Lo anteror requerr responder expctamente con X">, en mayscuas, que se desea proceder y
que se est conscente que se perdern todos os datos actuaes de a partcn. A contnuacn, se
pusa a teca ")@"', y se ngresa a nueva frase, o ben a nueva cave de acceso, que se
pretenda asgnar.
Una vez reazado o anteror, para poder hacer uso de a nueva partcn cfrada, se utza e
mandato cryptsetup con a opcn luLs0pen, ndcando e dspostvo que corresponde a a
partcn que se acaba de cfrar, y e nombre que se quera asgnar a panfcador de dspostvos
(device mapper).
cryptsetup luks/pen /dev/sdaX datos
Lo anteror crea un nuevo dspostvo denomnado =dev=mapper=datos.
Para que e sstema operatvo pueda utzaro, este nuevo dspostvo requere ser formateado. En
e sguente e|empo se da formato en ext4 a =dev=mapper=datos:
mk"s@ext4 /dev/mapper/datos
A fn de que e sstema socte automtcamente a frase de acceso, o ben a cave de acceso, a
vover ncar e sstema, se crea o edta e archvo =etc=cryptta!:
vim /etc/crypttab
Dentro de ste, se defne, en e prmer campo, e nombre que se quera utzar para e panfcador
de dspostvos (device mapper), en e segundo campo se defne e nombre de dspostvo que se
cfr y en e tercer campo se defne none. De manera opcona, aunque poco recomendado, se
puede especfcar a frase de acceso, o ben a cave de acceso, o ben un archvo que contenga
sta, en ugar de none para que e sstema nce sn necesdad de que e admnstrador ngrese a
frase de acceso, o ben a cave de acceso.
datos /dev/sdaX none
A fn de que e sstema operatvo monte automtcamente e dspostvo, se edta e archvo
=etc=&sta!:
149
vim /etc/"stab
Y se aade o sguente, o ben se reempaza e nombre de dspostvo anteror
(UUID=xxxxxxxxxxxx, /dev/sdaX, o LABEL=/datos, dependendo de a versn de sstema
operatvo), como =dev=mapper=datos:
/dev/mapper/datos /datos ext4 de"aultsBnoatimeBnodiratime 1 6
Fnamente, se monta a partcn cfrada:
mount /datos
En adeante, cuando se nce e sstema, aparecer un dogo que soctar ngresar a frase de
acceso, o ben a cave de acceso, para utzar a partcn cfrada.
Cuando e caso o amerte, o ben se trate de un dspostvo de amacenamento extrabe (una
ave o dsco USB, por e|empo), para desconectar manuamente e dspostvo, se debe desmontar
prmero a partcn:
umount /datos
A contnuacn, se desconecta e dspostvo utzando e mandato cryptsetup, con a opcn
luLsClose, y e nombre de dspostvo, de acuerdo a como o vea e panfcador de dspostvos:
cryptsetup luks)lose /dev/mapper/datos
Restaure os datos que respad, y rence e sstema. En adeante se soctar a frase de acceso,
o ben a cave de acceso, defnda durante e procedmento, para poder ncar e sstema, y as
acceder a a partcn cfrada.
150
+4. Cmo con&igurar y utili8ar >udo
+4.+. %ntroduccin.
Sudo es una herramenta de sstema que permte a os usuaros reazar a e|ecucn de mandatos
como superusuaro u otro usuaro de acuerdo a como se especfque en e archvo =etc=sudoers,
donde se determna quen est autorzado. Los nmeros de dentdad de usuaro y de grupo (UID y
GID) reaes y efectvas se estabecen para guaar a aqueas de usuaro ob|etvo como est
especfcado en e archvo =etc=passPd.
De modo predetermnado sudo requere que os usuaros se autentquen as msmos con su propa
cave de acceso (nunca la clave de acceso de root). Una vez que e usuaro se ha autentcado,
e usuaro podr utzar nuevamente sudo sn necesdad de vover a autentcarse durante 5
mnutos, savo que se especfque o contraro en e archvo =etc=sudoers. S e usuaro e|ecuta e
mandato sudo (v podr refrescar ste perodo de tempo sn necesdad de tener que e|ecutar un
mandato, en cuyo caso contraro exprar esta autentcacn y ser necesaro vover a reazar
sta.
S un usuaro no stado en e archvo =etc=sudoers. trata de e|ecutar un mandato a travs de
sudo, se regstra a actvdad en a btcora de sstema (a travs de syslogd) y se enva un
mensa|e de correo eectrnco a admnstrador de sstema (root).
+4.+.+. Eistoria.
Sudo fue ncamente concebdo en 1980 por Bob Coggesha y Cff Spencer de departamento de
cenca computacona en SUNY (State Unversty of New York o Unversdad Estata de Nueva
York), en Buffao.
En 1985 se pubc e grupo de notcas net.sources una versn me|orada acredtada a Ph
Betche, Cff Spencer, Gretchen Phps, |ohn LoVerso y Don Gworek. Garth Snyder pubc otra
versn me|orada en e verano de 1986 y durante os sguentes cnco aos fue mantendo con a
coaboracn de muchas personas, ncuyendo Bob Coggesha, Bob Manchek, y Trent Hen.
En 1991 Dave Heb y |eff Neusma escrberon una nueva versn con un formato me|orado para e
archvo =etc=sudoers ba|o contrato con a frma consutora The Root Group, versn que
posterormente fue pubcada ba|o os trmnos de a Lcenca Pbca Genera de GNU (GNU/GPL).
Desde 1996 e proyecto es mantendo por Todd Mer con a coaboracn de Chrs |epeway y
Aaron Spanger.
151
+4.*. "#uipamiento lgico necesario.
+4.*.+. %nstalacin a travs de yum.
S se utza de CentOS 5, Red Hat Enterprse Lnux 5 o Whte Box Enterprse Lnux 5, o versones
posterores, se puede nstaar o necesaro utzando o sguente:
yum !y install sudo
+4.*.*. %nstalacin a travs de ,p*date
S se utza de Red Hat Enterprse Lnux 4, o versones posterores, se puede nstaar utzando o
sguente:
up6date !i sudo
+4.3. Arc$ivo =etc=sudoers
E archvo =etc=sudoers se edta con e mandato visudo, herramenta que a travs de v permte
reazar cambos y verfcar sntaxs y errores. S se trata de modfcar drectamente =etc=sudoers,
ste tene permsos de soo ectura.
La sntaxs bsca de una sta sera:
XXXX.4lias ,/-:R&1(S04 * elemento1B elemento6B elemento?
La sntaxs bsca de una rega sera:
DusuarioB TgrupoB ,/-:R&1(S04E Dan"itriRnE * (id de usuario a usar) mandatos
Se pueden defnr Aases y regas. Los aases permten defnr una sta de mandatos , una sta de
usuaros, un asta de anftrones o ben e|ecutar como otros usuaros.
+4.3.+. CmndQAlias.
)mnd.4lias -4,%40/S200<% * /sbin/service httpd restartB
/usr/bin/vim /etc/httpd/con"@d/variables@con"B
/usr/bin/vim /etc/php@ini
Lo anteror defne una sta de mandatos que podran utzarse para rencar e servco de httpd,
modfcar un archvo de confguracn en a ruta =etc=$ttpd=con&.d=varia!les.con& y modfcar e
archvo =etc=p$p.ini.
"ulano 411 * -4,%40/S200<%
Lo anteror defne que e usuaro fuano puede utzar os mandatos de a sta MANDATOSHTTPD
desde cuaquer anftrn.
152
+4.3.*. ,serQAlias.
>ser.4lias >S>4R(/S200< * "ulanoB menganoB Cutano
Lo anteror defne una sta denomnada E@@<,>"'>, ntegrada por os usuaros fuano, mengano
y zutano.
>S>4R(/S200< 411 * /usr/bin/vim
La rega anteror defne que os usuaros que conforman a sta ,>,A'%0>E@@< pueden utzar e
mandato vm desde cuaquer anftrn.
+4.3.3. EostQAlias.
2ost.4lias 2/S0S200<% * 186@165@$@69B 186@165@$@66B 186@165@$@6?
Lo anteror defne que a sta E0>@>E@@<D est ntegrada por as 3 dreccones IP stadas
anterormente. S adems se aade a sguente rega:
>S>4R(/S200<% 2/S0S200<% * 4%-(,200<%
Lo anteror defne que os usuaros de a sta E@@<D,>"'> pueden utzar os mandatos stados
en AD:%)E@@<D soamente s estn conectados desde as dreccones IP stadas en
E0>@>E@@<D.
+4.3.4. 'unasQAlias.
S por e|empo se qusera que os usuaros de a sta ,>,A'%0>E@@< puderan adems utzar
os mandatos s, rm, chmod, cp, mv, mkdr, touch y vm como e usuaros |uan, pedro y hugo, se
requere defnr una sta para estos mandatos y otra para os aases de usuaros aternos, y a
rega correspondente.
Runas.4lias )1(&,0&S1 * MuanB pedroB hugo
)mnd.4lias -4,%40/S)1(&,0&S * /bin/lsB
/bin/rmB
/bin/chmodB
/bin/cpB /bin/mvB
/bin/mkdirB
/bin/touchB
/usr/bin/vim
>S>4R(/S200<% 2/S0S200<% * ()1(&,0&S1) -4,%40/S)1(&,0&S
Lo anteror permte a os usuaros defndos en ,>,A'%0>E@@<D (fuano, mengano y zutano),
utzar os mandatos defndos en :A)DA@0>C%")@"> (s, rm, chmod, cp, mv, mkdr, touch y
vm) dentfcndose como os usuaros defndos en C%")@">+ (|uan, pedro y hugo) soamente s
se reaza desde as dreccones IP stadas en E0>@>E@@<D (192.168.0.25, 192.168.0.26,
192.168.0.23).
+4.4. Candados de seguridad.
Sudo ncuye varos candados de segurdad que mpden se puedan reazar tareas pegrosas.
153
S se defne e mandato =usr=!in=vim en =etc=sudoers, se podr hacer uso de ste de os
sguentes modos:
F sudo /usr/bin/vim
F sudo vim
Sn embargo, no podr ser utzado as:
F cd /usr/bin
F sudo @/vim
S se defne e mandato =!in=ec$o, e usuaro podr utzaro de os sguentes modos:
F sudo /bin/echo +2ola+
F sudo echo +2ola+
Pero no podr utzaro de a sguente forma:
F sudo echo +2ola+ L algo@txt
Para poder reazar a operacn anteror, tendra que utzar:
F sudo bash !c +echo U2olaU L algo@txt+
Sudo permtr reazar una tarea sobre cuaquer archvo dentro de cuaquer drectoro an s no
tene permsos de acceso para ngresar a dcho drectoro sempre y cuando especfque la ruta
e2acta de dcho archvo.
F sudo chon named /var/named/dominio@Cone
Pero no podr utzaro as:
F sudo chon named /var/named/K@Cone
+4.5. o #ue no se recomienda.
S se quere permtr a un usuaro utzar lo #ue sea, desde cuaquer anftrn, cmo cuaquer
usuaro de sstema y sin necesidad de autenticar, se puede smpemente defnr:
"ulano 411 * (411) ,/<4SS3%# 411
+4.6. Facilitando la vida a travs de Y=.!as$Qpro&ile.
BASH (Bourne-Agan >$e) permte utzar varabes de entorno y aases defndas en
Y=.!as$Qpro&ile a ncar a sesn, sendo que e admnstrador utzar actvamente muchos
mandatos dversos, estos se pueden smpfcar a travs de aases que resuman stos. Por
e|empo, s se quere defnr que se utce sudo cada vez que se nvoque a mandato c$Lcon&ig, se
puede aadr o sguente a archvo Y=.!as$Qpro&ile:
154
alias chkcon"ig*+sudo /sbin/chkcon"ig+
Lo anteror permtr e|ecutar drectamente e mandato c$Lcon&ig sn necesdad de preceder ste
con e mandato sudo. A contnuacn s dversos aases que pueden ser de utdad en e archvo
Y=.!as$rc y que permtrn utzar mandatos dversos con sudo.
A @bashrc
A Iet the aliases and "unctions
i" D !" Y/@bashrc EV then
@ Y/@bashrc
"i
A >ser speci"ic environment and startup programs
<402*F<402#F2/-&/binD8s!%nD8.sr8s!%n
export <402
unset >S&R,4-&
#)%#s &h7&on+%="s.-o 8s!%n8&h7&on+%"
#)%#s ser*%&e="s.-o 8s!%n8ser*%&e"
#)%#s ro.$e="s.-o 8s!%n8ro.$e"
#)%#s -e'9o-="s.-o 8s!%n8-e'9o-"
#)%#s %+&on+%="s.-o 8s!%n8%+&on+%"
#)%#s &h9o-="s.-o 8!%n8&h9o-"
#)%#s &ho?n="s.-o 8!%n8&ho?n"
#)%#s &hr'="s.-o 8!%n8&hr'"
#)%#s .ser#--="s.-o 8.sr8s!%n8.ser#--"
#)%#s .ser-e)="s.-o 8.sr8s!%n8.ser-e)"
#)%#s ro.'#--="s.-o 8.sr8s!%n8ro.'#--"
#)%#s ro.'-e)="s.-o 8.sr8s!%n8ro.'-e)"
#)%#s e-,.o$#="s.-o 8.sr8s!%n8e-,.o$#"
#)%#s *%="s.-o 8.sr8!%n8*%9"
#)%#s )ess="s.-o 8.sr8!%n8)ess"
#)%#s $#%)="s.-o 8.sr8!%n8$#%)"
#)%#s y.9="s.-o 8.sr8!%n8y.9"
#)%#s s#s)'#ss?-2="s.-o 8.sr8s!%n8s#s)'#ss?-2"
#)%#s h$'#ss?-="s.-o 8.sr8!%n8h$'#ss?-"
#)%#s o'enss)="s.-o 8.sr8!%n8o'enss)"
#)%#s sys$e9-&on+%-'r%n$er="s.-o 8.sr8s!%n8sys$e9-&on+%-'r%n$er"
#)%#s sys$e9-&on+%-ne$?or7="s.-o 8.sr8s!%n8sys$e9-&on+%-ne$?or7"
#)%#s sys$e9-&on+%--%s')#y="s.-o 8.sr8!%n8sys$e9-&on+%--%s')#y"
Para que surtan efectos os cambos, hay que sar de a sesn y vover a ngresar a sstema con a
msma cuenta de usuaro, en cuyo archvo Y=.!as$Qpro&ile se aaderon estos aases.
155
+5. Cmo crear cuentas de usuario
+5.+. %ntroduccin
GNU/Lnux es un sstema operatvo con muchas caracterstcas y una de eas es que se dse
para ser utzado por mtpes usuaros. An cuando se tenga una PC con un nco usuaro, es
mportante recordar que no es convenente reazar e traba|o daro desde a cuenta de root,
msma que so debe utzarse para a admnstracn de sstema .
Una cuenta de u#uario contene as restrccones necesaras para mpedr que se e|ecuten
mandatos que puedan daar e sstema 6programas troyanos como el Bliss6, se atere
accdentamente a confguracn de sstema, os servcos que traba|an en e trasfondo, os
permsos y ubcacn de os archvos y drectoros de sstema, etc.
+5.*. <rocedimientos
Generamente e paso que procede a una nstaacn de GNU/Lnux es a creacn de cuentas de
usuaro. Para eo exsten dstntos mtodos, todos sencos que permten crear una cuenta con su
propo drectoro de traba|o y os archvos necesaros.
Actuamente exsten recursos como e programa nstaador de Red Hat Lnux y programas que
funconan desde un entorno grfco, como es Lnuxconf y Webmn, as como recursos que
funconan en modo de texto o desde una ventana termna, como son os mandatos tradconaes,
useradd y pass(d, y agunos otros programas, como YaST y a versn correspondente de
Lnuxconf o Webmn.
+5.*.+. Creando una cuenta en el modo de te2to- u#eradd y pa##wd
Este procedmento puede reazarse de forma segura tanto fuera de X Wndow como desde una
ventana termna en e entorno grfco de que se dsponga. Fue e mtodo comnmente utzado
antes de a aparcn de programas como YaST y Lnuxconf. Sn embargo an resuta t para a
admnstracn de servdores, cuando no se tene nstaado X Wndow, no se tenen nstaados
YaST o Lnuxconf 6o las versiones de estos que se an instalado no trabajan correctamente6, o ben
se tenen mtacones o probemas para utzar un entorno grfco.
+5.*.+.+. o primero- el mandato u#eradd
E prmer paso para crear una nueva cuenta consste en utzar e mandato u#eradd de sguente
modo:
useradd nombre.del.usuario
156
E|empo:
useradd "ulano
+5.*.+.*. o segundo- el mandato pa##wd
E paso sguente despus de crear a nueva cuenta con u#eradd es especfcar una contrasea
para e usuaro. Determne una que e resute fc de recordar, que mezce nmeros, mayscuas y
mnscuas y que, preferentemente, no contenga paabras que se encontraran fcmente en e
dcconaro. Exsten otras recomendacones, por o que es convenente eer, antes de contnuar, os
comentaros fnaes acerca de a segurdad ncudos en este msmo artcuo.
Aunque e sstema sempre tratar de prevenro cuando se esco|a una mala contrasea, ste no e
mpedr que o haga. Especfcar una nueva contrasea para un usuaro, o ben cambar a
exstente, se puede reazar utzando e mandato pa##wd de sguente modo:
passd nombre.del.usuario
E|empo:
passd "ulano
E sstema soctar entonces que proceda a escrbr a nueva contrasea para e usuaro y que
repta sta para confrmar. Por segurdad, e sstema no mostrar os caracteres teceados, por o
que debe hacero con cudado. S se consdera que ta vez se cometeron errores de teceado,
puede presonarse as veces que sean necesaras a teca <Backspace> o <Retroceso>. De
cuaquer forma e sstema e nformar s concde o no o teceado. S todo sa ben recbr
como respuesta de sstema code $. S en cambo recbe code %, sgnfcar que deber repetr e
procedmento, en vrtud de haberse producdo un error.
Este procedmento tambn puede utzarse para cambar una contrasea exstente.
+5.*.+.3. 0pciones avan8adas
En muchos casos as opcones pueden no ser necesaras, pero s se est admnstrando un servdor
o estacn de traba|o, o ben se es un usuaro un poco ms expermentado, y se quere crear una
cuenta con mayores o menores restrccones, atrbutos y/o permsos, pueden utzarse as
sguentes opcones de u#eradd:
-c comment
Se utza para especfcar e archvo de comentaro de campo para a nueva cuenta.
-d home dr
Se utza para estabecer e drectoro de traba|o de usuaro. Es convenente, a fn de tener un sstema
ben organzado, que este se ocace dentro de drectoro *ome.
-e expre date
Se utza para estabecer a fecha de expracn de una cuenta de usuaro. sta debe ngresarse en e
sguente formato: AAAA-MM-DD.
-g nta group
Se utza para estabecer e grupo nca a que pertenecer e usuaro. De forma predetermnada se
estabece como nco grupo %. Nota: e grupo asgnado debe exstr.
157
-G group,|...|
Se utza para estabecer grupos adconaes a os que pertenecer e usuaro. stos deben separarse
utzando una coma y sn espacos. Lo anteror es muy convenente cuando se desea que e usuaro
tenga acceso a determnados recursos de sstema, como acceso a a undad de dsquetes,
admnstracn de cuentas PPP y POP. Nota: os grupos asgnado deben de exstr.
-m
Se utza para especfcar que e drectoro de traba|o de usuaro debe ser creado s acaso este no
exstese, y se coparn dentro de ste os archvos especfcados en *etc*s'el.
-s she
Se utza para estabecer e ntrprete de mandatos que podr utzar e usuaro. De forma
predetermnada, en Red Hat Lnux y Fedora Core, se estabece bas como ntrpete de
mandatos predefndo.
-u ud
Se utza para estabecer e UID, es decr, a ID de usuaro. Este debe ser nco. De forma
predetermnada se estabece como UID e nmero mnmo mayor a 99 y mayor que e de otro usuaro
exstente. Cuando se crea una cuenta de usuaro por prmera vez, como ocurre en Red Hat Lnux y
Fedora Core generamente se asgnar 788 como UID de usuaro. Los UID entre 0 y 99 son
reservados para as cuentas de os servcos de sstema.
E|empo:
useradd !u 9$$ !d /home/"ulano !I "loppyBpppusersBpopusers "ulano
Lo anteror crear una cuenta de usuaro amada fuano, que se encuentra ncuda en os
grupos foppy, pppusers y popusers, que tendr un UID=500; utzar Bash como ntrprete de
mandatos y tendr un drectoro de traba|o en /home/fuano.
Exsten ms opcones y comentaros adconaes para e mandato useradd, as que se encuentran
especfcadas en os manuaes. Para acceder a esta nformacn, utce e mandato man useradd
desde una ventana termna.
+5.*.*. "liminar una cuenta de usuario
En ocasones un admnstrador necestar emnar una o ms cuentas de usuaro. Este es un
procedmento prncpamente utzado en servdores y estacones de traba|o a os cuaes acceden
mtpes usuaros. Para ta fn nos vadremos de mandato userdel. La sntaxs bsca de este
mandato es a sguente:
userdel nombre.del.usuario
E|empo:
userdel "ulano
S se desea emnar tambn todos os archvos y drectoros subordnados contendos dentro de
drectoro de traba|o de usuaro a emnar, se deber agregar a opcn &r:
userdel !r nombre.del.usuario
E|empo:
158
userdel !r "ulano
+5.3. :ane.o de grupos
+5.3.+. Alta de grupos
groupadd grupo!Jue!sea
+5.3.*. Alta de grupos de sistema
Un grupo de sstema es aque que tene un nmero de dentdad de grupo (GID) por deba|o de 500.
Reguarmente se asgna automtcamente e nmero de dentdad de grupo ms ba|o dsponbe.
groupadd !r grupo!Jue!sea
+5.3.3. Ba.a de grupos
groupdel grupo!Jue!sea
+5.3.4. Asignacin de usuarios e2istentes a grupos e2istentes
gpassd !a usuario!Jue!sea grupo!Jue!sea
+5.4. Comentarios &inales acerca de la seguridad
Cuando, en a mayora de os casos, un dencuente nformtco consgue nftrarse en un sstema
GNU/Lnux o Unx no es porque ste cuente con un hueco de segurdad, sno porque e ntruso
pudo vunerar aguna de as contraseas de as cuentas exstentes. S usted especfc durante e
proceso de nstaacn de Lnux una mala contrasea de root, ago muy comn entre usuaros
novcos, es atamente recomendado cambara.
Evte especfcar contraseas fces de advnar . Con esto nos refermos partcuarmente a
utzar contraseas que utcen paabras ncudas en cuaquer dcconaro de cuaquer
doma, datos reaconados con e usuaro o empresa, como son e regstro federa de
causantes (R.F.C.), fechas de nacmento, nmeros teefncos, seguro soca, nmeros de
cuentas de acadmcos o aumnos y nombres de mascotas, a paabra %inu49, nombres de
persona|es de cenca fccn, etc.
Evte escrbr as contraseas sobre medos fscos, prefera sempre mtarse a
memorzaras.
S necesta amacenar contraseas en un archvo, hgao utzando cfrado.
S se e dfcuta memorzar contraseas compe|as, utce entonces contraseas fces de
recordar, pero c;m!ielas peridicamente.
|ams proporcone una contrasea a personas o nsttucones que se a socten. Evte
proporconara en especa a personas que se dentfquen como membros de agn servco
de soporte o ventas. Este tmo caso o mencona con nfass a pgna de manua de
mandato pa##wd.
159
Consderaremos como una buena contrasea aquea se compone de una combnacn de nmeros
y etras mayscuas y mnscuas y que contene a menos 8 caracteres. Tambn es posbe
utzar pares de paabras con puntuacn nsertada y frases o secuencas de paabras, o ben
acrnmos de stas.
Observar estas recomendacones, prncpamente en sstemas con acceso a redes ocaes y/o
pbcas como Internet, har que e sstema sea ms seguro.
160
+5.5. Apndice- Con&igurando valores prede&inidos para el
alta de cuentas de usuario
+5.5.+. Arc$ivo =etc=de&ault=useradd para de&inir varia!les utili8adas por
el mandato useradd
Como root, utce un edtor de texto sobre =etc=de&ault=useradd. Encontrar, nvarabemente, e
sguente contendo:
A useradd de"aults "ile
IR/><*1$$
2/-&*/home
(,4)0('&*!1
&X<(R&*
S2&11*/bin/bash
SH&1*/etc/skel
Puede cambar o vaores que consdere convenentes.
+5.5.+.+. Garia!le E0:"
E drectoro de nco de usuaro ser creado dentro de /home, de acuerdo a como se estpua en
"st;ndar de Jerar#ua de >istema de Arc$ivos o FHS (Fesystem Eerarchy >tandard). E
vaor de esta varabe puede ser cambado de acuerdo a as necesdades o preferencas de
admnstrador.
Por e|empo, en e caso de un sstema dedcado a servco de hospeda|e de stos de red vrtuaes a
travs de HTTPD, pudera preferrse utzar /var/www para este fn a modo de smpfcar tareas
para e admnstrador de sstema.
En otros casos, especfcamente en servdores de correo, donde se quere apcar una soa cuota
de disco genera para buzn de correo y carpetas de correo en e drectoro de nco, pudera
crearse un drectoro dentro de /var, como por e|empo /var/home o /var/users, de modo que a
apcar cuota de dsco sobre a partcn /var, sta nvoucrara tanto e buzn de entrada de
usuaro, ocazado en /var/spool/mail/usuario, como as carpetas de correo en e drectoro de
nco de usuaro, ocazados dentro de drectoro /var/home/usuario/mail/.
+5.5.+.*. Garia!le >E"
E ntrprete de mandatos a utzar para as nuevas cuentas que sean creadas en adeante se
defne a travs de a varabe >E". De modo predefndo e sstema asgna /bin/bash (BASH o
Bourne Agan >$e) como ntrprete de mandatos; sn embargo o certo es que s e sstema se
utzar como servdor, o ms convenente sera asgnare de modo predefndo otro vaor.
E ms utzado es /sbin/nologin, e cua es un programa que de forma corts rechaza e ngreso
en e sstema (ogn). Muestra un mensa|e respecto a que a cuenta no est dsponbe (o ben o
que se defna en /etc/nologin.txt) y da sada. Se utza como reempazo de un ntrprete de
mandatos en cuentas que han sdo desactvadas o ben que no se quere accedan haca un
ntrprete de mandatos. Este programa regstra en a btcora de sstema todo ntento de acceso.
Para utzaro como vaor para a varabe SHELL, so hay que cambar >E"R=!in=!as$ por
>E"R=s!in=nologin.
161
A useradd de"aults "ile
GROUP=100
2/-&*/home
(,4)0('&*!1
&X<(R&*
SIELL=8s!%n8no)o%n
SH&1*/etc/skel
En adeante todo nuevo usuaro que sea dado de ata en e sstema con e mandato useradd sn
parmetro aguno, de modo predefndo no podr acceder a sstema a travs de ntrprete de
mandatos (she), es decr, acceso en termna oca o remotamente. Los usuaros con estas
caracterstcas podrn, sn embargo, utzar cuaquer otro servcos como FTP, correo o Samba sn
probema aguno.
Otros vaores para a varabe SHELL pueden ser:
=s!in=nologin, programa que de forma corts rechaza e ngreso en e sstema
(ogn).
=!in=&alse, programa que reaza sada nmedata ndcando faa. Es decr, que no
permte a reazacn de cosa aguna y adems con faa. Idea s se quere tener
cuentas de usuaro con acceso haca FTP, correo, Samba, etc., aunque sn permtr e
acceso haca un ntrprete de mandatos.
=dev=null, e dspostvo nuo que descarta todos os datos escrtos sobre ste y no
provee datos para cuaquer proceso que o ea. Idea para defnrse cuando se quere
utzar una cuenta que so tenga acceso a correo (SMTP, POP3, IMAP y/o cente de
correo con nterfaz HTTP).
=!in=!as$, ntrprete de mandatos desarroado por e proyecto GNU. Es e ntrprete
de mandatos predefndo en Lnux y Mac OS X (a partr de Tger).
=!in=s$, un enace smbco que apunta haca /bn/bash y ofrece una versn
smpfcada de Bash muy smar a Bourne She (sh).
=!in=tcs$, una versn me|orada de de mandatos de C (csh).
=!in=as$, un con de Bourne she (sh) que utza menos memora.
=!in=8s$, una versn me|orada de sh con funcones tes encontradas en Bash y
tcsh.
+5.5.*. Directorio =etc=sLel como molde para crear los directorios de
inicio de los usuarios
De modo predefndo as cuentas de usuaro de sstema utzarn como mode a drectoro
/etc/skel para crear e drectoro de nco de todos os usuaros de sstema. En sstemas basados
sobre Red Hat, reguarmente y como mnmo, e drectoro /etc/skel ncuye os sguentes
guones de nco:
@bash.logout @bash.pro"ile @bashrc @gtkrc
S, por e|empo, se desea que cada cuenta de usuaro ncuya un drectoro subordnado para
carpetas de correo y suscrpcn a stas a travs de servco de IMAP, se debe reazar e sguente
procedmento:
mkdir /etc/skel/mail/
touch /etc/skel/mail/:orradores
touch /etc/skel/mail/&nviados
touch /etc/skel/mail/<apelera
162
Y ,fnamente, crear con el editor de te2to e archvo /etc/skel/.mailboxlist que srve para
regstrar as suscrpcones haca carpetas de correo que sern utzadas por e servco IMAP con
un servdor UW-IMAP, utzando e sguente contendo:
mail/:orradores
mail/&nviados
mail/<apelera
S se pretende utzar modo grfco en e sstema, de forma adcona se puede corregr un
probema con agunas versones de Frefox que generan un drectoro -/.moza con permsos de
acceso so para root, de modo ta que a aadro en /etc/ske se ncuya un drectoro -/.moza
con permsos de acceso para e usuaro a crear cada cuenta de usuaro.
mkdir /etc/skel/@moCilla
+5.6. Apndice- ".ercicio- Creando cuentas de usuario
+5.6.+. %ntroduccin
A fn de poder traba|ar con comoddad, se crearn agunos grupos y cuentas de usuaro con
dversas caracterstcas.
+5.6.*. <rocedimientos
1. Genere contendo predefndo para os drectoros de nco a fn de que e de cada usuaro
contenga os drectoro subordnados -/Desktop, -/Documents, -/ma y -/.moza:
ls !a /etc/skel
mkdir /etc/skel/\%esktopB%ocumentsBmailB@moCilla]
ls !a /etc/skel
2. Genere, s no o ha hecho an como parte de os procedmentos de curso, a usuaro
denomnado fuano con derecho a ntrprete de mandatos, drectoro de nco =$ome=&ulano
y grupo prncpa fuano (vaores por defecto):
useradd !s 8!%n8!#sh "ulano
passd "ulano
3. Genere a usuaro denomnado mengano sn derecho a ntrprete de mandatos, asgnando e
drectoro de nco =$ome=mengano y grupo prncpa mengano (vaores por defecto):
useradd !s 8s!%n8no)o%n mengano
passd mengano
4. Genere e grupo denomnado desarroo:
groupadd desarrollo
5. Genere e grupo denomnado sstemas como grupo de sstema:
163
groupadd -r sistemas
6. Genere os drectoros subordnados =$ome=desarrollo y =$ome=sistemas= de sguente modo:
mkdir !p /home/desarrollo
mkdir !p /home/sistemas
7. Genere a usuaro denomnado perengano con derecho a ntrprete de mandatos, asgnando
e drectoro de nco /home/desarrollo/perengano, grupo prncpa de desarroo y grupo
adcona sstemas:
useradd !s /sbin/nologin !m !d 8ho9e8-es#rro))o8'eren#no - -es#rro))o !I sistemas perengano
passd perengano
8. Genere a usuaro denomnado zutano con derecho a ntrprete de mandatos, asgnando e
drectoro de nco /home/sistemas/zutano, grupo prncpa sstemas y grupo adcona de
desarroo:
useradd !s /bin/bash !m !d /ho9e8s%s$e9#s8:.$#no - s%s$e9#s !I desarrollo Cutano
passd Cutano
9. Vsuace e contendo de os archvos =etc=group y =etc=passPd y compare y determne as
dferencas entre os grupos desarroo y sstemas y os usuaros fuano, mengano,
perengano y zutano.
cat /etc/group
cat /etc/passd
164
+6. Breve leccin de mandatos !;sicos.
+6.+. %ntroduccin.
Por favor, siga los procedimientos al pie de la letra. En varos e|empos utzar e caracter -
(tde), que es una forma de abrevar e drectoro de nco de usuaro utzado.
Ingrese como root, e nstae os sguentes paquetes:
yum !y install man perl less "ile man!pages!es
Cerre a sesn como root, e ngrese nuevamente a sstema como usuaro reguar (fuano).
+6.*. <rocedimientos.
E|ecute e mandato su, sn argumentos, e ngrese a cave de acceso de root cuando se e socte:
su
E|ecute o sguente para ver as varabes de entorno:
echo F>S&RV echo F1/I,4-&V echo FS2&11V echo F<402V echo F2/-&
Lo anteror debe devover a sguente sada:
"ulano
"ulano
/bin/bash
/usr/local/bin#/usr/bin#/bin#/usr/local/sbin#/usr/sbin#/sbin#/home/"ulano/bin
/root
Observe que aunque se tenen prvegos de root, se carece de as varabes de entorno de ste,
por o cua agunos mandatos soo se podrn e|ecutar s se especfca a rutas exacta de stos
(e|empos: /sbn/servce, /sbn/choconfg, /sbn/fsck y /sbn/fdsk).
E|ecute e mandato ext.
exit
165
E|ecute e mandato su, esta vez con a opcn (l (que es o msmo que su ( o ben su ((login),
e ngrese a cave de acceso de root cuando se e socte:
su !l
E|ecute o sguente para ver as varabes de entorno:
echo F>S&RV echo F1/I,4-&V echo FS2&11V echo F<402V echo F2/-&
root
root
/bin/bash
/usr/local/sbin#/usr/local/bin#/sbin#/bin#/usr/sbin#/usr/bin#/root/bin
/root
Observe que adems de os prvegos de root, se tenen tambn de as varabes de entorno de
ste, pues en radad se ha reazado un ngreso (ogn) como root.
E|ecute e mandato e2it para regresar como usuaro reguar (fuano).
exit
E|ecute o sguente:
uname !a
Lo anteror devover una sada smar a a sguente, en a cua se mostrar e nombre de nceo,
nombre de anftrn, nmero de anzamento de nceo, versn de nceo de Lnux, tpo de
mcroprocesador, pataforma de sstema, y nombre de sstema operatvo.
1inux localhost@localdomain 6@6@?6!71@68@1@el6@i656 A1 S-< -on ûn 67 15#$7#$$ :S0 6$11
i656 i656 i?56 I,>/1inux
E|ecute o sguente:
"ile /etc/hosts
Lo anteror devover que /etc/hosts es un archvo de texto.
/etc/hosts# 4S)(( text
E|ecute o sguente:
"ile /boot/grub/splash@xpm@gC
Lo anteror devover que fe /boot/grub/spash.xpm.gz es un archvo comprmdo con GZIP, y
otras propedades.
166
/boot/grub/splash@xpm@gC# gCip compressed dataB as +splash@xpm+B "rom >nixB last
modi"ied# 0hu -ay 6 1?#?5#64 6$1$
E|ecute o sguente:
pd
Lo anteror devover e drectoro de traba|o actua, en este caso e drectoro de nco de usuaro.
E mandato pPd srve para mostrar a ruta de drectoro de traba|o actua (pat of wor'ing
directory).
E|ecute o sguente:
cd /usr/local
pd
Lo anteror cambar a drectoro =usr=local, y mostrar e drectoro de traba|o actua. E mandato
cd srve para cambar de drectoro (cange directory).
E|ecute o sguente:
cd
pd
Lo anteror regresar a drectoro de nco (-), y mostrar que ahora se est dentro de ste.
E|ecute o sguente:
ls /usr/local
Lo anteror mostrar e contendo de drectoro =usr=local, y demostrar que es nnecesaro
cambarse a un drectoro en partcuar, so para ver su contendo. E mandato ls srve para star
e contendo de sstema de archvos (li#t)
E|ecute o sguente:
ls
ls !a
Prmero se mostrar que e drectoro de nco (-) est vaco; despus se mostrar que en readad
s hay contendo; os archvos y drectoros de converten a ocutos a re-nombrar stos, ponendo
un punto a nco de su nombre.
@ @bash.history @bash.pro"ile @gnome6 @Xauthority
@@ @bash.logout @bashrc @moCilla
E|ecute o sguente:
ls !la
167
Lo anteror mostrar todo e contendo de su drectoro de nco (-), en una sta ordenada por
nombre, a cua mostrar adems tamaos en bytes, atrbutos y permsos:
total 64
drx!!!!!!@ 4 "ulano "ulano 4$86 sep 6? 61#66 @
drxr!xr!x@ 9 root root 4$86 sep 6? 6$#91 @@
!r!!!!!!!@ 1 "ulano "ulano 14? sep 6? 6$#98 @bash.history
!r!r!!r!!@ 1 "ulano "ulano 15 may ?$ 11#95 @bash.logout
!r!r!!r!!@ 1 "ulano "ulano 176 may ?$ 11#95 @bash.pro"ile
!r!r!!r!!@ 1 "ulano "ulano 164 may ?$ 11#95 @bashrc
E|ecute o sguente:
ls !lar
La sada ser smar a a de mandato anteror, ordenando por nombre os archvos, pero en orden
nverso:
total 64
drx!!!!!!@ 4 "ulano "ulano 4$86 sep 6? 61#?9 @
E|ecute o sguente:
ls !hlar
La sada ser smar a a de mandato anteror, ordenando os archvos por nombre, en orden
nverso, pero mostrando os tamaos de archvos en undades ms fces de entender:
total 64H
drxr!xr!x@ 9 root root 4@$H sep 6? 6$#91 @@
drx!!!!!!@ 4 "ulano "ulano 4@$H sep 6? 61#?9 @
E|ecute o sguente:
ls !Sla
Lo anteror deber de mostrar todo e contendo de drectoro de nco (-), mostrar os atrbutos
y permsos, y ordenar os eementos por tamao:
total 64
168
E|ecute o sguente:
ls !Slar
La sada ser smar a a de mandato anteror, ordenando os archvos por tamao, pero en orden
nverso:
total 64
E|ecute o sguente:
ls !tla
Lo anteror deber de mostrar todo e contendo de drectoro de nco (-), mostrar os atrbutos
y permsos, y ordenar os eementos por fecha de modfcacn:
total 64
E|ecute o sguente:
ls !tlar
La sada ser smar a a de mandato anteror, ordenando os archvos por fecha de modfcacn,
pero en orden nverso:
total 64
E|ecute o sguente:
ls !htlar
La sada ser smar a a de mandato anteror, pero mostrando os tamaos de os archvos en
undades ms fces de entender:
169
total 64H
drxr!xr!x@ 9 root root 4@$H sep 6? 6$#91 @@
drx!!!!!!@ 4 "ulano "ulano 4@$H sep 6? 61#?9 @
E|ecute o sguente:
ls !!help
Lo anteror mostrar a ayuda de mandato s. Puse smutneamente as tecas <SHIFT> y <Re
Pg>, y uego as tecas <SHIFT> y <Av Pg>; sto permtr avanzar o retroceder en e
documento.
Puse a teca <ENTER>, y e|ecute o sguente:
man ls
Lo anteror mostrar e manua en espao. Puse as tecas de <Av Pg> y <Reg Pg> para
avanzar o retroceder. Puse a teca =, ngrese a paabra drectoro, y puse a teca <ENTER>:
#/directorio
Lo anteror habr reazado una bsqueda en e manua de mandato s, y resatado as ncdencas
de a paabra drectoro. Puse a teca # para sar.
E|ecute o sguente para crear un nuevo drectoro:
mkdir eMemplos1
E|ecute o sguente para ntentar generar otro drectoro denomnado uno, pero dentro de
drectoro e|empos2 (e cua es nexstente).
mkdir eMemplos6/uno/
Lo anteror devover un mensa|e de error como e sguente:
mkdir# no se puede crear el directorio _eMemplos6/uno`# ,o existe el archivo o el
directorio
A fn de poder crear e drectoro uno, dentro de drectoro e|empos2, es necesaro crear
prmero e|empos2. Sn embargo puede ndcare a mkdr que genere toda a ruta aadendo a
opcn -p (path):
mkdir !p eMemplos6/uno
ls
ls eMemplos6
170
Lo anteror creo e drectoro e|empos2, y dentro de ste a drectoro uno, y mostr a
drectoro e|empos2, y mostr dentro de ste a drectoro uno.
Cope agunos archvos para expermentar con este drectoro, utzando e mandato cp:
cp /etc/"stab Y/eMemplos1/
Vueva a utzar e mandato cp de este modo:
cp /etc/passd Y/eMemplos1/
Con estos dos procedmentos, se habrn copado dos dstntos archvos (=etc=&sta! y
=etc=passPd) dentro de drectoro ejemplos:.
Intente copar e drectoro Y=e.emplos+= como e nuevo drectoro Y=copia+, e|ecutando o
sguente:
cp Y/eMemplos1/ Y/copia1
Lo anteror devover un error porque -/e|empos1 es un drectoro:
cp# se omite el directorio _eMemplos1/`
Para reazar a copa de un drectoro, |unto con todo su contendo, debe usar e mandato cp con a
opcn (r, o cua reazar una copa recursva de drectoro de orgen como e drectoro de
destno ndcado. E|ecute o sguente:
cp !r Y/eMemplos1/ Y/copia1/
Vsuace e contendo de ambos drectoros utzando e mandato ls con a opcn (l:
ls !l eMemplos1/ copia1/
La sada e mostrar o sguente:
copia1/#
total 5
!r!r!!r!! 1 "ulano "ulano 1$96 abr 67 1$#95 "stab
!r!r!!r!! 1 "ulano "ulano 1897 abr 67 1$#95 passd
eMemplos1/#
total 5
Notar que as fechas de modfcacn de os archvos contendos en ambos drectoros son
dferentes.
Emne e drectoro copa1, e|ecutando o sguente:
171
rm !"r Y/copia1/
Para reazar una copa de un drectoro, preservando todos os atrbutos y permsos de contendo
de drectoro orgna, utce e mandato cp con a opcn (a:
cp !a Y/eMemplos1/ Y/copia1/
Vsuace de nuevo e contendo de ambos drectoros utzando e mandato ls con a opcn (l:
ls !l Y/eMemplos1/ Y/copia1/
La sada e mostrar ago smar a o sguente:
copia1/#
total 5
eMemplos1/#
total 5
Notar que as fechas de modfcacn de os archvos contendos en ambos drectoros son
dntcas.
Utce e mandato touc$ para cambar a fecha de modfcacn de archvo Y=e.emplos+=&sta!:
touch Y/eMemplos1/"stab
Utce e mandato cp con as opcones (a para reazar una copa exacta de drctoro de orgen y
sus contendos, (u para reazar soo a copa de os contendo nuevos, y utzando a opcn (v
para ver una sada detaada:
cp !auv Y/eMemplos1/K Y/copia1/
Lo anteror debe devover una sada smar a a sguente.
_eMemplos1/"stab` !L _copia1/"stab`
Utce de nuevo e mandato mLdir, y genere un drectoro denomnado adicional dentro de
drectoro de e.emplos+.
mkdir Y/eMemplos1/adicional
Acceda a drectoro de ejemplos: para contnuar. E|ecute o sguente:
cd Y/eMemplos1/
172
Proceda a ver e contendo de este drectoro, e|ecutando o sguente:
ls
Se mostrarn os archvos &sta! y passPd, y e drectoro adicional.:
D"ulanoXlocalhost eMemplos1EF
adicional "stab passd
Utzando e mandato mv, mueva e archvo fstab dentro de drectoro adicional:
mv "stab adicional/
Examne e contendo de drectoro e.emplos+ utzando de nuevo e mandato ls:
ls
Obtendr una sada smar a a sguente:
adicional passd
Acceda a drectoro adicional con e mandato cd
cd adicional
Se mostrar una sada smar a a sguente:
D"ulanoXlocalhost adicionalEF
"stab
D"ulanoXlocalhost adicionalEF

Regrese a drectoro e.emplos+ que se encuentra en e nve superor utzando e mandato cd:
cd @@/
Proceda a emnar e archvo passPd que se encuentra en e drectoro e.emplos+
rm passd
Haga o msmo con &sta!, e cua se ocaza dentro de drectoro adicional:
rm adicional/"stab
Emne e drectoro adicional:
173
rmdir adicional
+6.*.+. Gisuali8ando contenido de arc$ivos.
E|ecute o sguente:
c !m /etc/crontab
Lo anteror devover que e archvo /etc/crontab contene 448 caracteres.
E|ecute o sguente:
c ! /etc/crontab
Lo anteror devover que e archvo /etc/crontab contene 84 paabras.
E|ecute o sguente:
c !l /etc/crontab
Lo anteror devover que e archvo /etc/crontab contene 16 neas.
E|ecute o sguente:
c !1 /etc/crontab
Lo anteror devover que a nea ms arga de archvo /etc/crontab tene 86 caracteres.
E|ecute o sguente:
c !c /etc/crontab
Lo anteror devover que e tamao de archvo /etc/crontab es de 448 bytes.
Utce e mandato cat para ver e contendo de archvo =etc=cronta!, e|ecutando o sguente:
cat /etc/crontab
Lo anteror devover ago smar a o sguente:
174
S2&11*/bin/bash
<402*/sbin#/bin#/usr/sbin#/usr/bin
-4(10/*root
2/-&*/
A =or details see man 4 crontabs
A &xample o" Mob de"inition#
A @!!!!!!!!!!!!!!!! minute ($ ! 98)
A Z @!!!!!!!!!!!!! hour ($ ! 6?)
A Z Z @!!!!!!!!!! day o" month (1 ! ?1)
A Z Z Z @!!!!!!! month (1 ! 16) /R ManB"ebBmarBapr @@@
A Z Z Z Z @!!!! day o" eek ($ ! 6) (Sunday*$ or 7) /R sunBmonBtueBedBthuB"riBsat
A Z Z Z Z Z
A K K K K K command to be executed
Para mostrar so as neas que contengan a cadena de caracteres root, se utza e mandato
grep como subrutna de sguente modo:
cat /etc/crontab Z grep root
-4(10/*root
Para hacer o contraro, y so vsuazar as neas que sn a cadena de caracteres root, se utza
e mandato grep como subrutna. E|ecute o sguente:
cat /etc/crontab Z grep !v +root+
Lo anteror devover una sada smar a a sguente:
S2&11*/bin/bash
2/-&*/
A @!!!!!!!!!!!!!!!! minute ($ ! 98)
A Z @!!!!!!!!!!!!! hour ($ ! 6?)
A Z Z @!!!!!!!!!! day o" month (1 ! ?1)
A Z Z Z Z Z
Lo anteror ncuye tambn as neas vacas. Para mostrar e msmo resutado sn neas vacas, se
utza e msmo mandato agregando sed -e '/$/d' como subrutna de sguente modo, donde sed
es un edtor para ftrado y transformacn de texto, e|ecutando ((e) =WZ=d que se refere a neas
vacas:
cat /etc/crontab Z grep !v +root+ Z sed !e U/[F/dU
175
S2&11*/bin/bash
2/-&*/
A @!!!!!!!!!!!!!!!! minute ($ ! 98)
A Z @!!!!!!!!!!!!! hour ($ ! 6?)
A Z Z @!!!!!!!!!! day o" month (1 ! ?1)
A Z Z Z Z Z
E|ecute o sguente:
head !? /etc/crontab
E mandato $ead devover a sguente sada, mostrando as 3 prmeras neas de archvo
/etc/crontab.
S2&11*/bin/bash
-4(10/*root
E|ecute o sguente:
tail !? /etc/crontab
E mandato ta devover a sguente sada, mostrando as 3 tmas neas de archvo
/etc/crontab.
A Z Z Z Z Z
E|ecute o sguente:
sort /etc/passd Zgrep $
Lo anteror devover como a sada e contendo de archvo /etc/passwd, ordenando as neas por
nombre, pero so mostrando aqueas neas que ncuyen e caracter 0.
avahi!autoipd#x#17$#17$#4vahi (<v411 Stack#/var/lib/avahi!autoipd#/sbin/nologin
avahi#x#7$#7$#4vahi m%,S/%,S!S% Stack#/var/run/avahi!daemon#/sbin/nologin
"tp#x#14#9$#=0< >ser#/var/"tp#/sbin/nologin
"ulano#x#9$$#9$$#=ulano de 0al#/home/"ulano#/bin/bash
games#x#16#1$$#games#/usr/games#/sbin/nologin
gopher#x#1?#?$#gopher#/var/gopher#/sbin/nologin
halt#x#7#$#halt#/sbin#/sbin/halt
operator#x#11#$#operator#/root#/sbin/nologin
root#x#$#$#root#/root#/bin/bash
shutdon#x#6#$#shutdon#/sbin#/sbin/shutdon
sync#x#9#$#sync#/sbin#/bin/sync
uucp#x#1$#14#uucp#/var/spool/uucp#/sbin/nologin
E|ecute o sguente:
176
sort !r /etc/passd Zgrep $
Lo anteror devover como a sada e contendo de archvo /etc/passwd, ordenando as neas por
nombre, en orden nverso, pero so as neas que ncuyen e caracter 0.
uucp#x#1$#14#uucp#/var/spool/uucp#/sbin/nologin
sync#x#9#$#sync#/sbin#/bin/sync
shutdon#x#6#$#shutdon#/sbin#/sbin/shutdon
root#x#$#$#root#/root#/bin/bash
operator#x#11#$#operator#/root#/sbin/nologin
halt#x#7#$#halt#/sbin#/sbin/halt
gopher#x#1?#?$#gopher#/var/gopher#/sbin/nologin
games#x#16#1$$#games#/usr/games#/sbin/nologin
"ulano#x#9$$#9$$#=ulano de 0al#/home/"ulano#/bin/bash
"tp#x#14#9$#=0< >ser#/var/"tp#/sbin/nologin
avahi#x#7$#7$#4vahi m%,S/%,S!S% Stack#/var/run/avahi!daemon#/sbin/nologin
avahi!autoipd#x#17$#17$#4vahi (<v411 Stack#/var/lib/avahi!autoipd#/sbin/nologin
De os dos mandatos anterores, observe que os datos de cada nea son demtados por e
caracter : (dos puntos). E|ecute o sguente:
cat /etc/passd Zgrep $ Z cut !d +#+ !"1
E contendo de archvo /etc/passwd es mostrado, pero so as neas que ncuyen e caracter 0, y
mostrando so a prmera coumna de datos de archvo, defnendo e caracter : (dos puntos)
como demtador entre as coumnas.
root
sync
shutdon
halt
uucp
operator
games
gopher
"tp
avahi
avahi!autoipd
"ulano
E|ecute o sguente:
cat /etc/passd Z grep $ Z cut !d +#+ !"?
Se muestra e contendo de archvo /etc/passwd, peor so as neas que ncuyen e caracter 0, y
so mostrando a tercera coumna de datos de archvo, defnendo e caracter : (dos puntos) como
demtador entre as coumnas.
177
$
9
6
7
1$
11
16
1?
14
7$
17$
9$$
E|ecute o sguente:
sort /etc/passd Z grep $ Z cut !d +#+ !"1
Lo anteror muestra e contendo de archvo /etc/passwd, ordenando as neas por nombre, pero
so aqueas que contenen e caracter 0, y so mostrando a prmera coumna de datos,
consderando que se utz e caracter : (dos puntos) como demtador entre as coumnas.
avahi!autoipd
avahi
"tp
"ulano
games
gopher
halt
operator
root
shutdon
sync
uucp
+6.*.*. Bucles.
E|ecute o sguente, donde se utza e mandato perl e|ecutando ((e) e gun for($=1;$<10;$+
+){prnt "$n";}, en e cua se genera a varabe i que es gua a 1 y menor a 10 y a a cua se va
sumando y devueve una sada con e vaor de i con retorno de carro.
perl !e U"or(Fi*1VFia1$VFiNN)\print +FiOn+V]U
1
6
?
4
9
6
7
5
8
Modfque e gun de mandato anteror y reempace /Zin/ por /)1mero Zin/ de sguente modo:
178
perl !e U"or(Fi*1VFia1$VFiNN)\print +,bmero FiOn+V]U
,bmero 1
,bmero 6
,bmero ?
,bmero 4
,bmero 9
,bmero 6
,bmero 7
,bmero 5
,bmero 8
Para a sada en un archvo, aada a mandato anteror >> -/texto.txt, o cua redrgr a sada
haca e archvo -/texto.txt:
perl !e U"or(Fi*1VFia1$VFiNN)\print +,bmero FiOn+V]U LL Y/texto@txt
Lo anteror so devover e smboo de sstema. Utce e mandato cat para vsuazar e
contendo de archvo -/texto.txt:
cat Y/texto@txt
Lo anteror devover una sada smar a a sguente, y que corresponde a contendo de archvo
-/texto.txt:
,bmero 1
,bmero 6
,bmero ?
,bmero 4
,bmero 9
,bmero 6
,bmero 7
,bmero 5
,bmero 8
Para hacer o msmo que hzo con e mandato per, pero con e mandato bash, e|ecute o sguente:
"or i in \1@@8]
do
echo !e +,bmero Fi+ LL Y/texto!con!bash@txt
done
Lo anteror so regresa e smboo de sstema. Utce e mandato cat para vsuazar e contendo
de archvo -/texto-con-bash.txte|ecute o sguente:
cat Y/texto!con!bash@txt
Lo anteror devover una sada smar a a sguente, y que corresponde a contendo de archvo
-/texto-con-bash.txt:
179
,bmero 1
,bmero 6
,bmero ?
,bmero 4
,bmero 9
,bmero 6
,bmero 7
,bmero 5
,bmero 8
A contnuacn aprender a utzar funcones ms avanzadas. En e sguente caso usted crear
respados de un con|unto de archvos de mgenes, asgnando a cada uno un nombre dstnto a
que tenan en su drectoro de orgen. Prmero crear un nuevo drectoro:
mkdir Y/respaldos
E|ecute os sguentes mandatos:
&- 8.sr8sh#re8'%C9#'s8
"or " in K@png
do
cp F" Y/respaldos/copia!F"
done
cd
Lo anteror har a copa en sere de os archvos dentro de =usr=s$are=pi2maps= dentro de
Y=respaldos= anteponendo en e nombre de as copas a paabra copa. Para ver e contendo
de drectoro Y=respaldos=, e|ecute o sguente:
ls Y/respaldos/
Se defnrn dos varabes ($hombre y $mu|er), creando e archvo pare|as.txt, y usando os datos
de ste, y se e|ecutar una rutna por cada con|unto de varabes.
cd
echo +ûan 4na+ LL pareMas@txt
echo +<edro &va+ LL pareMas@txt
echo +<ablo Iaby+ LL pareMas@txt
echo +ôrge :ety+ LL pareMas@txt
echo +<epe Sara+ LL pareMas@txt
hile read hombre muMer
do
echo +Fhombre es pareMa de FmuMer+
echo +!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!+
done a pareMas@txt
+6.*.3. Aliases.
E|ecute o sguente:
touch algo!nuevo@txt
touch otro!nuevo@txt
cp algo!nuevo@txt otro!nuevo@txt
180
Lo anteror creo os archvos algo(nuevo.t2t y otro(nuevo.t2t, y se cre una copa de algo(
nuevo.t2t, sobre escrbendo, sn dogo para confrmar, a archvo otro(nuevo.t2t.
E|ecute o sguente:
alias cp*+cp !i+
cp algo!nuevo@txt otro!nuevo@txt
Lo anteror cre un aas denomnado cp, e cua corresponde en readad a mandato cp con a
opcn (i, es decr, e mandato cp en modo nteractvo, o cua hace que se muestre un dogo de
confrmacn antes de sobre-escrbr un archvo.
Para deshacer este aas, e|ecute o sguente:
unalias cp
E|ecute o sguente para crear alias personali8ado, denomnado mandatopersonal:
alias mandatopersonal*+ls !l Zless+
Lo anteror crea un alias que consste en e|ecutar e mandato s con a opcn -, y que adems
e|ecutar como subrutna a mandato less. E|ecute mandatopersonal.
mandatopersonal /etc
Lo anteror debe haber mostrado e contendo de drectoro =etc, utzando less para poder
despazar a pantaa. Para sar de less, puse a teca #.
Los aases creados perduran hasta que es cerrada a sesn de usuaro. Para que cuaquer aas
sea permanente para un usuaro en partcuar, hay que especfcar stos dentro de archvo
Y=.!as$rc (CentOS, Fedora y Red Hat Enterprse Lnux), o ben dentro de archvo Y=.aliases
(SUSE Lnux Enterprse y openSUSE).
Para ver a sta de aases predetermnados de sstema, so e|ecute e mandato alias.
alias
+6.*.4. Apagado y reinicio de sistema.
Para que e sstema fnace apropadamente todos os servcos en e|ecucn, guarde en dsco as
consgnacones pendentes, y desmonte de forma segura todos os sstemas de archvos, utce os
mandatos re!oot, o ben poPero&&.
Para cerrar y rencar e sstema, e|ecute e mandato reboot:
reboot
Para cerrar y apagar e sstema, e|ecute e mandato poweroff:
181
poero""
Contne con e documento ttuado Compresn y descompresn de archvos.
182
+7. Compresin y descompresin de arc$ivos.
+7.+. %ntroduccin.
Por favor, siga los procedimientos al pie de la letra. En varos e|empos utzar e caracter -
(tde), que es una forma de abrevar e drectoro de nco de usuaro utzado.
+7.+.+. Acerca de [%<.
ZIP es un formato de archvo smpe, creado orgnamente por Ph Katz, fundador de PKWARE, e
cua comprme cada uno de os archvos que contene de forma separada, o cua permte
recuperar cada uno de os fcheros sn tener que eer e resto de archvo ZIP, o que permte un
me|or rendmento. Cada archvo puede ser amacenado sn compresn o con una ampa varedad
de agortmos de compresn, aunque e ms utzado y prctco es e agortmo orgna de Ph
Katz.
+7.+.*. Acerca de @A'.
E formato de amacenamento de archvos conocdo como TAR, o @ape A'chver (archvador en
cnta), fue dseado para e amacenamento de archvos en cntas magntcas. E formato se
procesa de manera nea, de modo que es necesaro recorrer todo e archvo para poder poder
extraer cuaquer eemento que ste contendo en e archvo TAR. Actuamente est defndo en os
estndares POSIX.1-1998 y POSIX.1-2001
+7.+.3. Acerca de ?[%<.
E formato de compresn GZIP (GNU ZIP), creado por Mark Ader y |ean-oup Gay, es una
aternatva a os formatos LZW y otros agortmos patentados que mtaban e uso de programa
compress, hasta entonces o ms comn mente utzado en Unx. GZIP utza a bboteca Zb, a
cua se basa sobre e agortmo Defate, que es una combnacn de LZ77 y a codfcacn
Huffman. Es mportante seaar que GZIP so reaza a compresn de os archvos, e
amacenamento se reaza utzando TAR o cuaquer otro formato de amacenamento de
archvos.
+7.+.4. Acerca de B[%<*
E formato de compresn BZIP2, desarroado y mantendo por |uan Seward, utza os agortmos
de compresn de Burrows-Wheeer y e agortmo de codfcacn de Huffman. Aunque e
porcenta|e de compresn de os archvos depende de contendo de stos msmos, resuta una
me|or aternatva a ZIP y GZIP, pero con un mayor consumo de memora y recursos de sstema.
183
+7.+.5. Acerca de D[.
E formato de compresn XZ, creado y mantendo por Lasse Con, utza e agortmo de
compresn LZMA2, a travs de a bboteca bzma. Tene un me|or rendmento que BZIP2
(consume menos memora y recursos de sstema) con me|ores tasas de compresn. Es e formato
utzado hoy en da para a compresn de archvos TAR de cdgos fuente, aunque GZIP an es e
formato ms utzado a a fecha para dstrbucn de cdgo fuente de Software Lbre.
Ingrese como root, y asegrese que estn nstaados os sguentes paquetes:
yum !y install tar Cip unCip gCip bCip6 xC
A fn de dsponer de datos con os cuaes expermentar, cope e drectoro =usr=s$are=pi2maps
dentro de drectoro de nco de usuaro utzado.
cp !a /usr/share/pixmaps Y/
+7.*.+. Compresin y descompresin de arc$ivos \.8ip.
Genere un archvo .zp e|ecutando o sguente:
Cip !r "oo@Cip pixmaps/
Para mostrar a sta de contendo de archvo &oo.8ip, e|ecute:
unCip !l "oo@Cip
Extraga e contendo de archvo &oo.8ip dentro de drectoro -/e|empos1/, e|ecutando o
sguente:
unCip "oo@Cip !d Y/eMemplos1/
Extraga e contendo de archvo &oo.8ip dentro de drectoro -/e|empos1/, pero so extrayendo
os archvos de prmer nve con extensn .png, e|ecutando o sguente:
unCip "oo@Cip !d Y/eMemplos1/ K@png
Extraga e contendo de archvo &oo.8ip dentro de drectoro -/e|empos1/, pero so extrayendo
os archvos de segundo nve con extensn .png, e|ecutando o sguente:
unCip "oo@Cip !d Y/eMemplos1/ K/K@png
+7.*.*. Creacin y e2traccin de arc$ivos \.tar.
Genere un archvo .tar (sn compresn) e|ecutando o sguente:
184
tar c" "oo@tar pixmaps/
Para mostrar a sta de contendo de archvo &oo.tar, e|ecute:
tar tv" "oo@tar
Extraga e contendo de archvo &oo.tar dentro de drectoro -/e|empos1/, e|ecutando o
sguente:
tar xv" "oo@tar ) Y/eMemplos1/
Extraga e contendo de archvo &oo.tar dentro de drectoro -/e|empos1/, pero so extrayendo
os archvos con extensn .png, e|ecutando o sguente:
tar xv" "oo@tar ) Y/eMemplos1/ !!ildcards UK@pngU
+7.*.3. Compresin y descompresin de arc$ivos \.tar.g8.
Genere un archvo .tar.gz (con compresn GZIP) e|ecutando o sguente:
tar Cc" "oo@tar@gC pixmaps/
Para mostrar a sta de contendo de archvo &oo.tar.g8, e|ecute:
tar Ctv" "oo@tar@gC
Extraga e contendo de archvo &oo.tar.g8 dentro de drectoro -/e|empos1/ e|ecutando o
sguente:
tar Cxv" "oo@tar@gC !) Y/eMemplos1/
Extraga e contendo de archvo &oo.tar.g8 dentro de drectoro -/e|empos1/, pero so
extrayendo os archvos con extensn .png, e|ecutando o sguente:
tar Cxv" "oo@tar@gC !) Y/eMemplos1/ !!ildcards UK@pngUU
+7.*.4. Compresin y descompresin de arc$ivos \.tar.!8*.
Genere un archvo .tar.bz2 (con compresn BZp2) e|ecutando o sguente:
tar Mc" "oo@tar@bC6 pixmaps/
Para mostrar a sta de contendo de archvo &oo.tar.!8*, e|ecute:
tar Mtv" "oo@tar@bC6
Extraga e contendo de archvo &oo.tar.!8* dentro de drectoro -/e|empos1/, e|ecutando o
sguente:
185
tar Mxv" "oo@tar@bC6 !) Y/eMemplos1/
Extraga e contendo de archvo &oo.tar.!8* dentro de drectoro -/e|empos1/, pero so
tar Mxv" "oo@tar@bC6 !) Y/eMemplos1/ !!ildcards UK@pngU
+7.*.5. Compresin y descompresin de arc$ivos \.tar.28.
Genere un archvo .tar.xz (con compresn XZ) e|ecutando o sguente:
tar ^c" "oo@tar@xC pixmaps/
Para mostrar a sta de contendo de archvo &oo.tar.28, e|ecute:
tar ^tv" "oo@tar@xC
Extraga e contendo de archvo &oo.tar.28 dentro de drectoro -/e|empos1/, e|ecutando o
sguente:
tar ^xv" "oo@tar@xC !) Y/eMemplos1/
Extraga e contendo de archvo &oo.tar.28 dentro de drectoro -/e|empos1/, pero so
tar ^xv" "oo@tar@xC !) Y/eMemplos1/ !!ildcards UK@pngU
Contne con e documento ttuado Gestn de procesos y traba|os.
186
+9. ?estin de procesos y tra!a.os.
+9.+. %ntroduccin.
En este e|ercco, aprender e uso de os mandatos |obs, bg, fg, k, ka y ps.
Un <%D, o dentdad de proceso, es un decma entero que especfca un proceso o un grupo de
procesos. Todos os procesos que se e|ecuten en un sstema pueden ser termnados o anquados
utzando e mandato Lill, o ben e mandato Lillall, excepto por e proceso con <%D +, e cua
corresponde sempre a =s!in=init.
Un Jo! %D, o dentdad de traba|o, dentfca un traba|o o grupo de traba|os que se e|ecutan en
segundo pano. E mandato Lill soo permtr termnar o anquar os traba|os orgnados de una
msma consoa o ntrprete de mandatos en e|ecucn.
Los traba|os se gestonan a travs de os mandatos bg, fg y |obs.
Los procesos se termnan normamente con >%?@"': (nmero de sea 15), o ben se anquan
con >%?K% (nmero de sea 9), utzando e mandato Lill o e mandato Lillall.
Ingrese como root, y asegrese que estn nstaados os sguentes paquetes:
yum !y install procps top util!linux!ng
+9.*.+. ,so de .o!sF !g y &g.
E|ecute e mandato sleep con e vaor 6OO (pausa por 600 segundos), a fn de utzar ste como
traba|o de e|empo.
sleep 6$$
Puse CTRL+Z, o cua devover una sada smar a a sguente:
[G
D1EN %etenido sleep 6$$
187
Utce e mandato .o!s para vsuazar e traba|o detendo:
Mobs
D1EN %etenido sleep 6$$
E|ecute e mandato bg para reactvar e traba|o 1 en segundo pano:
bg 1
La sada deber devover o sguente:
D1EN sleep 6$$ c
E|ecute nuevamente e mandato sleep, con e vaor 7OO, y un sgno amperson (&) a fna:
sleep 7$$ c
La sada devover ago smar a o sguente, ndcando e nmero de traba|o (2) y e nmero de
dentdad de proceso (PID):
D6E ?765
Con o anteror habr envado este traba|o drectamente a segundo pano.
Utce e mandato .o!s para vsuazar os traba|os en segundo pano:
D1E! &Mecutando sleep 6$$ c
D6EN &Mecutando sleep 7$$ c
Para envar a prmer pano e prmer traba|o, e|ecute e mandato &g con + como argumento:
"g 1
Lo anteror har que sleep 6OO regrese a prmer pano.
Para termnar este tmo traba|o, puse CTRL+C.
+9.*.*. ,so de psF Lill y Lillall.
Utce e mandato ps, con as opcones au2 (todos os procesos en todas as termnaes, orentado
a usuaros e ncuyendo todos os procesos con o sn un TTY), utzando una tubera (|) con e
mandato less para poder observar cmodamente a sada, y os vaores de as coumnas USER,
PID, %CPU, %MEM, VSZ, RSS, TTY, STAT, START, TIME y COMMAND.
ps aux Zless
188
Repta e mandato anteror, esta vez utzando una tubera (|) y e mandato grep para vsuazar
soamente os procesos cuyo nombre ncuyan a cadena sleep:
ps aux Zgrep sleep
Lo anteror e devover una sada smar a a sguente:
"ulano ?765 $@$ $@$ 1$$854 965 pts/6 S 11#9$ $#$$ sleep 7$$
"ulano ?56$ $@$ $@$ 1$??86 5?6 pts/6 SN 11#91 $#$$ grep !!color*auto sleep
La segunda coumna corresponde a nmero de dentdad de proceso (PID), determne e
correspondente a procesos sleep 7OO.
Utce e mandato Lill con este nmero de dentdad de proceso, con a fnadad termnar ste de
manera norma (>%?@"':).
kill ?765
Lo anteror devover a sguente sada:
D6EN 0erminado sleep 7$$
E|ecute de nuevo e mandato sleep, ahora con 9OO como argumento, con un sgno amperson (&)
a fna, a fn de generar un nuevo traba|o en segundo pano.
sleep 5$$ c
D1E ?56$
La forma ms senca de termnar de manera norma (SIGTERM) un traba|o, utzando e mandato
Lill, es utzar ste con e nmero de traba|o, preceddo por un sgno %, como argumento. E|ecute
e sguente mandato:
kill T1
La sada soo devover e smboo de sstema. S vueve a pusar a teca ENTER, a sada ser
smar a a sguente:
E|ecute de nuevo e mandato sleep, ahora con 95O como argumento, con un sgno amperson (&)
a fna, a fn de generar un nuevo traba|o en segundo pano.
sleep 59$ c
189
D1E ?5?$
Utce nuevamente e mandato ps, con as opcones au2, agregando una tubera y e mandato
grep para vsuazar en a sada soamente os procesos cuyo nombre ncuyan a cadena seep:
ps aux Zgrep sleep
Lo anteror e devover una sada smar a a sguente:
"ulano ?5?$ $@$ $@$ 1$$854 964 pts/6 S 11#94 $#$$ sleep 59$
"ulano ?5?9 $@$ $@$ 1$??86 565 pts/6 SN 11#96 $#$$ grep !!color*auto sleep
Determne e nmero de dentdad de proceso correspondente a procesos sleep 95O.
Utce e mandato Lill con este nmero de dentdad de proceso, correspondente a sleep 95O,
con a fnadad ani#uilar ste (>%?K%).
kill !8 ?5?$
D1EN 0erminado (killed) sleep 59$
E|ecute o sguente para generar dos nuevos traba|os en segundo pano:
sleep 6$$ c sleep 7$$ c
D1E ?864
D6E ?869
Utce e mandato .o!s para vsuazar ambos traba|os:
Mobs
Lo anteror deber devover a sguente sada:
Utce e mandato ps, con a opcn (., para vsuazar os nmeros de dentdad de proceso (PID)
de estos traba|os:
ps !M
190
<(% <I(% S(% 00; 0(-& )-%
?664 ?664 ?664 pts/6 $$#$$#$$ bash
?864 ?864 ?664 pts/6 $$#$$#$$ sleep
?869 ?869 ?664 pts/6 $$#$$#$$ sleep
?8?7 ?8?7 ?664 pts/6 $$#$$#$$ ps
Utce e mandato Lillall con a cadena sleep como argumento, a fn de terminar de manera
norma de todos os procesos denomnados sleep.
killall sleep
D1E! 0erminado sleep 6$$
E|ecute o sguente para generar dos nuevos traba|os en segundo pano:
sleep 5$$ c sleep 8$$ c
D1E ?848
D6E ?89$
Utce e mandato .o!s para vsuazar ambos traba|os:
Mobs
Utce e mandato ps, con a opcn (., para vsuazar o nmeros de dentdad de proceso (PID) de
estos traba|os:
ps !M
<(% <I(% S(% 00; 0(-& )-%
?664 ?664 ?664 pts/6 $$#$$#$$ bash
?848 ?848 ?664 pts/6 $$#$$#$$ sleep
?89$ ?89$ ?664 pts/6 $$#$$#$$ sleep
?896 ?896 ?664 pts/6 $$#$$#$$ ps
Utce e mandato Lillall, con a opcn (s y e vaor S, |unto con a cadena sleep como
argumento, a fn de ani#uilar (termnacn anorma) de todos os procesos denomnados sleep.
191
killall !s 8 sleep
D1E! 0erminado (killed) sleep 5$$
D6EN 0erminado (killed) sleep 8$$
+9.*.3. ,so de nice y renice.
E|ecute e mandato tar con as opcones |cf para generar e archvo pxmaps.tar.bz2 con e
contendo de drectoro /b/modues, e|ecutando o sguente:
tar Mc" modulos@tar@bC6 /lib/modules
A termnar (uego de unos mnutos), utce e mandato tme para cuantfcar a e|ecucn de
mandato tar, con as opcones .2&, para descomprmr e archvo moduos.tar.bz2. E ob|etvo ser
cuantfcar a descompresn con a prordad de panfcacn 0 (vaor predetermnado de
sstema), a cua permte utzar os recursos que reguarmente permte utzar e sstema a
usuaro.
time tar Mx" modulos@tar@bC6
La sada debe devover ago smar a o sguente:
real $m1?@6?7s
user $m16@481s
sys $m1@564s
De msmo modo con e mandato tme, utce e mandato nice para e|ecutar e mandato tar, con
as opcones .2&, para descomprmr e archvo moduos.tar.bz2. E ob|etvo ser reazar a
descompresn cambando a prordad de panfcacn a 10 (vaor predetermnado de mandato
nice s es utzado sn ms argumentos), a fn de utzar menos recursos de sstema.
time nice !n N1$ tar Mx" modulos@tar@bC6
La sada debe devover ago smar a o sguente.
real $m1?@6?5s
user $m16@847s
sys $m1@8$5s
Los resutados debern ser geramente mayores que a e|ecucn de msmo mandato con e vaor
predetermnado de prordad de panfcacn (0).
De msmo modo, utce ahora e mandato nice, con a opcn (n y e vaor +S, para e|ecutar e
mandato tar, con as opcones .2&, con a menor prordad posbe, para descomprmr e archvo
moduos.tar.bz2. E ob|etvo ser reazar a descompresn cambando a prordad de panfcacn
a 10 (vaor predetermnado de mandato nice), a fn de utzar menos recursos de sstema.
time nice !n N6$ tar Mx" modulos@tar@bC6
192
La sada debe devover ago smar a o sguente.
real $m1?@815s
user $m1?@$49s
sys $m1@579s
Los resutados debern ser sensbemente mayores que a e|ecucn de msmo mandato con e
vaor predetermnado de prordad de panfcacn (0).
E usuaro reguar soo pude defnr vaores de prordad de panfcacn de O a +S, prordad de
panfcacn predetermnada a prordad de panfcacn menos favorabe. Los vaores negatvos,
de (+ a (*O, que son os ms favorabes, so os pude utzar root.
Utzando e mandato su, con a opcn (c, con a cua se ndcar entre comas un mandato a
e|ecutar como root, repta e mandato anteror, pero con vaor (*O para e mandato nice.
su !c +time nice !n !6$ tar Mx" modulos@tar@bC6+
Lo anteror soctar se ngrese a cave de acceso de root y devover una sada smar a a
sguente:
real $m1?@?65s
user $m16@5?4s
sys $m1@875s
Los resutados debern ser sensbemente nferores que a e|ecucn de msmo mandato con e
vaor predetermnado de prordad de panfcacn (0).
Para cambar a prordad de panfcacn de un proceso en e|ecucn, se utza e mandato
renice, msmo que permte cambar a prordad panfcada por nmero de procesos, usuaro y
grupo. Los vaores de prordad de panfcacn se pueden vsuazar utzando e mandato ps, con
as opcones al2 (todos os procesos en todas as termnaes, en formato argo e ncuyendo todos
os procesos con o sn un TTY, respectvamente). E|ecute e sguente mandato:
ps alx Zless
Lo anteror mostrar as coumnas F, UID, PID, PPID, PRI, NI, VSZ, RSS, WCHAN, STAT, TTY, TIME y
COMMAND. Los vaores de prordad panfcada corresponden a a sexta coumna (NI).
E sguente e|empo camba a prordad de panfcacn a (+O a proceso 45678:
su !c +renice !n !1$ !p 49675+
E sguente e|empo camba a prordad de panfcacn a (+O a todos os procesos de usuaro
fuano:
su !c +renice !n !1$ !u "ulano+
E sguente e|empo camba a prordad de panfcacn a (+O a todos os procesos de grupo
desarroo:
193
su !c +renice !n !1$ !g desarrollo+
E sguente e|empo camba a prordad de panfcacn a (+O a procesos 34567 de usuaro
fuano:
su !c +renice !n !1$ !p ?4967 !u "ulano+
+9.*.4. ,so del mandato top.
Top es una herramenta que proporcona una vsuazacn contnua y en tempo rea de os
procesos actvos en un sstema, como una sta que de modo predetermnado o hace de acuerdo
a uso de CPU. Puede ordenar a sta por uso de memora y tempo de e|ecucn.
Para ordenar a sta de procesos por orden de uso de memora, puse >E%F@H:. Para ordena a
sta de procesos por orden de tempo de e|ecucn, puse >E%F@H@. Para nvertr e orden de a
sta, puse >E%F@H'. Para actvar, o ben desactvar, a vsuazacn por hos, puse >E%F@HE.
Para ordenar de nuevo a sta de procesos por orden de uso de CPU, puse >E%F@H<.
Para mostrar os procesos de un usuaro en especfco, puse a teca u y defna a contnuacn e
nombre de usuaro.
Para termnar o anquar cuaquer proceso, puse a teca L y defna a contnuacn e nmero de
dentdad de proceso que corresponda, y uego a sea a utzar (9 o 15).
Para cambar a prordad de panfcacn de cuaquer proceso, puse a teca r y a contnuacn
defna e nmero de dentdad de proceso que corresponda, y uego e vaor de prordad de
panfcacn deseado.
Para ver e a ayuda competa de mandato top, puse a teca $.
194
+S. Con&iguracin y uso de Crond.
+S.+. %ntroduccin.
+S.+.+. Acerca del servicio crond.
Crond es un servco de sstema que e|ecuta mandatos en horaros determnados. Los mandatos
programados pueden defnrse en e archvo de confguracn =etc=cronta!, os archvos
contendos en os drectoros =etc=cron.d, =etc=cron.$ourly, =etc=cron.daily, =etc=cron.PeeLly y
=etc=cron.mont$ly, os cuaes so puede ser modfcados por root, o ben a travs de archvos
ocazados dentro de drectoro =var=spool=cron, que son generados por os usuaros reguares a
travs de mandato cronta! con a opcn (e, y que permten a stos e poder programar
mandatos.
De modo predetermnado, todos os usuaros con ntrprete de mandatos pueden utzar e
servco crond, a travs de mandato cronta!, y programar, en os horaros que sean necesaros,
os mandatos a os que se tengan prvegos. Es posbe restrngr e uso de este servco,
aadendo a sta de nombres de os usuaros que se requera denegar e uso de ste, dentro de
archvo =etc=cron.deny (un nombre de usuaro por rengn).
E paquete correspondente a servco crond ncuye dferentes manuaes que descrben e uso y
confguracn. Para obtener una descrpcn detaada de uso de mandato cronta!, e|ecute man
+ cronta!:
man 1 crontab
Para obtener una descrpcn detaada de formato utzado para defnr as fechas a utzar, y una
descrpcn detaada de a confguracn de archvo =etc=cronta! y e formato a segur para os
archvos que se amacenen dentro de os drectoros de confguracn menconados, e|ecute man
5 cronta!:
man 9 crontab
+S.*. "#uipamiento lgico necesario.
E servco crond es proporconado por e paquete cronie, que es un proyecto dervado de vi2ie(
cron, y que ncuye me|oras en a confguracn y en a segurdad, como a capacdad de utzar
PAM y SELnux.
Instae cronie e|ecutando o sguente:
195
yum !y install cronie
Para ncar e servco por prmera vez, en caso de que recn se haya nstaado cronie, e|ecute:
service crond start
Savo que se haya hecho agn cambo en e archvo =etc=syscon&ig=crond para aadr agn
argumento a nco de servco, es nnecesaro rencar e servco. E procesamento de os
mandatos programados se reaza procesando e contendo de os archvos y drectoros de
confguracn.
De modo predetermnado, tras ser nstaado, e servco crond vene habtado en os nvees de
e|ecucn 2, 3, 4 y 5.
Para os sstemas donde es mposbe que e servco crond se e|ecute as 24 horas, os 365 das
de ao, como ocurre en os equpos porttes y sstemas de escrtoro, convene nstaar adems
e paquete anacron, e cua se encarga de e|ecutar os mandatos programados pendentes que
haya sdo mposbe procesar con e servco crond, a estar stos confgurados en horaros en os
cuaes est apagado o suspenddo e sstema.
yum !y install anacron
Para ncar e servco por prmera vez, en caso de que recn se haya nstaado anacron, e|ecute:
service anacron start
De modo predetermnado, tras ser nstaado, e servco anacron vene habtado en os nvees de
e|ecucn 2, 3, 4 y 5.
+S.3. <rocedimientos.
+S.3.+. Formato para el arc$ivo =etc=cronta!.
Cuaquer usuaro que sea defndo para e|ecutar un mandato programado en e archvo
=etc=cronta!, podr e|ecutar tareas programadas necesaras, mentras que se defna un ntrprete
de mandatos vdo (=!in=!as$ o =!in=s$, por e|empo) en a varabe de entorno >E", as como
as rutas de e|ecutabes que sean necesaras, sn mportar o que est defndo en e archvo
=etc=passPd, o as varabes de entorno defndas en e archvo Y=.!as$rc de usuaro a utzar.
SIELL=8!%n8!#sh
AATI=8s!%nD8!%nD8.sr8s!%nD8.sr8!%n
-4(10/*root
E archvo =etc=cronta! permte adems defnr a que usuaro envar correo eectrnco con os
resutados de as sadas de os mandatos que generen sada, y e ntrprete de mandatos a
utzar.
S2&11*/bin/bash
MAFLTO=#).%enJ9#%).&o9
196
E archvo utza un formato de 7 campos, donde se defne, respectvamente, mnuto, hora, da de
mes, mes, da de a semana, usuaro a utzar, y e mandato a e|ecutar
@!!!!!!!!!!!!!!!!!!!!!!!d -inuto ($ ! 98)
Z @!!!!!!!!!!!!!!!!!!!!d 2ora ($ ! 6?)
Z Z @!!!!!!!!!!!!!!!!!d %ea del mes (1 ! ?1)
Z Z Z @!!!!!!!!!!!!!!d -es (1 ! 16)
Z Z Z Z @!!!!!!!!!!!d %ea de la semana ($ ! 6) (domingo*$ o 7)B y
Z Z Z Z Z tambifn acepta como valores#
Z Z Z Z Z monB tueB edB thuB "riB sat y sun
Z Z Z Z Z @!!!!!!!!d >suario
Z Z Z Z Z Z @!d -andato a eMecutar
Q Q Q Q Q Q Q
1 14 K K K "ulano /home/"ulano/bin/tarea@sh L /dev/null 6Lc1
Se pueden omtr os prmeras 5 campos, y en su ugar utzar as sguentes opcones:
@reboot (e|ecutar una vez despus de rencar e sstema)
@yeary y @annuay (e|ecutar anuamente, es decr: $ $ 1 1 K)
@monthy (e|ecutar mensuamente, es decr: $ $ 1 K K)
@weeky (e|ecutar semanamente, es decr: $ $ K K $)
@day (e|ecutar daramente, es decr: $ $ K K K)
@houry (e|ecutar cada hora, es decr: $ K K K K)
Formato para utili8ar con el mandato cronta! (e.
Todos os usuaros de sstema pueden utzar e mandato cronta! con a opcn (e, savo que
tengan =dev=null (dspostvo nuo) como ntrprete de mandatos.
Para os usuaros que tengan =s!in=nologin como ntrprete de mandatos, ser necesaro se
defna =!in=!as$ o =!in=s$ en a varabe de entorno >E" a nco de archvo cron
correspondente. Con este tpo de usuaros, habra que e|ecutar o sguente para poder hacer uso
de mandato cronta!.
su !l usuario !s /bin/bash !c +crontab !e+
E formato para os usuaros, utzando e mandato cronta! con a opcn (e, es e msmo que e
de archvo =etc=cronta!, pero descartando a coumna que defne a usuaro.
@!!!!!!!!!!!!!!!!!!!!!!!d -inuto ($ ! 98)
Z @!!!!!!!!!!!!!!!!!!!!d 2ora ($ ! 6?)
Z Z @!!!!!!!!!!!!!!!!!d %ea del mes (1 ! ?1)
Z Z Z @!!!!!!!!!!!!!!d -es (1 ! 16)
Z Z Z Z @!!!!!!!!!!!d %ea de la semana ($ ! 6) (domingo*$ o 7)B y
Z Z Z Z Z tambifn acepta como valores#
Z Z Z Z Z monB tueB edB thuB "riB sat y sun
Z Z Z Z Z @!!!!!!!!d -andato a eMecutar
Q Q Q Q Q Q
1 14 K K K /home/"ulano/bin/tarea@sh L /dev/null 6Lc1
197
Todos os archvos de cron generados por os usuaros se amacenan sempre dentro de drectoro
=var=spool=cron, utzando e msmo nombre de usuaro como nombre de archvo. Es decr, os
mandatos programados por e usuaro fuano, se amacenarn en e archvo
=var=spool=cron=&ulano.
+S.3.*. ".emplos de con&iguraciones.
Consderando e sguente e|empo:
1 1 K K K root "reshclam L /dev/null 6Lc1
Lo anteror sgnfca que a as O+-O+, todos os das, todos os meses, todos os aos, todos os das
de a semana, se e|ecutar, como e usuaro root, e mandato &res$clam. Se aade a fna ]
=dev=null *]^+ para que cuaquer dato generado por a e|ecucn de este mandato, se descarte
y sea envando a dspostvo nuo de sstema (=dev=null), y que se dreccones a sada de
>@D"'' haca >@D0,@.
$ 6? K K 9 root yum !y update L /dev/null 6Lc1
Lo anteror sgnfca que a as *3-OO, todos os vernes, todos os meses, todos aos, se e|ecutar,
como e usuaro root, e mandato yum (y update. A gua que en e e|empo anteror, se aade a
fna ] =dev=null *]^+ para que cuaquer dato generado por a e|ecucn de este mandato, se
descarte y sea envando a dspostvo nuo de sstema (=dev=null), y que se dreccones a sada
de >@D"'' haca >@D0,@.
K/9 K K K K root /sbin/service httpd reload L /dev/null 6Lc1
Lo anteror sgnfca que cada 5 mnutos se e|ecutar, como e usuaro root, e mandato
=s!in=service $ttpd reload.
K K/? K K K root /sbin/service httpd reload L /dev/null 6Lc1
Lo anteror sgnfca que cada 3 horas se e|ecutar, como e usuaro root, e mandato
=s!in=service $ttpd reload.
K K K/? K K root /sbin/service httpd reload L /dev/null 6Lc1
Lo anteror sgnfca que cada 3 das se e|ecutar, como e usuaro root, e mandato =s!in=service
$ttpd reload.
198
?$ 1$ 6$ 6 K "ulano all +g=eliC cumpleaSos a mih+
Lo anteror sgnfca que a as +O-3O, cada *O de &e!rero, todos o aos, se e|ecutar, como e
usuaro &ulano, e mandato Pall /_Feli8 cumpleaos a mi`/.
Xreboot "ulano mail !s +&l sistema ha reiniciado+ alguienXgmail@com
Lo anteror sgnfca que cada vez que se rence e sstema, se e|ecutar, como e usuaro &ulano,
e mandato mail (s /"l sistema $a reiniciado/, msmo que envar con mensa|e de correo
eectrnco a alguienagmail.com, con e asunto /"l sistema $a reiniciado/.
199
*O. Funciones !;sicas de vi
*O.+. %ntroduccin
v es uno de os edtores de texto ms poderosos y ae|os que hay en e mundo de a nformtca.
Resuta sumamente t conocer a funconadad bsca de v a fn de factar a edcn de
archvos de texto smpe, prncpamente archvos de confguracn.
*O.*. <rocedimientos
*O.*.+. %nstalacin y pa#uetes adicionales
Por o genera, v se nstaa de modo predefndo en a mayora de as dstrbucones de GNU/Lnux
a travs de paquete vim(minimal. Puede aadrse funconadad adcona a travs de os
sguentes paquetes:
vim(en$anced- Una versn me|orada de v que aade coor a a sntaxs y otras me|oras en a
nterfaz.
vim(D++: Versn de v para modo grfco que resuta ms fc de utzar gracas a os
mens y barra de herramentas.
S o desea, puede proceder a nstaar v y e resto de os paquetes reaconados reazando o
sguente:
yum !y install vim vim!enhanced vim!common vim!minimal
*O.3. Conociendo vi
Acceda a sstema autentcando como usuaro (fuano) y reace o sguente:
vi holamundo@txt
Lo anteror mostrar una nterfaz como a sguente:
200
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
+holamundo@txt+ D4rchivo nuevoE $B$!1 0odo
Puse una vez e botn <INSERT> de su tecado y observe os cambos en a pantaa
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
-- FNSERTAR -- $!1 0odo
Note que en a parte nferor de a pantaa aparece a paabra %)>"'@A'. Esto sgnfca que, a
gua que cuaquer otro edtor de texto conocdo, puede comenzar a nsertar texto en e archvo.
Escrba a frase Acance Lbre, puse a teca <ENTER> y escri!a de forma propostva a frase
un vuen cto donde empesa:
201
4lcance 1ibre
un vuen citio donde empesar
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
-- FNSERTAR -- $!1 0odo
Poscone e cursor de tecado |usto por deba|o de a v de a paabra vuen y puse de nuevo a
teca <INSERT> de tecado. Notar que ahora aparece a paabra REEMPLAZAR:
4lcance 1ibre
un vuen citio donde empesar
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
-- REEMALAKAR -- $!1 0odo
Puse a teca b y observe como se reempaza a etra v dando como resutado que a paabra
quede ortogrfcamente correcta como buen:
202
4lcance 1ibre
un buen citio donde empesar
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Mueva e cursor con as fechas de tecado y repta e procedmento reempazando a etra c por
una s en a paabra cto de modo que quede como sto y de gua modo reempace a etra
s por una z en a paabra reempasar de modo que quede como empezar:
4lcance 1ibre
un buen sitio donde empeCar
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Puse a teca <ESC> para sar de modo de reempazo e nmedatamente puse a teca : (dos
puntos) segudo de a etra w a fn de proceder a guardar e archvo en e dsco duro:
203
4lcance 1ibre
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
#
Puse a teca <ENTER> y notar que aparece un mensa|e en a parte nferor de a pantaa que
ndcar que e archvo ha sdo guardado:
4lcance 1ibre
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
+holamundo@txt+ D,uevoE 61B 44) escritos 6B? 0odo
Vueva a pusar a teca - (dos puntos) e nmedatamente escrba saveas adosmundo.txt:
204
4lcance 1ibre
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
#saveas adiosmunto@txt
Puse nuevamente a teca <ENTER> y observe e mensa|e en a parte nferor de a pantaa que
ndca que e archvo acaba de ser guardado como adosmundo.txt:
4lcance 1ibre
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
+adiosmundo@txt+ D,uevoE 61B 44) escritos 6B? 0odo
Vueva a pusar a teca INSERT para regresar a modo de nsercn y escrba o sguente:
205
4lcance 1ibre
)reo Jue el mundo es un lugar muy malo
1a gente Jue conoCco es mala
-i vida ha sido muy mala
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
!! (,S&R04R !! 9B64 0odo
A contnuacn puse a teca <ESC> e nmedatamente puse a teca - (dos puntos) segudo de a
combnacn de tecas Vs=mal=!uen=g de sguente modo:
4lcance 1ibre
)reo Jue el mundo es un lugar muy malo
1a gente Jue conoCco es mala
-i vida ha sido muy mala
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
#Ts/mal/buen/g
Puse de nuevo a teca <ENTER> y observe como ha sdo reempazada a cadena de caracteres
ma por a cadena de caracteres buen en todo e archvo, quedando de sguente modo:
206
4lcance 1ibre
)reo Jue el mundo es un lugar muy bueno
1a gente Jue conoCco es buena
-i vida ha sido muy buena
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
? sustituciones en ? leneas 9B1 0odo
En e procedmento anteror, e smboo % ndcaba que se apcara un procedmento a todo e
archvo, no soo en a msma nea; a etra s ndcaba que se reazara a bsqueda de a cadena
de caracteres ma defnda despus de a dagona (/) por a cadena de caracteres buen en
toda a nea, ndcado por a etra g.
A contnuacn, poscone e cursor de tecado utzando as fechas de tecado hasta e prmer
carcter de a prmera nea:
4lcance 1ibre
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
? sustituciones en ? leneas 9B1 0odo
Ahora puse dos veces consecutvas a teca d, es decr, pusar dd. Observe como desaparece
a prmera nea:
207
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y

Puse ahora a teca p para vover a pegar a nea:
4lcance 1ibre
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y

Observe que a nea Acance Lbre reaparec deba|o de a nea un buen sto donde empezar.
Utzando as fechas de tecado, cooque e cursor de tecado nuevamente sobre e prmer
carcter de a prmera nea de archvo, es decr, sobre a etra u de a nea un buen sto
donde empezar:
208
4lcance 1ibre
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
1B1 0odo
Vueva a pusar dd para cortar a nea un buen sto donde empezar e nmedatamente puse
a teca p para pegar a nea en e ugar correcto:
4lcance 1ibre
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
6B1 0odo
Cooque ahora e cursor sobre a etra C de a nea Creo que e mundo es un ugar muy bueno
y puse a teca 3 segudo de dd y observe como son cortadas as tres sguentes neas:
209
4lcance 1ibre
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
? leneas menos 6B1 0odo
Puse a teca p una vez, observe e resutado. Vueva a pusar a teca p y observe e
resutado. Las dos accones anterores aaderon ahora 6 neas restaurando as emnadas
anterormente y agregando tres neas ms con e msmo contendo:
4lcance 1ibre
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
? leneas mis 6B1 0odo
Puse ahora a teca - (dos puntos) segudo de a teca x y a teca <ENTER> a fn de sar
guardando e archvo.
Abra nuevamente e archvo adiosmundo.t2t con v y puse a combnacn de tecas -=!uen, de
modo que se reace una bsqueda de a cadena de caracteres buen y adems se resaten as
concdencas:
210
4lcance 1ibre
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
/buen 6B1 0odo
Para cancear o que se encuentra resatado de os resutados, puse a combnacn de tecas
-no$l:
4lcance 1ibre
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
6B1 0odo
Puse A (combnacn de as tecas SHIFT+a) mentras e cursor permanece en a segunda nea y
observe que ncar e modo %)>"'@A' coocando e cursor a fna de a nea donde se
encontraba:
211
4lcance 1ibre
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
-- FNSERTAR -- 6B1 0odo
Puse a teca <ESC> y enseguda o. Notar que ncar e modo %)>"'@A' abrendo una nueva
nea:
4lcance 1ibre

Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
-- FNSERTAR -- ?B1 0odo
Puse nuevamente a teca <ESC> y en seguda a combnacn d? (d, uego SHIFT+G). Notar que
se emna todo e contendo de texto desde a poscn de cursor hasta e fna de archvo:
212
4lcance 1ibre
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
7 leneas menos 6B1 0odo
Puse a combnacn -u y notar que e cambo se ha descartado, regresando as 7 neas que
haban sdo emnadas:
4lcance 1ibre

Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
7 leneas mis ?B$!1 0odo
*O.4. 0tras com!inaciones de teclas
Com!inacin 'esultado
|o ben a teca nsert| Inca nsertar texto antes de cursor
a Inca nsertar texto despus de cursor
I ( + SHIFT) Inca nsertar texto a inicio de a nea donde se encuentra e cursor
A (a + SHIFT) Inca nsertar texto a &inal de a nea donde se encuentra e cursor.
o Abre una nueva nea e nca nsertar texto en a nueva nea.
213
Com!inacin 'esultado
x Emna e carcter que est sobre e cursor.
dd Emna a nea actua donde se encuentre e cursor.
D Emna desde a poscn actua de cursor hasta e fna de a msma nea
donde se encuentra e cursor.
dG Emna todo hasta e fna de archvo.
:q Aparece s no hubo cambos en e archvos.
:q! Aparece descartando os cambos en e archvo.
:w Guarda e archvo sn sar.
:wq Guarda e archvo y sae de v.
:x Lo msmo que :wq
:saveas /o/que/sea Guarda e archvo como otro archvo donde sea necesaro.
:wq! ++enc=utf8 Codfca e archvo en UTF-8.
:u Deshacer cambos
:red Rehacer cambos.
:/cadena de caracteres Bsqueda de cadenas de caracteres.
:noh Cancear e resatado de resutados de Bsqueda.
*O.5. :;s all; de las &unciones !;sicas
Instae e paquete vm-enhanced:
yum !y install vim!enhanced
Utce vimtutor y compete e tutor interactivo o&icial de v a fn de que conozca e resto de as
funconadades ms mportantes.
214
*+. %ntroduccin a sed
*+.+. %ntroduccin.
*+.+.+. Acerca de sed.
>ed es un edtor de emsones (stream edtor) utzado para e procesamento de texto en
archvos. Utza un engua|e de programacn para reazar transformacones en una emsn de
datos eyendo nea por nea de estos. Fue desarroado entre 1973 y 1974 por Lee E. McMahon de
Be Labs. Est ncudo en as nstaacones bscas de prctcamente todas as dstrbucones de
GNU/Lnux.
*+.*. <rocedimientos.
A contnuacn se mostrarn e|empos de uso de sed.
Utce v para crear e archvo usuaro.txt:
vi usuario@txt
Ingrese e sguente contendo y saga de v:
=ulano 4lgo
)alle -engana 16?
)olonia <erengana
)iudad de GutanoB )@<@ 16?496
S utza e mandato cat sobre e archvo, vsuazar ta cua e contendo de usuaro.txt como fue
ngresado en v.
cat usuario@txt
S se quere convertr a dobe espaco a sada de archvo usuaro.txt, utce e sguente mandato:
sed I usuario@txt
La sada devover o sguente:
=ulano 4lgo
215
)alle -engana 16?
)olonia <erengana
Para guardar esta sada en e archvo usuaro2.txt, utce o sguente:
sed I usuario@txt L usuario6@txt
S se quere convertr a dobe espaco a sada de archvo usuaro.txt, utce e sguente mandato:
sed UIVIU usuario@txt
=ulano 4lgo
)alle -engana 16?
)olonia <erengana
Para guardar esta sada en e archvo usuaro2.txt, utce o sguente:
sed UIVIU usuario@txt L usuario?@txt
E contendo de usuaro3.txt tendr trpe espaco de separacn. S se desea convertr un archvo a
dobe espaco, pero que no haya ms de una nea vaca entre cada ena con datos, se utza o
sguente:
sed U/[F/dVIU usuario?@txt
=ulano 4lgo
)alle -engana 16?
)olonia <erengana
S se desea emnar e dobe espaco de archvo usuaro2.txt, se utza o sguente:
sed UnVdU usuario6@txt
=ulano 4lgo
)alle -engana 16?
)olonia <erengana
S se quere agregar una nea en banco arrba de toda nea que contenga a expresn reguar
enga, se utza o sguente:
216
sed U/enga/\xVpVxV]U usuario@txt
=ulano 4lgo
)alle -en#na 16?
)olonia <erengana
S se quere agregar una nea en banco deba|o de toda nea que contenga a expresn reguar 3,
se utza o sguente:
sed U/?/IU usuario@txt
=ulano 4lgo
)alle -engana 163
)olonia <erengana
)iudad de GutanoB )@<@ 163496
S se quere agregar una nea en banco arrba y deba|o de toda nea que contenga a expresn
reguar 3, se utza o sguente:
sed U/?/\xVpVxVIV]U usuario@txt
=ulano 4lgo
)alle -engana 16?
)olonia <erengana
Para reempazar texto se utza e modeo 's/texto/nuevo-texto/' donde texto puede ser tambn
una expresn reguar. En e sguente e|empo se reempazarn as ncdencas de nmero por e
nmero 9:
sed Us/?/8/gU usuario@txt
=ulano 4lgo
)alle -engana 16<
)olonia <erengana
)iudad de GutanoB )@<@ 16<496
En e sguente e|empo se reempazan os espacos por tabuadores a todo o argo de todas as
neas:
sed Us/O /Ot/gU usuario@txt
217
=ulano 4lgo
)alle -engana 16?
)olonia <erengana
En e sguente e|empo se reempazan soo e prmer espaco de cada nea por un tabuador:
sed Us/O /Ot/U usuario@txt
=ulano 4lgo
)alle -engana 16?
)olonia <erengana
La sguente nea aade 5 espacos a nco de cada nea:
sed Us/[/ /U usuario@txt
=ulano 4lgo
)alle -engana 16?
)olonia <erengana
E sguente mandato soo mprme a prmera nea de archvo usuaro.txt:
sed J usuario@txt
=ulano 4lgo
E sguente mandato soo mprme as prmeras dos neas de archvo usuaro.txt:
sed 6J usuario@txt
=ulano 4lgo
)alle -engana 16?
E sguente mandato soo muestra as tmas tres neas de archvo usuaro.txt:
sed !e #a !e UFJV,V4BF%VbaU usuario@txt
218
)alle -engana 16?
)olonia <erengana
E sguente mandato soo mostrar as neas que ncuyen 3:
sed U/?/hdU usuario@txt
)alle -engana 163
)iudad de GutanoB )@<@ 163496
E sguente mandato soo mostrar as neas que no ncuyen 3:
sed U/?/dU usuario@txt
=ulano 4lgo
)olonia <erengana
E sguente mandato pde mostrar a nea que est nmedatamente despus de a expresn
Fulano, pero no a nea en s que ncuye Fulano:
sed !n U/=ulano/\nVpV]U usuario@txt
)alle -engana 16?
E sguente mandato pde mostrar a nea que est nmedatamente antes de a expresn Calle,
pero no a nea en s que ncuye Calle:
sed !n U/)alle/\gV1hpV]VhU usuario@txt
=ulano 4lgo
*+.3. Bi!liogra&a.
Erc Pement: http://student.northpark.edu/pemente/sed/sed1ne.txt
Wkpeda: http://en.wkpeda.org/wk/Sed
219
**. %ntroduccin a AbK
**.+. %ntroduccin.
**.+.+. Acerca de AbK.
AbK, cuyo nombre derva de a prmera etra de os apedos de sus autores Afred Aho, Peter
benberger y Bran Kernghan, es un engua|e de programacn que fue dseado con e ob|etvo
de procesar datos basados sobre texto y una de as prmeras herramentas en aparecer en Unx.
Utza stas en un ndce ordenado por cadenas cave (stas asocatvas) y expresones reguares.
Es un engua|e ampamente utzado para a programacn de guones e|ecutabes pues aade
funconadad a as tuberas en os sstemas operatvos tpo <0>%D. Est ncudo en as
nstaacones bscas de prctcamente todas as dstrbucones de GNU/Lnux.
**.+.*. "structura de los programas escritos en AbK.
E mandato aPL utza un archvo o emsn de ordenes y un archvo o emsn de entrada. E
prmero ndca como procesar a segundo. E archvo de entrada es por o genera texto con agn
formato que puede ser un archvo o ben a sada de otro mandato.
La sntaxs genera utzada para e mandato aPL sgue e sguente patrn:
awk 'expresn-reguar { orden }'
Cuando se utza e mandato awk, ste examna e archvo de entrada y e|ecuta a orden cuando
encuentra a expresn reguar especfcada.
E sguente modeo e|ecutara a orden a nco de programa y antes de que sean procesados os
datos de archvo de entrada:
ak U:&I(, \ orden ]U
E sguente modeo e|ecutara a orden a fna de programa y despus de que sean procesados os
datos de archvo de entrada:
ak U:&I(, \ orden ]U
E sguente modeo e|ecutara a orden por cada una de as neas de archvo de entrada:
220
ak U\ orden ]U
**.*. <rocedimientos.
A contnuacn se mostrarn e|empos de uso de AWK.
E sguente mandato especfca que a nco se mprma en a sada a frase "Hoa mundo" y
termnar e procesamento.
ak U:&I(, \ print +2ola mundo+V exit ]U
Lo anteror deber devover una sada como a sguente:
2ola mundo
S se genera e archvo prueba.txt de sguente modo:
echo !e +)olumna1Ot)olumna6Ot)olumna?Ot)olumna4On+ L eMemplo@txt
Y se vsuaza con e mandato cat:
cat eMemplo@txt
Devover e sguente contendo:
)olumna1 )olumna6 )olumna? )olumna4
S se utza e mandato awk para que soo muestre a coumna 1 y a coumna 3 de sguente
modo:
ak U\ print F1B F?]U eMemplo@txt
)olumna1 )olumna?
S se utza e mandato awk para que soo muestre a coumna 3 y a coumna 1, en ese orden, de
sguente modo:
ak U\ print F?B F1]U eMemplo@txt
)olumna? )olumna1
S se aaden datos a archvo e|empo.txt de sguente modo:
echo !e +%ato1Ot%ato6Ot%ato?Ot%ato4On+ LL eMemplo@txt
221
echo !e +%ato9Ot%ato6Ot%ato7Ot%ato5On+ LL eMemplo@txt
echo !e +%ato8Ot%ato1$Ot%ato11Ot%ato4O16+ LL eMemplo@txt
Y se vsuaza con e mandato cat:
cat eMemplo@txt
Devover e sguente contendo:
)olumna1 )olumna6 )olumna? )olumna4
%ato1 %ato6 %ato? %ato4
%ato9 %ato6 %ato7 %ato5
%ato8 %ato1$ %ato11 %ato4
S se utza nuevamente e mandato awk para que soo muestre a coumna 1 y a coumna 3 de
sguente modo:
ak U\ print F1B F?]U eMemplo@txt
)olumna1 )olumna?
%ato1 %ato?
%ato9 %ato7
%ato8 %ato11
S se utza e mandato awk de sguente modo para que soo muestre soo a nea cuya coumna
contenga a expresn reguar Dato5:
ak U/%ato9/ \ print ]U eMemplo@txt
%ato9 %ato6 %ato7 %ato5
S se utza e mandato awk de sguente modo para que soo muestre soo a nea cuya coumna
contenga a expresn reguar Dato5, y adems soo as coumnas 1 y 4:
ak U/%ato9/ \ print F1B F4]U eMemplo@txt
%ato9 %ato5
S se utza e mandato awk de sguente modo para que muestre soo as neas con ms de 35
caracteres en e archvo /etc/crontab:
ak Ulength L ?9U /etc/crontab
222
$1 K K K K root run!parts /etc/cron@hourly
$6 4 K K K root run!parts /etc/cron@daily
66 4 K K $ root run!parts /etc/cron@eekly
46 4 1 K K root run!parts /etc/cron@monthly
S se utza e mandato awk de sguente modo para que muestre soo as neas con menos de 35
caracteres en e archvo /etc/crontab:
ak Ulength a ?9U /etc/crontab
S2&11*/bin/bash
-4(10/*root
2/-&*/
A run!parts
Utza v para crear e archvo usuaro.txt:
vi usuario@txt
Ingrese e sguente contendo:
=ulano 4lgo
)alle -engana 16?
)olonia <erengana
Para que e mandato aPL reconozca cada nea como un regstro competo, en ugar de consderar
cada paabra como una coumna, se utza cB"?%) d F>R/en/ f '>R//gc, donde e vaor de F>
(Fed >eparator o separador de campo) se estabece como un retorno de carro y e vaor de '>
('ecord >eparator o separador de regstro) se estabece como una nea vaca. S utza e
sguente mandato donde se estabecen os vaores menconados para FS y RS y se pde se
mprman os vaores de cada regstro (cada nea) separados por una coma y un espaco:
ak U:&I(, \ =S*+On+V RS*++ ] \ print F1 +B + F6 +B + F? +B + F4 ]U usuario@txt
=ulano 4lgoB )alle -engana 16?B )olonia <erenganaB )iudad de GutanoB )@<@ 16?496
E mandato aPL puede reazar conteo de neas, paabras y caracteres. E e sguente mandato se
estabece que e vaor de P sea gua a nmero de campos ()ew Fed o )F), c sea gua a
ongtud de cada campo, y que se mprma e nmero de campos, e vaor de P y e vaor de c:
ak U\ N* ,=V c N* length] O
&,% \ print O
+)ampos# + ,R B +On<alabras# + B +On)aracteres# + c ]U O
usuario@txt
223
)ampos# 4
<alabras# 16
)aracteres# 74
Genere e archvo numeros.txt con e sguente contendo, donde as coumnas sern separadas
por un tabuador:
1 6 ? 4
9 6 7 5
8 1$ 11 16
E mandato awk puede reazar operacones matemtcas. e sguente mandato estabece que s es
gua a a suma de vaor de os campos de a prmera coumna de archvo numeros.txt, e mprme
e vaor de s:
ak U\ s N* F1 ] &,% \ print s ]U numeros@txt
La sada devover o sguente (resutado de a suma de 1+5+9):
19
S se hace o msmo, pero con os vaores de a coumna 2:
ak U\ s N* F6 ] &,% \ print s ]U numeros@txt
La sada devover o sguente (resutado de a suma de 2+6+10):
15
Para hacer conteo de frecuenca de paabras, Se estabece que e vaor para F> (Fed >eparator o
separador de nea) sea gua a expresones reguares que van desde a a a a z y desde a A a a Z,
se estabece que e vaor de a varabe es gua a 1 y menor a nmero de campos.
ak U:&I(, \ =S*+D[a!C4!GEN+] O
\ "or (i*1V ia*,=V iNN) ordsDtoloer(Fi)ENN ] O
&,% \ "or (i in ords) print iB ordsDiE ]U /etc/crontab
7
bin ?
run 9
etc 4
sbin ?
bash 1
eekly 1
daily 1
cron 4
usr 6
path 1
224
shell 1
parts 9
home 1
mailto 1
monthly 1
hourly 1
root 6
225
*3. <ermisos del >istema de Arc$ivos
Sitio de Red: http://www.alcancelibre.org
*3.+. %ntroduccin
La asgnacn de permsos de acceso (de ectura, escrtura y e|ecucn) pueden asgnarse a travs
de modos, que son combnacones de nmeros de tres dgtos (usuaro, grupo y resto de mundo) y
e mandato c$mod.
*3.*. )otacin sim!lica
E esquema de notacn smbca se compone de 10 caracteres, donde e prmer carcter ndca e
tpo de archvo:
Galor Descripcin
! %enota un archivo regular@
d %enota un directorio@
b %enota un archivo especial de dispositivos de bloJue@
c %enota un archivo de caricter especial
l %enota un enlace simbRlico@
p %enota una tuberea nombrada (=(=/)
s %enota un CRcalo de dominio (socket)
Cada case de permsos es representada por un con|unto de tres caracteres. E prmer con|unto de
caracteres representa a case de usuaro, e segundo con|unto de tres caracteres representa a
case de grupo y e tercer con|unto representa a case de otros (resto de mundo). Cada uno de
os tres caracteres representa permsos de ectura, escrtura y e|ecucn, respectvamente y en ese
orden.
E|empos:
<ermisos Descripcin
-rxr-Cr!x Drectoro con permso 755.
&r!r?-r!! Archvo de carcter especa con permso 664.
srxr?Cr!x Zcao con permso 775.
'r!r?-r!! Tubera (FIFO) con permso 664.
226
<ermisos Descripcin
-r!r--r!! Archvo reguar con permso 644.
*3.3. )otacin octal
La notacn octa consste de vaores de tres a cuatro dgtos en base-8. Con a notacn octa de
tres dgtos cada nmero representa un componente dferente de permsos a estabecer: case de
usuaro, case de grupo y case de otros (resto de mundo), respectvamente. Cada uno de estos
dgtos es a suma de sus bts que o componen (en e sstema numera bnaro). Como resutado,
bts especfcos se aaden a a suma conforme son representados por un numera:
E Bt de e|ecucn aade + a a suma.
E bt de escrtura aade * a a suma.
E bt de ectura aade 4 a a suma.
Estos vaores nunca producen combnacones ambguas y cada una representa un con|unto de
permsos especfcos. De modo ta puede consderarse a sguente taba:
Galor <ermiso Decripcin
$ ! ,ada
1 x &MecuciRn
6 &scritura
? x &scritura y eMecuciRn
4 r 1ectura
9 rx 1ectura y &MecuciRn
6 r 1ectura y &scritura
7 rx 1ecturaB &scritura y &MecuciRn
)ota- 3 (wx) es e resutado de 1+2 (w+x). 5 (rx) es e resutado de 4+1 (r+x). 6 (rw) es e
resutado de 4+2 (r+w). 7 (rwx) es e resutado de 4+3 (r+xw).
*3.3.+. <ermisos adicionales
Hay una forma de cuatro dgtos. Ba|o este esquema e estndar de tres dgtos descrto arrba se
converte en os tmos tres dgtos de con|unto. E prmer dgto representa permsos adconaes.
En sstemas y equpamento gco donde no puede ser omtdo este prmer dgto de con|unto de
cuatro, se estabece cero como vaor de ste.
E prmer dgto de con|unto de cuatro es tambn a suma de sus bts que e componen:
1. E bt pega|oso (stcky bt) aade + a tota de a suma.
2. E bt setgd aade * a tota de a suma.
3. E bt setud aade 4 a tota de a suma.
227
Lo que hace e permso SUID o bt setud es que cuando se ha estabecdo a e|ecucn, e proceso
resutante asumr a dentdad de usuaro dado en a case de usuaro (propetaro de eemento).
De a msma manera que e anteror, o que hace e permso SGID o bt setgd es que cuando se ha
estabecdo a e|ecucn, e proceso resutante asumr a dentdad de grupo dado en a case de
grupo (propetaro de eemento). Cuando setgd ha sdo apcado a un drectoro, todos os nuevos
archvos creados deba|o de este drectoro heredarn e grupo propetaro de este msmo
drectoro. Cuando no se ha estabecdo setgd, e comportamento predefndo es asgnar e grupo
de usuaro a crear nuevos eementos.
E bt pega|oso (stcky bt) sgnfca que un usuaro so podr modfcar y emnar archvos y
drectoros subordnados dentro de un drectoro que e pertenezca. En ausenca de bt pega|oso
(stcky bt) se apcan as regas generaes y e derecho de acceso de escrtura por s soo permte
a usuaro crear, modfcar y emnar archvos y drectoros subordnados dentro de un drectoro.
Los drectoros a os cuaes se es ha estabecdo bt pega|oso restrngen as modfcacones de os
usuaros a so ad|untar contendo, mantenendo contro tota sobre sus propos archvos y pueden
crear nuevos archvos; sn embargo, so pueden ad|untar o aadr contendo a os archvos de
otros usuaros. E bt pega|oso (stcky bt) es utzado en drectoros como =tmp y =var=spool=mail.
De modo ta puede consderarse a sguente taba:
Galor <ermiso Descripcin
1 !!! !!! !!$ bit pegaMoso
6 !!! !!s !!! bit setgid
? !!! !!s !!$ bit pegaMoso N bit setgid
4 !!s !!! !!! bit setuid
9 !!s !!! !!$ bit setuid N bit pegaMoso
6 !!s !!s !!! bit setuid N bit setgid
7 !!s !!s !!$ bit setuid N bit setgid N bit pegaMoso
Cuando un archvo no tene permsos de e|ecucn en aguna de as cases y e es asgnado un
permso especa, ste se representa con una etra mayscua.
<ermiso Clase ".ecuta )o e.ecuta
setuid >suario s S
setgid Irupo s S
pegaMoso (sticky) /tros t 0
*3.4. ".emplos
*3.4.+. ".emplos de permisos regulares
<ermiso Clase de ,suario Clase de ?rupo Clase de 0tros
$4$$ r!! !!! !!!
$44$ r!! r!! !!!
$444 r!! r!! r!!
228
$9$$ r!x !!! !!!
$99$ r!x r!x !!!
$999 r!x r!x r!x
$644 r! r!! r!!
$664 r! r! r!!
$666 r! r! r!
$7$$ rx !!! !!!
$711 rx !!x !!x
$7$7 rx !!! rx
$79$ rx r!x !!!
$799 rx r!x r!x
$777 rx rx rx
*3.4.*. ".emplos de permisos especiales
4644 r! r!! r!T
2644 r! r!S r!!
3644 r! r!S r!T
E644 rS r!! r!!
5644 rS r!! r!T
3644 rS r!S r!!
=644 rS r!S r!T
4777 rx rx r$
2799 rx r!s r!x
3799 rx r!s r!$
E799 rs r!x r!x
5799 rs r!x r!$
3799 rs r!s r!x
=799 rs r!s r!$
*3.5. ,so de c$mod
chmod DopcionesE modo archivo
E|empo:
mkdir !p Y/tmp/
touch Y/tmp/algo@txt
229
ls !l Y/tmp/algo@txt
chmod 799 Y/tmp/algo@txt
ls !l Y/tmp/algo@txt
Lo anteror debe arro|ar una sada smar a a sguente:
D"ulanoXlocalhost YEF mkdir !p Y/tmp/
D"ulanoXlocalhost YEF touch Y/tmp/algo@txt
D"ulanoXlocalhost YEF ls !l Y/tmp/algo@txt
-r?-r?-r-- 4 +.)#no +.)#no / 9#r 2 45D/< /home/"ulano/tmp/algo@txt
D"ulanoXlocalhost YEF chmod 799 Y/tmp/algo@txt
D"ulanoXlocalhost YEF ls !l Y/tmp/algo@txt
-r?Cr-Cr-C 4 +.)#no +.)#no / 9#r 2 45D/< /home/"ulano/tmp/algo@txt
D"ulanoXlocalhost YEF
*3.5.+. 0pciones de c$mod
Opcn Descripcin
-R Camba permsos de forma descendente en un drectoro dado. Es a nca opcn de os
estndares POSIX
-c Muestra que archvos han cambado recentemente en una ubcacn dada
-f No muestra errores de archvos o drectoros que no se hayan poddo cambar
-v Descrpcn detaada de os mensa|es generados por e proceso
*3.5.*. "l mandato c$mod y los enlaces sim!licos
E mandato c$mod |ams camba os permsos de enaces smbcos; sn embargo no representa
un probema en vrtud de que |ams se utzan os permsos de os enaces smbcos. S se apca
e mandato c$mod sobre un enace smbco, se cambar e permso de archvo o drectoro
haca e cua apunta. Cuando se apca c$mod de forma descendente en un drectoro, ste gnora
os enaces smbcos que pudera encontrar en e recorrdo.
230
*4. Cmo utili8ar el mandato c$attr.
*4.+. %ntroduccin.
*4.+.+. Acerca del mandato c$attr.
E mandato c$attr se utza para cambar os atrbutos de os sstemas de archvos e2t* y e2t3.
Desde certo punto de vsta, es anogo a mandato c$mod, pero con dferente sntaxs y opcones.
Utzado adecuadamente, dfcuta as accones en e sstema de archvos por parte de un ntruso
que haya ogrado sufcentes prvegos en un sstema.
En a mayora de os casos, cuando un ntruso consgue sufcentes prvegos en un sstema, o
prmero que har ser emnar os regstros de sus actvdades modfcando estructuras de os
archvos de btcoras de sstema y otros componentes. Utzar e mandato c$attr certamente no
es obstcuo para un usuaro experto, pero, afortunadamente, a gran mayora de os ntrusos
potencaes no sueen ser expertos en GNU/Lnux o Unx, dependendo enormemente de dversos
programas o guones (os denomnados root'its y zappers) para emnar aqueo que permta
descubrr sus actvdades.
Utzar e mandato c$attr, ncudo en e paquete e*&sprogs, que se nstaa de forma
predetermnada en todas as dstrbucones de GNU/Lnux por, tratarse de un componente
esenca, hace ms dfc borrar o aterar btcoras, archvos de confguracn y componentes de
sstema. Theodore Ts'o es e desarroador y quen se encarga de mantener e*&sprogs, msmo que
se dstrbuye ba|o os trmnos de a cenca ?),=?<, e ncuye otras herramentas como e2fsck,
e2abe, fsck.ext2, fsck.ext3, mkfs.ext2, mkfs.ext3, tune2fs y dumpe2fs, entre otras.
URL: http://e2fsprogs.sourceforge.net/
*4.*. 0pciones.
(' Camba recursvamente os atrbutos de drectoros y sus contendos. Los
enaces smbcos que se encuentren, son gnorado
(G Sada de c$arttr ms descrptva, mostrando adems a versn de
programa.
(v Ver e nmero de versn de programa.
231
*4.3. 0peradores.
H Hace que se aadan os atrbutos especfcados a os atrbutos exstentes
de un archvo.
( Hace que se emnen os atrbutos especfcados de os atrbutos
exstentes de un archvo
R Hace que soamente haya os atrbutos especfcados.
*4.4. Atri!utos.
A Estabece que a fecha de tmo acceso (atme) no se modfca.
a Estabece que e archvo soo se puede abrr en modo de ad|untar para
escrtura.
c Estabece que e archvo es comprmdo automtcamente en e dsco
por e nceo de sstema operatvo. A reazar ectura de este archvo,
se descomprmen os datos. La escrtura de dcho archvo comprme os
datos antes de amacenaros en e dsco.
D Cuando se trata de un drectoro, estabece que os datos se escrben de
forma sncrnca en e dsco. Es decr, os datos se escrben
nmedatamente en ugar de esperar a operacn correspondente de
sstema operatvo. Es equvaente a a opcn dirsync de mandato
mount, pero apcada a un subcon|unto de archvos.
d Estabece que e archvo no sea canddato para respado a utzar a
herramenta dump.
i Estabece que e archvo ser nmutabe. Es decr, no puede ser
emnado, n renombrado, no se pueden apuntar enaces smbcos, n
escrbr datos en e archvo.
. En os sstemas de archvos ext3, cuando se montan con as opcones
dataRordered o dataRPrite!acL, se estabece que e archvo ser
escrto en e regstro por daro (Journal). S e sstema de archvos se
monta con a opcn dataR.ournal (opcn predetermnada), todo e
sstema de archvos se escrbe en e regstro por daro y por o tanto e
atrbuto no tene efecto.
s Cuando un archvo tene este atrbuto, os boques utzados en e dsco
duro son escrtos con ceros, de modo que os datos no se puedan
recuperar por medo aguno. Es a forma ms segura de emnar datos.
> Cuando e archvo tene este atrbuto, sus cambos son escrtos de forma
sncrnca en e dsco duro. Es decr, os datos se escrben
nmedatamente en ugar de esperar a operacn correspondente de
sstema operatvo. Es equvaente a a opcn sync de mandato mount.
u Cuando un archvo con este atrbuto es emnado, sus contendos son
guardados permtendo recuperar e archvo con herramentas para ta
fn.
232
*4.5. ,tili8acin.
chattr D!R'E N!*D4ac%diMsSuE D!v versiRnE archivos
*4.5.+. ".emplos.
e sguente mandato agrega e atrbuto nmutabe a archvo ago.txt..
chattr Ni algo@txt
E sguente mandato emna e atrbuto nmutabe a archvo ago.txt.
chattr !i algo@txt
E sguente mandato agrega e modo de soo ad|untar para escrtura a archvo ago.txt.
chattr Na algo@txt
E sguente mandato emna e modo de soo ad|untar para escrtura a archvo ago.txt.
chattr !a algo@txt
E sguente mandato estabece que e archvo ago.txt soo tendr os atrbutos a, A, s y >.
chattr *a4sS algo@txt
E sguente mandato sta os atrbutos de archvo ago.txt.
lsattr algo@txt
233
*5. Creando depsitos yum
*5.+. %ntroduccin.
Yum es una herramenta sumamente t para e mane|o de paquetera RPM. Aprender a crear en
e dsco duro as bases de datos para os depstos yum resuta prctco puesto que no habr
necesdad de recurrr haca os depstos ocazados en servdores en Internet y consumr
nnecesaramente ancho de banda en e proceso.
*5.*. <rocedimientos
Prmero se deben generar os drectoros que ao|arn os depstos. Uno para a paquetera
ncuda en os dscos de nstaacn y otro para as actuazacones:
mkdir !p /var/"tp/pub/os
mkdir !p /var/"tp/pub/updates
Tome todos os dscos de nstaacn y cope ntegramente su contendo haca e nteror de
drectoro ocazado en a ruta /var/ftp/pub/os/ con e sguente procedmento:
mount /media/cdrom
cp !R" /media/cdrom/K /var/"tp/pub/os/
eMect
De msmo modo, s dspone de CD correspondente, cope (o ben descargue) todas as
actuazacones dentro de drectoro ocazado en a ruta /var/ftp/pub/updates/ con e sguente
procedmento:
mount /media/cdrom
cp !R" /media/cdrom/K /var/"tp/pub/updates/
eMect
Una vez copado todo a dsco duro, hay que nstaar e paquete createrepo, ncudo en os dscos
de nstaacn de CentOS y Whte Box Enterprse Lnux.
yum !y install createrepo
Una vez nstaado, so basta e|ecutar createrepo sobre cada drectoro a fn de generar os
depstos yum:
234
createrepo /var/"tp/pub/os/
createrepo /var/"tp/pub/updates/
Se puede acceder ocamente a os depstos generados utili8ando las siguientes lneas como
contendo de archvo \.repo ocazado dentro de =etc=yum.repos.d=, en ugar de as neas que
apuntan haca servdores en Internet:
DbaseE
name*&nterprise 1inux Freleasever ! Fbasearch ! base
baseurl*"ile#///var/"tp/pub/os/
gpgcheck*1
enabled*1
Dupdates!releasedE
name*&nterprise 1inux Freleasever ! Fbasearch ! >pdates Released
baseurl*"ile#///var/"tp/pub/updates/
gpgcheck*1
enabled*1
S se desea acceder a estos msmo depstos utzando e servco FTP, y suponiendo que e
servdor utzara 192.168.1.1 como dreccn IP, as mqunas cente deben utzar o sguente:
DbaseE
name*&nterprise 1inux Freleasever ! Fbasearch ! base
baseurl*"tp#//186@165@1@1/pub/os/
gpgcheck*1
enabled*1
Dupdates!releasedE
name*&nterprise 1inux Freleasever ! Fbasearch ! >pdates Released
baseurl*"tp#//186@165@1@1/pub/updates/
gpgcheck*1
enabled*1
Antes de utzar a opcn gpgc$ecLR+, se debern mportar as aves pbcas GPG que estn en
e dsco 1 de nstaacn de sstema.
mount /media/cdrom
rpm !!import /media/cdrom/KH&;K
S cre un depsto con e dsco de extras de curso, a ave pbca de Acance Lbre se encuentra
en e drectoro raz de CD.
S utza Red Hat Enterprse Lnux 3, CentOS 3.0 o Whte Box Enterprse Lnux 3, se utza yum(
arc$ en ugar de createrepo, y =mnt=cdrom en ugar de /meda/cdrom.
Whte Box Enterprse Lnux 4 no ncuye yum por defecto, por o que hay que nstaaro
manuamente desde os dscos de nstaacn.
235
*6. ,so de yum para instalar y desinstalar
pa#uetera y actuali8ar sistema
*6.+. %ntroduccin
Actuazar e sstema apcando os ms recentes parches de segurdad y correctvos a sstema
operatvo no es tan dfc como muchos suponen, n tampoco tene que ser un nferno de
dependencas entre paquetes RPM como agunos argumentan. La readad de as cosas es que es
mucho muy smpe y so requere de un buen ancho de banda, o ben, de muchsma pacenca. A
contnuacn presentamos os procedmentos para utzar yum y reali8ar &;cilmente o que
agunos denomnan como orrible, difcil y complicado3.
Los procedmentos son tan smpes que reamente no hay muchas excusas para no apcar os
parches de segurdad y correctvos a sstema.
*6.*. <rocedimientos
*6.*.+. Actuali8ar sistema
Actuazacn de sstema con todas as dependencas que sean necesaras:
yum update
*6.*.*. B1s#uedas
ealizar una b!s"ueda de alg!n pa"uete o t#rmino en la base de datos en alguno de los dep$sitos yum
confgurados en e sstema:
yum search cualJuier!paJuete
E|empo:
yum search httpd
*6.*.3. Consulta de in&ormacin
Consutar a nformacn contenda en un paquete en partcuar:
236
yum in"o cualJuier!paJuete
E|empo:
yum in"o httpd
*6.*.4. %nstalacin de pa#uetes
Instaacn de paquetera con resoucn automtca de dependencas:
yum install cualJuier!paJuete
E|empo:
yum install httpd
*6.*.5. Desinstalacin de pa#uetes
Desnstaacn de paquetes |unto con todo aqueo que dependa de os msmos:
yum remove cualJuier!paJuete
E|empo:
yum remove httpd
*6.*.5.+. Algunos pa#uetes #ue se pueden desinstalar del sistema.
Los sguentes paquetes pueden ser desnstaados de sstema de manera segura |unto con todo
aqueo que dependa de stos:
1. pcmca-cs (kerne-pcmca-cs): requerdo so en computadoras porttes para e soporte
de PCMCIA.
2. mdadm: requerdo so para arregos RAID.
3. autofs: servco de auto-montado de undades de dsco.
4. ypserv: servdor NIS, utzado prncpamente como servdor de autentcacn.
5. ypbnd, yp-toos: herramentas necesaras para autentcar contra un servdor NIS (ypserv)
6. hwcrypto: bbotecas y herramentas para nteractuar con aceeradores crptogrfcos de
sustento fsco (hardware).
7. vnc-server: servdor VNC
8. rda-uts: herramentas y soporte para dspostvos nfrarro|os.
E|ecute o sguente para desnstaar os paquetes anterormente menconados:
yum !y remove pcmcia!cs mdadm auto"s ypserv ypbind yp!tools hcrypto vnc!
server irda!utils
237
*6.*.6. istado de pa#uetes
Lo sguente star todos os paquetes dsponbes en a base de datos yum y que pueden
nstaarse:
yum list available Z less
Lo sguente star todos os paquetes nstaados en e sstema:
yum list installed Zless
Lo sguente star todos os paquetes nstaados en e sstema y que pueden (y deben)
actuazarse:
yum list updates Z less
*6.*.7. impie8a del sistema
Yum proporcona como resutado de su uso cabeceras y paquetes RPM amacenados en e nteror
de drectoro ocazado en a ruta =var=cac$e=yum=. Partcuarmente os paquetes RPM que se han
nstaado pueden ocupar mucho espaco y, es por ta motvo, que convene emnaros una vez que
ya no tenen utdad. Iguamente convene hacer o msmo con as cabeceras ve|as de paquetes
que ya no se encuentran en a base de datos. A fn de reazar a mpeza correspondente, puede
e|ecutarse o sguente:
yum clean all
238
*7. Cmo utili8ar '<:
*7.+. %ntroduccin.
*7.+.+. Acerca de '<:.
'<: <acLage :anager, anterormente conocdo como 'ed Hat <ackage :anager y que es ms
conocdo por su nombre abrevado '<:, es un sstema de gestn de paquetera para
dstrbucones de GNU/Lnux y que est consderado en a Base Estndar para Lnux (nux
>tandard Base o >B), que es un proyecto cuyo ob|etvo es desarroar y promover estndares
para me|orar a compatbdad entre as dstrbucones de GNU/Lnux para permtr a as
apcacones ser utzadas en cuaquer dstrbucn.
RPM fue orgnamente desarroado por 'ed Eat para su dstrbucn de GNU/Lnux, y ha sdo
evado haca otra dstrbucones de Lnux y sstemas operatvos.
RPM utza una base de datos que se amacena en =var=li!=rpm, a cua contene toda a meta-
nformacn de todos os paquetes que son nstaados en e sstema y que es utzada para dar
segumento a todos os componentes que son nstaados. Esto permte nstaar y desnstaar
mpamente todo tpo de apcacones, bbotecas, herramentas y programas y gestonar sus
dependencas exactas.
*7.*. <rocedimientos.
RPM vene nstaado de modo predetermnado en 'ed Eat "nterprise inu2, Fedora, Cent0>,
b$ite Bo2 "nterprise inu2, >u>" inu2, 0pen>u>", :andriva y dstrbucones dervadas de
estas.
*7.*.+. 'econstruccin de la !ase de datos de '<:.
Hay certos escenaros en donde se puede corromper a base de datos de '<:. sta se puede
reconstrur fcmente utzando e sguente mandato:
rpm !!rebuilddb
239
*7.*.*. Consulta de pa#uetera instalada en el sistema.
S se desea conocer s est nstaado un paquete en partcuar, se utza e mandato rpm con a
opcn (#, que reaza una consuta (query) en a base de datos por un nombre de paquete en
partcuar. En e sguente mandato, donde como e|empo se preguntar a '<: s est nstaado e
paquete traceroute:
rpm !J traceroute
traceroute!6@$@1!6@el9
S se desea conocer que es o que nformacn ncuye e paquete traceroute, se utza e
mandato rpm con as opcones (#i, para hacer a consuta y soctar nformacn de paquete
(query info). En e sguente e|empo se consuta a mandato rpm por a nformacn de paquete
traceroute:
rpm !Ji traceroute
,ame # traceroute Relocations# (not relocatable)
'ersion # 6@$@1 'endor# )ent/S
Release # 6@el9 :uild %ate# sib $6 ene 6$$7 $4#$6#1? )S0
(nstall %ate# mif ?$ abr 6$$5 11#46#$8 )%0 :uild 2ost# builder9@centos@org
Iroup # 4pplications/(nternet Source R<-# traceroute!6@$@1!6@el9@src@rpm
SiCe # 98766 1icense# I<1
Signature # %S4/S241B mar $? abr 6$$7 18#65#16 )%0B Hey (% a5a447dce5966587
>R1 # http#//dmitry@butskoy@name/traceroute
Summary # 0races the route taken by packets over an (<v4/(<v6 netork
%escription #
0he traceroute utility displays the route used by (< packets on their
ay to a speci"ied netork (or (nternet) host@ 0raceroute displays
the (< number and host name (i" possible) o" the machines along the
route taken by the packets@ 0raceroute is used as a netork debugging
tool@ (" youUre having netork connectivity problemsB traceroute ill
sho you here the trouble is coming "rom along the route@
(nstall traceroute i" you need a tool "or diagnosing netork connectivity
problems@
Puede consutarse qu componentes forman parte de paquete utzando e mandato rpm con as
opcones (#l, donde se reaza una consuta stando os componentes que o ntegran (query list).
S se desea conocer que componentes nsta e paquete traceroute, utce e sguente mandato:
rpm !Jl traceroute
/bin/traceroute
/bin/traceroute
/bin/traceroute6
/bin/tracert
/usr/share/doc/traceroute!6@$@1
/usr/share/doc/traceroute!6@$@1/)/<;(,I
/usr/share/doc/traceroute!6@$@1/)R&%(0S
240
/usr/share/doc/traceroute!6@$@1/R&4%-&
/usr/share/doc/traceroute!6@$@1/0/%/
/usr/share/man/man5/traceroute@5@gC
S se desea consutar a cua paquete pertenece un eemento nstaado en e sstema, se utza e
mandato rpm con as opcones (#&, que reazan una consuta por un archvo en e sstema de
archvos (query file). En e sguente e|empo se consutar a a mandato rpm a que paquete
pertenece e archvo =etc=cronta!:
rpm !J" /etc/crontab
crontabs!1@1$!5
S desea consutar a sta competa de paquetes nstaados en e sstema, utce e sguente
mandato, donde (#a sgnfca consutar todo (query all):
rpm !Ja
Debdo a que o anteror devueve una sta demasado grande para podera vsuazar con
comoddad, puede utzarse less o more como subrutna:
rpm !Ja Zless
S se quere ocazar un paquete o paquetes en partcuar, se puede utzar e mandato rpm con
as opcones (#a y utzar grep como subrutna. En e sguente e|empo se hace una consuta
donde se quere conocer que paquetes estn nstaado en e sstema y que ncuyan a cadena p$p
en e nombre.
rpm !Ja Zgrep php
Lo anteror pudera devover una sada smar a a sguente:
php!9@1@6!19@el9
php!mbstring!9@1@6!19@el9
php!pear!1@4@8!4
php!ldap!9@1@6!19@el9
php!cli!9@1@6!19@el9
php!mysJl!9@1@6!19@el9
php!odbc!9@1@6!19@el9
php!common!9@1@6!19@el9
php!pdo!9@1@6!19@el9
S se quere revsar en orden cronogco, de ms nuevos a ms antguos, que paquetes estn
nstaados, se puede agregar a (#a a opcn ((last, y less o more como subrutna para vsuazar
con comoddad a sada.
rpm !Ja !!lastZless
241
Lo anteror devueve una sada extensa dentro con less como vsor. Puse a tecas de arri!a () y
a!a.o (J) o Av. <;g. y 'eg. <;g. para despazarse en a sta. Puse a teca # para sar.
S se quere verfcar s os componentes nstaados por un paquete '<: han sdo modfcados o
aterados o emnados, se puede utzar e mandato rpm con a opcn (G, a cua reaza una
verfcacn de a ntegrdad de os componentes de acuerdo a as frmas dgtaes de cada
componente (MD5SUM o suma MD5). En e sguente e|empo se verfcara s e paquete cronta!s
ha sdo aterado:
rpm !' crontabs
S agn componente fue modfcado, puede devoverse una sada smar a a sguente, donde e
archvo =etc=cronta! fue modfcado tras su nstaacn:
S@9@@@@0 c /etc/crontab
S se desea reazar una verfcacn de todos os componentes de sstema, se puede utzar e
mandato rpm con as opcones (Ga, que hace una consuta, especfca todos os paquetes, y
socta se verfque s hubo cambos (query all ;erify).
rpm !'a
Lo anteror puede devover una sada muy extensa, pero sn duda aguna mostrar todos os
componentes que fueron modfcados o aterados o emnados tras a nstaacn de paquete a
que pertenecen. Un e|empo de una sada comn sera:
@@@@@@@0 c /etc/pki/nssdb/cert5@db
@@@@@@@0 c /etc/pki/nssdb/key?@db
@@9@@@@0 c /etc/pki/nssdb/secmod@db
S@9@@@@0 c /etc/crontab
@@@@@@@0 c /etc/inittab
S@9@@@@0 c /etc/rc@d/rc@local
S@9@@@@0 c /etc/mail/access
S@9@@@@0 c /etc/mail/local!host!names
S@9@@@@0 c /etc/mail/sendmail@c"
S@9@@@@0 c /etc/mail/sendmail@mc
*7.*.3. %nstalacin de pa#uetes.
La mayora de os dstrbudores seros de equpamento gco en formato RPM sempre utzan
una frma dgta PG/GnuPG para garantzar que stos son confabes y como un mtodo de evtar
que paquetes aterados pasen por e usuaro admnstrador de sstema y sstemas de gestn de
paquetes como yum, up2date, Yast, Pup, etc., sn ser detectados. Las frmas dgtaes de os
responsabes de a dstrbucn sempre ncuyen frmas dgtaes en e dsco de nstaacn o ben
en aguna parte de sstema de archvos. En e caso de Cent0> y 'ed Eat "nterprise, as frmas
dgtaes estn en /usr/share/doc/rpm-*/ o ben =usr=s$are=r$n=. Agunos dstrbudores pueden
tener estas frmas en agn servdor HTTP o FTP. Para mportar una frma dgta, se utza e
mandato rpm con a opcn ((import. Para e|empfcar, reace e sguente procedmento:
rpm !!import http#//@alcancelibre@org/al/41!R<-!H&;
242
Lo anteror mporta a frma dgta de Alcance i!re y permtr detectar s un paquete de
Acance Lbre fue aterado o est corrupto o s fue daado. S se utza yum para gestonar a
paquetera, ste de modo predetermnado mpde nstaar paquetes que s estos carecen de una
frma dgta que est nstaada en a base de datos de '<:.
Cuando se desee nstaar un paquete con extensn \.rpm, sempre es convenente revsar dcho
paquete. Hay varas formas de verfcar su contendo antes de proceder a nstaado. Para fnes
demostratvos, ngrese haca http://www.acancebre.org/a/webapps/ y descarge e paquete tne&.
Una vez descargado e paquete tne&, se puede verfcar a nformacn de dcho paquete utzando
e mandato rpm con as opcones (#p, para reazar a consuta especfcando que se trata de un
paquete '<: (query pac'age), y a opcn -, para soctar nformacn.
rpm !Jpi tne"!1@6@?@1!1@1@el9@al@i?56@rpm
,ame # tne" Relocations# /usr
'ersion # 1@6@?@1 'endor# 4lcance 1ibreB (nc@
Release # 1@1@el9@al :uild %ate# mif $6 may 6$$7 14#$6#98 )%0
(nstall %ate# (not installed) :uild 2ost# localhost@localdomain
Iroup # -ail/&ncoders Source R<-# tne"!1@6@?@1!1@1@el9@al@src@rpm
SiCe # 1?4689 1icense# I<1
Signature # %S4/S241B mif $6 may 6$$7 14#$7#$$ )%0B Hey (% 81$$4d"57c$5$b??
<ackager # ôel :arrios ahttp#//Moel!barrios@blogspot@com/L
>R1 # http#//tne"@source"orge@net
Summary # %ecodes -S!0,&= attachments@
%escription #
0,&= is a program "or unpacking -(-& attachments o" type
+application/ms!tne"+@ 0his is a -icroso"t only attachment@
%ue to the proli"eration o" -icroso"t /utlook and &xchange mail serversB
more and more mail is encapsulated into this "ormat@
0he 0,&= program allos one to unpack the attachments hich ere
encapsulated into the 0,&= attachment@ 0hus alleviating the need to use
-icroso"t /utlook to vie the attachment@
S se desea conocer que componentes va a nstaar un paquete RPM en partcuar, se puede utzar
e mandato rpm con as opcones (#pl, para reazar a consuta, especfcar que se trata de un
paquete '<: y para soctar a sta de componentes (query pac'age list). En e sguente e|empo
se reaza esta consuta contra e paquete tne&(+.*.3.+(+.+.el5.al.i396.rpm:
rpm !Jpl tne"!1@6@?@1!1@1@el9@al@i?56@rpm
/usr/bin/tne"
/usr/man/man1/tne"@1@gC
/usr/share/doc/tne"!1@6@?@1
/usr/share/doc/tne"!1@6@?@1/4>02/RS
/usr/share/doc/tne"!1@6@?@1/:>IS
/usr/share/doc/tne"!1@6@?@1/)/<;(,I
/usr/share/doc/tne"!1@6@?@1/)hange1og
/usr/share/doc/tne"!1@6@?@1/,&3S
/usr/share/doc/tne"!1@6@?@1/R&4%-&
/usr/share/doc/tne"!1@6@?@1/0/%/
243
Para verfcar s as frmas dgtaes de un paquete '<: son as msmas y e paquete no ha sdo
aterado, se puede utzar e mandato rpm con as opcn (K, que socta verfcar frmas dgtaes
de un paquete '<: (<eys):
rpm !H tne"!1@6@?@1!1@1@el9@al@i?56@rpm
S e paquete est ntegro, debe devover una sada smar a a sguente:
tne"!1@6@?@1!1@1@el9@al@i?56@rpm# (sha1) dsa sha1 md9 gpg /H
S e paquete RPM fue daado, aterado o est corrupto, puede devover una sada smar a a
sguente:
tne"!1@6@?@1!1@1@el9@al@i?56@rpm# (sha1) dsa sha1 -%9 I<I NOT O>
Para nstaar un paquete, se utza e mandato rpm con as opcones (iv$, que sgnfca nstaar,
devover una sada descrptva y mostrar una barra de progreso (install verbose as). S e
paquete no hace confcto con otro y/o no sobreescrbe componentes de otro paquete, se
proceder a nstaar e msmo. En e sguente e|empo se nstaar e paquete tne&(+.*.3.+(
+.+.el5.al.i396.rpm:
rpm !ivh tne"!1@6@?@1!1@1@el9@al@i?56@rpm
<reparing@@@ AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA D1$$TE
1#tne" AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA D1$$TE
S hubera una versn de ste paquete nstaada en e sstema, rpm (iv$ no reazar a
nstaacn y devover un mensa|e respecto a que a est nstaado dcho paquete. Repta e
sguente mandato:
rpm !ivh tne"!1@6@?@1!1@1@el9@al@i?56@rpm
A ya haber sdo nstaado e paquete tne&, e sstema deber devover una sada smar a a
sguente:
package tne"!1@6@?@1!1@1@el9@al is already installed
Hay crcunstancas y escenaros donde se requere renstaar de nuevo e paquete. Para ograr esto
se agrega a opcn ((&orce para forzar a renstaacn de un paquete. En e sguente e|empo se
socta a mandato rpm forzar a renstaacn de e paquete tnef-1.2.3.1-1.1.e5.a.386.rpm:
rpm !ivh !!"orce tne"!1@6@?@1!1@1@el9@al@i?56@rpm
1#tne" AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA D1$$TE
244
Para verfcar as dependencas de un paquete descargado, se utza e mandato rpm con
as opcones (#p y ((re#uires, a cua consuta as dependencas de paquete. En e sguente
e|empo, se ha descargado e paquete .oomla(+.O.+5(*.S.el5.al.noarc$.rpm desde
http://www.acancebre.org/a/webapps/, y se procede a consutar sus dependencas:
rpm !Jp !!reJuires Moomla!1@$@19!6@8@el9@al@noarch@rpm
con"ig(Moomla) * 1@$@19!6@8@el9@al
httpd
php L* 9
php!mysJl
php!xml
rpmlib()ompressed=ile,ames) a* ?@$@4!1
rpmlib(<ayload=iles2ave<re"ix) a* 4@$!1
Pueden hacerse consutas a a nversa de o anteror, es decr, consutar a mandato rpm que
paquete provee aguna dependenca en partcuar. En e sguente e|empo se soctar a mandato
rpm que paquete provee a dependenca p$p.
rpm !J !!hatprovides php
php!9@1@6!19@el9
Tambn puede consutarse qu requere de un paquete o componente en partcuar. En e
sguente e|empo se consuta a mandato rpm que paquetes requeren a paquete $ttpd.
rpm !J !!hatreJuires httpd
system!con"ig!httpd!1@?@?@1!1@el9
sJuirrelmail!1@4@5!4@$@1@el9@centos@6
sJuirrelmail!1@4@5!4@$@1@el9@centos@6
gnome!user!share!$@1$!6@el9
De ser necesaro, se puede ncuso hacer consutas respecto a archvos (como bbotecas
compartdas) para conocer que paquetes dependen de stos. En e sguente e|empo se consuta
a mandato rpm que paquetes requeren a a bboteca li!!8*.so.+:
rpm !J !!hatreJuires libbC6@so@1
Lo anteror debe devover una sada smar a a sguente, y que consste en una sta de paquetes
'<: nstaados en e sstema:
bCip6!libs!1@$@?!?
bCip6!1@$@?!?
python!6@4@?!18@el9
gnupg!1@4@9!1?
245
elinks!$@11@1!9@1@$@1@el9
rpm!4@4@6!47@el9
rpm!libs!4@4@6!47@el9
rpm!python!4@4@6!47@el9
gnome!v"s6!6@16@6!4@el9
libgs"!1@14@1!6@1
php!cli!9@1@6!19@el9
php!9@1@6!19@el9
kdelibs!?@9@4!1?@el9@centos
(mage-agick!6@6@5@$!4@el9.1@1
Para nstaar o actuazar un paquete, se utza e mandato rpm con as opcones -Uvh, que
sgnfca nstaar o actuazar, devover una sada descrptva y mostrar una barra de progreso
(update verbose as), y se procede a nstaar y/o actuazar e msmo:
rpm !>vh Moomla!1@$@19!6@8@el9@al@noarch@rpm
S fata aguna de as dependencas, e sstema devover una sada smar a a sguente:
error# =ailed dependencies#
php!xml is needed by Moomla!1@$@19!6@8@el9@al@noarch
Evdentemente se debe nstaar e paquete p$p(2m para poder nstaar e paquete .oomla(
+.O.+5(*.S.el5.al.noarc$.rpm. Este puede estar ncudo en e dsco de nstaacn o ben estar
ncudo entre as actuazacones de sstema.
S e paquete php-xm hubera estado nstaado (yum (y install p$p(2ml), a sada hubera sdo
smar a a sguente:
1#Moomla AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA D1$$TE
Antes de a aparcn de yum, este era e tal/n de Aquiles de '<:. Actuamente estos probemas
se pueden resover utzando yum en os sstemas que o ncuyen. La forma ms prctca de
nstaar paquetera '<: resovendo dependencas automtcamente es a travs de yum. En e
sguente e|empo se reaza e procedmento de nstaacn de paquete .oomla(+.O.+5(
*.S.el5.al.noarc$.rpm utzando yum:
yum !y localinstall Moomla!1@$@19!6@8@el9@al@noarch@rpm
1oading +"astestmirror+ plugin
1oading +skip!broken+ plugin
1oading +installonlyn+ plugin
Setting up 1ocal <ackage <rocess
&xamining Moomla!1@$@19!6@8@el9@al@noarch@rpm# Moomla ! 1@$@19!
6@8@el9@al@noarch
-arking Moomla!1@$@19!6@8@el9@al@noarch@rpm to be installed
Setting up repositories
1oading mirror speeds "rom cached host"ile
Reading repository metadata in "rom local "iles
Resolving %ependencies
!!L <opulating transaction set ith selected packages@ <lease ait@
246
!!!L <ackage Moomla@noarch $#1@$@19!6@8@el9@al set to be updated
!!L Running transaction check
!!L <rocessing %ependency# php!xml "or package# Moomla
!!L Restarting %ependency Resolution ith ne changes@
!!L <opulating transaction set ith selected packages@ <lease ait@
!!!L <ackage php!xml@i?56 $#9@1@6!19@el9 set to be updated
!!L Running transaction check
%ependencies Resolved
*****************************************************************************
<ackage 4rch 'ersion Repository SiCe
*****************************************************************************
(nstalling#
Moomla noarch 1@$@19!6@8@el9@al Moomla!1@$@19!
6@8@el9@al@noarch@rpm 6@? -
(nstalling "or dependencies#
php!xml i?56 9@1@6!19@el9 base 8? k
0ransaction Summary
*****************************************************************************
(nstall 6 <ackage(s)
>pdate $ <ackage(s)
Remove $ <ackage(s)
0otal donload siCe# 6@4 -
%onloading <ackages#
Running 0ransaction 0est
=inished 0ransaction 0est
0ransaction 0est Succeeded
Running 0ransaction
(nstalling# php!xml AAAAAAAAAAAAAAAAAAAAAAAAA D1/6E
(nstalling# Moomla AAAAAAAAAAAAAAAAAAAAAAAAA D6/6E
(nstalled# Moomla@noarch $#1@$@19!6@8@el9@al
%ependency (nstalled# php!xml@i?56 $#9@1@6!19@el9
)ompleteh
Agunos paquetes ncuyen guones que e|ecutan procesos que pueden ser requerdos prevo o
posteror a a nstaacn. S no se desea que se e|ecuten estos guones, se aade a rpm (iv$ o
rpm (,v$ a opcn ((noscripts. En e sguente e|empo, se nstaar e paquete .oomla(+.O.+5(
*.S.el5.al.noarc$.rpm sn a e|ecucn de os guones que puderan estar defndos en e paquete
'<::
rpm !>vh !!noscripts Moomla!1@$@19!6@8@el9@al@noarch@rpm
*7.*.3.+. 'ecuperacin de permisos originales a partir de rpm.
En crcunstancas en as cuaes ser reazaron cambos en os permsos en e sstema de archvos,
es posbe vover a de|aros de acuerdo a os especfcados en e paquete '<: orgna utzando e
mandato rpm con a opcn ((setperms de sguente modo:
rpm !!setperms paJuete
Vea e permso de =usr=!in=passPd de sguente modo:
ls !l /usr/bin/passd
!rsr!xr!x 1 root root 66854 ene 6 6$$7 /usr/bin/passd
247
Cambe e permso de sguente modo:
chmod 7$$ /usr/bin/passd
Vueva a ver e permso de =usr=!in=passPd de sguente modo:
!rx!!!!!! 1 root root 66854 ene 6 6$$7 /usr/bin/passd
E archvo =usr=!in=passPd pertence a paquete passwd, confrmeo de sguente modo:
rpm !J" /usr/bin/passd
passd!$@7?!1
Para recuperar de nuevo e permso orgna de =usr=!in=passPd, utce o sguente:
rpm !!setperms passd
Vueva a ver e permso de =usr=!in=passPd de sguente modo:
Lo anteror debe devover una sada smar a a sguente y que corresponde a permso orgna
de archvo =usr=!in=passPd:
!rsr!xr!x 1 root root 66854 ene 6 6$$7 /usr/bin/passd
*7.*.4. Desinstalacin de pa#uetes.
Para desnstaar paquetera, se utza e mandato rpm con a opcn -e, que se utza para
emnar, seguda de nombre de paquete. En e sguente e|empo, se socta a mandato rpm
desnstaar os paquetes .oomla y p$p(2ml:
rpm !e Moomla php!xml
S no hay dependencas que o mpdan, e sstema soo devover e smboo de sstema. S e
paquete o aguno de sus componentes fuera dependenca de otro u otros paquetes, e sstema
nformar que no es posbe desnstaar y devover a sta de paquetes que o requeren. En e
sguente e|empo se tratar de desnstaar e paquete cronta!s:
rpm !J crontabs
248
Como e paquete cronta!s es requerdo por anacron, e sstema devover una sada smar a a
sguente:
error# =ailed dependencies#
crontabs is needed by (installed) anacron!6@?!49@el9@centos@i?56
S se desea des nstaar cuaquer paquete sn mportar que otros dependan de este, se puede
utzar agregar a opcn ((nodeps. Esto es contrandcado, y soo debe ser utzado es stuacones
muy partcuares o escenaros donde as se requere. Evte sempre desnstaar paquetes que sean
dependenca de otros en e sstema a menos que vaya a renstaar nmedatamente un paquete
que os susttuya.
249
*9. Cmo crear pa#uetera con rpm!uild
*9.+. %ntroduccin
Crear paquetera a travs de rpmbud no es tan compcado como agunos suponen. Aunque no se
nstaa de modo predetermnado, rpmbud es una herramenta que forma parte de paquete
rpm-bud y que se ncuye en a mayora de as dstrbucones actuaes que utzan paquetera en
formato RPM.
Este documento mostrar os procedmentos para:
Generar una cave GnuPG para frmar dgtamente os paquetes creados.
Confguracn y creacn de una |aua para rpmbud.
Creacn de archvos *.spec.
Uso de mandato rpmbud.
*9.*. %nstalacin del e#uipamiento lgico necesario
Es ndspensabe contar con a paquetera de desarroo mnma necesara nstaada en e sstema.
Lamentabemente no hay recetas mgcas. S se pretende crear paquetera a partr de cdgos
fuente es necesaro estar famarzado con as bbotecas compartdas necesaras, cabeceras de
desarroo, compadores y otras herramentas de desarroo reaconadas o requerdas por un
equpamento gco en partcuar. Un con|unto mnmo sera e sguente:
Gcc: compador.
gbc-deve: bbotecas de desarroo para C.
automake: generador de archvos Makefe.
autoconf: herramenta para confguracn de cdgos fuente y archvos Makefe.
rpm-bud y rpm-deve.
gnupg
Gpgme y seahorse: $erramientas incluidas en <@ DesLtop que se utzarn en
os procedmentos de este documento para generar a cave utzada para frmar
dgtamente os paquetes rpm resutantes.
S va a crear paquetera para GNOME, necestar por o menos o sguente, con todo
o que dependa de ste: gb2-deve, atk-deve, pango-deve, gtk2-deve, bbonobou-
deve, bgnomeu-deve, gnome-vfs2-deve, bwnck-deve, gnome-pane-deve,
gnome-desktop-deve, nautus-deve, gstreamer-deve y gstreamer-pugns-deve.
S va a crear paquetera para KDE, necestar a menos o sguente, con todo o que
dependa de ste: qt-deve, arts-deve, kdebs-deve, kdebase-deve, kdenetwork-
deve, kdegraphcs-deve y kdemutmeda-deve.
S utza Cent OS, Whte Box Enterprse Lnux o ben Red Hat Enterprse Lnux, necestar correr
o sguente para nstaar e mnmo de paquetera:
250
yum !y install gccK automakeK autocon"K rpm!build rpm!devel gnupg
S desea generar paquetera para GNOME, necestar tam!in nstaar e mnmo de paquetera de
desarroo de GNOME:
yum !y install glib6!devel atk!devel pango!devel gtk6!devel libbonoboui!devel
libgnomeui!devel gnome!v"s6!devel libnck!devel gnome!panel!devel gnome!desktop!devel
nautilus!devel gstreamer!devel gstreamer!plugins!devel
S va a generar paquetera para KDE, necestar tam!in nstaar e mnmo de paquetera de
desarroo de KDE:
yum -y nsta qt-deve arts-deve kdebs-deve kdebase-deve kdenetwork-deve kdegraphcs-deve
kdemutmeda-deve
S adems tene nstaado LPT Desktop, puede nstaar tam!in e equpamento gco restante:
yum !y install seahorse gpgme
*9.3. <rocedimientos
*9.3.+. Creacin de la clave ?nu<?
1. Desde una sesn grfca, nce seahorse y de cc en en botn de Nuevo en e pane de
Opcones de prmera vez.
2. Lo anteror ncar un asstente de creacn de caves.
3. E|a e nve de segurdad como Segurdad extra ata.
4. Especfque su nombre competo, un breve comentaro opcona y su cuenta de correo
eectrnco permanente que se reaconar excusvamente con a nueva cave.
5. Especfque una frase de paso que so usted pueda recordar. Se recomenda utzar
espacos y sgnos de puntuacn.
6. En a pantaa de Fecha de caducdad, savo que especfcamente requera o contraro,
especfque Sn caducdad.
7. Tome nota de como aparece e2actamente e nombre de a ave, ncuyendo parntess,
espacos y otros smboos, ya que se utzarn en e sguente procedmento.
*9.3.*. Con&iguracin y creacin de una .aula para rpm!uild
Jam;s utilice la cuenta de root sn mportar a crcunstanca, para crear o reconstrur
paquetera en formato RPM. Esto puede resutar pegroso debdo a que a confguracn de
agunos programas pueden tratar de nstaar componentes en e sstema en ugar de drectoro
especfcado para rpmbud, o cua dar como resutado dversas consecuencas de segurdad y de
estabdad para e sstema.
251
La |aua ser creada de modo seguro dentro de una cuenta de usuario normal sin privilegios,
a fn de poder detectar e mpedr que agunos procedmentos durante a creacn de paquetes
ntenten nstaar componentes no deseados en e sstema.
*9.3.*.+. Componentes del arc$ivo Y=.rpmmacros
Utzando cuaquer edtor de texto, genere e archvo -/.rpmmacros, en e cua se defnrn
vaores para agunas varabes utzadas por rpmbud:
%debug_package: srve para especfcar s se anua o no a generacn de paquetera
de depuracn. La paquetera de depuracn soo es t para os programadores a fn
de ocazar faas en os programas empaquetados. Para a mayora de os casos se
especfca e vaor %{n} a fn de mpedr que se genere paquetera de depuracn.
%_unpackaged_fes_termnate_bud: srve para especfcar s a construccn de un
paquete se deber nterrumpr s hay componentes gnorados por e archvo *.spec. 0
deshabta, 1 habta. Ou vaor se recomenda?; a respuesta es obva: no es
deseabe un paquete a cua e fatan componentes, as que se especfcar 1.
%_sgnature: se utzar gpg para frmar os paquetes resutantes.
%_gpg_path: ruta de drectoro .gpg a utzar. Estar ocazado dentro de a carpeta
de nco de usuaro utzado.
%_gpg_name: dentdad a utzar para frmar os paquetes resutantes. E formato
utzado es e msmo como aparece e nombre de su cave GnuPG en seahorse: Su
Nombre (Breve comentaro) <su cuenta de correo eectrnco>.
%_gpgbn: ruta de bnaro gpg, normamente en /usr/bn/gpg.
%_topdr: ruta donde se ocaza a |aua para rpmbud.
%_tmppath: drectoro de eementos temporaes que ser utzado para smuar
nstaacones.
%packager: su nombre competo y dreccn de correo eectrnco o ben e URL de su
sto de red.
%dstrbuton: nombre de producto o ben para especfcar para que dstrbucn de
GNU/Lnux se utzar a paquetera.
%vendor: nombre de su empresa u organzacn.
%desktop_vendor: varabe opcona (y no ofca) para defnr e nombre de a
empresa en e nombre agunos archvos, prncpamente entradas de men.
Especfque e nombre corto de su empresa sin espacios.
A contnuacn un e|empo de contendo de archvo -/.rpmmacros, utzando vaores fctcos:
Tdebug.package T\nil]
T.unpackaged."iles.terminate.build 1
T.signature gpg
T.gpg.path T(echo +F2/-&+)/@gnupg
T.gpg.name F.)#no -e Aeren#no 1Un# e9'res# +%&$%&%#5 L+.)#noJ#)Mn--o9%n%o.&o9N
T.gpgbin /usr/bin/gpg
T.topdir T(echo +F2/-&+)/rpmbuild
T.tmppath T(echo +F2/-&+)/rpmbuild/0-<
Tpackager =ulano de <erengano as. &.en$# -e &orreo o !%en h$$'D88s.-s%$%o--e-re-.&o9L
Tdistribution no9!re -e s. 'ro-.&$o #,.O
Tvendor s. no9!re o no9!re -e s. e9'res# #,.O
Tdesktop.vendor no9!re--e-s.-e9'res#-s%n-es'#&%os
*9.3.*.*. Creacin de la estructura de la .aula para rpm!uild
Desde una termna, genere a estructura de drectoros necesara utzando o sguente:
mkdir !p Y/rpmbuild/\:>(1%BR<-SBS/>R)&SBSR<-SBS<&)SB0-<]
252
mkdir !p Y/rpmbuild/R<-S/\athlonBi?56Bi956Bi656Bnoarch]
*9.3.3. Creacin de los arc$ivos\.spec
Los archvos *.spec contenen a nformacn que utzar rpmbud para construr un paquete. De
contendo de stos depender que sea posbe descomprmr, confgurar, compar, nstaar
vrtuamente y empaquetar un equpamento gco en partcuar a partr de un cdgo fuente.
Name:
Se refere nombre de paquete. No puede evar espacos. Reguarmente es e msmo nombre utzado para e
paquete de cdgo fuente.
Verson:
Se refere a nmero de versn de paquete
Reease:
Nmero de anzamento o entrega
URL:
URL orgna de sto de red de equpamento gco que se va a empaquetar.
Summary:
Resumen o descrpcn corta de paquete.
Lcense:
Lcenca o cencas utzadas por e paquete.
Group:
Grupo o categora de equpamento gco a cua pertenece e paquete. Lsta de grupos vdos:
%musements&'ames
%musements&'rap(ics
%pplications&%rc(iving
%pplications&)ommunications
%pplications&*atabases
%pplications&+ditors
%pplications&+mulators
%pplications&+ngineering
%pplications&,ile
%pplications&-nternet
%pplications&Multimedia
%pplications&.roductivity
%pplications&.ublis(ing
%pplications&/ystem
%pplications&0ext
*evelopment&*ebuggers
*evelopment&1anguages
*evelopment&1ibraries
*evelopment&/ystem
*evelopment&0ools
*ocumentation
/ystem +nvironment&2ase
/ystem +nvironment&*aemons
/ystem +nvironment&3ernel
/ystem +nvironment&1ibraries
/ystem +nvironment&/(ells
4ser -nter5ace&*es6tops
4ser -nter5ace&7
4ser -nter5ace&7 8ard9are /upport
Budroot:
253
Ruta donde se reazar a nstaacn vrtua, es decr: T\.tmppath]/T\name]!T\version]!root
Source:
Se puede especfcar soamente e nombre de paquete utzado para e cdgo fuente, aunque por norma se sugere
especfcar e URL exacto haca e cdgo fuente.
BudRequres:
Lsta separada por comas o espacos de componentes o paquetes requerdos para poder construr e equpamento
gco nvoucrado.
BudPreReq:
Lsta de componentes o paquetes que deben estar prevamente nstaados en e sstema antes de ncar a
compacn de equpamento gco nvoucrado.
Requres:
Lsta de paquetes de os cuaes depende e equpamento gco empaquetado para poder funconar.
PreReq:
Lsta de componentes o paquetes que deben estar prevamente nstaados en e sstema antes de ncar a
nstaacn de e equpamento gco nvoucrado.
%descrpton
Descrpcn detaada acerca de paquete
%prep
Procedmentos, s os hubere, requerdos antes de desempaquetar e cdgo fuente. Reguarmente no os hay.
%setup
Procedmentos, s os hubere, requerdos a desempaquetar o despus de desempaquetar e cdgo
fuente. Reguarmente aqu es donde se apcan parches y otros correctvos.
%bud
Procedmentos necesaros para poder compar desde e cdgo fuente de un equpamento gco en
partcuar. Por o genera basta con un Tcon"igure y T..make, pero se recomenda eer a detae e
nstructvo de nstaacn de cada programa en partcuar a fn de asegurar os procedmentos
correctos para compar e equpamento gco.
%nsta
Procedmento de nstaacn requerdo para un paquete en partcuar. Se recomenda mpar
cuaquer nstaacn preva utzando T..rm !"r T\buildroot]. La nstaacn ser vrtua y se
reazar dentro de -/rpmbud/TMP/ que es estabecdo por a varabe %{budroot}. Por o genera
es sufcente T..make %&S0%(R*T\buildroot] install, ; sn embargo agunos programas
puderan requerr nstaacn ndvdua de agunos o todos sus componentes.
%cean
Procedmentos para mpar aqueo que ya no se necesta despus de haber creado extosamente e
paquete RPM. Especfcamente se refere a a nstaacn vrtua que se reaz dentro de
-/rpmbud/TMP/. Para a mayora de os casos es sufcente utzar T..rm !"r T\buildroot]..
254
%preun
Procedmentos que se deben correr |usto antes de proceder a nstaar un paquete. Se utza
prncpamente con paquetes que necestan crear cuentas de sstema u otros preparatvos.
%post
Procedmentos que se deben correr |usto despus de proceder a nstaar un paquete. E|empos:
Cuando os paquetes ncuyen bbotecas compartdas, se e|ecuta dconfg. S un paquete ncuye un
esquema para GConf, se debe correr o necesaro para regstrar e esquema.
%postun
Procedmentos que se deben correr |usto despus de proceder a desnstaar un paquete. Se utza
prncpamente con paquetes que necestan correr tareas admnstratvas, como detener y/o dar de
ba|a un servco.
%fes
Lsta de todos os componentes de e equpamento gco empaquetado en sus rutas defntvas.
%changeog
Btcora de cambos de archvo *.spec. Requere un formato especa:
* |Da de a semana en abrevado y en ngs| |Mes abrevado en ngs| da ao Nombre
empaquetador <correo eectrnco o URL de sto de red>
- Agunos cambos
- Ms cambos
- Otros cambos
E|empo:
* Sun Sep 25 2005 Fuano de Perengano <http://m-sto-geb.ago/>
- Archvo *.spec nca.
- Se aaderon cosas
- Se puso un gun para ago
*9.3.3.+. ".emplo de arc$ivo \.spec.
,ame# #)o
'ersion# /.4
Release# 4
>R1# h$$'D88s%$%o--e-re---e)-s.s$en$o-)P%&o-#-.$%)%:#r8
Summary# A#,.e$e %9#%n#r%o ,.e h#&e #)o.
1icense# GAL
Iroup# A'')%&#$%ons8F%)e
:uildroot# T\.tmppath]/T\name]!T\version]!root
Source# h$$'D88.n-s%$%o-Qe!.#)o8#)o-/.4.$#r.!:2
:uildReJuires# $72--e*e)
:uild<reReJ# 8.sr8!%n8-es7$o'-+%)e-%ns$#))
ReJuires# $72
<reReJ# 8.sr8!%n8.'-#$e--es7$o'--#$#!#se
Tdescription
Aror#9# %9#%n#r%o es&r%$o en .n )en.#He #!s$r#&$o e %neC%s$en$e ,.e h#&e
&os#s %9#%n#r%#s e %9'os%!)es sP)o '#r# +%nes -e9os$r#$%*os.
Tprep
Tsetup !J
Tbuild
Tcon"igure
T..make
255
Tinstall
T..make %&S0%(R*T\buildroot] install
Tclean
T..rm !"r T\buildroot]
Tpreun
Tpost
/sbin/ldcon"ig
Tpostun
T"iles
de"attr(!BrootBroot)
/usr/bin/algo
/usr/lib/libalgo@so@$
/usr/share/applications/algo@desktop
Tchangelog
K Sun Sep 69 6$$9 =ulano de <erengano ahttp#//mi!sitio!gjeb@algo/L
! Se aSadieron cosas
! Se puso un guiRn para algo
K Sat Sep 64 6$$9 =ulano de <erengano ahttp#//mi!sitio!gjeb@algo/L
! 4rchivo K@spec inicial@
*9.3.4. ,so del mandato rpm!uild
Lsta y descrpcn de opcones prncpaes:
!!sign
Especfca que se debe frmar un paquete con cave dgta predetermnada.
!!clean
Socta a rpmbud corra os procesos especfcados en a seccn %cean para de|ar mpo e
drectoro de temporaes utzado para reazar nstaacones vrtuaes.
!!target*DarJuitecturaE
Se utza para ndcar a rpmbud para que arqutectura ser construdo e paquete. De modo
predefndo rpmbud crea os paquetes para a arqutectura predetermnada de sstema.
Puede especfcarse 386, 585, 686, noarch, athon, etc., de acuerdo a o que sea requerdo.
!ba
Socta a rpmbud corra todos os procedmentos necesaros para generar un paquete RPM
bnaro y e paquete RPM fuente (*.src.rpm) a partr de un archvo *.spec.
!bb
Socta a rpmbud corra todos os procedmentos necesaros para generar soamente un
paquete RPM bnaro a partr de un archvo *.spec.
!bp
Socta a rpmbud corra todos os procedmentos necesaros en a seccn %prep y
apcacn de parches en %setup. Se utza prncpamente para verfcar y depurar estos
procedmentos antes de comenzar a compacn e nstaacn.
!bc
256
Socta a rpmbud corra todos os procedmentos necesaros en a seccn %prep, apcacn
de parches en %setup y compacn en %bud. No reaza nstaacn vrtua n crea
paquetes RPM. Se utza prncpamente para verfcar y depurar estos procedmentos.
!bi
Socta a rpmbud corra todos os procedmentos necesaros en a seccn %prep, apcacn
de parches en %setup, compacn en %bud e nstaacn vrtua en %nsta. No crea
paquetes RPM. Se utza prncpamente para verfcar y depurar estos procedmentos.
!!short!circuit
Se utza en combnacn con -bc y b. Socta a rpmbud satar todos os pasos prevos y
correr ncamente a compacn, en e caso de ser combnado con -bc, o ben satar todos
os pasos prevos y correr ncamente os procedmentos para reazar a nstaacn vrtua,
en e caso de ser combnado con -b. Se utza prncpamente para verfcar y depurar estos
procedmentos.
!!rmspec
Socta a rpmbud emne e archvo *.spec despus de crear extosamente os paquetes
RPM correspondentes. Se utza para mantener mpa a |aua de rpmbud.
!!rmsource
Socta a rpmbud emne todo o que corresponda a as fuentes, es decr, cdgos fuentes,
parches y otros eementos, despus de crear extosamente os paquetes RPM
correspondentes. Se utza para mantener mpa a |aua de rpmbud.
!!rebuild
Socta a rpmbud reconstruya un paquete a partr de un *.src.rpm.
*9.3.4.+. ".emplos de uso del mandato rpm!uild
Construr so un paquete RPM, sin generar \.src.rpm, a partr de un archvo *.spec:
rpmbuild !bb algo@spec
Construr so un paquete RPM |unto con e correspondente *.src.rpm a partr de un archvo
*.spec:
rpmbuild !ba !!clean !!sign !!rmspec !!rmsource algo@spec
Construr soo un paquete RPM sn *.src.rpm a partr de un archvo *.spec, con frma dgta,
mpeza de drectoro de nstaacones vrtuaes y emnacn de *.spec y fuentes tras termnar
extosamente:
rpmbuild !bb K@spec
Construr so un paquete RPM y e correspondente *.src.rpm a partr de un archvo *.spec, con
frma dgta, mpeza de drectoro de nstaacones vrtuaes y emnacn de *.spec y fuentes tras
termnar extosamente:
rpmbuild !ba !!clean !!sign !!rmspec !!rmsource K@spec

257
Reconstrur so un paquete RPM a partr de un *.src.rpm:
rpmbuild !!rebuild cualJuier!paJuete@src@rpm
Reconstrur so un paquete RPM a partr de un *.src.rpm, con frma dgta, mpeza de drectoro
de nstaacones vrtuaes y emnacn de *.spec y fuentes tras termnar extosamente:
rpmbuild !!rebuild !!clean !!sign !!rmspec !!rmsource cualJuier!paJuete@src@rpm
*9.4. ".ercicios
*9.4.+. <a#uete '<: !inario y el pa#uete \.src.rpm correspondiente
creando el arc$ivo \.spec necesario
1. Acceda haca http://www.nano-edtor.org y descargue e cdgo fuente de la m;s reciente
versin esta!le de edtor de texto Nano.
2. Cooque e *.tar.gz de cdgo fuente dentro de drectoro -/rpmbud/SOURCES/
mv nano!1@6@9@tar@gC Y/rpmbuild/S/>R)&S/
3. Cambe haca e drectoro -/rpmbud/SPECS/
cd Y/rpmbuild/S<&)S/
4. Con cuaquer edtor de texto smpe, genere e archvo -/rpmbud/SPECS/nano.spec con e
sguente contendo Mal terminarF por &avor veri&i#ue la sinta2isF lnea por lneaN:
,ame# n#no
'ersion# 4.2.5
Release# 4
>R1# h$$'D88???.n#no-e-%$or.or8
Summary# Un 'e,.eRo e-%$or -e $eC$o.
1icense# GAL
Iroup# A'')%&#$%ons8E-%$ors
:uildroot# T\.tmppath]/T\name]!T\version]!root
Source# h$$'D88???.n#no-e-%$or.or8-%s$8*4.28n#no-4.2.5.$#r.:
:uildReJuires# n&.rses--e*e)6 )%!&--e*e)6 &&
ReJuires# n&.rses
Tdescription
GNU n#no es .n 'e,.eRo y +S&%) -e .$%)%:#r e-%$or -e $eC$o.
Tprep
Tsetup !J
Tbuild
Tcon"igure
T..make
Tinstall
T..make %&S0%(R*T\buildroot] install
Tclean
T..rm !"r T\buildroot]
258
T"iles
Tde"attr(!BrootBroot)
Tdoc 4>02/RS :>IS )/<;(,I )hange1og (,S0411 ,&3S R&4%-& 024,HS 0/%/
Tdoc nanorc@sample
/usr/bin/nano
/usr/share/in"o/nano@in"o@gC
/usr/share/man/man1/nano@1@gC
/usr/share/man/man9/nanorc@9@gC
/usr/share/locale/K/1).-&SS4I&S/nano@mo
Tchangelog
K Sun Sep 69 6$$9 =ulano de <erengano ahttp#//mi!sitio!gjeb@algo/L
! 4rchivo K@spec inicial@
5. Para poder construr nano, necestar tener nstaados os paquetes ncurses-deve
(cabeceras de desarroo para ncurses), gbc-deve (cabeceras de desarroo para C) y gcc
(compador de GNU.org). De ser necesaro, proceda a nstaar stos:
yum !y install ncurses!devel glibc!devel gcc
6. Utce o sguente para generar os paquetes bnaro y fuente correspondentes:
rpmbuild !ba nano@cpec
7. Suponendo que utza una computadora con mcroprocesador compatbe con Inte; a
concur e proceso, encontrar e paquete bnaro RPM dentro de drectoro
Y/rpmbuild/R<-S/i?56/ y e paquete *.src.rpm dentro de drectoro Y/rpmbuild/SR<-S/.
*9.4.*. <a#uete '<: !inario y el pa#uete \.src.rpm correspondiente
reali8ando limpie8a de directorioF &irma digital
1. Utzar e msmo archvo *.spec de e|ercco pasado.
2. Utce o sguente para generar os paquetes correspondentes, ngresando a cave de
acceso para GnuPG cuando e sea requerda:
rpmbuild !ba !!clean !!sign nano@cpec
3. Suponendo que utza una computadora con mcroprocesador compatbe con Inte; a
termnar e proceso, encontrar e paquete bnaro RPM dentro de drectoro
Y/rpmbuild/R<-S/i?56/ y e paquete *.src.rpm dentro de drectoro Y/rpmbuild/SR<-S/.
259
*S. Cmo instalar y utili8ar ClamAG en Cent0>
*S.+. %ntroduccin.
*S.+.+. Acerca de ClamAG.
ClamAG es un con|unto de herramentas antvrus, bre y de cdgo fuente aberto, que tene as
sguente caracterstcas:
Dstrbudo ba|o os trmnos de a Lcenca Pubca Genera GNU versn 2.
Cumpe con as especfcacones de fama de estndares <0>%D (<ortabe 0peratng >ystem
%nterface for UNID o nterfaz portabe de sstema operatvo para Unx).
Exporacn rpda.
Detecta ms de 720 m vrus, gusanos, troyanos y otros programas macosos.
Capacdad para examnar contendo de archvos ZIP, RAR, Tar, Gzp, Bzp2, MS OLE2, MS Cabnet,
MS CHM y MS SZDD.
Soporte para exporar archvos comprmdos con UPX, FSG y Pette.
Avanzada herramenta de actuazacn con soporte para frmas dgtaes y consutas basadas sobre
DNS.
URL: http://www.camav.net/
*S.*. "#uipamiento lgico necesario.
camav
camav-update
*S.*.+. Creacin del usuario para ClamAG.
De modo predetermnado, e usuaro para CamAV asgna a travs de os mandatos &edora(
groupadd y &edora(useradd e UID y GID 4 en e sstema. A fn de prevenr un confcto de
UID/GID con otros usuaros y grupos de sstema, se recomenda crear prevamente a grupo y
usuaro correspondentes para CamAV:
groupadd !r clamavupdate
useradd !r !s /sbin/nologin !d /var/lib/clamav !- !c U)lamav database update userU O
!g clamavupdate clamavupdate
260
*S.*.*. %nstalacin a travs de yum.
S dspone de un servdor con Cent0> 4 y 5, 'ed Eath "nterprise inu2 4 y 5 o b$ite Bo2
"nterprise inu2 4 y 5, puede utzar e e depsto yum de Alcance i!re para servdores en
produccn, creando e archvo =etc=yum.repos.d=A(>erver.repo con e sguente contendo:
D41!ServerE
name*41 Server para &nterprise 1inux Freleasever
mirrorlist*http#//@alcancelibre@org/al/elFreleasever/al!server
gpgcheck*1
gpgkey*http#//@alcancelibre@org/al/41!R<-!H&;
La nstaacn soo requere utzar o sguente:
yum !y install clamav clamav!update
La nstaacn de os paquetes anterores crea automtcamente e usuaro y drectoros necesaros
para un funconamento norma./p>
*S.3. <rocedimientos.
*S.3.+. >"inu2 y el servicio clamav(milter.
Para que SELnux permta utzar normamente clamscan, utce e sguente mandato:
setsebool !< clamscan.disable.trans 1
Para que SELnux permta a mandato &res$clam funconar normamente y que permta actuazar
a base de datos de frmas dgtaes, utce e sguente mandato:
setsebool !< "reshclam.disable.trans 1
*S.3.*. Con&iguracin de Fres$clam.
Fres$clam es e programa utzado para descargar y mantener actuazada a base de datos de
vrus y otros programas magnos.
E archvo =etc=&res$clam.con& de os paquetes dstrbudos por Alcance i!re ya ncuye as
modfcacones necesaras para permtr e funconamento de mandato &res$clam. Sn embargo,
s se utzan paquetes para Fedora, es necesaro edtar este archvo y comentar o emnar a nea
9, que ncuye smpemente a paabra ngesa ,4ample y que de otro mod mpedra utzar e
mandato &res$clam:
AA
AA &xample con"ig "ile "or "reshclam
AA <lease read the "reshclam@con"(9) manual be"ore editing this "ile@
AA
A )omment or remove the line belo@
T EC#9')e
261
E archvo =etc=syscon&ig=&res$clam de os paquetes dstrbudos por Alcance i!re ya ncuye
as modfcacones necesaras para permtr a actuazacn automtca de a base de datos de
ClamAG. S se utzan paquetes de Fedora, y a fn de mantener actuazada a base de datos de
frmas dgtaes, es necesaro edtar e archvo =etc=syscon&ig=&res$clam con e ob|eto de permtr
as actuazacones automtcas:
AAA hhhhh R&-/'& -& hhhhhh
AAA R&-/'& -&# :y de"aultB the "reshclam update is disabled to avoid
AAA R&-/'& -&# netork access ithout prior activation
T FRESICLAM_DELAU=-%s#!)e--?#rn T REMO;E ME
De ser necesaro, puede actuazar manuamente, y de manera nmedata, a base de datos de
frmas utzando e mandato &res$clam, desde cuaquer termna como root.
"reshclam
E paquete de clamav(update dstrbudo por Alcance i!re y e proyecto Fedora ncuye un
gun de actuazacn automtca de a base de datos de CamAV, y que consste en e archvo
=etc=cron.d=clamav(update, e cua, a travs de servco crond, se e|ecuta cada tres horas para
verfcar s hubo cambos en a base de datos.
*S.3.3. ,so !;sico del mandato clamscan.
para revsar un archvo sospechoso de estar nfectado, se utza e mandato clamscan sn ms
parmetros:
clamscan /cualJuier/archivo
Para reazar a revsn de un drectoro y todo su contendo, es decr, de manera recursva, se
utza e mandato clamscan con a opcn (r.
clamscan -r /cualJuier/directorio
Para especfcar que os archvos nfectados soo sean movdos a un drectoro de cuarentena, se
utza e mandato clamscan con a opcn ((move especfcando un drectoro que servr como
cuarentena. E drectoro de cuarentena debe de exstr prevamente.
clamscan --9o*e=8-%re&$or%o8-e8&.#ren$en# !r /cualJuier/directorio
Para especfcar que os archvos nfectados sean emnados, se utza a opcn ((remove con e
vaor yes. Esta opcn debe ser utzada con precaucn.
clamscan --re9o*e=yes !r /cualJuier/directorio
a sada de mandato clamscan puede egar a ser muy extensa. S se desea que soo se muestre
a nformacn de os archvos nfectados, se utza e mandato clamscan con a opcn
((in&ected.
clamscan --%n+e&$e- !!remove*yes !r /cualJuier/directorio
262
Para que e mandato clamscan guarde a nformacn de su actvdad en una btcora en
partcuar, a fn de poder examnar posterormente sta a detae, se puede utzar ste con a
opcn ((log especfcando a ruta de un archvo donde se amacenar a btcora de actvdad.
clamscan --)o=8ho9e8.s.#r%o8&)#9s&#n.)o !!in"ected !!remove*yes !r /cualJuier/directorio
Para confgurar ClamAG para ser utzado con un servdor de correo eectrnco con >endmail,
consutar e documento ttuado Cmo confgurar camav-mter.
263
3O. Cmo asignar cuotas de disco en
?),=inu2.
3O.+. %ntroduccin.
La utzacn de cuotas de dsco permte a os admnstradores de sstemas reazar a gestn
efcente de espaco compartdo en dsco por mtpes usuaros. Las cuotas restrngen a
capacdad de os usuaros para acceder haca os recursos de sstema, taes como boques
(asgnacn de undades), e nodos (entradas de sstema de archvos). Cuando una cuota es
excedda se apca una potca determnada por e admnstrador. Las cuotas se admnstran por
sstema de archvos ndvduaes, y son ncas para usuaros o grupos.
3O.+.+. Acerca de las cuotas de disco.
Una cuota de dsco es un mte estabecdo por un admnstrador, e cua restrnge certos aspectos
de uso de sstema de archvos. E ob|etvo de as cuotas de dsco es mtar, de forma razonabe, e
espaco utzado en e sstema de archvos.
3O.+.*. Acerca de %nodos.
De acuerdo a Wkpeda, un nodo, nodo-, o tambn nodo ndce, es una estructura de datos
propa de os sstemas de archvos en sstemas operatvos tpo POSIX (<ortabe 0peratng >ystem
%nterface for Un2), como GNU/Lnux. Un nodo contene as caracterstcas (permsos, fechas, y
ubcacn) de un archvo reguar, drectoro, o cuaquer otro eemento que pueda contener e
sstema de archvos.
Cada nodo queda dentfcado en e sstema de archvos por un nmero entero nco, y os
drectoros recogen una sta de pare|as formadas por un nmero de nodo, y un nombre
dentfcatvo que permte acceder a un archvo en partcuar. Cada archvo tene un nco nodo,
pero puede tener ms de un nombre en dstntos ugares, o ncuso en e msmo drectoro, para
factar su ocazacn.
3O.+.3. Acerca de Blo#ues.
De acuerdo a Wkpeda, un boque es a cantdad ms pequea de datos que pueden transferrse
en una operacn de entrada/sada entre a memora prncpa de una computadora, y sus
dspostvos perfrcos, o vceversa.
264
3O.*. "#uipamiento lgico necesario.
3O.*.+. %nstalacin a travs de yum.
S se utza de Cent0> 5, o 'ed Eath "nterprise inu2 5, o ben versones posterores de
stos, se puede nstaar o necesaro e|ecutando o sguente:
yum !y install Juota
3O.3. <rocedimientos.
Durante a nstaacn, deb asgnarse una partcn dedcada para, por menconar un e|empo, os
drectoros /var, y /home.
Edte e archvo =etc=&sta!.
vim /etc/"stab
S utza Cent0> 6 o 'ed Eat "nterprise inu2 6, puede utzar cuotas con regstro por daro
(journaled quotas), smar a regstro por daro de os sstemas de archvos Ext3/Ext4, o cua hace
ms compcado que se daen os archvos que corresponden a as cuotas de dsco en caso de un
apagado ncorrecto.
Edte e archvo =etc=&sta!:
Aada a as opcones de as partcones =var, y =$ome, os parmetros usr.#uotaRa#uota.user,
grp.#uotaRa#uota.group, y .#&mtRv&svO:
/dev/mapper/1og'ol$? /var ext4 de"aults
B.srH,.o$#=#,.o$#..ser6r'H,.o$#=#,.o$#.ro.'6H,+9$=*+s*/ 1 6
/dev/mapper/1og'ol$4 /home ext4 de"aultsB.srH,.o$#=#,.o$#..ser6r'H,.o$#=#,.o$#.ro.'6H,+9$=*+s
*/ 1 6
)ota.
S utza Cent0> 5 o 'ed Eat "nterprise inu2 5, debe aadr en e archvo =etc=&sta! os
parmetros usr#uota, y grp#uota a as neas que defnen a confguracn de as partcones /var,
y /home:
14:&1*/var /var ext? de"aultsB.sr,.o$#6r',.o$# 1 6
14:&1*/home /home ext? de"aultsB.sr,.o$#6r',.o$# 1 6
Deben apcarse os cambos a as partcones, ya sea rencando e sstema, o ben e|ecutando os
sguentes mandatos:
mount !o remount /var
mount !o remount /home
Lo anteror vueve a eer as opcones de montado de cada una de as partcones, y apc os
cambos nmedatamente.
265
)ota.
En Cent0> 5 y 'ed Eat "nterprise inu2 5, se deben crear adems os archvos a#uota.user,
a#uota.group, #uota.user, y #uota.group, os cuaes se utzarn en adeante para amacenar a
nformacn, y estado de as cuotas, en cada partcn.
cd /var
touch aJuota@user aJuota@group Juota@user Juota@group
cd /home
touch aJuota@user aJuota@group Juota@user Juota@group
Este paso es nnecesaro en Cent0> 6 y 'ed Eat "nterprise inu2 6.
E|ecutar e mandato #uotac$ecL con as opcones (avugm, donde a sgnfca que se verfcan
todos os sstemas de archvos con soporte para cuotas de dsco, v sgnfca que se devuevan
mensa|es descrptvos, u sgnfca que se verfquen cuotas de usuaro, g sgnfca que se verfquen
cuotas de grupo, y m sgnfca que se evte re-montar en modo de so ectura os sstemas de
archvos, que deamente se utza cuando se tene procesos traba|ando en as partcones:
Juotacheck !avugm
)ota.
En Cent0> 5 y 'ed Eat "nterprise inu2 5, a prmera vez que se e|ecuta e mandato anteror es
norma que devueva advertencas, refrndose a posbes archvos truncados, que en readad son
debdo a que se trataba archvos vacos, generados por e mandato touc$, sn nformacn. S se
e|ecuta de nuevo #uotac$ecL (avugm, deber mostrar una sada sn advertenca aguna.
Para actvar as cuotas de dsco recn confguradas, e|ecute os sguentes dos mandatos:
Juotaon /var
Juotaon /home
3O.3.+. "d#uota.
Es mportante conocer que sgnfca cada coumna mostrada por e mandato ed#uota.
BlocLs- Boques. Corresponde a a cantdad de boques de 1 Kb que est utzando e usuaro.
%nodes- Inodos. Corresponde a nmero de archvos que est utzando e usuaro. Un inodo (tambn
conocdo como Index Node) es un apuntador haca sectores especfcos de dsco duro en os cuaes se
encuentra a nformacn de un archvo. Contene adems a nformacn acerca de permsos de
acceso as como os usuaros, y grupos a os cuaes pertenece e archvo.
>o&t- Lmte de graca. Lmte de boques de 1 KB o nodos que e usuaro tene permtdo utzar, y que
puede rebasar hasta que sea exceddo e perodo de graca (de modo predetermnado son 7 das).
Eard- Lmte absouto. Lmte que no puede ser rebasado por e usuaro ba|o crcunstanca aguna.
Para asgnar cuotas de dsco a cuaquer usuaro o grupo, se e|ecuta e mandato ed#uota,
especfcando como argumento e nombre de usuaro:
edJuota "ulano
Lo anteror deber devover ago smar a o sguente a travs de v u otro edtor de texto smpe:
266
%isk Juotas "or user "ulano (uid 9$1)#
=ilesystem blocks so"t hard inodes so"t hard
/dev/sda7 $ $ $ $ $ $
/dev/sda9 64 $ $ 1$ $ $
3O.3.+.+. Cuota a!soluta.
Suponendo que se quere asgnar una cuota de dsco de 50 MB para e usuaro fuano en en
/dev/sda7, y /dev/sda9, se utzara o sguente:
/dev/sda7 $ $ 916$$ $ $ $
/dev/sda9 64 $ 916$$ 1$ $ $
E usuaro sempre podr rebasar una cuota de gracia pero nunca una cuota a!soluta.
3O.3.+.*. Cuota de gracia.
E sstema tene, de modo predetermnado, un periodo de gracia de 7 das, e cua se puede
modfcar con e mandato ed#uota (t:
edJuota !t
Donde se puede estabecer un nuevo perodo de graca, ya sea por das, horas, mnutos, o
segundos.
Irace period be"ore en"orcing so"t limits "or users#
0ime units may be# daysB hoursB minutesB or seconds
=ilesystem :lock grace period (node grace period
/dev/hdb7 7days 7days
/dev/hdb9 7days 7days
La cuota de gracia estabece os mtes de boques o inodos que un usuaro tene en una
partcn. Cuando e usuaro excede e mte estabecdo por a cuota de graca, e sstema adverte
a usuaro que se ha exceddo a cuota de dsco sn embargo permte a usuaro contnuar
escrbendo hasta que trascurre e tempo estabecdo por e perodo de graca, tras e cua a
usuaro se e mpde contnuar escrbendo sobre a partcn. Suponendo que quere asgnar una
cuota de graca de 25 MB en /dev/sda7, y /dev/sda9, a cua podr ser excedda hasta por 7 das, se
utzara o sguente:
/dev/sda7 $ 696$$ $ $ $ $
/dev/sda9 64 696$$ $ 1$ $ $
3O.3.+.3. Aplicando cuotas de &orma masiva.
S se quere que todo apque para os usuaros exstentes, a partr de UID 510, por e|empo,
suponendo que utzar a cuota de dsco de usuaro pepto como panta Mnote por &avor los
dos acentos graves en el mandatoF .usto antes de aPLF y al &inal del mandatoF pues se
trata de un car;cter di&erente al apostro&eN, e|ecute o sguente:
267
edJuota !p pepito kak !=# UF? L 91$ \print F1]U /etc/passdk
3O.4. Compro!aciones.
Utce e mandato edquota con e usuaro fuano.
edJuota "ulano
Asgne a usuaro fuano una cuota de graca de 25 MB, una cuota absouta de 50 MB, un mte
de graca de 1000 archvos, y un mte absouto de 1500 archvos, en todas as partcones con
cuota de dsco habtada:
/dev/sda7 $ 253// 542// $ 4/// 45//
/dev/sda9 64 253// 542// 1$ 4/// 45//
Desde otra terminal, o e|ecutando su (l &ulano, acceda haca e sstema como e usuaro fuano,
y e|ecute e mandato #uota:
Juota
Observe con detenmento a sada:
=ilesystem blocks Juota limit grace "iles Juota limit grace
/dev/sda7 $ $ 916$$ 696$$ 1 $ 19$$ 1$$$
/dev/sda9 64 $ 916$$ 696$$ 1$ $ 19$$ 1$$$
Reace una copia de drectoro =usr=li! como e sub-drectoro Y=prue!a(cuotas dentro de su
drectoro de nco:
cp !r /usr/lib Y/prueba!cuotas
Notar que egar un momento en e que e sstema ndcar que ya no es posbe contnuar
copando contendo dentro de Y=prue!a(cuotas debdo a que se ha agotado e espaco en a
partcn.
,tilice de nuevo e mandato #uota, y observe con detenmento a sada, en donde aparecer
un astersco |usto |unto a a cantdad en a coumna de boques boques, e cua ndca que se ha
exceddo a cuota de dsco:
=ilesystem blocks Juota limit grace "iles Juota limit grace
/dev/sda7 $ $ 916$$ 696$$ 1 $ 19$$ 1$$$
/dev/sda9 916$$K $ 916$$ 696$$ 19$$K $ 19$$ 1$$$
Para poder vover a escrbr sobre a partcn, es necesaro berar espaco. Debdo a que muy
probabemente parte de contendo de =usr=li! se cop en modo de so ectura, cambe prmero
os permsos de contendo de drectoro, a fn de dsponer de permsos de ectura y escrtura:
268
chmod !R uN Y/prueba!cuotas
Emne por competo e drectoro Y=prue!a(cuotas:
Y, fnamente, vueva a e|ecutar e mandato #uota:
rm !"r Y/prueba!cuotas
Y, fnamente, vueva a e|ecutar e mandato #uota:
Juota
269
3+. %ntroduccin a @C<=%<
3+.+. %ntroduccin
TCP/IP fue desarroado y presentado por e Departamento de Defensa de EE.UU. en 1972 y fue
apcado en A'<A)"@ (Advanced 'esearch <ro|ects Agency )etwork), que era a red de rea
extensa de Departamento de Defensa como medo de comuncacn para os dferentes
organsmos de EE.UU. La transcn haca TCP/IP en A'<A)"@ se concret en 1983.
Se conoce como &amilia de protocolos de %nternet a con|unto de protocoos de red que son
mpementados por a pa de protocoos sobre os cuaes se fundamenta Internet y que permten a
transmsn de datos entre as redes de computadoras.
Los dos protocoos ms mportantes, y que fueron tambn os prmeros en defnrse y tambn os
ms utzados, son @C< (Protocoo de Contro de Transmsn o @ransmsson Contro <rotoco) e
%< (Protocoo de Internet o %nternet <rotoco), de ah que se denomne tambn como Con.unto de
<rotocolos @C<=%<. Los tpos de protocoos exstentes superan os cen, ente os cuaes podemos
menconar como os ms conocdos a HTTP, FTP, SMTP, POP, ARP, etc.
TCP/IP es a pataforma que sostene Internet y que permte a comuncacn entre dferentes
sstemas operatvos en dferentes computadoras, ya sea sobre redes de rea oca (LAN) o redes
de rea extensa (WAN).
3+.*. )iveles de pila
En a actuadad contna a dscusn respecto a s e modeo TCP/IP de cnco nvees enca|a dentro
de modeo OSI (Interconexn de Sstemas Abertos u 0pen>ystems %nterconnecton) de sete
nvees.
:odelo )iveles
TCP/IP 5 Apcacn
4 Transporte
3 Red
2 Enace
1 Fsco.
OSI 7 Apcacn
6 Presentacn
5 Sesn
4 Transporte
3 Red
2 Enace de datos
1 Fsco
270
3+.*.+. :odelo @C<=%<
Utza encapsuamento para proveer a abstraccn de protocoos y servcos haca dferentes
capas en a pa. La pa consste de cnco nvees:
)ivel )om!re Descripcin
5 Aplicacin Se compone de dversos protocoos de servcos como:
D)> (Doman Name System)
@>=>> (@ransport ayer >ecurty)
@F@< (@rva Fe @ransfer <rotoco)
F@< (Fe @ransfer <rotoco)
E@@< (Eyper @ext @ransfer <rotoco)
%:A< (%nternet :esssage Access <rotoco)
%'C (%nternet 'eay Chat)
))@< ()etwork )ews @ransfer <rotoco)
<0<3 (<ost 0ffce <rotoco)
>%< (>esson %ncaton <rotoco)
>:@< (>mpe :a @ransfer <rotoco)
>):< (>mpe )etwork :anagement <rotco)
>>E (>ecure >$e)
@")"@
Bit@orrent
'@< ('ea-tme @ransport <rotoco)
rlogin
")'< ("ndpont Eandespace 'edundancy <rotoco)
Los protocoos de encamnamento como B?< (Border ?ateway <rotoco) y '%< ('outng
%nformaton <rotoco) que utzan transporte por TCP y UDP respectvamente pueden ser
consderados como parte de este nve.
4 @ransporte Se compone de dversos protocoos de servcos como:
@C< (@ransmson Contro <rotoco)
,D< (,ser Datagram <rotoco),
DCC< (Datagram Congeston Contro <rotoco)
271
>C@< (>tream Contro @ransmson <rotococo)
% (%nternet nk Protoco, smar a TCP pero ms smpe)
',D< ('eabe ,ser Datagram <rotoco), etc.
Los protocoos como 0><F (0pen >hortest <ath Frst), que corren sobre IP, pueden ser
tambn consderados como parte de esta capa. %C:< (%nternet Contro :essage <rotoco) e
%?:< (%nternet ?roup :anagement <rotoco) que tambn utzan IP, pueden ser
consderados parte de Nve de Red.
3 'ed Se compone de dversos protocoos de servcos como %< (ncuyendo %<v4 e %<v6).
Protocoos como A'< (Address 'esouton <rotoco) y 'A'< ('everse Address 'esouton
<rotoco) que operan por deba|o de IP, pero arrba de Nve de enace, de modo que
pertenecen a un punto ntermedo entre e Nve de Red y e Nve de Enace.
2 "nlace Compuesto de protocoos como:
"t$ernet
bi(Fi
@oLen ring
<<< (Pont-to-Pont <rotoco)
>%< (>era ne %nternet <rotoco)
FDD% (Fber Dstrbuted Data %nterface)
A@: (Asynchronous @ransfer <rotoco)
Frame 'elay
>:D> (Swtched :ut-megabt Data >ervces)
1 Fsico Medo fsco.
Los nvees ms cercanos atos son os ms cercanos a usuaro, mentras que os que estn ms
haca aba|o se encuentran ms cercanos a a transmsn fsca de os datos. Savo por evdentes
razones en e prmer y tmo nvees, cada nve tene un nve superor y un nve nferor que,
respectvamente, o ben utzan un servco de nve o proveen un servco. Un mtodo de
abstraccn para entender esto es mrar os nvees como proveedores o consumdores de
servcos. E|empo: TCP en e nve de transporte requere un protocoo de nve de Red, como sera
IPv4, e cua a su vez requere de un protocoo de nve de enace, sendo TCP un proveedor de
servco para os protocoos de nve de apcacn.
272
3+.*.+.+. )ivel de aplicacin
Es e nve que utzan os programas de red ms comunes a fn de comuncarse a travs de una
red. La comuncacn que se presenta en este nve es especfca de as apcacones y os datos
transportados desde e programa que estn en e formato utzado por a apcacn y van
encapsuados en un protocoo de )ivel de @ransporte. Sendo que e modeo TCP/IP no tene
nvees ntermedos, e nve de Apcacn debe ncur cuaquer protocoo que acte de msmo
modo que os protocoos de )ivel de <resentacin y )ivel de >esin de :odelo 0>%. Los
protocoos de Nve de Transporte ms comnmente utzados son TCP y UDP, msmos que
requeren un puerto dsponbe y especfco para e servco para os servdores y puertos efmeros.
Aunque os encamnadores (routers) e nterruptores (swtches) no utzan este nve, as
apcacones que controan e ancho de banda s o utzan.
3+.*.+.*. )ivel de @ransporte
Este nve prncpamente provee o necesaro para conectar apcacones entre s a travs de
puertos. Mentras que IP (Internet Protoco),de Nve de Red, provee soamente a me|or forma de
entrega, e nve de transporte es e prmer nve que se encarga de a fabdad. De entre todos os
protocoos de este nve, tanto TCP como UDP son utzados para transportar un gran nmero de
apcacones de ato nve. Las apcacones en cuaquer nve se dstnguen a travs de os puertos
TCP o UDP que utcen.
@C<.
E me|or e|empo de este nve es TCP, que es un protocoo orentado haca conexn que
resueve numerosos probemas de fabdad para proveer una transmsn de bytes fabe, ya
que se encarga de que os datos eguen en orden, tenga un mnmo de correccones de
errores, se descarten datos dupcados, se vuevan a envar os paquetes perddos o
descartados e ncuya contro de congestn de trfco.
La conexones a travs de TCP tenen tres fases:
%. "sta!lecimiento de la cone2in
Antes de que e cente ntente conectarse con e servdor, ste tmo debe prmero
garse haca e puerto para abrro para as conexones, es decr, una apertura
pasiva. Una vez estabecda, e cente puede ncar a apertura activa. Se requere
de un saudo de tres etapas:
1. La apertura actva se reaza envando un paquete SYN (sncronza) haca e
servdor.
2. En respuesta, e servdor responde con un paquete SYN-ACK (conformacn de
sncronzacn).
3. Fnamente e cente enva un paquete ACK (confrmacn) de regreso haca e
servdor.
En este punto tanto cente como servdor han recbdo una conformacn de a
conexn.
%%. @rans&erencia de datos
Hay tres funcones cave que dferencan a TCP de UDP:
273
1. Transferenca de datos bre de errores.
2. Transferenca de datos ordenada.
3. Retransmsn de paquetes perddos.
4. Descartado de paquetes dupcados.
5. A|uste en a congestn de a transmsn de datos.
III. @erminacin de la cone2in.
Esta etapa utza un saudo de tres vas, con cada extremo de a conexn termnando
ndependentemente. Cuando uno de os extremos desea detener su parte de a
conexn, enva un paquete FIN, que a otra parte confrma con un paquete ACK. Por
tanto, una nterrupcn de a conexn requere un par de paquetes FIN y ACK desde
cada ado de a conexn TCP.
Una conexn puede quedar aberta a medas cuando uno de os extremos ha
termnado a conexn desde su ado pero e otro extremo no. E extremo que termn
a conexn ya no puede envar datos en a conexn, pero e e otro extremo s.
E mtodo ms comn es un saudo de tres etapas donde un anftrn A enva un
paquete FIN y e anftrn B responde con un paquete FIN y un ACK (en e msmo paso)
y e anftrn A responde con un paquete ACK.
TCP reaza as sguentes etapas en su zcao:
1. LISTEN
2. SYN-SENT
3. SYN-RECEIVED
4. ESTABLISHED
5. FIN-WAIT-1
6. FIN-WAIT-2
7. CLOSE-WAIT
8. CLOSING
9. LAST-ACK
10.TIME-WAIT
11.CLOSED
%>@") representa a conexn en espera de petcones desde cuaquer puerto TCP remoto.
>X)(>")@ representa a espera de TCP remoto para envar de regreso e paquete TCP
estabecendo banderas >X) y ACK. >X)('"C%G"D representa a espera para e TCP remoto
para envar de regreso a confrmacn despus de haber envado de regreso otra
confrmacn de conexn a TCP remoto (estabecdo por e servdor TCP). ">@AB%>E"D
representa que e puerto est sto para recbr/envar datos desde/haca e TCP remoto (o
hacen tanto centes como servdores TCP). @%:"(bA%@ representa e tempo de espera
necesaro para asegurar que e TCP remoto ha recbdo a confrmacn de su soctud de
termnacn de a conexn.
,D<.
UDP, a veces referdo sarcstcamente como 5nreliable Datagram Protoco (Protcoo no fabe
de datagrama), es un protocoo de datagrama sn correccn; no provee as garanta de
fabdad y ordenamento de TCP a os protocoos de )ivel de Aplicacin y os datagramas
pueden egar en desorden o perderse sn notfcacn. Como consecuenca de o anteror es
que UDP es un protocoo ms rpdo y efcente para tareas geras o sensbes a tempo una
nterfaz muy smpe entre e )ivel de 'ed y )ivel de Aplicacin. S se requere agn tpo
de fabdad para os datos transmtdos, sta debe ser mpementada en os nvees
superores de a pa.
274
A gua que IP, y a dferenca de TCP, es un protocoo de me|or esfuerzo o no-fabe. E nco
probema de fabdad que resueve es a correccn de errores en a cabecera y datos
transmtdos a travs de un campo de 16 bts para suma de veri&icacin (checksum), una
forma de contro de redundanca con a fnadad de proteger a ntegrdad de datos
verfcando que no hayan sdo corrompdos.
La estructura de paquetes UDP consste de 4 campos.
<uerto de origen. Encargado de dentfcar e puerto que enva y que se asume ser
e puerto haca donde se enva a respuesta s se necesta. Este campo es opcona: s
no se utza, e vaor de campo debe ser 0.
<uerto de destino. Identfca e puerto de destno. Es obgatoro.
ongitud. Un campo de 16 bts que especfca a ongtud de datagrama competo:
cabecera y datos. La ongtud mnma es de 8 bytes ya que es a ongtud msma de a
cabecera.
>uma de veri&icacin. Un campo de 16 bts que se utza para verfcar errores en
cabecera y datos.
Las apcacones ms comunes que hacen uso de este tpo de protocoo son DNS,
apcacones de transmsn de medos, voz sobre IP (VoIP), TFTP y |uegos en nea.
>C@<.
SCTP es un mecanismo de transporte &ia!le orentado haca conexn. Est orentado
tambn haca transmsn de datos pero no est orentado haca bytes como TCP. Provee
mtpes transmsones dstrbudos sobre una msma conexn. Puede adems representar
una conexn con mtpes dreccones IP de modo que s una IP faa, a conexn no se
nterrumpe. Se desarro ncamente para apcacones de teefona pero se puede utzar
en otras apcacones.
DCC<.
DCCP se encuentra en fase de desarroo y ba|o a tutea de a IETF (Internet Engneerng Task
Force) que pretende proveer a semntca de contro de fu|o de TCP y e modeo de servco
de datagrama de UDP a a vsta de usuaro.
'@<.
RTP es un protocoo de datagrama que fue dseado para datos en tempo rea como a
transmsn de audo y vdeo. Es un nve de sesn que utza e formato de paquetes de UDP
como base. Sn embargo se consdera que este protocoo pudera acomodar deba|o de nve
de transporte de modeo TCP/IP.
3+.*.+.3. )ivel de 'ed
Este nve resueve e probema de capturar os datos a travs de una red nca. %< (%nternet
<rotoco) reaza a tarea bsca de capturar os paquetes de datos desde una fuente haca un
destno. IP puede transportar datos para una gran cantdad de protocoos de nve superor (Nve
de Transporte). Otro e|empo de protocoo de este nve es X.25, que es un con|unto de protocoos
para redes WAN utzando neas teefncas o sstema ISDN.
275
3+.*.+.4. )ivel de "nlace
Este nve no es reamente parte de Con.unto de <rotocolos @C<=%<, sno que es e mtodo
utzado para pasar paquetes desde e Nve de Red sobre dos dferentes anftrones. Este proceso
puede ser controado a travs de equpamento gco utzado como controador de dspostvo
para una tar|eta de red as como tambn sobre a <rogramacin en &irme (Frmware) o crcutos
ntegrados auxares (chpsets). Estos procesos reazarn funcones de enace de datos taes como
aadr una cabecera de paquete para preparar a transmsn, y entonces transmtr e todo a
travs de un medo fsco.
Este nve es donde os paquetes son nterceptados y envados haca una Red Prvada Vrtua
(VPN). Cuando esto se eva a acabo, os datos de Nve de Enace se consderan como os datos de
a apcacn y procede descendendo por a pa de modeo TCP/IP para reazar a verdadera
transmsn. En e extremo receptor, os datos suben por a pa de modeo TCP/IP dos veces, una
para a VPN y otra para e encamnamento (routng).
3+.*.+.5. )ivel Fsico
A gua que e Nve de Enace, no es reamente parte de Con.unto de <rotocolos @C<=%<.
Contempa todas as caracterstcas fscas de a comuncacn como a naturaeza de medo,
detaes de conectores, cdgo de canaes y moduacn, potencas de sea, ongtudes de onda,
sncronzacn y tempo de vda as como dstancas mxmas.
3+.*.*. :odelo 0>%
E Con.unto de <rotocolos @C<=%< (y su correspondente pa) han sdo utzados antes de que
se estabecera e modeo OSI (Interconexn de Sstemas Abertos u 0pen >ystems
%nterconnecton) y desde entonces e modeo TCP/IP ha sdo comparado con e modeo OSI tanto
en bros como en nsttucones educatvas. Ambas se reaconan pero no son equparabes. E
modeo OSI utza sete nvees, mentras que e modeo TCP/IP utza cnco. Los dos nvees que
hacen a dferenca en e Modeo OSI son e )ivel de <resentacin y e )ivel de >esin, msmos
que podran ser equvaentes a )ivel de Aplicacin de modeo TCP/IP.
De msmo modo que a pa de modeo TCP/IP, e modeo OSI no es o sufcentemente dverso en
os nvees nferores para abarcar as verdaderas capacdades de Con.unto de <rotocolos
@C<=%<. Un caro e|empo es que fata un nve ntermedo para acomodar entre e )ivel de 'ed y
e )ivel de @ransporte para poder determnar donde corresponden os protocoos ICMP e IGMP, y
otro nve ntermedo entre e )ivel de 'ed y e )ivel de @ransporte para determnar donde
corresponden os protocoos ARP y RARP.
7 Aplicacin HTTP, SMTP, SNMP, FTP, Tenet, SIP, SSH, NFS, RTSP, D:<< (E2tensbe :essagng and
<resence <rotoco), Whos, ENRP Tenet.
6 <resentacin DD' (E2terna Data 'epresentaton), A>).+ (Abstract >yntax )otaton 1), >:B (>erver
:essage Bock),AF< (Appe Fng <rotoco), )C< ()etWare Core <rotoco)
5 >esin A>A< (Aggregate >erver Access <rotoco), TLS, SSH, ISO 8327 / CCITT X.225, '<C
('emote <rocedure Ca), )etB%0>, A>< (Appetak >esson <rotoco), Wnsock, BSD
sockets
4 @ransporte TCP, UDP, RTP, SCTP, SPX, ATP, IL
2 "nlace de datos Ethernet, Token rng, HDLC, Frame reay, ISDN, ATM, 802.11 WF, FDDI, PPP
1 Fsico Defne todas as especfcacones fscas y ectrcas de os dspostvos, como son
dsposcn de pnes, vota|es, especfcacones de cabeado, concentradores, repetdores,
276
adaptadores de red, etc.
Ca!le, 'adio, fi!ra ptica, 'ed por palomas.
Los nvees 7 a 4 se casfcan como nvees de anftrn, mentras que os niveles in&eriores de 1
a 3 se casfcan como niveles de medios.
277
3*. %ntroduccin a %< versin 4
3*.+. %ntroduccin.
%<v4 es a versn 4 de Protocoo de Internet (%< o %nernet <rotoco) y consttuye a prmera
versn de IP que es mpementada de forma extensva. %<v4 es e prncpa protocoo utzado en
e Nve de Red de Modeo TCP/IP para Internet. Fue descrto nca mente en e RFC 791 eaborado
por a Fuerza de Traba|o en Ingenera de Internet (%"@F o %nternet "ngneerng @ask Force) en
Septembre de 1981, documento que de| obsoeto a RFC 760 de Enero de 1980.
IPv4 es un protocoo orentado haca datos que se utza para comuncacn entre redes a travs
de nterrupcones (swtches) de paquetes (por e|empo a travs de Ethernet). Tene as sguentes
caracterstcas:
Es un protocoo de un servco de datagramas no fabe (tambn referdo como de mejor esfuerzo).
No proporcona garanta en a entrega de datos.
No proporcona n garantas sobre a correccn de os datos.
Puede resutar en paquetes dupcado o en desorden.
Todos os probemas menconados se resueven en e nve superor en e modeo TCP/IP, por
e|empo, a travs de @C< o ,D<.
E propsto prncpa de %< es proveer una dreccn nca a cada sstema para asegurar que una
computadora en Internet pueda dentfcar a otra.
3*.*. Direcciones.
%<v4 utza dreccones de 32 bts (4 bytes) que mta e nmero de dreccones posbes a utzar
a 4,294,967,295 dreccones ncas. Sn embargo, muchas de estas estn reservadas para
propstos especaes como redes prvadas, :ultidi&usin (Mutcast), etc. Debdo a esto se
reduce e nmero de dreccones IP que reamente se pueden utzar, es esto msmo o que ha
mpusado a creacn de %<v6 (actuamente en desarroo) como reempazo eventua dentro de
agunos aos para %<v4.
3*.*.+. 'epresentacin de las direcciones.
Cuando se escrbe una dreccn %<v4 en cadenas, a notacn ms comn es a decimal con
puntos. Hay otras notacones basadas sobre os vaores de os octetos de a dreccn IP.
Utzando como e|empo: www.acancebre.org que tene como dreccn IP 201.161.1.226 en a
notacn decma con puntos:
278
)otacin Galor Conversin desde decimal con puntos
Decma con puntos 201.161.1.226 -
Hexadecma con
puntos
0xC9.0xA1.0x01.0xE2 Cada octeto de a dreccn es convertdo
ndvduamente a hexadecma.
Octa con puntos 0311.0241.0001.0342 Cada octeto es convertdo ndvduamente a
octa.
Bnaro con puntos 11001001.10100001.00000001.11100010 Cada octeto es convertdo ndvduamente a
bnaro
Hexadecma 0xC9A101E2 Concatenacn de os octetos de
hexadecma con puntos.
Decma 3382772194 La forma hexadecma convertda a decma.
Octa 31150200742 La forma hexadecma convertda a octa.
Bnaro 11001001101000010000000111100010 La forma hexadecma convertda a bnaro.
Te/ricamente, todos estos formatos menconados deberan ser reconocdos por os navegadores
(sn combnar). Adems, en as formas con puntos, cada octeto puede ser representado en
combnacn de dferentes bases. E|empo: 201.0241.0x01.226.
3*.3. Asignacin
Desde 1993 rge e esquema C%D' (Cassess %nter-Doman 'outng o Encamnamento Inter-
Domnos sn Cases) cuya prncpa venta|a es permtr a subdvsn de redes y permte as
entdades sub-asgnar dreccones IP, como hara un ISP con un cente.
E prncpo fundamenta de encamnamento (routng) es que a dreccn codfca nformacn
acerca de ocazacn de un dspostvo dentro de una red. Esto mpca que una dreccn
asgnada a una parte de una red no funconar en otra parte de a red. Exste una estructura
|errquca que se encarga de a asgnacn de dreccones de Internet arededor de mundo. Esta
estructura fue creada para e C%D', y hasta 1998 fue supervsada por a %A)A (%nternet Assgned
)umbers Authorty o Agenca de Asgnacn de Nmeros Internet) y sus '%' ('egona %nternet
'egstres o Regstros Regonaes de Internet). Desde e 18 de Septembre de 1998 a supervsn
est a cargo de a %CA)) (%nternet Corporaton for Assgned )ames and )umbers o Corporacn
de Internet para os Nombres y Nmeros Asgnados). Cada '%' mantene una base de datos
bE0%> dsponbe a pubco y que permte hacer bsquedas que proveen nformacn acerca de
as asgnacones de dreccones IP. La nformacn obtenda a partr de estas bsquedas |uega un
pape centra en numerosas herramentas as cuaes se utzan para ocazar dreccones IP
geogrfcamente.
3*.3.+. Blo#ues reservados.
Blo#ues de direcciones reservadas
Blo#ue de direcciones C%D' Descripcin 'e&erencia
0.0.0.0/8 Red actua (soo vdo como dreccn de orgen) RFC 1700
10.0.0.0/8 'ed <rivada RFC 1918
14.0.0.0/8 Red de datos pbcos RFC 1700
39.0.0.0/8 Reservado RFC 1797
127.0.0.0/8 Anftrn oca (ocahost) RFC 1700
128.0.0.0/16 Reservado
279
Blo#ue de direcciones C%D' Descripcin 'e&erencia
169.254.0.0/16 'ed <rivada (Zeroconf) RFC 3927
172.16.0.0/12 'ed <rivada RFC 1918
191.255.0.0/16
192.0.0.0/24
192.0.2.0/24 Red de pruebas RFC 3330
192.88.99.0/24 Retransmsn desde %<v6 haca %<v4 RFC 3068
192.168.0.0/16 'ed <rivada RFC 1918
198.18.0.0/15 Pruebas de desempeo de red RFC 2544
223.255.255.0/24 Reservado RFC 3330
224.0.0.0/4 Mutdfusn (Mutcast, antes red Case D) RFC 3171
240.0.0.0/4 Reservado (Antes red Case E) RFC 1700
255.255.255.255 Dfusones (Broadcast)
3*.3.+.+. 'edes privadas.
De os ms de cuatro mil millones de dreccones permtdas por %<v4, tres rangos estn
especamente reservados para utzarse soamente en redes prvadas. Estos rangos no tenen
encamnamento fuera de una red prvada y as mqunas dentro de estas redes prvadas no
pueden comuncarse drectamente con as redes pbcas. Pueden, sn embargo, comuncarse
haca redes pbcas a travs de a Traduccn de Dreccones de Red o )A@ ()etwork Address
@ransaton).
Blo#ues reservados para redes privadas
)om!re
'ango de direcciones
%<
)umero de
direcciones %<
@ipo de clase
Blo#ue C%D'
mayor
Boque de
24bts
10.0.0.0 - 10.255.255.255 16,777,215 nca case A 10.0.0.0/8
Boque de
20bts
172.16.0.0 -
172.31.255.255
1,048,576
16 cases B
contguas
172.16.0.0/12
Boque de
16bts
192.168.0.0 -
192.168.255.255
65,535
256 cases C
contguas
192.168.0.0/16
3*.3.+.*. An&itrin local Mocal$ostN
Adems de as redes prvadas, e rango 127.0.0.0 - 127.255.255.255, o 127.0.0.0/8 en a notacn
C%D', est reservado para a comuncacn de anftrn oca (ocahost). Nnguna dreccn de
este rango deber aparecer en una red, sea pbca o prvada, y cuaquer paquete envado haca
cuaquer dreccn de este rango deber regresar como un paquete entrante haca a msma
mquna.
280
3*.4. 'e&erencia de su!(redes de %< versin 4.
Agunos segmentos de espaco de dreccones de IP, dsponbes para a versn 4, se especfcan y
asgnan a travs de documentos 'FC ('equest For Comments, o Soctud De Comentaros), que
son con|untos de notas tcncas y de organzacn que se eaboran desde 1969 donde se descrben
os estndares o recomendacones de Internet, antes ARPANET. E|empos de esto son os usos de
Retorno de sstema (oopback, RFC 1643), as redes prvadas (RFC 1918) y Zeroconf (RFC 3927)
que no estn ba|o e contro de os '%' ('egona %nternet 'egstres o Regstros Regonaes de
Internet).
La mscara de sub-red es utzada para separar os bts de un dentfcados de una red a partr de
os bts de dentfcados de anftrn. Se escrbe utzando e msmo tpo de notacn para escrbr
dreccones IP.
C%D' :;scara de su!(red An&itriones
)om!re de la
clase
,so tpico
/8 255.0.0.0 16777216 Case A
Boque ms grande defndo por a
IANA
/9 255.128.0.0 8388608
/10 255.192.0.0 4194304
/11 255.224.0.0 2097152
/12 255.240.0.0 1048576
/13 255.248.0.0 524288
/14 255.252.0.0 262144
/15 255.254.0.0 131072
/16 255.255.0.0 65536 Case B
/17 255.255.128.0 32768 ISP / negocos grandes
/20 255.255.240.0 4096 ISP pequeos / negocos grandes
/21 255.255.248.0 2048 ISP pequeos / negocos grandes
/22 255.255.252.0 1024
/23 255.255.254.0 512
/24 255.255.255.0 256 Case C LAN grande
/25 255.255.255.128 128 LAN grande
/26 255.255.255.192 64 LAN pequea
/27 255.255.255.224 32 LAN pequea
/28 255.255.255.240 16 LAN pequea
/29 255.255.255.248 8
/30 255.255.255.252 4
Redes de unn (enaces punto a
punto)
/31 255.255.255.254 2
Red no utzabe, sugerda para
enaces punto a punto (RFC 3021)
/32 255.255.255.255 1 Ruta de anftrn
281
3*.5. 'e&erencias.
http://www.etf.org/rfc/rfc760.txt
282
33. Cmo con&igurar los par;metros de red en
inu2.
33.+. %ntroduccin
Confgurar os parmetros de red en una estacn de traba|o GNU/Lnux o un servdor es reamente
smpe. Soamente requerr de agunos conocmentos bscos acerca de @C<=%<, %< versin 4, y
saber cmo utzar cuaquer edtor de texto smpe, como V, Emacs, o gEdt.
33.*. <rocedimientos
33.*.+. Deteccin y con&iguracin del sustento &sico M$ardPareN.
En Cent0> 6 y 'ed Eat "nterprise inu2 6, que utza nceo de Lnux versn 2.6.32, a
deteccn de as tar|etas de red es automtca, mentras se trate de tar|etas de red soportadas.
Para consutar a sta de tar|etas de red compatbes, vste hardware.redhat.com.
En Cent0> 5 y 'ed Eat "nterprise inu2 5, a deteccn de as tar|etas de red es reazada o
ben por e programa de nstaacn, o ben a travs de 'udzu, un servco que nca |unto con e
sstema y que se encarga de detectar y confgurar os dspostvos de sustento fsco (ard(are)
nstaados. En trmnos generaes, es nnecesaro confgurar parmetro aguno mentras os
dspostvos de red sean compatbes y exsta un controador para a versn de nceo ('ernel)
e|ecutado.
S acaso no fuese detectado e dspostvo de red debdo a a ausenca de 'udzu, es posbe
confgurar todo manuamente. La marca de a tar|eta de red es o que menos nteresa, o que es
mportante es que se determne con exacttud que crcuto ntegrado auxar (cipset) utza a
tar|eta de red. Esto puede determnarse examnando fscamente a tar|eta de red o ben
examnando a detae a sada en pantaa que se obtene a e|ecutar e sguente mandato:
lspci Z grep &thernet
Lo anteror devueve una sada smar a a sguente (en e caso de una tar|eta 3Com 905 C)
&thernet controller# ?)om )orporation ?c8$9)!0X D=ast &therlinkE (rev
16$)@
De ser necesaro, puede modfcarse, con un edtor de textos, e archvo =etc=modpro!e.con&.
Puede verfcarse e mduo correspondente a a tar|eta de red consutando e archvo
anterormente menconado:
283
alias eth$ ?c98x
S se reaz aguna edcn de este archvo, deber de e|ecutarse e sguente mandato, a fn de
actuazar dependencas:
depmod !a
S utza un nceo de a sere 2.4.x o 2.6, a sta de mduos exstentes en e sstema que se
pueden utzar para dstntos crcutos ntegrados auxares de dstntos modeos de tar|etas de red
se puede obtener stando e contendo de drectoro =li!=modules=Tversin del
n1cleoU=Lernel=drivers=net=. E|empo:
ls /lib/modules/6@6@15!674@el9<4&/kernel/drivers/net/
33.*.*. )etPorL:anager.
Desde Cent0> 5 y 'ed Eat "nterprise inu2 5, se ncuye una mpementacn aternatva para
a gestn de parmetros de red desde a nterfaz de usuaro. En CentOS y Red Hat Enterprse
Lnux 5 vene desactvada de modo predetermnado, por o que permte traba|ar normamente. Sn
embargo en Cent0> 6 y 'ed Eat "nterprise inu2 6, este servco vene actvo, savo que se
haga a nstaacn mnma o a nstaacn bsca de servdor.
S se desea mpedr que NetworkManager gestone aguna nterfaz de red en partcuar, y que se
pueda ncar |unto con e servco netPorL, soo basta con modfcar e parmetro
):QC0)@'0"D de archvo de confguracn de a nterfaz deseada, dentro de drectoro
=etc=syscon&ig=netPorL(scripts=, y estabecer no como vaor de ste. E|empo:
%&'()&*eth$
/,://0*yes
://0<R/0/*static
234%%R*44#57#=)#44#%%#6%
NM_CONTROLLED=no
(<4%%R*176@16@1@9$
,&0-4SH*699@699@699@186
I40&34;*176@16@1@1
%/-4(,*dominio@tld
%,S1*5@5@5@5
%,S6*5@5@4@4
Mentras est estabecdo ):QC0)@'0"DRno en a confguracn de a nterfaz de red,
NetworkManager gnorar sta por competo. S va a prescndr de uso de modo grfco, o ben se
evarn a cabo cambos poco frecuentes de a confguracn de os dspostvos de red de sstema,
tambn se puede desactvar por competo e servco )etPorL:anager, y ahorrar arededor de
un de MB de RAM. E uso de NetworkManager soo tene sentdo en una computadora portt que
se conecta a mtpes redes nambrcas, o ben un escrtoro.
chkcon"ig ,etork-anager o""
service ,etork-anager stop
284
33.*.3. Asignacin de par;metros de red.
33.*.3.+. )om!re del an&itrin ME0>@)A:"N.
Debe modfcarse con un edtor de textos e archvo =etc=$osts, y debe verfcarse que este
dferencado e eco o retorno de sstema de nombre de sstema, e cua deber estar asocado a
una de as dreccones IP, especfcamente a que est asocado a dcho nombre en e servdor de
sstema de nombres de domno (DNS) s se cuenta con uno en a red oca. E|empo:
167@$@$@1 localhost@localdomain localhost
176@16@1@9$ nombre@dominio@tld nombre
Se debe estabecer un nombre para e sstema. Este deber ser un FBD) (acrnmo de Fuy
Buafed Doman )ame o Nombre de Domno Penamente Cafcado) resueto por un servdor de
nombres de domno (DNS) o ben. En e caso de sstemas sn conexn a red o sstemas caseros,
sea resueto de manera oca en e archvo =etc=$osts. De ta modo, e nom!re del an&itrin
(ostname) de sstema se defnr dentro de archvo =etc=syscon&ig=netPorL de sguente
modo:
,&03/RH(,I*yes
2/S0,4-&*nombre@dominio@tld
33.*.3.*. Direccin %<F m;scara de su!red y puerta de enlace.
Debe modfcarse con cuaquer edtor de textos, y verfcar que sus parmetros de red sean os
correctos, e archvo ocazado en a ruta =etc=syscon&ig=netPorL(scripts=i&c&g(et$O. E|empo:
%&'()&*eth$
/,://0*yes
://0<R/0/*static
,-.)/,0R/11&%*no
(<4%%R*176@16@1@9$
,&0-4SH*699@699@699@186
I40&34;*176@16@1@1
Los parmetros anterores son proporconados por e admnstrador de a red oca en donde se
ocace a mquna que est sendo confgurada, o ben defndos de acuerdo a una panfcacn
prevamente estabecda. E admnstrador de a red deber proporconar una dreccn IP
dsponbe (IPADDR) y una mscara de a subred (NETMASK).
33.*.3.3. >ervidores de nom!res.
Hay dos parmetros a confgurar: domno de bsqueda predetermnado y a menos un servdor de
nombres. En Cent0> 6 y 'ed Eat "nterprise inu2 6, se pueden estabecer aadendo a
archvo fcfg-eth0, que se encontrar de drectoro =etc=syscon&ig=netPorL(scripts=, e
parmetro D0:A%) y os parmetro DNS1, DNS2 y DNS3. E|empo:
285
%&'()&*eth$
/,://0*yes
://0<R/0/*static
,-.)/,0R/11&%*no
(<4%%R*176@16@1@9$
,&0-4SH*699@699@699@186
I40&34;*176@16@1@1
DOMAFN=-o9%n%o.$)-
DNS4=8.8.8.8
DNS2=8.8.E.E
Lo anteror actuazar automtcamente e archvo =etc=resolv.con& con e contendo que
corresponda.
En Cent0> 5 y 'ed Eat "nterprise inu2 5 (y versones anterores de stos), debe modfcarse
con un edtor de textos a archvo =etc=resolv.con&, donde se estabecern os servdores de
sstema de resoucn de nombres de domno (DNS). E|empo:
search dominio@tld
nameserver 5@5@5@5
nameserver 5@5@4@4
33.*.4. Agregar rutas est;ticos.
Las rutas esttcas se pueden aadr utzando e mandato route, sguendo a sguente sntaxs:
route add !net Dred!destinoE netmask DmiscaraE g Dpuerta!de!enlaceE dispositivo
En e sguente e|empo se defnr a ruta esttca haca a red +S*.+69.3.O con mscara
*55.*55.*55.+S*, puerta de enace a travs de a dreccn IP +7*.+6.+.36 y a travs de
dspostvo de red et$+:
route add !net 186@165@?@$ netmask 699@699@699@186 g 176@16@1@?6 eth1
Es un requsto que a puerta de enace de destno sea acanzabe desde e dspostvo utzado.
Una ruta esttca no puede ser estabecda s no es posbe acanzar a puerta de enace necesara.
S se renca e servco de red, os cambos se perdern.
S se requere estabecer as rutas esttcas adconaes para obtener conectvdad con otras redes
y que os cambos sean permanentes, se pueden generar archvos para cada nterfaz que sea
necesaro, en donde se estabecen os vaores para puerta de enace, red a a que se quere
acceder y a mscara de subred correspondente. Los archvos se deben generar dentro de
drectoro =etc=syscon&ig=netPorL(scripts= como route6=interfaz> y deben evar e sguente
formato:
I40&34;/*xxx@xxx@xxx@xxx
4%%R&SS/*xxx@xxx@xxx@xxx
,&0-4SH/*xxx@xxx@xxx@xxx
286
Por ctar un e|empo, magnemos que nos encontramos dentro de a red 172.16.1.0 y se requere
estabecer conectvdad con as redes 192.168.2.0 y 192.168.3.0, con mscaras 255.255.255.192,
a travs de as puertas de enace o enrutadores o encamnadores con dreccn IP 192.168.2.1 y
192.168.3.1, correspondentemente para cada red ctada, a travs de a prmera nterfaz Ethernet
de sstema (eth0). La confguracn de =etc=syscon&ig=netPorL(scripts=route(et$O sera a
sguente:
I40&34;/*186@165@6@1
4%%R&SS/*186@165@6@$
,&0-4SH/*699@699@699@186
I40&34;4*186@165@?@1
4%%R&SS4*186@165@?@$
,&0-4SH4*699@699@699@186
33.*.5. Funcin de 'eenvo de pa#uetes para %< versin 4.
S dspone de a menos 2 dspostvos de red y se tene paneado mpementar un NAT o DNAT, se
debe habtar e reenvo de paquetes para IP versn 4. Esto se reaza edtando e archvo
=etc=sysctl.con&, y estabecendo + para actvar, o ben de|ar O para mantener nactvo:
vim /etc/sysctl@con"
Y cambando net.ipv4.ipQ&orPard R O por net.ipv4.ipQ&orPard R +:
net@ipv4@ip."orard * 1
Para apcar e cambo, sn rencar e sstema, soo es necesaro e|ecutar o sguente:
sysctl ! net@ipv4@ip."orard*1
33.*.6. Compro!aciones.
Despus de hacer confgurado todos os parmetros de red deseados, soo deber de ser rencado
e servco de red, e|ecutando o sguente:
Basta soamente comprobar s hay reamente conectvdad. Puede e|ecutarse e mandato ping
haca cuaquer dreccn de a red oca para ta fn.
ping !c? 176@16@1@1
Las nterfaces y a nformacn de as msmas se puede examnar utzando:
i"con"ig
Las rutas esttcas se pueden comprobar utzando e sguente mandato:
route !n
287
Para comprobar s hay resoucn de nombres, se puede reazar una consuta haca os servdores
DNS defndos para e sstema, utzando:
host dominio@tld
33.*.7. Alta de direcciones %< virtuales
Las dreccones IP vrtuaes srven para que e sstema responda para ms de una dreccn IP a
travs de msmo dspostvo de red. Son tes en os casos en os cuaes se tene un servco de
hospeda|e de pgnas de Internet, y se desea que cada sto tenga su propa dreccn IP. Tambn
son tes en os muros cortafuegos donde se quere que un con|unto de equpos sagan haca
Internet enmascarados con una IP (una LAN, por e|empo), y otro con|unto de equpos o hagan con
una dreccn IP dstnta (una DMZ, por e|empo).
Basta defnr soamente a dreccn IP, mscara de subred y e nombre de dspostvo. E archvo
se genera guamente con e nombre de dspostvo con e pref|o i&c&g(, dentro de drectoro
=etc=syscon&ig=netPorL(scripts=. E|empo de contendo de archvo =etc=syscon&ig=netPorL(
scripts=i&c&g(et$O-O que corresponde a prmer dspostvo vrtua de prmer dspostvo eternet:
%&'()&*e$h/D/
(<4%%R*186@165@6@694
,&0-4SH*699@699@699@186
La comprobacn, a e|ecutar e mandato i&con&ig, deber regresar ago como o sguente
eth$ 1ink encap#&thernet 23addr $$#$1#$6#$?#$4#$9
inet addr#176@16@1@1 :cast#176@16@1@6? -ask#699@699@699@186
>< :R/4%)4S0 R>,,(,I ->10()4S0 -0>#19$$ -etric#1
RX packets#6645?$ errors#$ dropped#$ overruns#$ "rame#$
0X packets#699?86 errors#$ dropped#$ overruns#$ carrier#$
collisions#?45 txJueuelen#1$$$
RX bytes#46?79615 (4$@4 -i:) 0X bytes#6$?$6$5$ (18@? -i:)
(nterrupt#11 :ase address#$xd$$$
eth$#$ 1ink encap#&thernet 23addr $$#$1#$6#$?#$4#$9
>< :R/4%)4S0 R>,,(,I ->10()4S0 -0>#19$$ -etric#1
lo 1ink encap#1ocal 1oopback
inet addr#167@$@$@1 -ask#699@$@$@$
>< 1//<:4)H R>,,(,I -0>#164?6 -etric#1
RX packets#698$ errors#$ dropped#$ overruns#$ "rame#$
0X packets#698$ errors#$ dropped#$ overruns#$ carrier#$
collisions#$ txJueuelen#$
RX bytes#??67588 (?@1 -i:) 0X bytes#??67588 (?@1 -i:)
33.*.9. a &uncin [erocon&.
De modo predetermnado, y a fn de permtr a comuncacn entre dos dferentes sstemas a
travs de un cabe R|45 cruzado (crossover), e sstema tene habtado [erocon&, tambn
conocdo como [ero Con&iguration )etPorLing o Automatic <rivate %< Addressing (APIPA).
Es un con|unto de tcncas que automtcamente crean una dreccn IP utzabe sn necesdad de
confguracn de servdores especaes. Permte a usuaros sn conocmentos de redes conectar
computadoras, mpresoras en red y otros artcuos entre s.
288
Sn Zeroconf os usuaros sn conocmentos tendran que confgurar servdores especaes como
DHCP y DNS para poder estabecer conectvdad entre dos equpos.
Estando habtado Zeroconf se mostrar un regstro en a taba de rutas esttcas para a red
+6S.*54.O.O a utzar e mandato route (n, devovendo una sada smar a a sguente:
176@16@1@$ $@$@$@$ 699@699@699@186 > $ $ $ eth$
43<.25E././ /./././ 255.255././ U / / / e$h/
167@$@$@$ $@$@$@$ 699@699@699@699 > $ $ $ lo
$@$@$@$ 176@16@1@1 $@$@$@$ >I $ $ $ eth$
S se desea desactvar Zeroconf, soo bastar aadr en e archvo =etc=syscon&ig=netPorL e
parmetro )0["'0C0)F con e vaor yes:
,&03/RH(,I*yes
2/S0,4-&*nombre@dominio@tld
NOKEROCONF=yes
A termnar, soo hay que rencar e servco de red para que surtan efecto os cambos y
comprobar de nuevo con e mandato route (n que a ruta para [erocon& ha desaparecdo:
176@16@1@$ $@$@$@$ 699@699@699@186 > $ $ $ eth$
167@$@$@$ $@$@$@$ 699@699@699@699 > $ $ $ lo
$@$@$@$ 176@16@1@1 $@$@$@$ >I $ $ $ eth$
Una vez hecho o anteror, exsten dos servcos en e sstema en CentOS y Red Hat Enterprse
Lnux 5 y versones posterores, que se pueden desactvar puesto que srven para estabecer a
comuncacn a travs de Zeroconf, estos son ava$i(daemon y ava$i(dnscon&d. Desactvar
estos dos servcos ahorrar tempo en e arranque y se consumrn algunos pocos menos
recursos de sistema.
chkcon"ig avahi!dnscon"d o""
chkcon"ig avahi!daemon o""
service avahi!dnscon"d stop
service avahi!daemon stop
Muchas apcacones y componentes para e modo grfco dependen de Zeroconf para su correcto
funconamento. Por tanto, no es convenente desactvar este soporte s se va a hacer uso de
modo grfco.
Para ms detaes acerca de [erocon&, puede consutara nformacn dsponbe en:
http://www.zeroconf.org/
http://en.wkpeda.org/wk/Zeroconf
".ercicios.
33.*.S. 'utas est;ticas.
Este e|ercco consdera o sguente:
289
1. Se tene dos equpos de cmputo con GNU/Lnux nstaado en ambos.
2. pc+.dominio.tld tene una dreccn IP 172.16.1.61 con mscara de subred
255.255.255.192 en e dspostvo eth0. Una dreccn IP 10.3.2.1 con mscara de subred
255.255.255.240 en e dspostvo eth1.
3. pc*.dominio.tld tene una dreccn IP 172.16.1.102 (o cuaquera otra en e msmo
segmento) con mscara de subred 255.255.255.192 en e dspostvo eth0. Carece de otros
dspostvos de red actvos.
Vsuace desde pc*.dominio os regstros de a taba de rutas esttcas.
route !n
Hernel (< routing table
%estination Iateay Ienmask =lags -etric Re" >se ("ace
176@16@1@$ $@$@$@$ 699@699@699@186 > $ $ $ eth$
$@$@$@$ 176@16@1@1 $@$@$@$ >I $ $ $ eth$
Intente e|ecutar ping haca a dreccn recn aadda en pc+.dominio.
ping !c ? 1$@?@6@1
E resutado esperado es que ping devueva que hay 100% de prdda de paquetes.
<(,I 1$@?@6@1 (1$@?@6@1) 96(54) bytes o" data@
!!! 1$@?@6@1 ping statistics !!!
? packets transmittedB $ receivedB 1$$T packet lossB time 1888ms
Proceda a aadr a ruta esttca que corresponde especfcando a red, mascar de subred y
puerta de enace necesaros para egar haca 10.3.2.1.
route add O
!net 1$@?@6@$ O
netmask 699@699@699@64$ O
g 176@16@1@61 O
eth$
Vsuace de nuevo os regstros de a taba de rutas esttcas.
route !n
176@16@1@$ $@$@$@$ 699@699@699@186 > $ $ $ eth$
$@$@$@$ 176@16@1@1 $@$@$@$ >I $ $ $ eth$
4/.3.2./ 4=2.43.4.4 255.255.255.2E/ UG / / / e$h/
290
ping !c ? 1$@?@6@1
E resutado esperado es que ping responda a png, obtenndose una sada smar a a sguente:
<(,I 1$@?@6@1 (1$@?@6@1) 96(54) bytes o" data@
64 bytes "rom 1$@?@6@1# icmp.seJ*$ ttl*64 time*$@49? ms
64 bytes "rom 1$@?@6@1# icmp.seJ*1 ttl*64 time*$@?65 ms
64 bytes "rom 1$@?@6@1# icmp.seJ*6 ttl*64 time*$@?47 ms
!!! 1$@?@6@1 ping statistics !!!
? packets transmittedB ? receivedB $T packet lossB time 1888ms
rtt min/avg/max/mdev * $@?47/$@?58/$@49?/$@$45 msB pipe 6
Rence e servco de red, vsuace de nuevo os regstros de a taba de rutas esttcas y
compruebe que ya no hay respuesta a hacer ping haca 10.3.2.1 porque e regstro en a taba de
rutas esttcas fue emnado a rencar e servco de red.
route !n
ping !c ? 1$@?@6@1
Para hacer permanente e regstro en a taba de rutas esttcas utce un edtor de texto e
archvo =etc=syscon&ig=netPorL(scripts=route(et$O, y ponga e sguente contendo:
4%%R&SS/*1$@?@6@$
,&0-4SH/*699@699@699@64$
I40&34;/*176@16@1@61
A termnar rence e servco de red.
Vsuace nuevamente os regstros de a taba de rutas esttcas.
route !n
176@16@1@$ $@$@$@$ 699@699@699@186 > $ $ $ eth$
$@$@$@$ 176@16@1@1 $@$@$@$ >I $ $ $ eth$
4/.3.2./ 4=2.43.4.4 255.255.255.2E/ UG / / / e$h/
ping !c ? 1$@?@6@1
291
Rence e servco de red, vsuace de nuevo os regstros de a taba de rutas esttcas y
compruebe de nuevo que hay respuesta a hacer png haca 10.3.2.1.
route !n
ping !c? 1$@?@6@1
33.*.+O. ".ercicio- Direcciones %< virtuales.
Este e|ercco consdera o sguente:
1. Se tene dos (o ms) equpos de cmputo con GNU/Lnux nstaado en stos.
2. pc+.dominio.tld tene una dreccn IP 172.16.1.50, con mscara de subred
255.255.255.192 en e dspostvo eth0. Carece de otros dspostvos de red actvos.
3. Se aadr como nterfaz vrtua (eth0:0) a dreccn IP 172.16.1.51, con mscara de subred
255.255.255.192.
Vsuace as nterfaces de red actvas en e sstema.
i"con"ig
Lo anteror debe devover una sada smar a a sguente, donde se mostrar que soo estn
actvas a nterfaz et$O y a correspondente a dspostvo de retorno de sstema (loopbac'):
inet addr#176@16@1@9$ :cast#176@16@1@6? -ask#699@699@699@186
>< :R/4%)4S0 R>,,(,I ->10()4S0 -0>#19$$ -etric#1
RX packets#64754 errors#$ dropped#$ overruns#$ "rame#$
0X packets#6??66 errors#$ dropped#$ overruns#$ carrier#$
collisions#116 txJueuelen#1$$$
RX bytes#19?6??17 (14@6 -i:) 0X bytes#9784655 (9@9 -i:)
inet addr#167@$@$@1 -ask#699@$@$@$
>< 1//<:4)H R>,,(,I -0>#164?6 -etric#1
RX packets#1??7 errors#$ dropped#$ overruns#$ "rame#$
RX bytes#1691$6 (166@1 Hi:) 0X bytes#1691$6 (166@1 Hi:)
Utce ping para comprobar s acaso hay aguna respuesta desde a nterfaz vrtua et$O-O.
ping !c? 176@16@1@91
<(,I 176@16@1@91 (176@16@1@91) 96(54) bytes o" data@
!!! 176@16@1@91 ping statistics !!!
292
Confgure a travs de i&con&ig os parmetros de a nterfaz vrtua et$O-O. S a sntaxs fue
correcta, e sstema no deber devover mensa|e aguno.
i"con"ig eth$#$ 176@16@1@91 netmask 699@699@699@186
Utce ping para comprobar que haya respuesta desde a nterfaz vrtua et$O-O.
ping !c? 176@16@1@91
<(,I 176@16@1@91 (176@16@1@91) 96(54) bytes o" data@
64 bytes "rom 176@16@1@91# icmp.seJ*$ ttl*64 time*$@49? ms
64 bytes "rom 176@16@1@91# icmp.seJ*1 ttl*64 time*$@?65 ms
i"con"ig
Lo anteror debe devover una sada smar a a sguente, donde se mostrar que est actva a
nterfaz et$O-O |unto con a nterfaz et$O y a correspondente a dspostvo de retorno de
sstema (loopbac'):
>< :R/4%)4S0 R>,,(,I ->10()4S0 -0>#19$$ -etric#1
e$h/D/ 1ink encap#&thernet 23addr $$#$1#$6#$?#$4#$9
>< :R/4%)4S0 R>,,(,I ->10()4S0 -0>#19$$ -etric#1
inet addr#167@$@$@1 -ask#699@$@$@$
>< 1//<:4)H R>,,(,I -0>#164?6 -etric#1
Rence e servco netPorL.
293
Utce e mandato ping para comprobar s an hay respuesta desde a nterfaz vrtua et$O-O.
ping !c? 176@16@1@91
<(,I 176@16@1@91 (176@16@1@91) 96(54) bytes o" data@
i"con"ig
Lo anteror debe devover una sada smar a a sguente, donde se mostrar que ya no est
actva a nterfaz et$O-O, y soo se muestran actvas a nterfaz et$O y a correspondente a
dspostvo de retorno de sstema (loopbac'):
>< :R/4%)4S0 R>,,(,I ->10()4S0 -0>#19$$ -etric#1
inet addr#167@$@$@1 -ask#699@$@$@$
>< 1//<:4)H R>,,(,I -0>#164?6 -etric#1
Para hacer permanente a nterfaz de red vrtua en et$O-O utce un edtor de texto e archvo
=etc=syscon&ig=netPorL(scripts=i&c&g(et$O-O y ponga e sguente contendo M_'espete
may1sculas y min1sculas`N:
%&'()&*eth$#$
(<4%%R*176@16@1@91
,&0-4SH*699@699@699@186
Rence e servco de red.
i"con"ig
294
Lo anteror debe devover una sada smar a a sguente, donde nuevamente se mostrar que
est actva a nterfaz et$O-O |unto con a nterfaz et$O y a correspondente a dspostvo de
retorno de sstema (loopbac'):
>< :R/4%)4S0 R>,,(,I ->10()4S0 -0>#19$$ -etric#1
e$h/D/ 1ink encap#&thernet 23addr $$#$1#$6#$?#$4#$9
inet addr#4=2.43.4.54 :cast#186@165@1@699 -ask#255.255.255.4<2
>< :R/4%)4S0 R>,,(,I ->10()4S0 -0>#19$$ -etric#1
inet addr#167@$@$@1 -ask#699@$@$@$
>< 1//<:4)H R>,,(,I -0>#164?6 -etric#1
Utce e mandato ping para comprobar que haya respuesta desde a nterfaz vrtua et$O-O.
ping !c? 176@16@1@91
<(,I 176@16@1@91 (176@16@1@91) 96(54) bytes o" data@
64 bytes "rom 176@16@1@91# icmp.seJ*$ ttl*64 time*$@49? ms
La nterfaz et$O-O estar actva a sguente vez que nce e sstema operatvo con a dreccn IP
y mscara de subred asgnados.
295
34. Cmo con&igurar GA)s en ?),=inu2..
34.+. %ntroduccin.
De acuerdo a Wkpeda, 2una ;%A? @acr/nimo de 'irtual (A!, o Aed de Brea %ocal ;irtualC es un
mtodo para crear redes l/gicamente independientes dentro de una misma red fsica. ;arias
;%A?s pueden coe4istir en un Dnico conmutador fsico o en una Dnica red fsica. $on Dtiles para
reducir el tama!o del dominio de difusi/n y ayudan en la administraci/n de la red, separando
segmentos l/gicos de una red de rea local, impidiendo que puedan intercambiar datos usando la
red local.3
Su mpementacn requere de dsponer de conmutadores (swtches) con capacdad para VLAN
(protocoo 802.1q), os cuaes debern estar previamente con&igurados para gestonar agunas
VLANs (y saber cmo hacero), y entender perfectamente IP versn 4.
34.*. "#uipamiento lgico necesario.
E soporte necesaro para confgurar VLANs se ncuye |unto con e paquete vcon&ig, msmo que
puede nstaarse de sguente modo en Cent0> 5 y 'ed Eat "nterprise inu2 5 y versones
posterores de stos:
yum !y install vcon"ig
34.3. <rocedimientos.
Edtar e archvo =etc=syscon&ig=netPorL:
vim /etc/syscon"ig/netork
Aadr e sguente parmetro para actvar e soporte para VLAN, msmo que permtr que
posterormente cargue automtcamente e mduo 9O*+# de nceo de Lnux:
'14,*yes
Asumendo que se utza a nterfaz eth1 para acceder a a red oca, edtar e archvo de
confguracn:
vim /etc/syscon"ig/netork!scripts/i"c"g!eth1
296
Outar todos os parmetros de red, y soo de|ar o sguente:
%&'()&*eth1
0;<&*&thernet
://0<R/0/*none
/,://0*yes
234%%R*xx#xx#xx#xx#xx#xx
,-.)/,0R/1&%*no
Rencar e servco de red a fn de que apque e cambo y para que cargue de manera automtca
e mduo 9O*+# de nceo de Lnux.
Pueden crearse manera tempora (se perdern uego de rencar e sstema) os dspostvos de
VLAN de sguente modo:
vcon"ig add eth1 6
vcon"ig add eth1 ?
vcon"ig add eth1 4
i"con"ig eth1@6 176@16@$@69 netmask 699@699@699@186
i"con"ig eth1@? 176@16@$@168 netmask 699@699@699@186
i"con"ig eth1@4 176@16@$@18? netmask 699@699@699@186
En caso de que sea necesaro, para emnar os dspostvos de VLAN, se utza nuevamente e
mandato vcon&ig, con a opcn rem, segudo de nombre de dspostvo VLAN. Sguendo e
e|empo utzado en este documento, soo habra que e|ecutar o sguente:
vcon"ig rem eth1@6
vcon"ig rem eth1@?
vcon"ig rem eth1@4
Para que os dspostvos de VLANs sean permanentes, es necesaro crear, dentro de drectoro
=etc=syscon&ig=netPorL(scripts, os archvos de confguracn de nterfaz, sguendo e sguente
formato:
ic"g!eth1@nbmero!vlan
E nmero de VLAN, preferentemente debe corresponder son e mmos utzado en e conmutador
prncpa. Se debe evitar usar a VLAN 1 (eth1.1 o eth0.1), 172.16.0.1 como IP para e servdor, as
como tambn evtar utzar a red 172.16.0.0/26, porque sueen corresponder a nmero de VLAN,
dreccn IP, y segmento de red que reguarmente utzan os conmutadores.
E|empo de contendo de =etc=syscon&ig=netPorL(scripts=i&c&g(et$+.*.
297
%&'()&*eth1@6
0;<&*&thernet
://0<R/0/*static
/,://0*yes
,-.)/,0R/1&%*no
(<4%%R*176@16@$@69
,&0-4SH*699@699@699@186
:R/4%)4S0*176@16@$@167
,&03/RH*176@16@$@64
E|empo de contendo de =etc=syscon&ig=netPorL(scripts=i&c&g(et$+.3
%&'()&*eth1@?
0;<&*&thernet
://0<R/0/*static
/,://0*yes
,-.)/,0R/1&%*no
(<4%%R*176@16@$@168
,&0-4SH*699@699@699@186
:R/4%)4S0*176@16@$@181
,&03/RH*176@16@$@165
E|empo de contendo de =etc=syscon&ig=netPorL(scripts=i&c&g(et$+.4
%&'()&*eth1@4
0;<&*&thernet
://0<R/0/*static
/,://0*yes
,-.)/,0R/1&%*no
(<4%%R*176@16@$@18?
,&0-4SH*699@699@699@186
:R/4%)4S0*176@16@$@699
,&03/RH*176@16@$@186
Rencar nuevamente e servco de red a fn de que ncen as nterfaces de VLAN.
Verfcar con e mandato i&con&ig que todas as VLAN estn presentes.
i"con"ig
La sada debe ser ago smar a o sguente:
298
eth$ 1ink encap#&thernet 23addr 44#57#=)#44#%%#6%
inet6 addr# "e5$##666#b8""#"e?5#?6bc/64 Scope#1ink
>< :R/4%)4S0 R>,,(,I ->10()4S0 -0>#19$$ -etric#1
RX packets#1?916145 errors#$ dropped#$ overruns#$ "rame#$
0X packets#19?956$6 errors#$ dropped#$ overruns#$ carrier#$
collisions#$ txJueuelen#1$$$
RX bytes#4449$65455 (4@1 Ii:) 0X bytes#161?4864?97 (11@? Ii:)
(nterrupt#166 -emory#da$$$$$$!da$165$$
eth$@6 1ink encap#&thernet 23addr 44#57#=)#44#%%#6%
inet addr#176@16@$@69 :cast#176@16@$@167 -ask#699@699@699@186
inet6 addr# "e5$##4657#"c""#"eaa#dd6d/64 Scope#1ink
>< :R/4%)4S0 R>,,(,I ->10()4S0 -0>#19$$ -etric#1
RX packets#$ errors#$ dropped#$ overruns#$ "rame#$
0X packets#15 errors#$ dropped#$ overruns#$ carrier#$
RX bytes#$ ($@$ b) 0X bytes#4??? (4@6 Hi:)
eth$@? 1ink encap#&thernet 23addr 44#57#=)#44#%%#6%
inet addr#176@16@$@168 :cast#176@16@$@181 -ask#699@699@699@186
>< :R/4%)4S0 R>,,(,I ->10()4S0 -0>#19$$ -etric#1
0X packets#16 errors#$ dropped#$ overruns#$ carrier#$
RX bytes#$ ($@$ b) 0X bytes#46?9 (4@1 Hi:)
eth$@4 1ink encap#&thernet 23addr 44#57#=)#44#%%#6%
inet addr#176@16@$@18? :cast#176@16@$@699 -ask#699@699@699@186
>< :R/4%)4S0 R>,,(,I ->10()4S0 -0>#19$$ -etric#1
0X packets#1? errors#$ dropped#$ overruns#$ carrier#$
RX bytes#$ ($@$ b) 0X bytes#?4$9 (?@? Hi:)
inet addr#167@$@$@1 -ask#699@$@$@$
inet6 addr# ##1/165 Scope#2ost
>< 1//<:4)H R>,,(,I -0>#164?6 -etric#1
RX packets#15? errors#$ dropped#$ overruns#$ "rame#$
0X packets#15? errors#$ dropped#$ overruns#$ carrier#$
RX bytes#61?85 (6$@5 Hi:) 0X bytes#61?85 (6$@5 Hi:)
34.3.+. Administrando direcciones %< de las GA)s a travs de un
servidor DEC<.
Para avo de os admnstradores de sstemas, es posbe utzar e servco de DHCP para
gestonar a admnstracn de dreccones IP a travs de un servdor DHCP.
Edtar e archvo =etc=syscon&ig=d$cpd, y defnr as nterfaces de VLAN a utzar |unto con e
servdor DHCP.
%2)<%4RIS*+eth1@6 eth1@? eth1@4+V
Edtar e archvo =etc=d$cpd.con& (Cent0> 5 y 'ed Eat "nterprise inu2 5), o ben
=etc=d$cp=d$cpd.con& (Cent0> 6 y 'ed Eat "nterprise inu2 6), defnr una seccn por cada
red:
299
server!identi"ier servidor@red!local@netV
ddns!update!style interimV
ignore client!updatesV
authoritativeV
de"ault!lease!time 8$$V
max!lease!time 76$$V
option ip!"orarding o""V
option domain!name +red!local@net+V
option ntp!servers 6$$@6?@91@6$9B 1?6@645@51@68B 145@6?4@7@?$V
shared!netork vlan6 \
subnet 176@16@$@64 netmask 699@699@699@186 \
option routers 176@16@$@69V
option subnet!mask 699@699@699@186V
option broadcast!address 176@16@$@167V
option domain!name!servers 176@16@$@69V
option netbios!name!servers 176@16@$@69V
range 176@16@$@66 176@16@$@166V
]
]
shared!netork vlan? \
subnet 176@16@$@165 netmask 699@699@699@186 \
option routers 176@16@$@168V
option domain!name!servers 176@16@$@186V
option netbios!name!servers 176@16@$@186V
range 176@16@$@1?$ 176@16@$@18$V
]
]
shared!netork vlan4 \
subnet 176@16@$@186 netmask 699@699@699@186 \
option routers 176@16@$@18?V
option domain!name!servers 176@16@$@18?V
option netbios!name!servers 176@16@$@18?V
range 176@16@$@184 176@16@$@694V
]
]
Rencar (o ncar, segn sea e caso) e servco d$cpd, y comprobar que funcone correctamente
e servco, conectando agunos equpos a os conmutadores nvoucrados.
service dhcpd restart
300
35. Cmo con&igurar acoplamiento de tar.etas
de red M!ondingN.
35.+. %ntroduccin.
E controador !onding, orgnamente creado por Donald BecLer, est ncudo en prctcamente
todas as dstrbucones de GNU/Lnux y permte sumar as capacdades de varas nterfaces fscas
de red con ob|eto de crear una nterfaz gca. Esto se eva a cabo con e ob|eto de contar con
redundanca o ben baanceo de carga.
35.*.+. Arc$ivo de con&iguracin =etc=modpro!e.con&.
Se estabece e controador !onding para crear a nterfaz !ondO de sguente modo:
alias bonding bond$
E controador puede evar parmetros que permten modfcar su funconamento, de entre os
cuaes os ms mportantes son mode y miimon. A fn de obtener un buen funconamento
confabe, es mportante confgurar a menos stos dos parmetros.
Para fnes generaes, se puede smpemente confgurar de sguente modo:
alias bond$ bonding
options bonding mode*$ miimon*$
Lo anteror estabece en e parmetro mode a potca de baanceo de carga y toeranca a faos y
desactva en e parmetro miimon a supervsn de :%%, que corresponde a confguracn ms
comn.
A termnar con e archvo =etc=modpro!e.con&, es mportante utzar e mandato depmod para
regenerar e archvo modules.dep y os archvos mapa de os controadores.
depmod
Lo anteror soo debe devover e smboo de sstemas despus de unos segundos.
301
35.*.+.+. <ar;metro mode.
Se utza para estabecer a potca ba|a a cua se har traba|ar as tar|etas en con|unto. Los
posbes vaores son:
0 (cero): Estabece una potca de 'ound('o!in, que es un agortmo que asgna una carga
equtatva y ordenada a cada proceso, para proporconar tolerancia a &allos y !alanceo de
carga entre os membros de arrego de dspostvos. Todas as transmsones de datos son
envadas y recbdas de forma secuenca en cada nterfaz escava de arrego empezando con a
prmera que est dsponbe. "s la poltica predeterminada de controador y a que funcona
para a mayora de os casos.
1 (uno): Estabece una potca de respado actvo que proporcona tolerancia a &allos. Todo e
trfco se transmte a travs de una tar|eta y soo se utzar a otra en caso de que fae a
prmera.
2 (dos): Estabece una potca D0' (e4clusive6or, excusva-o) para proporconar tolerancia a
&allos y !alanceo de carga. Este agortmo compara as soctudes entrantes de as dreccones
:AC hasta que concden para a dreccn :AC (:eda Access Contro) de una de as tar|etas
escavas. Una vez que se estabece e enace, as transmsones de datos de datos son envadas en
forma secuenca empezando con a prmera nterfaz dsponbe.
3 (tres): Estabece una potca de 'ound('o!in, para proporconar tolerancia a &allos y
!alanceo de carga. Todas as transmsones de datos son envadas de forma secuenca en cada
nterfaz escava de arrego empezando con a prmera que est dsponbe.
En e sguente e|empo se estabece a potca 0 (cero):
options bonding 9o-e=/
35.*.+.*. <ar;metro miimon.
Se utza para especfcar cada cuantos msegundos se debe supervsar e enace :%% (:eda
%ndependent %nterface). Se utza cuando se necesta ata dsponbdad para verfcar s a nterfaz
est actva y verfcar s hay un cabe de red conectado. En e sguente e|empo se estabecen 100
msegundos:
options bonding mode*$ 9%%9on=4//
Se requere que todos os controadores de arrego de tar|etas tengan soporte para :%%. Para
verfcar s e controador de a tar|eta tene soporte para :%%, se utza e mandato et$tool, donde
a sada debe devover e parmetro inL Detected con e vaor yes. E|empo:
ethtool eth$
Lo anteror debe devover ago smar a o sguente:
Settings "or eth$#
Supported ports# D 0< -(( E
Supported link modes# 1$base0/2al" 1$base0/=ull
1$$base0/2al" 1$$base0/=ull
Supports auto!negotiation# ;es
302
4dvertised link modes# 1$base0/2al" 1$base0/=ull
1$$base0/2al" 1$$base0/=ull
4dvertised auto!negotiation# ;es
Speed# 1$$-b/s
%uplex# 2al"
<ort# -((
<2;4%# ?6
0ransceiver# internal
4uto!negotiation# on
Supports 3ake!on# pumbg
3ake!on# d
)urrent message level# $x$$$$$$$7 (7)
1ink detected# yes
Para desactvar esta funcn, se utza e vaor 0 (cero). E|empo:
options bonding mode*$ 9%%9on=/
35.*.*. Arc$ivo de con&iguracin =etc=syscon&ig=netPorL(scripts=!ondO.
Este se confgura con os msmo parmetros que una tar|eta norma. Requere os parmetros
0)B00@, B00@<'0@0, D"G%C", %<ADD', )"@:A>K y ?A@"bAX.
En e sguente e|empo se confgura a nterfaz !ondO con a dreccn IP esttca 192.168.0.1,
mscara de subred 255.255.255.0, puerta de enace 192.168.0.254 y a nterfaz nca |unto con e
sstema creando e archvo =etc=syscon&ig=netPorL(scripts=i&c&g(!ondO con e sguente
contendo:
%&'()&*bond$
/,://0*yes
://0<R/0/*static
(<4%%R*186!165@$@1
,&0-4SH*699@699@699@$
I40&34;*186@165@$@694
Las nterfaces de red a utzar como escavas se confguran de a sguente forma, consderando
que se tene eth0 y eth1, e contendo de archvo =etc=syscon&ig=netPorL(scripts=i&c&g(et$O
sera:
%&'()&*eth$
://0<R/0/*none
/,://0*no
S14'&*yes
-4S0&R*bond$
Y e contendo de archvo =etc=syscon&ig=netPorL(scripts=i&c&g(et$+ sera:
%&'()&*eth1
://0<R/0/*none
/,://0*no
S14'&*yes
-4S0&R*bond$
303
35.*.3. %niciarF detener y reiniciar el servicio netPorL.
Para e|ecutar por prmera vez e servco netPorL tras confgurar e acopamento de tar|etas,
utce:
service netork start
Para hacer que os cambos hechos tras modfcar a confguracn surtan efecto, utce:
Para detener e servco netPorL utce:
service netork stop
35.3. Compro!aciones.
Para verfcar que a nterfaz gca qued confgurada, en e caso de haber utzado as nterfaces
eth0 y eth1, utce:
i"con"ig
bond$ 1ink encap#&thernet 23addr $$#$1#5$#41#8)#54
inet addr#186@165@1@64 :cast#186@165@1@699 -ask#699@699@699@$
inet6 addr# "e5$##6$1#5$""#"e41#8c5a/64 Scope#1ink
>< :R/4%)4S0 R>,,(,I -4S0&R ->10()4S0 -0>#19$$ -etric#1
0X packets#?517 errors#7 dropped#$ overruns#$ carrier#$
collisions#? txJueuelen#$
RX bytes#?48?1?8 (?@? -i:) 0X bytes#489$69 (45?@4 Hi:)
eth$ 1ink encap#&thernet 23addr $$#$1#5$#41#8)#54
>< :R/4%)4S0 R>,,(,I S14'& ->10()4S0 -0>#19$$ -etric#1
RX packets#9$96 errors#$ dropped#$ overruns#$ "rame#$
0X packets#?751 errors#$ dropped#$ overruns#$ carrier#$
collisions#? txJueuelen#1$$$
RX bytes#?474659 (?@? -i:) 0X bytes#4556?6 (477@1 Hi:)
(nterrupt#11 :ase address#$xc$$$
eth1 1ink encap#&thernet 23addr $$#$1#5$#41#8)#54
>< :R/4%)4S0 R>,,(,I S14'& ->10()4S0 -0>#19$$ -etric#1
0X packets#?6 errors#7 dropped#$ overruns#$ carrier#$
collisions#$ txJueuelen#1$$$
RX bytes#15494 (15@$ Hi:) 0X bytes#6?8? (6@6 Hi:)
(nterrupt#1$
inet addr#167@$@$@1 -ask#699@$@$@$
inet6 addr# ##1/165 Scope#2ost
304
>< 1//<:4)H R>,,(,I -0>#164?6 -etric#1
RX packets#61?5 errors#$ dropped#$ overruns#$ "rame#$
0X packets#61?5 errors#$ dropped#$ overruns#$ carrier#$
RX bytes#5?64564 (7@8 -i:) 0X bytes#5?64564 (7@8 -i:)
Para verfcar que as nterfaces de red estn funconando correctamente, y que hay un cabe de
red conectado a stas, se utza e mandato et$tool de sguente modo:
ethtool eth$ Zgrep +1ink detected+
ethtool eth1 Zgrep +1ink detected+
S ambas tar|etas tene soporte para :%%, o anteror debe devover o sguente:
1ink detected# yes
1ink detected# yes
35.4. Bi!liogra&a.
Thomas Davs: http://www.nuxfoundaton.org/en/Net:Bondng
Thomas Davs: http://www.kerne.org/pub/nux/kerne/peope/marceo/nux-
2.4/Documentaton/networkng/bondng.txt
305
36. Cmo conectarse a una red bi&i desde la
terminal.
36.+. %ntroduccin.
Confgurar, y conectarse a una red Wf desde a nterfaz grfca es un procedmento
reatvamente trva, de|ando que todos os procedmentos os reacen NetworkManager o
Connman. Sn embargo ha crcunstancas en as cuaes puede ser necesaro conectarse a una red
Wf desde una termna. A contnuacn descrbr os procedmentos para conectarse a os dos
tpos de redes Wf ms utzados, WEP, y WPA, con confguracones bscas utzadas en
dspostvos como seran os puntos de acceso de os modem ADSL de Prodgy Infntum.
36.+.+. Bue es b<A? <or #u de!era usarlo en lugar de b"<?
b<A (b-F <rotected Access), y b<A* es una case de sstemas para e aseguramento de redes
nambrcas. b<A fue creado en respuesta a as seras debdades de otros protocoos como
b"< (bred "quvaent <rvacy). Impementa a mayora de o que conforma e estndar %"""
9O*.++i, y fue dseado para funconar con todas os dspostvos para redes nambrcas,
excepto os puntos de acceso de prmera generacn. b<A* mpementa todo e estndar %"""
9O*.++i, pero no funcona con muchos dspostvos ve|os.
b<A fue creado por e grupo ndustra, y comerca Aanza W-F, dueos de a marca regstrada
bi(Fi, y certfcadores de os dspostvos que ostenten dcho nombre.
Los datos utzan e agortmo RC4 con una cave de 128 bts, y un vector de ncazacn de 48
bts. Una de as me|oras ms sobresaentes sobre su predecesor, b"<, es @K%< (@empora Key
%ntegrty <rotoco, o Protocoo de ntegrdad de cave tempora), e cua consste en e cambo
dnmco mentras se utza e sstema. Cuando se combna con Gectores de %niciali8acin
mayores, hace consderabemente ms dfc reazar ataques para a obtencn de aves, como
ocurre con b"<.
Adems de proporconar autentcacn, y cframento, b<A proporcona me|or ntegrdad de a
carga t. La verfcacn de redundanca ccca (C'C o Cycc 'edundancy Check) utzada en
b"< es nsegura porque permte aterar a carga t, y actuazar e mensa|e de verfcacn de
redundanca ccca sn necesdad de conocer a cave b"<. En cambo b<A utza un Cdigo de
%ntegridad de :ensa.e (:%C o :essage %ntegrty Code) que es en readad un agortmo
denomnado 2Eicael3, que fue e ms fuerte que se pudo utzar con dspostvos antguos para
redes nambrcas a fn de no de|ar obsoetos a stos. E Cdigo de %ntegridad de :ensa.e de
b<A ncuye un un mecansmo que contrarresta os ntentos de ataque para vunerar @K%<, y
boques temporaes.
306
En resumen, b<A hace ms dfc vunerar as redes nambrcas a ncrementar os tamaos de
as caves,, y Gectores de %niciali8acin, reducendo e nmero de paquetes envados con caves
reaconadas,, y aadendo un sstema de verfcacn de mensa|es.
Adems de poder utzar una cave compartda (<>K o <re->hared Key), o cua supe a
compe|dad de mpementacn de un servdor de autentcacn 9O*.+D en hogares, y ofcnas
pequeas, b<A puede utzar <rotocolos "2tensi!les de Autenticacin ("A< o ("xtensbe
Authentcaton <rotoco), como os sguentes:
EAP-TLS
EAP-TTLS/MSCHAPv2
PEAPv0/EAP-MSCHAPv2
PEAPv1/EAP-GTC
EAP-SIM
EAP-LEAP
Entre os dversos servdores que pueden utzarse para este tpo de mpementacones, est
Free'AD%,>. Alcance i!re cuenta con un modesto documento para a confguracn de esta
mpementacn.
36.*.+. %nstalacin a travs de yum.
Se requeren os paquetes Pireless(tools, y PpaQsupplicant. Para nstaar o actuazar e
equpamento gco necesaro en Fedora, Cent0> 5, y 6 o 'ed Eath "nterprise inu2 5 o 6,, y
versones posterores de stos, soo se necesta e|ecutar como root o sguente:
yum !y install ireless!tools pa.supplicant
S utza De!ian o ,!untu,, y versones posterores, soo se necesta reazar o sguente para
nstaar o actuazar e equpamento gco necesaro:
sudo apt!get install ireless!tools pa.supplicant
36.*.*. <reparativos.
En sstemas operatvos basados sobre Fedora, CentOS, y Red Hat Enterprse Lnux, e prmer paso
consste en cambarse a usuaro root:
su !l
En sstemas operatvos basados sobre Ubuntu Lnux, se puede utzar e mandato sudo para todos
os procedmentos, precedendo todos os mandatos utzados con sudo.
307
sudo cualJuier mandato utiliCado
E|empos:
sudo i"up lo
sudo icon"ig lan$
sudo ilist lan$ scan
Debdo a que e servco NetworkManager har confcto con os procedmentos, se debe detener
este servco:
service ,etork-ananger stop
Muchos componentes de sstema requeren que est actva a nterfaz de retorno de sstema
(oopback), por o que es mportante ncar sta:
i"up lo
Para poder comenzar a utzar a nterfaz Wf, soo basta e|ecutar e mandato wconfg sobre dcha
nterfaz:
icon"ig lan$
Es buena dea reazar un escaneado de as redes Wf dsponbes para asegurarse se puede
acceder a a red Wf deseada,, y para determnar e protocoo a utzar:
ilist lan$ scan
36.*.3. Autenticando en el punto de acceso.
36.*.3.+. A travs de redes b"<.
Para redes WEP, que se caracterzan por tener una segurdad muy pobre, es muy smpe. Soo
basta utzar dos mandatos. E prmero defne e nombre de punto de acceso a utzar:
icon"ig lan$ essid punto!de!acceso
E segundo mandato se utza para defnr a cave de acceso a utzar, sea de 64 o 128 bt.
icon"ig lan$ key clave!de!acceso
S se utza una cave WEP tpo ASCII, se defne de a sguente manera:
icon"ig lan$ key s#clave!de!acceso
308
36.*.3.*. A travs de redes b<A.
Se procede a determnar e nombre de a red Wf a utzar, y a cave de acceso. E mandato
PpaQpassp$rase se utzar para generar un archvo de confguracn a utzar posterormente:
pa.passphrase punto!de!acceso clave!de!acceso L /root/pa@con"
S se reaza e procedmento desde Ubuntu Lnux, e mandato anteror faar s se utza sudo
debdo a mtacones de segurdad de sudo,, y deber utzarse entonces e sguente:
sudo bash !c +pa.passphrase punto!de!acceso clave!de!acceso L /root/pa@con"+
Lo anteror generar e archvo Ppa.con& dentro de drectoro de nco de usuaro root.
Para ncar a autentcacn con a red Wf, se utza e mandato PpaQsupplicant con as
opcones (B, para envar e procesos a segundo pano, -D, para especfcar e controador a utzar,,
y -c, para especfcar e archvo de confguracn creado en e paso anteror.
pa.supplicant !: !%ext !ilan$ !c/root/pa@con"
36.*.4. Asignando par;metros de red a la inter&a8.
36.*.4.+. ,tili8ando d$client.
Lo ms comn es utzar e mandato d$client para de|ar que e servdor DHCP de punto de
acceso o a LAN se encargue de asgnar os parmetros de red para a nterfaz. Es buena dea
ndcar a d$client que bere e prstamo que estuvera asgnado en e servdor DHCP:
dhclient !r
Para obtener una nueva dreccn IP, se utza e mandato d$client de a sguente manera:
dhclient lan$
36.*.4.*. Asignando manualmente los par;metros de red.
S se conocen os datos para a confguracn de red, tambn es posbe asgnaros manuamente.
En e sguente e|empo, se asgna a a nterfaz wan0 a dreccn IP 192.168.70.50, con mscara
de subred 255.255.255.128, y puerta de enace 192.168.70.1:
i"con"ig lan$ 186@165@7$@9$ netmask 699@699@699@165
route add !net $@$@$@$ netmask $@$@$@$ g 186@165@7$@1 lan$
Para defnr e servdor DNS, como e usuaro root, se edta e archvo =etc=resolv.con&, y se defne
a dreccn IP de servdor DNS a utzar. En e sguente e|empo, se defne 192.168.70.1 como
servdor DNS:
echo +nameserver 186@165@7$@1+ L /etc/resolv@con"
309
S se reaza e procedmento desde Ubuntu Lnux, e mandato anteror faar s se utza sudo
debdo a mtacones de segurdad de sudo,, y deber utzarse entonces e sguente:
sudo bash !c +echo Unameserver 186@165@7$@1U L /etc/resolv@con"+
36.*.4.3. Asignacin permanente de par;metros de red en FedoraF Cent0>F y
'ed Eat "nterprise inu2.
Soo es necesaro crear e archvo de nterfaz, dentro de =etc=syscon&i=netPorL(scrips= sguendo
e sguente formato:
i"c"g!4uto.punto!de!acceso
Como e|empo, s se desea conectar e sstema a un punto de acceso denomnado alcance*, se
debe crear e archvo =etc=syscon&i=netPorL(scrips=i&c&g(AutoQalcance*:
vim /etc/syscon"i/netork!scrips/i"c"g!4uto.alcance6
S se va a conectar a travs de DHCP,, y utzar WEP, poner e sguente contendo:
,4-&*+4uto alcance6+
/,://0*yes
0;<&*3ireless
://0<R/0/*dhcp
&SS(%*alcance6
-/%&*-anaged
S&)>R(0;.-/%&*open
%&=4>10H&;*1
<&&R%,S*yes
<&&RR/>0&S*yes
%2)<.)1(&,0.(%*nombre!eJuipo
%2)<.2/S0,4-&*nombre!eJuipo
S se va a conectar a travs de DHCP,, y utzar WPA, poner e sguente contendo:
,4-&*+4uto alcance6+
/,://0*yes
0;<&*3ireless
://0<R/0/*dhcp
&SS(%*alcance6
-/%&*-anaged
H&;.-I-0*3<4!<SH
<&&R%,S*yes
<&&RR/>0&S*yes
%2)<.)1(&,0.(%*nombre!eJuipo
%2)<.2/S0,4-&*nombre!eJuipo
Para a cave de acceso de punto de acceso, es necesaro crear e archvo =etc=syscon&i=netPorL(
scrips=Leys(AutoQalcance*:
vim /etc/syscon"i/netork!scrips/keys!4uto.alcance6
S se va a conectar por WEP, poner e sguente contendo:
310
H&;.<4SS<2R4S&1*clave!de!acceso
S se va a conectar por WPA, poner e sguente contendo:
3<4.<SH*clave!de!acceso
Hecho todo o anteror, ser posbe ncar o detener a nterfaz utzando os mandatos i&up e
i&doPn.
36.3. Bi!liogra&a.
http://en.wkpeda.org/wk/W-F_Protected_Access
http://www.acancebre.org/artce.php/20070404112747533
http://www.acancebre.org/artce.php/20070403184255131
311
37. Cmo utili8ar lso&
37.+. %ntroduccin.
37.+.+. Acerca de lso&.
so& es un mandato que sgnfca 2listar arcivos abiertos3 (lst open &es). Es utzado
ampamente en sstemas operatvos tpo <0>%D para hacer reportes de archvos y os procesos
que estn utzando a stos. Se puede utzar para revsar que procesos estn hacendo uso de
drectoros, archvos ordnaros, tuberas (pipes), zcaos de red (soc'ets) y dspostvos. Uno de os
prncpaes usos de determnar que procesos estn hacendo uso de archvos en una partcn
cuando esta no se puede desmontar. so& fue desarroado por Gic A!ell, quen aguna vez fue
drector de Centro de Cmputo de a ,niversidad de <urdue.
En ausenca de parmetros, lso& mostrar todos os procesos hacendo uso de archvos. En
e|empo de a sada tpca sera como a sguente:
)/--4,% <(% >S&R =% 0;<& %&'()& S(G& ,/%& ,4-&
init 1 root cd %(R 8B? 4$86 6 /
init 1 root rtd %(R 8B? 4$86 6 /
init 1 root txt R&I 8B? ?566$ 1464?4 /sbin/init
init 1 root mem R&I 8B? 1697?6 1799$7 /lib/ld!
6@9@so
init 1 root mem R&I 8B? 16$6164 179914
/lib/i656/nosegneg/libc!6@9@so
init 1 root mem R&I 8B? 16465 179915 /lib/libdl!
6@9@so
init 1 root mem R&I 8B? 8?9$5 179677
/lib/libselinux@so@1
init 1 root mem R&I 8B? 64655$ 17997?
/lib/libsepol@so@1
init 1 root 1$u =(=/ $B19 194? /dev/initctl
Para vsuazar ms cmodamente esta sada, se puede utzar e mandato less o e mandato
more como subrutnas. E|empo:
lso" Z less
Puede especfcarse que se muestren todos os procesos desde un drectoro en partcuar,
soamente especfcando este uego de lso&. En e sguente e|empo se socta a lso& mostrar
todos os procesos que estn hacendo uso de ago dentro de /var.
312
lso" /var
La sada de a anteror puede ser smar a a sguente:
)/--4,% <(% >S&R =% 0;<& %&'()& S(G& ,/%& ,4-&
auditd 6647 root 9 R&I 8B1 4$5$95 9?416$5 /var/log/audit/audit@log
syslogd 6651 root 1 R&I 8B1 11?47$5 17$$698? /var/log/messages
syslogd 6651 root 6 R&I 8B1 16461 17$$6984 /var/log/secure
syslogd 6651 root ? R&I 8B1 8869 17$$6989 /var/log/maillog
syslogd 6651 root 4 R&I 8B1 ???8 17$$6985 /var/log/cron
syslogd 6651 root 9 R&I 8B1 $ 17$$6986 /var/log/spooler
syslogd 6651 root 6 R&I 8B1 816 17$$6987 /var/log/boot@log
named 6?9$ named cd %(R 8B1 4$86 16?9164$ /var/named/chroot/var/named
named 6?9$ named rtd %(R 8B1 4$86 16?916?6 /var/named/chroot
named 6?9$ named 8r )2R 1B5 16?91646 /var/named/chroot/dev/random
rpc@statd 64$7 root cd %(R 8B1 4$86 194??768 /var/lib/n"s/statd
rpc@statd 64$7 root 5 R&I 8B1 9 699815?1 /var/run/rpc@statd@pid
S se quere mostrar soamente e archvo utzado por un procesos en partcuar, se utza a
opcn -p seguda de nmero de proceso. En e sguente e|empose socta a lso& mostrar os
archvos utzados por e proceso 2281 que arbtraramente se e|ecuta en un sstema:
lso" !p 6651
S hubera un proceso 2281, a sada podra verse como a sguente:
)/--4,% <(% >S&R =% 0;<& %&'()& S(G& ,/%& ,4-&
syslogd 6651 root cd %(R 8B? 4$86 6 /
syslogd 6651 root rtd %(R 8B? 4$86 6 /
syslogd 6651 root txt R&I 8B? ?95$$ 146?86 /sbin/syslogd
syslogd 6651 root mem R&I 8B? 16$6164 179914 /lib/i656/nosegneg/libc!6@9@so
syslogd 6651 root mem R&I 8B? 4665$ 179968 /lib/libnss."iles!6@9@so
syslogd 6651 root mem R&I 8B? 1697?6 1799$7 /lib/ld!6@9@so
syslogd 6651 root $u unix $xc$ac"c5$ 68$8 /dev/log
syslogd 6651 root 1 R&I 8B1 11?47$5 17$$698? /var/log/messages
syslogd 6651 root 6 R&I 8B1 16461 17$$6984 /var/log/secure
syslogd 6651 root ? R&I 8B1 8869 17$$6989 /var/log/maillog
syslogd 6651 root 4 R&I 8B1 ???8 17$$6985 /var/log/cron
syslogd 6651 root 9 R&I 8B1 $ 17$$6986 /var/log/spooler
syslogd 6651 root 6 R&I 8B1 816 17$$6987 /var/log/boot@log
La opcn (i har que se muestren todos os archvos de red (%nternet y 2.*5) utzados por
procesos de red. S se quere mostrar os archvos de red en uso por agn proceso de red en
partcuar, se utzan as opcones (i segudo de una subrutna con grep y e nombre de agn
servco. En e sguente e|empo se pde a lso& mostrar soamente os archvos de red utzados
por os procesos de red dervados de named:
lso" !i Z grep named
Lo anteror puede devover una sada smar a a sguente.
named 6?9$ named 6$u (<v4 7$81 >%< localhost@localdomain#domain
named 6?9$ named 61u (<v4 7$86 0)< localhost@localdomain#domain (1(S0&,)
named 6?9$ named 66u (<v4 7$8? >%< servidor@redlocal@net#domain
named 6?9$ named 6?u (<v4 7$84 0)< servidor@redlocal@net#domain (1(S0&,)
named 6?9$ named 64u (<v4 7$89 >%< K#"ilenet!tms
named 6?9$ named 69u (<v6 7$86 >%< K#"ilenet!rpc
named 6?9$ named 66u (<v4 7$87 0)< localhost@localdomain#rndc (1(S0&,)
named 6?9$ named 67u (<v6 7$85 0)< localhost6@localdomain6#rndc (1(S0&,)
313
named 6?9$ named 65u (<v4 119?78$ >%< 186@165@166@1#domain
314
39. Cmo utili8ar )etcat MncN
39.+. %ntroduccin.
39.+.+. Acerca de )etcat.
)etcat, o nc que es a forma en que se utza en e ntrprete de mandatos, es una herramenta
utzada para supervsar y escrbr sobre conexones tanto por @C< como por ,D<. Puede abrr
conexones @C<, envar paquetes ,D<, escuchar sobre puertos arbtraros tanto @C< como ,D<,
supervsn de puertos y ms, tanto para %<v4 como %<v6. Es una de as herramentas de
dagnstco y segurdad ms popuares y tambn una de as me|or cafcadas por a comundad.
S se utza de CentOS 5, Red Hat Enterprse Lnux 5 o Whte Box Enterprse Lnux 5, o versones
posterores, se puede nstaar o necesaro utzando o sguente:
yum !y install nc
39.*.*. %nstalacin a travs de ,p*date
S se utza de Red Hat Enterprse Lnux 4, o versones posterores, se puede nstaar utzando o
sguente:
up6date !i nc
39.3.+. Cone2iones simples.
Para ncar una conexn haca agn puerto en agn sstema, se utza e mandato nc segudo de
una dreccn %< y un puerto a cua conectarse. En e sguente e|empo se reazar una conexn
haca e puerto 25 (>:@<) de +*7.O.O.+:
nc 167@$@$@1 69
315
S hay un servdor de correo funconado, o anteror puede devover una sada smar a a
sguente:
66$ localhost@localdomain &S-0< V 3edB 65 -ay 6$$5 1$#64#96 !$9$$
Juit
661 6@$@$ localhost@localdomain closing connection
39.3.*. 'evisin de puertos.
Para revsar os puertos abertos, se utza nc con a opcn , (8 para soctar se trate de escuchar
por puertos abertos, y un puerto o rango de puertos. En e sguente e|empo, se pde a mandato
nc revsar a presenca de puertos abertos @C< (modo predetermnado) entre e rango de puerto
21 a 25.
nc !vC 167@$@$@1 61!69
Lo anteror puede devover una sada como a sguente, s se encontrasen abertos os puertos 21,
22 y 25.
)onnection to 167@$@$@1 61 port Dtcp/"tpE succeededh
)onnection to 167@$@$@1 66 port Dtcp/sshE succeededh
)onnection to 167@$@$@1 69 port Dtcp/smtpE succeededh
Opconamente se pueden revsar s estn abertos os puertos abertos por UDP aadendo a
opcn -u. En e sguente e|empo se socta a mandato nc revsar que puertos ,D< abertos que
se encuentran entre e rango de puerto 21 a 80.
nc !Cu 167@$@$@1 61!5$
Lo anteror puede devover una sada como a sguente s se encuentran abertos os puertos ,D<
53, 67 y 68:
)onnection to 167@$@$@1 9? port Dudp/domainE succeededh
)onnection to 167@$@$@1 67 port Dudp/bootpsE succeededh
)onnection to 167@$@$@1 65 port Dudp/bootpcE succeededh
S se quere obtener una sada ms descrptva, soo es necesaro especfcar nc (v8 y a dreccn
%< s se quere revsar puertos @C< abertos, o ben nc (v8u para puertos ,D< abertos, donde (v
defne se devueva una sada m;s descriptiva. En e sguente e|empo se pde a mandato nc
revsar os puertos @C< abertos entre e puerto 20 a 25.
nc -vz 127.0.0.1
La sada de o anteror devover, a dferenca de utzar soo -z, que puertos estn cerrados.
nc# connect to 167@$@$@1 port 6$ (tcp) "ailed# )onnection re"used
)onnection to 167@$@$@1 61 port Dtcp/"tpE succeededh
)onnection to 167@$@$@1 66 port Dtcp/sshE succeededh
nc# connect to 167@$@$@1 port 6? (tcp) "ailed# )onnection re"used
nc# connect to 167@$@$@1 port 64 (tcp) "ailed# )onnection re"used
)onnection to 167@$@$@1 69 port Dtcp/smtpE succeededh
316
39.3.3. Creando un modelo cliente servidor.
Es reatvamente smpe crear un modeo cente/servdor. Desde una termna que ser utzada
para ncar un modeo de servdor, se utza e mandato nc con a opcn (l (sten o escuchar)
seguda de un puerto que est desocupado. Esto har que nc se comporte como servdor
escuchando petcones en un puerto arbtraro. En e sguente e|empo se har que mandato nc
funcone como servdor escuchando petcones en e puerto *****.
nc !l 66666
Para estabecer a conexn como cente, desde otra termna se nca e mandato nc
especfcando a contnuacn una IP oca para e sstema y e numero de puerto a que se quera
conectar. En e sguente e|empo se reaza a conexn a puerto ***** de +*7.O.O.+
nc 167@$@$@1 66666
Todo o que se escrba desde a termna como cente podr ser vsto en a termna como servdor.
39.3.4. @rans&erencia de datos.
Tomando e e|empo anteror, es posbe reazar transferenca de datos desde una termna como
cente haca una termna como servdor. La nca dferenca es que en e servdor se camba as
sada estndar de a termna haca un archvo de sguente modo:
nc !l 66666 L algo@out
En e cente se reaza ago smar. En ugar de ngresar datos desde a conexn. se hace a partr
de un archvo con contendo de a sguente forma:
nc 167@$@$@1 66666 a algo@in
En e e|empo descrto se reaza a transferenca de datos de archvo algo.in, desde e proceso
como cente, haca e archvo algo.out, en e proceso como servdor.
317
3S. Como utili8ar )etstat.
3S.+. %ntroduccin.
3S.+.+. Acerca de )etstat
Netstat es una herramenta utzada para supervsar as conexones de red, tabas de
encamnamento, estadstcas de nterfaces y asgnaturas de mutdfusn. Se utza
prncpamente para encontrar probemas en una red y para medr e trfco de red como una
forma de cacuar e desempeo de sta.
3S.*. <rocedimientos.
Para vsuazar todas as conexones actvas en e sstema, tanto TCP como UDP, se utza a opcn
-a.
netstat !a
Debdo a que a cantdad de datos puede ser mucha para ser vsuazada con comoddad en a
pantaa de montor, se puede utzar e mandato ess como subrutna.
netstat !a Z less
A contnuacn se muestra un e|empo de a sada:
4ctive (nternet connections (servers and established)
<roto Recv!l Send!l 1ocal 4ddress =oreign 4ddress State
tcp $ $ K#netbios!ssn K#K 1(S0&,
tcp $ $ K#submission K#K 1(S0&,
tcp $ $ K#sunrpc K#K 1(S0&,
tcp $ $ K#x11 K#K 1(S0&,
tcp $ $ K#98$4 K#K 1(S0&,
tcp $ $ K#ebcache K#K 1(S0&,
udp $ $ K#"ilenet!tms K#K
udp $ $ K#"ilenet!nch K#K
udp $ $ K#"ilenet!rmi K#K
udp $ $ K#"ilenet!pa K#K
udp $ $ 186@165@166@1#netbios!ns K#K
udp $ $ servidor$$@c#netbios!ns K#K
4ctive >,(X domain sockets (servers and established)
<roto Re")nt =lags 0ype State (!,ode <ath
unix 6 D 4)) E S0R&4- 1(S0&,(,I 179?$ X/tmp/"am!root!
unix 6 D 4)) E S0R&4- 1(S0&,(,I 7844 /dev/gpmctl
unix 6 D 4)) E S0R&4- 1(S0&,(,I 6881 /var/run/audit.events
unix 6 D 4)) E S0R&4- 1(S0&,(,I 74$8 /var/run/dbus/system.bus.socket
unix 6 D 4)) E S0R&4- 1(S0&,(,I 79$6 /var/run/pcscd@comm
unix 6 D 4)) E S0R&4- 1(S0&,(,I 7647 /var/run/acpid@socket
unix 6 D 4)) E S0R&4- 1(S0&,(,I 77?7 /var/run/cups/cups@sock
318
unix 6 D 4)) E S0R&4- 1(S0&,(,I 16789 X/tmp/dbus!4>ato6e^>2
Para mostrar soo as conexones actvas por TCP, se utza:
netstat !t
Para mostrar soo as conexones actvas por UDP, se utza:
netstat !u
Para mostrar as estadstcas de uso para todos os tpos de conexones, se utza:
netstat !s
(p#x 6 D E %IR4- 5$19
5$$9 total packets received 7868
6 ith invalid addresses4- 7586
$ "orardedE %IR4- 7566
$ incoming packets discarded 79$9
7865 incoming packets delivered )/,,&)0&% 7416
78$9 reJuests sent out0R&4- )/,,&)0&% 7411
(cmp# ? D E S0R&4- )/,,&)0&% 7?48
18 ()-< messages received4- )/,,&)0&% 7?45
$ input ()-< message "ailed@ 7188
()-< input histogram#%IR4- 7$71
destination unreachable# 15 6847
echo reJuests# 1 %IR4- 6817
18 ()-< messages sentS0R&4- )/,,&)0&% 6549
$ ()-< messages "ailed0R&4- )/,,&)0&% 6544
()-< output histogram#a Z less
destination unreachable# 15
echo replies# 1
0cp#
114 active connections openings
6 passive connection openings
$ "ailed connection attempts
16 connection resets received
$ connections established
7666 segments received
79?? segments send out
65 segments retransmited
$ bad segments received@
17 resets sent
>dp#
657 packets received
$ packets to unknon port received@
$ packet receive errors
678 packets sent
0cp&xt#
7 0)< sockets "inished time ait in "ast timer
1?9 delayed acks sent
luick ack mode as activated 66 times
61 packets directly Jueued to recvmsg preJueue@
15?64$64 packets directly received "rom backlog
319
?816?6$ packets directly received "rom preJueue
6$51 packets header predicted
1969 packets header predicted and directly Jueued to user
479 acknoledgments not containing data received
1?11 predicted acknoledgments
1 times recovered "rom packet loss due to S4)H data
1 congestion indos "ully recovered
4 congestion indos partially recovered using 2oe heuristic
1? congestion indos recovered a"ter partial ack
$ 0)< data loss events
4 timeouts a"ter S4)H recovery
1 "ast retransmits
47 other 0)< timeouts
66 %S4)Hs sent "or old packets
1 %S4)Hs received
8 connections reset due to early user close
Para mostrar soamente as estadstcas orgnadas por conexones @C<, se utza:
netstat !s !t
0cp#
114 active connections openings
6 passive connection openings
$ "ailed connection attempts
16 connection resets received
$ connections established
7666 segments received
79?? segments send out
65 segments retransmited
$ bad segments received@
17 resets sent
0cp&xt#
7 0)< sockets "inished time ait in "ast timer
1?9 delayed acks sent
luick ack mode as activated 66 times
61 packets directly Jueued to recvmsg preJueue@
15?64$64 packets directly received "rom backlog
?816?6$ packets directly received "rom preJueue
6$51 packets header predicted
1969 packets header predicted and directly Jueued to user
479 acknoledgments not containing data received
1?11 predicted acknoledgments
1 times recovered "rom packet loss due to S4)H data
1 congestion indos "ully recovered
4 congestion indos partially recovered using 2oe heuristic
1? congestion indos recovered a"ter partial ack
$ 0)< data loss events
4 timeouts a"ter S4)H recovery
1 "ast retransmits
47 other 0)< timeouts
66 %S4)Hs sent "or old packets
1 %S4)Hs received
8 connections reset due to early user close
Para mostrar soamente as estadstcas orgnadas por conexones ,D<, se utza:
320
netstat !s !u
>dp#
657 packets received
$ packets to unknon port received@
$ packet receive errors
678 packets sent
Para mostrar a taba de encamnamentos, se utza:
netstat !r
%estination Iateay Ienmask =lags -SS 3indo irtt ("ace
186@165@$@$ K 699@699@699@$ > $ $ $ eth$
186@165@166@$ K 699@699@699@$ > $ $ $ virbr$
168@694@$@$ K 699@699@$@$ > $ $ $ eth$
de"ault 186@165@$@694 $@$@$@$ >I $ $ $ eth$
Para mostrar as asgnacones grupos de mutdfusn, se utza:
netstat !g
(<v6/(<v4 Iroup -emberships
(nter"ace Re")nt Iroup
!!!!!!!!!!!!!!! !!!!!! !!!!!!!!!!!!!!!!!!!!!
lo 1 411!S;S0&-S@-)4S0@,&0
virbr$ 1 664@$@$@691
virbr$ 1 411!S;S0&-S@-)4S0@,&0
eth$ 1 664@$@$@691
eth$ 1 411!S;S0&-S@-)4S0@,&0
lo 1 ""$6##1
peth$ 1 ""$6##1
virbr$ 1 ""$6##1#""$$#$
virbr$ 1 ""$6##1
vi"$@$ 1 ""$6##1
eth$ 1 ""$6##1#""96#15b8
eth$ 1 ""$6##1
xenbr$ 1 ""$6##1
vi"1@$ 1 ""$6##1
Para mostrar a taba de nterfaces actvas en e sstema, se utza:
netstat !i
321
Hernel (nter"ace table
("ace -0> -et RX!/H RX!&RR RX!%R< RX!/'R 0X!/H 0X!&RR 0X!%R< 0X!/'R =lg
eth$ 19$$ $ 6?87 $ $ $ 6$78 $ $ $ :-R>
lo 164?6 $ 975$ $ $ $ 975$ $ $ $ 1R>
peth$ 19$$ $ ?684 $ $ $ 6954 $ $ $ :/R>
vi"$@$ 19$$ $ 6$78 $ $ $ 6?87 $ $ $ :/R>
vi"1@$ 19$$ $ 49 $ $ $ ?54 $ $ $ :/R>
virbr$ 19$$ $ $ $ $ $ 76 $ $ $ :-R>
xenbr$ 19$$ $ 616 $ $ $ $ $ $ $ :/R>
322
4O. Cmo utili8ar A'<.
4O.+. %ntroduccin
4O.+.+. Acerca de A'<.
A'< sgnfca Address 'esouton <rotoco, o protocoo de resoucn de dreccones. A'< se utza
para supervisar y modi&icar a taba de asgnacones de dreccones %< y dreccones :AC
(:eda Access Contro). A'< utza un cache que consste en una taba que amacena as
asgnacones entre nve de enace de datos y as dreccones IP de nve de red. E nve de enace
de datos se encarga de gestonar as dreccones :AC y e nve de red de as dreccones %<. A'<
asoca dreccones %< a as dreccones :AC, |usto a a nversa de protocoo 'A'< que asgna
dreccones :AC a as dreccones %<. Para reducr e nmero de petcones A'<, cada sstema
operatvo que mpementa e protocoo A'< mantene una cache en a memoria 'A: de todas as
recentes asgnacones.
4O.*. <rocedimientos.
Vsuazar e cache A'< actua.
arp !a
Debe devover ago smar a o sguente, en e caso de tratarse de un soo sstema:
m694@alcancelibre@org (186@165@1@694) at $$#14#89#87#67#&8 DetherE on eth$
Cuando se trata de un servdor ntermedaro (proxy), a taba puede verse de este modo:
m$91@redlocal@net (1$@1@1@91) at $$#1?#6$#%$#$8#1& DetherE on eth1
m$46@redlocal@net (1$@1@1@46) at $$#$=#1=#:1#71#14 DetherE on eth1
m$7?@redlocal@net (1$@1@1@7?) at $$#11#69#=6#8?#=1 DetherE on eth1
m$7$@redlocal@net (1$@1@1@7$) at $$#11#69#=6#46#96 DetherE on eth1
m$4$@redlocal@net (1$@1@1@4$) at $$#$%#6$#6&#67#?4 DetherE on eth1
m$?6@redlocal@net (1$@1@1@?6) at $$#$%#6$#6&#69#=: DetherE on eth1
m$11@redlocal@net (1$@1@1@11) at $$#11#6=#)7#%$#%7 DetherE on eth1
E mandato arp acepta varas opcones ms. S se desea vsuazar a nformacn en esto Lnux,
se utza e parmetro -e. e|empo:
arp !e
323
4ddress 23type 23address =lags -ask ("ace
m$91@redlocal@net ether $$#1?#6$#%$#$8#1& ) eth1
m$46@redlocal@net ether $$#$=#1=#:1#71#14 ) eth1
m$7?@redlocal@net ether $$#11#69#=6#46#96 ) eth1
m$7$@redlocal@net ether $$#11#69#=6#89#5& ) eth1
m$4$@redlocal@net ether $$#$%#6$#6&#66#6= ) eth1
m$?6@redlocal@net ether $$#11#69#=6#9=#51 ) eth1
S se desea observar o anteror en formato numrco, se utza e parmetro -n. e|empo:
arp !n
1$@1@1@46 ether $$#$=#1=#:1#71#14 ) eth1
1$@1@1@7$ ether $$#11#69#=6#46#96 ) eth1
1$@1@1@7? ether $$#11#69#=6#8?#=1 ) eth1
1$@1@1@4$ ether $$#$%#6$#6&#67#?4 ) eth1
1$@1@1@?4 ether $$#$%#6$#6&#66#6= ) eth1
S se desea especfcar una nterfaz en partcuar, se utza e parmetro - segudo de nombre de
a nterfaz. E|empo:
arp !i eth$
Lo anteror debe regresar ago smar a o sguente, en e caso de tratarse de un soo sstema:
m694@alcancelibre@org ether $$#14#89#87#67#&8 ) eth$
S se desea aadr un regstro manuamente, se puede hacer utzando e parmetro -s segudo de
nombre de un anftrn y a dreccn MAC correspondente. E|empo:
arp !s m6$$@redlocal@net $$#$5#41#54#15#4%
S se quere emnar un regstro de a taba, soo se utza e parmetro (d segudo de nombre de
anftrn a emnar. E|empo:
arp !d m6$$@redlocal@net
Para mpar todo e cache, se puede utzar un buce como e sguente:
"or i in karp !n Z ak U\print F1]U Z grep !v 4ddressk
do
arp !d Fi
done
324
En e gun anteror se pde crear a varabe i a partr de arp con a opcn (n para devover as
dreccones numrcas, mostrando a travs de aPL soo a prmera coumna de a taba generada,
y emnando a cadena de caracteres Address. Esto genera una sta de dreccones IP que se
asgnan como vaores de a varabe i en e buce, donde se emna cada una de estas dreccones
IP utzando arp (d.
E ob|eto de mpar e cache de A'< es permtr corregr os regstros de a taba en certos
escenaros donde, por e|empo, un servdor o estacn de traba|o fue encenddo con una dreccn
%< que ya est uso.
325
4+. %ntroduccin a %<@AB">
4+.+. %ntroduccin.
4+.+.+. Acerca de %pta!les y )et&ilter.
)et&ilter es un con|unto de gancos (EooLs, es decr, tcncas de programacn que se empean
para crear cadenas de procedmentos como mane|ador) dentro de nceo de GNU/Lnux y que son
utzados para nterceptar y manpuar paquetes de red. E componente me|or conocdo es e
cortafuegos, e cua reaza procesos de ftracn de paquetes. Los gancos son tambn utzados
por un componente que se encarga de )A@ (acrnmo de )etwork Address @ransaton o
Traduccn de dreccn de red). Estos componentes son cargados como mduos de nceo.
%pta!les es e nombre de a herramenta de espaco de usuaro (,ser >pace, es decr, rea de
memora donde todas as apcacones, en modo de usuaro, pueden ser ntercambadas haca
memora vrtua cuando sea necesaro) a travs de a cua os admnstradores crean regas para
cada ftrado de paquetes y mduos de )A@. %pta!les es a herramenta estndar de todas as
dstrbucones modernas de GNU/Lnux.
URL: http://www.netfter.org/
4+.*. "#uipamiento lgico necesario.
4+.*.+. %nstalacin a travs de yum.
S utza Cent0> 5 y 6, 'ed Eat "nterprise inu2 5 o 6, soo se necesta reazar o sguente
para nstaar o actuazar e equpamento gco necesaro:
yum !y install iptables
4+.3. <rocedimientos.
4+.3.+. Cadenas.
Las cadenas pueden ser para trfco entrante (INPUT), trfco saente (OUTPUT) o trfco reenvado
(F0'bA'D).
326
4+.3.*. 'eglas de destino.
Las regas de destno pueden ser aceptar conexones (ACC"<@), descartar conexones (D'0<),
rechazar conexones ('"J"C@), encamnamento posteror (<0>@'0,@%)?), encamnamento
prevo (<'"'0,@%)?), >)A@, )A@, entre otras.
4+.3.3. <olticas por de&ecto.
Estabecen cua es a accn a tomar por defecto ante cuaquer tpo de conexn. La opcn -P
camba una potca para una cadena. En e sguente e|empo se descartan (D'0<) todas as
conexones que ngresen (INPUT), todas as conexones que se reenven (F0'bA'D) y todas as
conexones que sagan (OUTPUT), es decr, se descarta todo e trfco que entre desde una red
pbca y e que trate de sar desde a red oca.
iptables !< (,<>0 DROA
iptables !< FORVARD DROA
iptables !< />0<>0 ACCEAT
4+.3.4. impie8a de reglas espec&icas.
A fn de poder crear nuevas regas, se deben borrar as exstentes, para e trfco entrante, trfco
reenvado y trfco saente as como e NAT.
iptables != (,<>0
iptables != FORVARD
iptables != />0<>0
iptables != !t nat
4+.3.5. 'eglas espec&icas.
Las opcones ms comunes son:
-A aade una cadena, a opcn - defne una nterfaz de trfco entrante
-o defne una nterfaz para trafco saente
-| estabece una rega de destno de trfco, que puede ser ACC"<@, D'0< o '"J"C@. La
-m defne que se apca a rega s hay una concdenca especfca
--state defne una sta separada por comas de dstnto tpos de estados de as conexones
(INVALID, ESTABLISHED, NEW, RELATED).
--to-source defne que IP reportar a trfco externo
-s defne trafco de orgen
-d defne trfco de destno
--source-port defne e puerto desde e que se orgna a conexn
--destnaton-port defne e puerto haca e que se drge a conexn
327
-t taba a utzar, pueden ser nat, fter, mange o raw.
".emplos de reglas.
Reenvo de paquetes desde una nterfaz de red oca (eth1) haca una nterfaz de red pbca
(eth0):
iptables !4 FORVARD !i eth1 !o eth$ !M ACCEAT
Aceptar reenvar os paquetes que son parte de conexones exstentes (ESTABLISHED) o
reaconadas de trfco entrante desde a nterfaz eth1 para trfco saente por a nterfaz eth0:
iptables !4 FORVARD !i eth$ !o eth1 !m state !!state &S04:1(S2&%BR&140&% !M ACCEAT
Permtr paquetes en e propo muro cortafuegos para trfco saente a travs de a nterfaz eth0
que son parte de conexones exstentes o reaconadas:
iptables !4 (,<>0 !i eth$ !m state !!state &S04:1(S2&%BR&140&% !M ACCEAT
Permtr (ACC"<@) todo e trfco entrante (INPUT) desde (-s) cuaquer dreccn (0/0) a red oca
(eth1) y desde e retorno de sstema (o) haca (-d) cuaquer destno (0/0):
iptables !4 (,<>0 !i eth1 !s $/$ !d $/$ !M ACCEAT
iptables !4 (,<>0 !i lo !s $/$ !d $/$ !M ACCEAT
Hacer (-|) SNAT para e trfco saente (-o) a trves de a nterfaz eth0 provenente desde (-s) a
red oca (192.168.0.0/24) utzando (--to-source) a dreccn IP P.2.y.8.
iptables !4 AOSTROUTFNG !t nat !s 186@165@$@$/64 !o eth$ !M S,40 !!to!source x@y@C@c
Descartar (D'0<) todo e trfco entrante (-i) desde a nterfaz eth0 que trate de utzar a
dreccn IP pbca de servdor (P.2.y.8), aguna dreccn IP de a red oca (192.168.0.0/24) o a
dreccn IP de retorno de sstema (127.0.01)
iptables !4 (,<>0 !i eth$ !s @x@y@x/?6 !M DROA
iptables !4 (,<>0 !i eth$ !s 186@165@$@$/64 !M DROA
iptables !4 (,<>0 !i eth$ !s 167@$@$@$/5 !M DROA
Aceptar (ACC"<@) todos os paquetes SYN (--syn) de protocoo TCP (-p tcp) para os puertos (--
destination(port) de os protocoos SMTP (25), HTTP(80), HTTPS (443) y SSH (22):
iptables !4 (,<>0 !p tcp !s $/$ !d $/$ !!destination!port 69 !!syn !M ACCEAT
iptables !4 (,<>0 !p tcp !s $/$ !d $/$ !!destination!port 5$ !!syn !M ACCEAT
iptables !4 (,<>0 !p tcp !s $/$ !d $/$ !!destination!port 44? !!syn !M ACCEAT
Aceptar (ACC"<@) todos os paquetes SYN (--syn) de protocoo TCP (-tcp) para os puertos (--
destination(port) de protocoos SMTP (25) en e servdor (P.2.y.8/32), desde (-s) cuaquer ugar
(0/0) haca (-d) cuaquer ugar (0/0).
iptables !4 (,<>0 !p tcp !s $/$ !d ?.C.y.:/?6 !!destination!port 69 !!syn !M ACCEAT
328
Aceptar (ACC"<@) todos os paquetes SYN (--syn) de protocoo TCP (-p tcp) para os puertos (--
destination(port) de os protocoos POP3 (110), POP3S (995), IMAP (143) y IMAPS (993):
iptables !4 (,<>0 !p tcp !s $/$ !d $/$ !!destination!port 11$ !!syn !M ACCEAT
Aceptar (ACC"<@) e trfco entrante (-i) provenente desde a nterfaz eth1 cuando as conexones
se estabezcan desde e puerto (--sport) 67 por protocoos (-p) TCP y UDP.
iptables !4 (,<>0 !i eth1 !p tcp !!sport 65 !!dport 67 !M ACCEAT
iptables !4 (,<>0 !i eth1 !p udp !!sport 65 !!dport 67 !M ACCEAT
Aceptar (ACC"<@) conexones de trfco entrante (INPUT) por protocoo (-p) UDP cuando se
estabezcan desde (-s) e servdor DNS 200.33.145.217 desde e puerto (--source(port) 53 haca (-
d) cuaquer destno (0/0):
iptables !4 (,<>0 !p udp !s 6$$@??@146@617/?6 !!source!port 9? !d $/$ !M ACCEAT
4+.3.5.+. Cerrar accesos.
Descartar (D'0<) e trfco entrante (INPUT) para e protocoo (-p) TCP haca os puerto (--
destination(port) de SSH (22) y Tenet (23):
iptables !4 (,<>0 !p tcp !!destination!port 66 !M DROA
iptables !4 (,<>0 !p tcp !!destination!port 6? !M DROA
Descartar (D'0<) todo tpo de conexones de trfco entrante (INPUT) desde (-s) a dreccn IP
a.b.c.d:
iptables !4 (,<>0 !s a@b@c@d !M DROA
Rechazar ('"J"C@) conexones haca (OUTPUT) a dreccn IP a.b.c.d desde a red oca:
iptables !4 />0<>0 !d a@b@c@d !s 186@165@$@$/64 !M REWECT
4+.3.6. "liminar reglas.
En genera se utza a msma rega, pero en ugar de utzar -A (append), se utza -D (deete).
Emnar a rega que descarta (D'0<) todo tpo de conexones de trfco entrante (INPUT) desde (-
s) a dreccn IP a.b.c.d:
iptables !% (,<>0 !s a@b@c@d !M DROA
4+.3.7. :ostrar la lista de cadenas y reglas.
Una vez cargadas todas as cadenas y regas de ipta!les es posbe vsuazar stas utzando e
mandato ipta!les con as opcones -n, para ver as stas en formato numrco, y -, para soctar
a sta de stas cadenas.
329
iptables !n1
Cuando no hay regas n cadenas cargadas, a sada de!e devover o sguente:
)hain (,<>0 (policy 4))&<0)
target prot opt source destination
)hain =/R34R% (policy 4))&<0)
)hain />0<>0 (policy 4))&<0)
Cuando hay cadenas presentes, a sada, suponendo que se utzarn os e|empos de este
documento, debe devover ago smar a o sguente:
)hain (,<>0 (policy %R/<)
4))&<0 all !! $@$@$@$/$ $@$@$@$/$ state R&140&%B&S04:1(S2&%
4))&<0 all !! $@$@$@$/$ $@$@$@$/$
4))&<0 all !! $@$@$@$/$ $@$@$@$/$
%R/< all !! 186@165@1@64 $@$@$@$/$
%R/< all !! 176@16@$@$/64 $@$@$@$/$
%R/< all !! 167@$@$@$/5 $@$@$@$/$
4))&<0 tcp !! $@$@$@$/$ $@$@$@$/$ tcp dpt#69 "lags#$x17/$x$6
4))&<0 tcp !! $@$@$@$/$ $@$@$@$/$ tcp dpt#5$ "lags#$x17/$x$6
4))&<0 tcp !! $@$@$@$/$ $@$@$@$/$ tcp dpt#44? "lags#$x17/$x$6
4))&<0 tcp !! $@$@$@$/$ 186@165@1@64 tcp dpt#69 "lags#$x17/$x$6
4))&<0 tcp !! $@$@$@$/$ $@$@$@$/$ tcp spt#65 dpt#67
4))&<0 udp !! $@$@$@$/$ $@$@$@$/$ udp spt#65 dpt#67
4))&<0 udp !! 6$$@??@146@617 $@$@$@$/$ udp spt#9?
)hain =/R34R% (policy %R/<)
4))&<0 all !! $@$@$@$/$ $@$@$@$/$
4))&<0 all !! $@$@$@$/$ $@$@$@$/$ state R&140&%B&S04:1(S2&%
)hain />0<>0 (policy 4))&<0)
DrootXm$64 YEA iptables !n1
)hain (,<>0 (policy %R/<)
4))&<0 all !! $@$@$@$/$ $@$@$@$/$ state R&140&%B&S04:1(S2&%
4))&<0 all !! $@$@$@$/$ $@$@$@$/$
4))&<0 all !! $@$@$@$/$ $@$@$@$/$
%R/< all !! 186@165@1@64 $@$@$@$/$
%R/< all !! 176@16@$@$/64 $@$@$@$/$
%R/< all !! 167@$@$@$/5 $@$@$@$/$
4))&<0 tcp !! $@$@$@$/$ 186@165@1@64 tcp dpt#69 "lags#$x17/$x$6
4))&<0 tcp !! $@$@$@$/$ $@$@$@$/$ tcp spt#65 dpt#67
4))&<0 udp !! $@$@$@$/$ $@$@$@$/$ udp spt#65 dpt#67
4))&<0 udp !! 6$$@??@146@617 $@$@$@$/$ udp spt#9?
)hain =/R34R% (policy %R/<)
4))&<0 all !! $@$@$@$/$ $@$@$@$/$
4))&<0 all !! $@$@$@$/$ $@$@$@$/$ state R&140&%B&S04:1(S2&%
330
)hain />0<>0 (policy 4))&<0)
4+.3.9. %niciarF detener y reiniciar el servicio ipta!les.
S est de acuerdo con as regas generadas de ipta!les, utce e sguente mandato para guardar
stas:
service iptables save
Las regas quedarn amacenadas en e archvo /etc=syscon&ig=ipta!les.
Para e|ecutar por prmera vez e servco ipta!les, utce:
service iptables start
service iptables restart
Para detener e servco ipta!les y borrar todas as regas utce:
service iptables stop
4+.3.S. Agregar el servicio ipta!les al arran#ue del sistema.
Para hacer que e servco de ipta!les est actvo con e sguente nco de sstema, en todos os
nvees de e|ecucn (2, 3, 4, y 5), se utza o sguente:
chkcon"ig iptables on
4+.4. Bi!liogra&a.
Wkpeda: http://en.wkpeda.org/wk/Iptabes
Denns G. Aard y Don Cohen http://oceanpark.com/notes/frewa_exampe.htm
331
4*. Cmo utili8ar CBB.
4*.+. %ntroduccin.
4*.+.+. Acerca de c!#.
CBB (Cass Based Bueueng o Encoamento Basado sobre Cases), es un gun escrto en BA>E
utzado para a gestn y contro de uso de ancho de banda en GNU/Lnux. Fue orgnamente
creado en 1999 por <avel ?olu!ev y posterormente mantendo de 2001 a 2004 por u!omir
Bule.. Utza de una forma smpfcada os mandatos ip y tc para su funconamento, y forma
parte de paquete iproute, e cua se ncuye en as nstaacones bsca de a mayor parte de as
dstrbucones de GNU/Lnux.
4*.*. Comprendiendo la velocidad !inaria M!it rateN.
E trmno bit rate se traduce a espao como velocidad !inaria, tasa de !its o &lu.o de !its.
Corresponde a numero de bits que se transmten por segundo a travs de un sstema de
transmsn dgta o entre dos dspostvos dgtaes. En otras paabras, es a veocdad de
transferenca de datos.
De acuerdo a >istema %nternacional de ,nidades, a undad con a que se expresa a
velocidad !inaria (bit rate) es e !it por segundo, es decr !it=s, !=s o !ps, donde a ! sempre
debe escrbrse en mnscua para mpedr confusn con a undad !yte por segundo (B=s). Los
mtpos para byte apcan de dferente modo que para bt. La undad byte es gua a 8 bts, y a
partr de esto se puede utzar a sguente taba:
@a!la de e#uivalencias.
kbt/s o kbps (kb/s, kobt/s) 1000 bts de por segundo
Mbt/s o Mbps(Mb/s, Megabt/s) 1 mn de bts por segundo
Gbt/s o Gbps (Gb/s, Ggabt/s) M mones de bts por segundo
byte/s (B/s) 8 bts por segundo
kobyte/s (kB/s, m bytes) 8 m bts por segundo
megabyte/s (MB/s, un mn de bytes) 8 mones de bt por segundo
ggabyte/s (GB/s, m mones de bytes) 8 m mones de bts
332
4*.3. "#uipamiento lgico necesario.
CBB forma parte de a nstaacn de paquete iproute, msmo que a su vez se nstaa de modo
predetermnado en cas todas as dstrbucones de GNU/Lnux.
4*.3.+. %nstalacin a travs de yum.
S utza Cent0> 4 y 5, 'ed Eat "nterprise inu2 5 o b$ite Bo2 "nterprise inu2 4 y 5, soo
se necesta reazar o sguente para nstaar o actuazar e equpamento gco necesaro:
yum !y install iproute
4*.3.*. %nstalacin a travs de up*date.
S se utza 'ed Eath "nterprise inu2 4, soo bastar reazar o sguente para nstaar o
actuazar e equpamento gco necesaro:
up6date !i iproute
4*.4. <reparativos.
Antes de ncar cuaquer confguracn, se deben determnarse os vaores para os sguentes
parmetros. Para construr una rega, se requere a menos comprender y especfcar os vaores
para os parmetros D"G%C", b"%?E@, 'A@" y ',". Las regas pueden ser tan compe|as como
a magnacn de admnstrador o permta.
Los archvos con as confguracones se guardan dentro de drectoro =etc=syscon&ig=c!#= y deben
evar s sguente nomencatura:
/etc/syscon"ig/cbJ/cbJ!Dnbmero!(%!)laseE@DnombreE
Donde n1mero(%D(Clase corresponde a un nmero headecma de 2 bts dentro de rango 0002-
FFFF. E|empo: archvo que contene una case que controa e trfco entrante de correo
eectrnco:
/etc/syscon"ig/cbJ/cbJ!$$$6@smtp!in
4*.4.+. <ar;metro D"G%C".
Es un parmetro obgatoro. Se determna os vaores con e nombre de a nterfaz, ancho de
banda y peso de esta nterfaz. Este tmo vaor, que es opcona en este parmetro, se cacua
dvdendo e ancho de banda de a nterfaz entre dez. Por e|empo, s se dspone de una nterfaz
denomnada eth0 de 100 Mbt/s, e peso ser 10 Mbt/s, de ta modo os vaores de parmetro
D"G%C", quedaran de a sguente forma:
%&'()&*eth$B1$$-bitB1$-bit
S se dspone de una nterfaz eth0 conectada a un modem ADSL de 2048 kbps de trfco entrante
o de ba|ada, e peso ser de 204 kbps, de ta modo os vaores de parmetro D"G%C", quedaran
de a sguente forma:
333
%&'()&*eth$B6$45HbitB6$4Hbit
S se dspone de una nterfaz eth0 conectada a un modem ADSL de 256 kbps de trfco saente o
de subda, e peso ser de 25 kbps, de ta modo os vaores de parmetro D"G%C", quedaran de
a sguente forma:
%&'()&*eth$B696HbitB69Hbit
4*.4.+.+. <ar;metro de clase 'A@".
Es un parmetro obgatoro. Se refere a ancho de banda a asgnar a a case. E trfco que pase a
travs de esta case ser modfcado para a|ustarse a a proporcn defnda. Por e|empo, s se
quere mtar e ancho de banda utzado a 10 Mbt/s, e vaor de 'A@" sera 10Mbt, como se
muestra a contnuacn.
R40&*1$-bit
S se quere mtar e ancho de banda utzado a 1024 kbt/s, e vaor de 'A@" sera 1024Kbt,
como se muestra a contnuacn.
R40&*1$64Hbit
S se quere mtar e ancho de banda utzado a 512 kbt/s, e vaor de RATE sera 512Kbt, como
se muestra a contnuacn.
R40&*916Hbit
4*.4.*. <ar;metro de clase b"%?E@.
Es un parmetro obgatoro. ste es proporcona a ancho de banda tota de a nterfaz. Como
rega se se cacua dvdendo entre dez e ancho de banda tota. Para una nterfaz de 2048 kbps,
correspondera un vaor de 204Kbt:
3&(I20*6$4Hbit
4*.4.3. <ar;metro de clase <'%0.
Es un parmetro opcona que se utza para especfcar que prordad tendr sobre otras regas de
contro de ancho de banda. Mentras ms ato sea e vaor, menos prordad tendr sobre otras
regas. Se recomenda utzar e vaor 5 que funconar para a mayora de os casos. E|empo:
<R(/*9
4*.4.4. <ar;metro de clase <A'")@.
Cuando se utzan regas que se requere estn |erarquzadas, se utza para estabecer a
dentdad de case padre a a que pertenecen. Puede evar cuaquer vaor. Cuando se trata de una
case padre, se defne |unto con e parmetro "AF con e vaor none. En e sguente e|empo se
estabece a dentdad 100 en una case padre.
334
<4R&,0*1$$
1&4=*none
4*.4.5. <ar;metro de clase "AF.
Es un parmetro opcona y se utza para determnar que potca se utzar para utzar e ancho
de banda de una case padre.
S se utza e vaor t!&, que es e vaor predetermnado, se utzar e agortmo @BF (@oken
Bucket Fter), e cua mpde que a case tome ancho de banda de a case padre.
1&4=*tb"
Parmetros adconaes para agortmo @BF.
B,FF"'
Determna e tamao mxmo de rfaga (ma4imal burst size) que a case puede envar, y puede evar como
parmetro opcona a ongtud de os ntervaos en bytes. E vaor predetermnado es +OK!=9. es decr,
rfagas de 10Kb en ntervaos de 8 bytes.
1&4=*tb" BUFFER=4/>!88
%:%@
Determna e tamao mxmo de as reservas (bac'log). S a coa de datos por procesar contene ms de os
especfcados por %:%@, os sguentes paquetes que eguen sern descartados. La ongtud de as reservas
determna a atenca (tempo de recuperacn de datos) de a coa en caso de presentarse una congestn. E
vaor predetermnado es 15kb.
1&4=*tb" LFMFT=457!
<"AK
Determna e pco mxmo para una rfaga de trfco de corto pazo que una case puede envar.
Consderando que un ancho de banda de 256 kbps enva 256 Kbt por segundo, en un momento dado se
puede dar e caso de e envo de 512 Kbt en 0.50 segundos, o 1 Mbt en 0.25 segundos. En e sguente
e|empo se estabece e e pco mxmo para rfagas de 1024 Kbt:
1&4=*tb" AEA>=4/2E>!%$
:@,
Determna a mxma cantdad de datos que se pueden envar a msmo tempo en un medo fsco. Es un
parmetro obgatoro s se utza e parmetro <"AK. En e caso de una nterfaz ,ternet, e vaor
predetermnado es gua a :@, de a propa nterfaz (1500).
1&4=*tb" <&4H*1$64Hbit MTU=45//
E vaor s&#, que corresponde a agortmo >FB (>tochastc Farness Bueueng), hace que sea
compartdo e ancho de banda de a case padre aproxmadamente en a misma proporcn de
ancho de banda entre anftrones dentro de a msma case.
1&4=*s"J
E vaor none permte utzar bremente e ancho de banda dsponbe, sempre que e vaor de
parmetro B0,D"D sea gua a no. En e sguente e|empo se especfca utzar bremente e
ancho de banda dsponbe:
1&4=*no
335
4*.4.6. <ar;metro de clase B0,)D"D.
Es un parmetro opcona. S e vaor es yes, que es e vaor predetermnado, a case no tendr
permtdo utzar ancho de banda de a case padre. S e vaor es no, a case podr hacer uso de
ancho de banda dsponbe en a case padre. S se estabece con vaor no, es necesaro utzar
none o ben s&# en e parmetro "AF.
<4R&,0*1$$
1&4=*s"J
BOUNDED=no
4*.4.7. <ar;metro de clase %>0"@"D.
Es un parmetro opcona. S se estabece con e vaor yes, a case no prestar ancho de banda a
as cases h|as. S se utza e vaor no, que es e vaor predetermnado, se permtr prestar e
ancho de banda dsponbe a as cases h|as.
(S/140&%*no
4*.4.9. <ar;metros de &iltracin.
Son as regas de ftracn que se utzan para seecconar trfco en cada una de as cases. La
sntaxs competa es a sguente:
R>1&*DDs#--rD/pre"iMoEED#puertoD/miscaraEEBED-#--rD/pre"iMoEED#puertoD/miscaraEE
En o anteror, saddr se refere a a dreccn de orgen. daddr se refere a a dreccn de destno.
La sntaxs smpfcada es a sguente, donde todos os vaores son opconaes, pero se debe
especfcar a menos uno:
R>1&*(<!origen#puerto!origen6(<!destino#puerto!destino
En genera a nterpretacn sgue cuatro smpes prncpos:
1. Cuaquer dreccn IP o red que se cooque antes de la coma se consdera dreccn IP o
red de origen.
2. Cuaquer dreccn IP o red que se cooque despus de la coma se consdera dreccn IP
o red de destino.
3. Cuaquer puerto antes de la coma se consdera e puerto de origen.
4. Cuaquer puerto especfcado despus de la coma se consdera puerto de destino.
".emplos.
Seeccn de todo e trfco desde cuaquer puerto en cuaquer red $acia os puertos 25 (SMTP),
465 (SMTPS) y 587 (SMTP Submsson) en cuaquer red (es decr, controa ancho de banda de
correo saente):
336
R>1&*B#69
R>1&*B#469
R>1&*B#957
Seeccn de todo e trfco desde os puertos 25 (SMTP), 465 (SMTPS) y 587 (SMTP Submsson)
en cuaquer red $acia cuaquer puerto en cuaquer red (es decr, controa ancho de banda de
correo entrante):
R>1&*#69B
R>1&*#469B
R>1&*#957B
Seeccn de todo e trfco desde a red 192.168.0.0/24 $acia cuaquer puerto en cuaquer red:
R>1&*186@165@$@$/64B
Seeccn de todo e trfco desde cuaquer puerto en cuaquer red $acia cuaquer puerto en a
red 192.168.0.0/24:
R>1&*B186@165@$@$/64
Seeccn de todo e trfco desde cuaquer puerto en a red 192.168.0.0/24 $acia e puerto 25
(SMTP) en cuaquer red:
R>1&*186@165@$@$/64B#69
Seeccn de todo e trfco desde e puerto 25 (SMTP) en a red 192.168.0.0/24 $acia cuaquer
puerto en cuaquer red:
R>1&*186@165@$@$/64#69B
Seeccn de todo e trfco desde e puerto 25 (SMTP) en a red 192.168.0.0/24 $acia e puerto 25
(SMTP) en cuaquer red:
R>1&*186@165@$@$/64#69B#69
Seeccn de todo e trfco desde e puerto 25 (SMTP) en cuaquer red $acia cuaquer puerto en
a red 192.168.0.0/24:
R>1&*#69B186@165@$@$/64
Seeccn de todo e trfco desde e puerto 25 (SMTP) en cuaquer red $acia e puerto 25 (SMTP)
en a red 192.168.0.0/24:
R>1&*#69B186@165@$@$/64#69
Seeccn de todo e trfco desde e puerto 80 en cuaquer red $acia cuaquer puerto de
cuaquer red:
337
R>1&*#5$B
Seeccn de todo e trfco desde cuaquer puerto en e anftrn 201.161.1.226 $acia cuaquer
puerto en cuaquer red:
R>1&*6$1@161@1@666B
Seeccn de todo e trfco desde puerto 80 en e anftrn 201.161.1.226 $acia cuaquer puerto
en cuaquer red:
R>1&*6$1@161@1@666#5$B
Seeccn de todo e trfco desde e puerto 80 (HTTP) en cuaquer red $acia a red
192.168.0.0/24:
R>1&*#5$B186@165@$@$/64
Seeccn de todo e trfco desde os puerto 20 (FTP-DATA), 21 (FTP) y 80 (HTTP) en cuaquer red
$acia a red 192.168.0.0/24:
R>1&*#6$B186@165@$@$/64
R>1&*#61B186@165@$@$/64
R>1&*#5$B186@165@$@$/64
Seeccn de todo e trfco desde de os puertos 20 (FTP-DATA), 21 (FTP) y 80 (HTTP) en e
anftrn 201.161.1.226 $acia a red 192.168.0.0/24:
R>1&*6$1@161@1@666#6$B186@165@$@$/64
R>1&*6$1@161@1@666#61B186@165@$@$/64
R>1&*6$1@161@1@666#5$B186@165@$@$/64
4*.5. <rocedimientos.
Para poder confgurar e uso de ancho de banda se requere determnar prmero o sguente:
Cua es e ancho de banda de trfco entrante (de ba|ada) de a nterfaz pbca?
Cua es e ancho de banda de trfco saente (de subda) de a nterfaz pbca?
Ou servcos se van a controar?
Cuanto ancho de banda para trfco entrante y saente se va a destnar a cada servco?
Consderando e sguente escenaro:
Servdor con un cortafuegos y un )A@ compartendo e acceso haca Internet.
Enace ADSL de 2048 kbps de trfco entrante y 256 kbps de trfco saente, a travs de a
nterfaz et$O.
338
Red oca 192.168.0.0/24 accede desde a nterfaz et$+.
Se quere gestonar e uso de ancho de banda para SMTP, POP3, IMAP, HTTP, HTTPS, FTP y
SSH/SFTP.
A repartr e ancho de banda, se e 50% de ancho de banda de entrada a E@@< y E@@<>, y
se dar e 50% de ancho de banda de subda a os servcos reaconados con e correo
electrnico.
Como e|empo, se asgnarn os sguentes anchos de banda para cada servco especfcado.
>ervicios <uertos @r;&ico entrante @r;&ico saliente
Correo eectrnco:
SMTP, POP3 e IMAP
25, 465, 587, 110, 143, 993, 995 512Kbt 128Kbt
HTTP y HTTPS 80, 443 1024Kbt 64Kbt
FTP y SSH/SFTP 20, 21, 22 256Kbt 64Kbt
4*.5.+. CBB sin compartir anc$o de !anda entre clases.
En e e|empo os anchos de banda se estn asgnando pensando en que se har uso de todos os
servcos de forma smutnea y que se quere que cada servco respete e ancho de banda de os
otros, es decr, sn prestar ancho de banda de una case a otra.
Con a fnadad de factar a organzacn, se recomenda crear archvos ndependentes para
cada potca. Es decr, destnar un archvo para todo o reaconado con correo, otro para o
reaconado con HTTP/HTTPS y otro reaconado con FTP.
Contendo de archvo
/etc/sysconfg/cbq/cbq-0002.smtp-n:
%&'()&*eth$B6$45Hbit
RATE=542>!%$
3&(I20*6$4Hbit
<R(/*9
R>1&*#69B186@165@$@$/64
R>1&*#469B186@165@$@$/64
R>1&*#957B186@165@$@$/64
R>1&*#11$B186@165@$@$/64
R>1&*#14?B186@165@$@$/64
R>1&*#88?B186@165@$@$/64
R>1&*#889B186@165@$@$/64
Contendo de archvo
/etc/sysconfg/cbq/cbq-0003.web-n:
RATE=4/2E>!%$
3&(I20*6$4Hbit
<R(/*9
R>1&*#5$B186@165@$@$/64
R>1&*#44?B186@165@$@$/64
Contendo de archvo
/etc/sysconfg/cbq/cbq-0005.ftp-n:
RATE=235>!%$
3&(I20*6$4Hbit
<R(/*9
R>1&*#6$B186@165@$@$/64
R>1&*#61B186@165@$@$/64
R>1&*#66B186@165@$@$/64
Contendo de archvo
/etc/sysconfg/cbq/cbq-0002.smtp-out:
RATE=428>!%$
3&(I20*6$4Hbit
<R(/*9
R>1&*186@165@$@$/64B#69
R>1&*186@165@$@$/64B#469
R>1&*186@165@$@$/64B#957
R>1&*186@165@$@$/64B#11$
R>1&*186@165@$@$/64B#14?
Contendo de archvo
/etc/sysconfg/cbq/cbq-0004.web-out:
RATE=3E>!%$
3&(I20*6$4Hbit
<R(/*9
R>1&*186@165@$@$/64B#5$
R>1&*186@165@$@$/64B#44?
Contendo de archvo
/etc/sysconfg/cbq/cbq-0006.ftp-out:
RATE=3E>!%$
3&(I20*6$4Hbit
<R(/*9
R>1&*186@165@$@$/64B#6$
R>1&*186@165@$@$/64B#61
R>1&*186@165@$@$/64B#66
339
R>1&*186@165@$@$/64B#88?
R>1&*186@165@$@$/64B#889
4*.5.*. CBB compartiendo anc$o de !anda entre clases.
En e e|empo os anchos de banda se estn asgnando pensando en que se har uso de todos os
servcos de forma smutnea y que se quere que cada servco preste ancho de banda sn utzar
desde una case haca otra. Se utzar a as cases con mayor ancho de banda dsponbe como as
cases padre.
Con a fnadad de factar a organzacn, se recomenda crear archvos ndependentes para
cada potca. Es decr, destnar un archvo para todo o reaconado con correo, otro para o
reaconado con HTTP/HTTPS y otro reaconado con FTP.
Contendo de archvo
/etc/sysconfg/cbq/cbq-0002.smtp-n:
RATE=542>!%$
3&(I20*6$4Hbit
<R(/*9
AARENT=4//
LEAF=s+,
R>1&*#69B186@165@$@$/64
R>1&*#469B186@165@$@$/64
R>1&*#957B186@165@$@$/64
R>1&*#11$B186@165@$@$/64
R>1&*#14?B186@165@$@$/64
R>1&*#88?B186@165@$@$/64
R>1&*#889B186@165@$@$/64
Contendo de archvo
/etc/sysconfg/cbq/cbq-0003.web-n:
RATE=4/2E>!%$
3&(I20*6$4Hbit
<R(/*9
AARENT=4//
LEAF=no
BOUNDED=no
FSOLATED=no
R>1&*#5$B186@165@$@$/64
R>1&*#44?B186@165@$@$/64
Contendo de archvo
/etc/sysconfg/cbq/cbq-0005.ftp-n:
RATE=235>!%$
3&(I20*6$4Hbit
<R(/*9
AARENT=4//
LEAF=s+,
R>1&*#6$B186@165@$@$/64
R>1&*#61B186@165@$@$/64
R>1&*#66B186@165@$@$/64
Contendo de archvo
/etc/sysconfg/cbq/cbq-0002.smtp-out:
RATE=428>!%$
3&(I20*6$4Hbit
<R(/*9
AARENT=2//
LEAF=no
BOUNDED=no
FSOLATED=no
R>1&*186@165@$@$/64B#69
R>1&*186@165@$@$/64B#469
R>1&*186@165@$@$/64B#957
R>1&*186@165@$@$/64B#11$
R>1&*186@165@$@$/64B#14?
R>1&*186@165@$@$/64B#88?
R>1&*186@165@$@$/64B#889
Contendo de archvo
/etc/sysconfg/cbq/cbq-0004.web-out:
RATE=3E>!%$
3&(I20*6$4Hbit
<R(/*9
AARENT=2//
LEAF=s+,
R>1&*186@165@$@$/64B#5$
R>1&*186@165@$@$/64B#44?
Contendo de archvo
/etc/sysconfg/cbq/cbq-0006.ftp-out:
RATE=3E>!%$
3&(I20*6$4Hbit
<R(/*9
AARENT=2//
LEAF=s+,
R>1&*186@165@$@$/64B#6$
R>1&*186@165@$@$/64B#61
R>1&*186@165@$@$/64B#66
4*.5.3. %niciarF detener y reiniciar el servicio c!#.
E gun de nco de cbq est nstaado como =s!in=c!#. Es necesaro copar este archvo dentro
de =etc=init.d= y trataro gua que cuaquer otro servco de sstema.
cp !a /sbin/cbJ /etc/init@d
340
Para probar que as cases estn correctas antes de utzar stas, puede recurrr a:
service cbJ compile
Para e|ecutar por prmera vez e servco c!#, utce:
service cbJ start
service cbJ restart
Para detener e servco c!# y emnar de memora todas as regas utce:
service cbJ stop
Para supervsar as estadstcas de trfco gestonado a travs de c!# utce:
service cbJ stats
4*.5.4. Agregar el servicio c!# al arran#ue del sistema.
Para hacer que e servco de c!# est actvo con e sguente nco de sstema, en todos os
chkcon"ig cbJ on
341
43. %ntroduccin a >"inu2 en Cent0> 5 y
Fedora.
Correo electrnico: dar)#hra*+g*ail.co*
#itio de Red: http://www.alcancelibre.org/
43.+. %ntroduccin.
Suee ocurrr que a ntentar me|orar e rendmento de un sstema se recurra a a prctca de
desactvar SELnux. Certamente consume bastantes recursos, pero brnda un nve de segurdad
superor que en un futuro, que esperemos sea muy e|ano, podra ser de gran utdad para mpedr
ataques drgdos especfcamente haca GNU/Lnux. La gran popuardad que estn tenendo as
computadoras utra-porttes est ncrementando e nmero de usuaros de GNU/Lnux, o cua
eventuamente tambn sgnfcar que r surgendo equpamento gco macoso (mal(are)
especfcamente dseado para GNU/Lnux. A contnuacn expco, de &orma !reve, como utzar
de manera bsca getse!ool y setse!ool (y un poco de c$con) en CentOS 5 (apcabe a Red Hat
Enterprse Lnux 5) y Fedora 10 (y versones posterores) desde a termna, e|empfcando potcas
para agunos servcos.
43.*. Bu es >"inu2?
>"inu2 (de ngs >ecurty-"nhanced inu2, que se traduce como Segurdad Me|orada de Lnux)
es una mpementacn de segurdad para GNU/Lnux que provee una varedad de potcas de
segurdad, ncuyendo e esto de acceso a os controes de Departamento de Defensa de EE.UU.,
a travs de uso de mduos de Segurdad en e nceo de Lnux.
En s es una coeccn de parches que fueron ntegrados hace agunos aos a nceo de Lnux,
fortaecendo sus mecansmos de contro de acceso y forzando a e|ecucn de os procesos dentro
de un entorno con os mnmos prvegos necesaros. Utza un modeo de segurdad de contro de
acceso obgatoro.
Es una mpementacn compe|a y robusta que suee ser muy oscura para a mayora de os
usuaros. Debdo a sto, fata de documentacn amstosa y que muchos servcos smpemente
son mposbes de operar sn una potca correspondente, muchas personas sueen desactvaro
edtando =etc=syscon&ig=selinu2. E ob|etvo de este artcuo es servr como una breve
ntroduccn a os conceptos bscos de admnstracn de SELnux.
43.3. :andato getse!ool
Este mandato permte star potcas en SELnux, y determnar s estn actvos o nactvos.
Bscamente se utza de a sguente forma:
getsebool !a Zgrep cadena
342
Donde cadena es una cadena de texto que se puede utzar para ocazar as potcas
reaconados con agn servco en partcuar. Por e|empo, s se desea conocer que potcas que
ncuyan a cadena ftp estn actvos, como root se puede utzar o sguente:
getsebool !a Zgrep "tp
Lo anteror debe regresar ago smar como o sguente:
allo."tpd.anon.rite !!L o""
allo."tpd."ull.access !!L o""
allo."tpd.use.ci"s !!L o""
allo."tpd.use.n"s !!L o""
"tp.home.dir !!L o""
httpd.enable."tp.server !!L o""
t"tp.anon.rite !!L o""
43.4. :andato setse!ool.
Setseboo permte cambar os vaores para dferentes potcas de SELnux, msmas que pueden
verse a travs de e mandato getse!ool. La sntaxs bsca es a sguente:
setsebool nombre.politica valor
Cuando se e|ecuta de a manera anterormente descrta, as potcas son apcadas de nmedato y
estarn vgentes hasta e sguente renco de sstema. Para hacer permanentes as potcas, se
utza e msmo mandato con a opcn (<:
setsebool !< nombre.politica valor
A contnuacn se muestran agunos e|empos de gestn de potcas para varos servcos.
43.4.+. >ervicios de F@<.
Para e servco de FTP, como sera a travs de VSFTPD, nteresan as sguentes potcas:
aow_ftpd_anon_wrte: Permte a os usuaros annmos poder escrbr en e servdor.
aow_ftpd_fu_access: Permte ectura y escrtura sobre todos os archvos dsponbes
desde e servdor.
aow_ftpd_use_cfs: Permte transferencas de datos desde CIFS.
aow_ftpd_use_nfs: Permte transferencas de datos desde NFS
ftp_home_dr: Permte a os usuaros ocaes poder acceder a sus drectoros de nco.
Para actvar estas, se utza e mandato setse!ool con e nombre de a potca y e vaor 0 o ben
1 para desactvar o actvar, respectvamente. En e sguente e|empo se actva poder acceder a os
drectoros de nco de os usuaros:
setsebool "tp.home.dir 1
343
Lo anteror permtra que os usuaros puedan acceder a sus propos drectoros de ncos a travs
de VSFTPD, hasta que e sstema sea rencado. Para hacer permanente e cambo, se utza
setse!ool con a opcn (<, de s sguente manera:
setsebool !< "tp.home.dir 1
43.4.*. 0penG<).
Otro tpco e|empo es de OpenVPN, como cente y servdor. Exsten dos potcas:
openvpn_enabe_homedrs: Permte utzar certfcados amacenados en os drectoros de os
usuaros.
openvpn_dsabe_trans: Por omsn, SELnux mpde utzar OpenVPN como servdor. Esta potca
permte desactva toda gestn de SELnux sobre OpenVPN, pero permte a ste funconar como
servdor.
Para a potca de openvpnQena!leQ$omedirs, ba|o agunas crcunstancas se necesta permtr a
os usuaros poder conectarse a redes VPN utzando certfcados que e msmo usuaro amacena
en su drectoro de nco, y esta es precsamente a potca que o permte. Con e nve de
segurdad por omsn, soo se podran utzar certfcados defndos por e admnstrador en agn
drectoro de sstema.
43.4.3. Apac$e.
Cuando se traba|a con drectoros que sern acceddos desde redes pbcas, como un drectoro
vrtua o un drectoro para domno vrtua en Apache, se actva a potca
$ttpdQena!leQ$omedirs y se utza e mandato c$con para permtr e acceso a os drectoros
Y=pu!licQ$tml, aadendo e tpo httpd_sys_content_t.
setsebool !< httpd.enable.homedirs 1
chcon !R !t httpd.sys.content.t Yuser/public.html
Para permtr a e|ecucn de programas CGI, se utza:
setsebool !< httpd.enable.cgi 1
Para permtr envar correo desde apache, se utza:
setsebool !< httpd.can.sendmail 1
Para desactvar que SELnux controe a Apache, en su totadad, se puede utzar:
setsebool !< httpd.disable.trans 1
43.4.4. >am!a.
En Samba es comn a necesdad de permtr a este servco operar como controador de domno.
La potca que o habta es sam!aQdomainQcontroller:
setsebool !< samba.domain.controller
344
S se desea permtr e acceso a os drectoros de nco de os usuaros, se utza a potca los
directorios Y=pu!licQ$tml:
setsebool !< samba.enable.home.dirs on
Para poder utzar drectoros que se compartrn a travs de Samba, se utza c$con defnendo
e tpo sam!aQs$areQt a contexto de drectoro. En e sguente e|empo, se crear un drectoro
como /var/samba/pubco:
mkdir !p /var/samba/publico
Para vsuazar sus contextos en SELnux, se utza e mandato ls con a opcn ([:
ls !G /var/samba/
Lo anteror debe devover una sada como a sguente:
drxr!xr!x root root uncon"ined.u#obMect.r#var.t#s$ publico
Para aadr e tpo sam!aQs$areQt, se utza e mandato c$con de a sguente manera:
chcon !t samba.share.t /var/samba/publico
A vover a vsuazar e contexto de drectoro con ls ([, deber devover una sada como a
sguente:
ls !G
drxr!xr!x root root uncon"ined.u#obMect.r#samba.share.t#s$ publico
Para compartr un drectoros en Samba, hay dos potcas que se pueden utzar:
samba_export_a_ro: Permte e acceso a drectoros compartdos en Samba en modo de soo
ectura
samba_export_a_rw: Permte e acceso a drectoros compartdos en Samba en modo de ectura y
escrtura.
E|empo:
setsebool !< samba.export.all.r 1
43.4.5. 0tros servicios.
En genera, todos as potcas de todos os servcos pueden ser gestonadas buscando cuaes
estn reaconadas a travs de mandato getse!ool. Los detaes respecto de qu es o que hace
dada potca pueden consutarse a travs de as pgnas de manua que estn nstaadas en e
sstema. Por e|empo, para consutar que potcas hay para e servco NFS, e manua que contene
as descrpcones correspondentes es n&sQselinu2.
man httpd.selinux
345
Otros manuaes que pueden consutarse en e sstema para dferentes servcos son:
kerberos_senux
named_senux
ftpd_senux
ns_senux
rsync_senux
ypbnd_senux
pam_senux
httpd_senux
nfs_senux
samba_senux
346
44. Cmo con&igurar un servidor DEC< en una
A)
44.+. %ntroduccin.
44.+.+. Acerca del protocolo DEC<.
DEC< (acrnmo de Dynamc Host Confguraton <rotoco, que se traduce Protocoo de
confguracn dnmca de servdores) es un protocoo que permte a dspostvos ndvduaes en
una red de dreccones IP obtener su propa nformacn de confguracn de red (dreccn IP;
mscara de sub-red, puerta de enace, etc.) a partr de un servdor DHCP. Su propsto prncpa es
hacer ms fces de admnstrar as redes grandes. DEC< exste desde 1993 como protocoo
estndar, y se descrbe a detae en e RFC 2131.
Sn a ayuda de un servdor DEC<, tendran que confgurarse de forma manua cada dreccn IP
de cada anftrn que pertenezca a una Red de Area Loca. S un anftrn se trasada haca otra
ubcacn donde exste otra Red de Area Loca, se tendr que confgurar otra dreccn IP dferente
para poder unrse a esta nueva Red de Area Loca. Un servdor DEC< entonces supervsa, y
dstrbuye, as dreccones IP de una Red de Area Loca asgnando una dreccn IP a cada anftrn
que se una a a Red de Area Loca. Cuando, por menconar un e|empo, una computadora portt
se confgura para utzar DEC<, a sta e ser asgnada una dreccn IP, y otros parmetros de
red, necesaros para unrse a cada Red de Area Loca donde se ocace.
Exsten tres mtodos de asgnacn en e protocoo DEC<:
Asignacin manual: La asgnacn utza una taba con dreccones :AC (acrnmo
de :eda Access Contro Address, que se traduce como dreccn de Contro de
Acceso a Medo). So os anftrones con una dreccn :AC defnda en dcha taba
recbr e IP asgnada en a msma taba. sto se hace a travs de parmetro
$ardPare et$ernet combnado con deny unLnoPn(clients.
Asignacin autom;tica: Una dreccn de IP dsponbe dentro de un rango
determnado se asgna permanentemente a anftrn que a requera.
Asgnacn dnmca: Se determna arbtraramente un rango de dreccones IP, y cada
anftrn conectado a a red est confgurada para soctar su dreccn IP a servdor
cuando se nca e dspostvo de red, utili8ando un intervalo de tiempo
controla!le (parmetros de&ault(lease(time, y ma2(lease(time), de modo que a
asgnacn de dreccones IP es de manera tempora, y stas se reutzan de forma
dnmca.
URL: http://www.etf.org/rfc/rfc2131.txt, y http://www.etf.org/rfc/rfc2132.txt
347
44.+.*. Acerca de d$cp por %nternet >o&tPare ConsortiumF %nc.
Fundado en 1994, Internet Software Consortum, Inc., dstrbuye un con|unto de herramentas para
e protocoo DEC<, as cuaes conssten en:
>ervidor DEC<.
Cliente DEC<.
Agente de retransmisin.
Dchas herramentas utzan un A<% (Appcaton <rogrammng %nterface o Interfaz de
Programacn de Apcacones) moduar dseado para ser o sufcentemente genera para ser
utzado con facdad en os sstemas operatvos que cumpen e estndar <0>%D (<ortabe
0peratng >ystem %nterface for UNID o nterfaz portabe de sstema operatvo para Unx), y no-
POSIX, como Wndows.
URL: http://sc.org/products/DHCP/
S utza Cent0> 5, 'ed Eath "nterprise inu2 5, o ben versones posterores de stos,
soamente necesta e|ecutar o sguente:
yum !y install dhcp
44.3. :odi&icaciones necesarias en el muro corta&uegos.
Por o genera, |ams se abren puertos de DHCP a as redes pbcas. S se utza un cortafuegos
con potcas estrctas, como por e|empo >$orePall, es necesaro abrr os puerto 67, y 68, por
UDP (B00@<>, y B00@<C, respectvamente) de modo bdreccona.
S se utza Shorewa, edte e archvo =etc=s$orePall=inter&aces:
vim /etc/shoreall/inter"aces
Y aadr a opcn d$cp a as opcones de a nterfaz sobre a cua funcona e servco d$cpd. Esta
opcn, tras rencar e servco s$orePall, habta as comuncacones de entrada, y sada, para
DHCP.
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AG/,& (,0&R=4)& :R/4%)4S0 /<0(/,S
net eth$ detect blacklist
loc eth1 detect -h&'Bblacklist
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
Rence e servco s$orePall a fn de que surtan efecto os cambos.
348
service shoreall restart
44.4.+. >"inu2 y el servicio d$cpd.
Se recomenda encarecdamente de|ar actvo SELnux, y de|ar como estn as potcas
predetermnadas.
)ota.
Lo sguente so apca para Cent0> 5 y 'ed Eat "nterprise inu2 5.
S se desea eliminar la proteccin que brnda SELnux a servco d$cpd, utce e sguente mandato.
setsebool !< dhcpd.disable.trans 1
S se desea eliminar la proteccin que brnda SELnux a sstema para funconar como cliente DEC<,
utce e sguente mandato.
setsebool !< dhcpc.disable.trans 1
Nnguna de ests potcas exste en Cent0> 6 y 'ed Eat "nterprise inu2 6.
44.4.*. Arc$ivo de con&iguracin =etc=syscon&ig=d$cpd.
En e caso de dsponer mtpes dspostvos de red en e servdor, se recomenda que e servco
d$cpd soamente funcone a travs de a nterfaz de red utzada por a LAN. Edte e archvo
=etc=syscon&ig=d$cpd, y agregue e vaor et$O, et$+, et$*, etc., como argumento(s) de
parmetro DEC<DA'?>, o ben o que corresponda a a nterfaz desde a cua accede a red oca.
Edte e archvo =etc=syscon&ig=d$cpd:
vim /etc/syscon"ig/dhcpd
Para e sguente e|empo, consderando que et$+ es a nterfaz correspondente a a LAN:
A )ommand line options here
%2)<%4RIS*e$h4
44.4.3. Arc$ivo de con&iguracin d$cpd.con&.
Consderando como e.emplo que se tene una red oca con as sguentes caracterstcas:
Nmero de red: 172.16.1.0
Mscara de sub-red: 255.255.255.192 (26 bt)
Puerta de enace: 172.16.1.1
Servdor de nombres: 172.16.1.1<
349
Servdor Wns: 172.16.1.1
Servdores de tempo ()@<): recomendamos utzar os de NTP.org, 200.23.51.205,
132.248.81.29, y 148.234.7.30, os cuaes son confabes, y de acceso gratuto.
Rango de dreccones IP a asgnar de modo dnmco: 172.16.1.2, hasta 172.16.1.58.
)ota.
Es ndspensabe conocerF y entender per&ectamente, todo o anteror para poder contnuar con
este documento. S se tenen dudas, por favor, prmero consutar, y estudar, e documento ttuado
%ntroduccin a %< versin 4.
Puede utzar e contendo de e|empo, que se encuentra ms adeante, para adaptarF o !ien
crear desde ceroF un nuevo archvo de confguracn para e servco d$cpd, a|ustando os datos
a una red para un con|unto de sstemas en partcuar.
S se utza Cent0> 6, o 'ed Eat "nterprise inu2 6, edte e archvo =etc=d$cp=d$cpd.con&.
vim /etc/dhcp/dhcpd@con"
)ota.
S se utza Cent0> 5, o 'ed Eat "nterprise inu2 5, edte e archvo =etc=d$cpd.con&.
vim /etc/dhcpd@con"
Para efectos prctcos, utce a sguente panta y modfque todo o que est resaltado.
server!identi"ier ser*%-or.re--)o&#).ne$V
authoritativeV
option domain!name +re--)o&#).ne$+V
shared!netork re-)o&#) \
subnet 4=2.43.4./ netmask 255.255.255.4<2 \
option routers 4=2.43.4.4V
option subnet!mask 255.255.255.4<2V
option broadcast!address 4=2.43.4.33V
option domain!name!servers 4=2.43.4.4V
option netbios!name!servers 4=2.43.4.4V
range 4=2.43.4.2 4=2.43.4.58V
]
]
Lo anteror corresponde a a confguracn bsca recomendada para un servdor DHCP bsco.
44.4.3.+. Asignacin de direcciones %< est;ticas.
S se tenen equpos con dreccones IP esttcas, pueden aadrse tambn en a confguracn de
a sguente forma, defnendo e nombre de anftrn, dreccn MAC, y dreccn IP:
350
host impresora \
option host!name +e')5<//.re--)o&#).ne$+V
hardare ethernet //D2ED2BD35D5ED8EV
"ixed!address 4=2.43.4.5<V
]
De modo ta que a confguracn queda de sguente modo:
authoritativeV
subnet 4=2.43.4./ netmask 255.255.255.4<2 \
range 4=2.43.4.2 4=2.43.4.58V
]
A &Juipos con (< "iMa@
hos$ %9'resor# X
o'$%on hos$-n#9e "e')5<//.re--)o&#).ne$"Y
h#r-?#re e$herne$ //D2ED2BD35D5ED8EY
+%Ce--#--ress 4=2.43.4.5<Y
Z
hos$ '&4E X
o'$%on hos$-n#9e "'&4E.re--)o&#).ne$"Y
h#r-?#re e$herne$ //D5/DBFD2=D4CD4CY
+%Ce--#--ress 4=2.43.4.3/Y
Z
]
44.4.4. %niciarF detenerF y reiniciarF el servicio d$cpd.
Para ncar por prmera vez e servco d$cpd, utce:
service dhcpd start
Para hacer que os cambos hechos a a confguracn de servco d$cpd surtan efecto, utce:
Para detener e servco d$cpd, utce:
service dhcpd stop
351
44.4.5. Agregar el servicio d$cpd al inicio del sistema.
Para hacer que e servco de d$cpd est actvo con e sguente nco de sstema, en todos os
nvees de e|ecucn (2, 3, 4, y 5), e|ecute o sguente:
chkcon"ig dhcpd on
44.4.6. imitar el acceso por direccin :AC.
Es posbe mtar e acceso a servdor DHCP, defnendo una sta de dreccones MAC. De ta
modo, a os anftrones que estn ausentes en dcha sta es ser denegado e servco.
authoritativeV
subnet 4=2.43.4./ netmask 255.255.255.4<2 \
range 4=2.43.4.2 4=2.43.4.58V
]
A 1ista de direcciones -4) Jue tendrin permitido utiliCar el servidor
A %2)<@
A deny unknon!clients impide Jue eJuipos "uera de esta lista puedan
A utiliCar el servicio@
deny unknon!clientsV
host impresora \
]
host pc1 \
hardare ethernet //D5/DBFD2=D4CD4CV
]
host pc6 \
hardare ethernet FEDC=D4ED=/DFADACV
]
host laptop1 \
hardare ethernet EED8=DFCDAADDDD2DV
]
host laptop6 \
hardare ethernet =/DF4DA4D<FD=/D3BV
]
]
E e|empo anteror hace que soamente as dreccones MAC descrtas puedan hacer uso de
servdor DHCP.
352
44.4.7. Con&iguracin para &uncionar con D)> din;mico.
Asumendo que ya se dspone de un servdor DNS prevamente confgurado, y funconando, para
confgurar e servdor DHCP a fn de que actuace automtcamente os regstros correspondentes
en as zonas de servdor DNS, so basta aadr os parmetros ddns(updates, ddns(
domainname, ddns(rev(domainname, a msma frma dgta de a confguracn de DNS, y
defnr as zonas de ocahost, zona de re-envo, y zona de resoucn nversa de DNS, con os
vaores e|empfcados a contnuacn, soamente sendo necesaro reempazar los valores
resaltados.
353
--ns-.'-#$es onY
--ns--o9#%nn#9e "re--)o&#).ne$."Y
--ns-re*--o9#%nn#9e "%n-#--r.#r'#."Y
authoritativeV
A )opiar tal cual contenido del archivo
A 8e$&8rn-&.7ey
A msto se utiliCari para poder comunicar el servidor %2)< con el servidor %,SB
A y poder gestionar Conas dinimicas desde el servidor %2)< con la misma "irma
A digital@
A âmis utiliCar la clave eMempli"icada a continuaciRn para producciRn@
A &s la bnica con"iguraciRn cuya llave de cierre pueden llevar punto y coma@
7ey "rn-&-7ey" X
#)or%$h9 h9#&-9-5Y
se&re$ ".n-G'HM,3%V9Uh2y*VOnU[=="Y
ZY
:one )o&#)-o9#%n. X
'r%9#ry 42=././.4Y
7ey rn-&-7eyY
Z
:one 4.43.4=2.%n-#--r.#r'#. X
'r%9#ry 4=2.43.4.4Y
7ey rn-&-7eyY
Z
:one re--)o&#).ne$. X
'r%9#ry 4=2.43.4.4Y
7ey rn-&-7eyY
Z
subnet 4=2.43.4./ netmask 255.255.255.4<2 \
range 4=2.43.4.2 4=2.43.4.58V
]
A &Juipos con (< "iMa@
host impresora \
option host!name +e')5<//.re--)o&#).ne$+V
"ixed!address 4=2.43.4.5<V
]
host pc14 \
option host!name +'&4E.re--)o&#).ne$+V
hardare ethernet //D5/DBFD2=D4CD4CV
"ixed!address 4=2.43.4.3/V
]
]
354
Para que o anteror funcone con e servdor DNS, consderando que ya estn nstaados os
paquetes !ind, y !ind(c$root, se requere generar os archvos red(local.net.8one, y
+.+6.+7*.in(addr.arpa.8one, dentro de drectoro =var=named=c$root=dynamic= de sguente
modo::
touch /var/named/chroot/var/named/dynamic/re--)o&#).ne$.:one
touch /var/named/chroot/var/named/dynamic/4.43.4=2.%n-#--r.#r'#.:one
Ambos archvos deben pertenecer a usuaro named, y grupo named.
chon named#named /var/named/chroot/var/named/dynamic/re--)o&#).ne$.:one
chon named#named /var/named/chroot/var/named/dynamic/4.43.4=2.%n-#--r.#r'#.:one
E archvo /var/named/chroot/var/named/dynamc/red(local.net.8one deber tener e sguente
contendo, donde soamente ser necesaro aadr os regstros de os equpos con IP f|a:
F001 564$$
X (, S/4 ser*%-or.re--)o&#).ne$. root@localhost@ (
6$111$18$1V
655$$V
76$$V
6$45$$V
564$$V
)
X (, ,S ser*%-or.re--)o&#).ne$.
ser*%-or (, 4 4=2.43.4.4
e')5<// (, 4 4=2.43.4.5<
'&4E (, 4 4=2.43.4.3/
E archvo /var/named/chroot/var/named/dynamc/+.+6.+7*.in(addr.arpa.8one deber tener e
sguente contendo, donde soamente ser necesaro aadr os regstros de os equpos con IP f|a:
F001 564$$
X (, S/4 ser*%-or.re--)o&#).ne$. root@localhost@ (
6$111$18$1V
655$$V
76$$V
6$45$$V
564$$V
)
X (, ,S ser*%-or.re--)o&#).ne$.
4 (, <0R ser*%-or.re--)o&#).ne$.
43 (, <0R %9'resor#.re--)o&#).ne$.
4E (, <0R '&4E.re--)o&#).ne$.
En e archvo =var=named=c$root=etc=named.con& deber estar presente o sguente:
355
options \
directory +/var/named+V
dump!"ile +/var/named/data/cache.dump@db+V
statistics!"ile +/var/named/data/named.stats@txt+V
memstatistics!"ile +/var/named/data/named.mem.stats@txt+V
"orarders \
5@5@5@5V
5@5@4@4V
]V
"orard "irstV
// /pciones de %,SS&)@
dnssec!enable yesV
dnssec!validation yesV
dnssec!lookaside autoV
bindkeys!"ile +/etc/named@iscdlv@key+V
]V
// )omentar la siguiente lenea y utiliCar en su lugar el contenido
// del archivo /etc/rndc@key@
// include +/etc/rndc@key+V
7ey "rn-&-7ey" X
#)or%$h9 h9#&-9-5Y
se&re$ ".n-G'HM,3%V9Uh2y*VOnU[=="Y
ZY
controls \
inet 167@$@$@1 allo \ 167@$@$@1V 4=2.43.4.4V ] keys \ +rndc!key+V ]V
]V
vie +local+ \
match!clients \ 167@$@$@$/5V 176@16@1@$/66V ]V
recursion yesV
include +/etc/named@r"c1816@Cones+V
Cone +@+ (, \
type hintV
"ile +named@ca+V
]V
:one "re--)o&#).ne$" X
$y'e 9#s$erY
+%)e "-yn#9%&8re--)o&#).ne$.:one"Y
#))o?-.'-#$e X 7ey "rn-&-7ey"Y ZY
ZY
:one "4.43.4=2.%n-#--r.#r'#" X
$y'e 9#s$erY
+%)e "-yn#9%&84.43.4=2.%n-#--r.#r'#.:one"Y
#))o?-.'-#$e X 7ey "rn-&-7ey"Y ZY
ZY
]V
Actve a potca de SELnux, a cua permtr a servdor DNS poder reazar modfcacones a os
archvos de zona.
setsebool !< named.rite.master.Cones 1
Rence e servco named a fn de que surtan efecto os cambos.
service named restart
356
Rence tambn e servco d$cpd a fn de que surtan efecto os cambos, y para que e servdor
DHCP comence a nteractuar con e servdor DNS.
A partr de este momento, todo cente que tenga defndo en su confguracn oca un nombre de
anftrn, y a cua e sea asgnada una dreccn IP a travs de servdor DHCP recn confgurado,
comuncar su nombre de anftrn a servdor DHCP, e cua a su vez comuncar a servdor DNS
este msmo nombre asocada a a dreccn IP asgnada a cente, de modo que e DNS aadr
automtcamente e regstro correspondente a as zonas de re-envo, y de resoucn nversa
correspondentes.
44.5. Compro!aciones desde cliente DEC<.
Hecho o anteror, soamente se necestar confgurar como nterfaces DHCP, as utzadas en as
estacones de traba|o que sean necesaras, sn mportar que sstema operatvo utcen.
Despus concuda a confguracn, y que estn funconando os servco correspondentes,
pueden hacerse comprobacones desde un cente GNU/Lnux, es decr, desde otro e#uipo. Abra
una termna, como usuaro root, y, asumendo que se tene una nterfaz de red denomnada et$O,
utce os sguentes mandatos para desactvar a nterfaz et$O, y asgnar una nueva dreccn %< a
travs de servdor d$cp.
i"don eth$
dhclient !d !( nombre!eJuipo !2 nombre!eJuipo eth$
Lo anteror deber devover e mensa|e Determnando a nformacn IP para eth0..., y e smboo
de sstema. Para corroborar, utce e mandato i&con&ig para vsuazar os dspostvos de red
actvos en e sstema. Puse C@'(C para termnar e programa.
S se dspone de varos servdores DHCP, y se desea probar a confguracn de aguno en
partcuar, puede aadr a opcn (G a mandato d$client, defnendo como vaor para esta
opcn, e msmo vaor que fue asgnado para e parmetro server(identi&ier, estabecdo en e
archvo =etc=d$cp=d$cpd.con& de servdor correspondente.
i"don eth$
dhclient !d !( nombre!eJuipo !2 nombre!eJuipo -; ser*%-or.re--)o&#).ne$ eth$
La confguracn permanente de dspostvo de red, consderando como e.emplo a nterfaz eth0
con dreccn :AC 00:01:03:DC:67:23, soctando os datos para os servdores D)>,
correspondente a archvo =etc=syscon&ig=netPorL(scripts=i&c&g(et$O, sera con e sguente
contendo:
357
%&'()&*eth$
/,://0*yes
>S&R)01*yes
234%%R*$$#$1#$?#%)#67#6?
0;<&*&thernet
,-.)/,0R/11&%*no
%&=R/>0&*yes
BOOTAROTO=-h&'
AEERDNS=yes
AEERROUTES=yes
AEERNTA=yes
DOMAFN=re--)o&#).ne$
DICA_CLFENT_FD=no9!re-e,.%'o
DICA_IOSTNAME=no9!re-e,.%'o
358
45. %nstalacin y con&iguracin vs&tpd MGery
>ecure F@< DaemonN
45.+. %ntroduccin.
45.+.+. Acerca del protocolo F@<.
F@< (Fe @ransfer <rotoco) o Protocoo de Transferenca de Archvos (o archvos nformtcos) es
uno de os protocoos estndar ms utzados en Internet sendo e ms dneo para a
transferenca de grandes boques de datos a travs de redes que soporten TCP/IP. E servco utza
os puertos 20, y 21, excusvamente sobre TCP. E puerto 20 es utzado para e fu|o de datos
entre cente, y servdor. E puerto 21 es utzando para e envo de rdenes de cente haca e
servdor. Prctcamente todos os sstemas operatvos, y pataformas ncuyen soporte para FTP, o
que permte que cuaquer computadora conectada a una red basada sobre TCP/IP pueda hacer
uso de este servco a travs de un cente FTP.
URL: http://toos.etf.org/htm/rfc959
45.+.*. Acerca del protocolo F@<>.
F@<> (tambn referdo como F@<=>>) es a forma de desgnar dferentes formas a travs de as
cuaes se pueden reazar transferencas seguras de archvos a travs de F@< utzando >> o
@>. Son mecansmos muy dferentes a os de protocoo SFTP (>SH Fe @ransfer <rotoco).
Exsten dos dferentes mtodos para reazar una conexn >>=@> a travs de F@<. La prmera y
ms antgua es a travs de F@<> %mplcito (0mplicit -TF$), que consste en cfrar a sesn
competa a travs de os puertos 990 (FTPS), y 998 (FTPS Data), sn permtr negocacn con e
cente, e cua est obgado a conectarse drectamente a servdor FTPS con e nco de sesn
>>=@>. E segundo mtodo, que es e recomendado por e RFC 4217, y e utzado por Gs&tpd,
es F@<> "2plcito (,4plicit -TF$ o F@<">), donde e cente reaza a conexn norma a travs
de puerto 21, y permtendo negocar, de manera opcona, una conexn @>.
45.+.3. Acerca de '>A.
'>A, acrnmo de os apedos de sus autores, Ron 'vest, Ad >hamr, y Len Ademan, es un
agortmo para encrptar caves pbcas, e cua fue pubcado en 1977, y patentado 1983, en
EE.UU., por e Insttuto Tecnogco de Mchgan (:%@). '>A es utzado en todo e mundo para os
protocoos destnados para e comerco eectrnco.
URL: http://es.wkpeda.org/wk/RSA
359
45.+.4. Acerca de 0pen>>.
0pen>> es una mpementacn bre, de cdgo aberto, de os protocoos >> (>ecure >ockets
ayer o Nve de Zcao Seguro), y @> (@ransport ayer >ecurty, o Segurdad para Nve de
Transporte). Est basado sobre e extnto proyecto >>eay, ncado por Erc Young, y Tm Hudson,
hasta que stos comenzaron a traba|ar para a dvsn de segurdad de EMC Corporaton.
URL: http://www.openss.org/
45.+.5. Acerca de D.5OS.
D.5OS es un estndar %@,(@ (estandarzacn de @eecomuncacones de a %nternatona
@eecommuncaton ,non ) para nfraestructura de caves pbcas (<K%, o <ubc Key
%nfrastructure). Entre otras cosas, estabece os estndares para certfcados de caves pbcas, y
un agortmo, para vadacn de ruta de certfcacn. Este tmo se encarga de verfcar que a
ruta de un certfcado sea vda ba|o una nfraestructura de cave pbca determnada. Es decr,
desde e certfcado nca, pasando por certfcados ntermedos, hasta e certfcado de confanza
emtdo por una Autordad Certfcadora (CA, o Certfcaton Authorty).
URL: http://es.wkpeda.org/wk/X.509
45.+.6. Acerca de vs&tpd.
Gs&tpd (Gery >ecure F@< Daemon) es un equpamento gco utzado para mpementar
servdores de archvos a travs de protocoo F@<. Se dstngue prncpamente porque sus vaores
predetermnados son muy seguros, y por su sencez en a confguracn, comparado con otras
aternatvas como ProFTPD, y Wu-ftpd. Actuamente se presume que vsftpd podra ser quz e
servdor F@< ms seguro de mundo.
URL: http://vsftpd.beasts.org/
S utza Cent0> 5 o 6, o ben 'ed Eath "nterprise inu2 5 o 6, e|ecute o sguente desde una
termna:
yum !y install vs"tpd
45.3. Arc$ivos de con&iguracin.
/etc/vs"tpd@user.list Lsta que defnr usuaros a en|auar o no a en|auar, dependendo de
a confguracn.
/etc/vs"tpd/vs"tpd@con" Archvo de confguracn de VSFTPD.
360
45.4.+. >"inu2F y el servicio vs&tpd.
SELnux controa varas funcones de e servco vs&tpd ncrementando e nve de segurdad de
ste.
Para permtr que os usuaros annmos puedan reazar procesos de escrtura sobre e sstema de
archvos, e|ecute e sguente mandato:
setsebool !< allo."tpd.anon.rite 1
S se necesta permtr acceder con as cuentas de usuaros ocaes a sus drectoro de nco de
stos, se debe habtar a potca &tpQ$omeQdir:
setsebool !< "tp.home.dir 1
Para hacer que SELnux permta acceder a os usuaros ocaes a resto de sstema de archvos,
e|ecute e sguente mandato:
setsebool !< allo."tpd."ull.access 1
Para permtr que e servco vs&tpd pueda hacer uso de sstemas de archvos remotos a travs de
CIFS (Samba) o NFS, y que sern utzados para compartr a travs de servco, e|ecute cuaquera
de os sguentes mandatos:
setsebool !< allo."tpd.use.ci"s 1
setsebool !< allo."tpd.use.n"s 1
)ota.
Lo sguente so apca para Cent0> 5 y 'ed Eath "nterprise inu2 5.
Para emnar por competo a proteccn que brnda SELnux a servco vs&tpd, y que ste funcone
normamente sn esta vaosa proteccn, hacendo que todo o anterormente descrto en esta seccn
perda sentdo, e|ecute e sguente mandato:
setsebool !< "tpd.disable.trans 1
Esta potca es nexstente en Cent0> 6 y 'ed Eath "nterprise inu2 6.
45.4.*. Arc$ivo =etc=vs&tpd=vs&tpd.con&.
Utce un edtor de texto, y modfque e archvo =etc=vs&tpd=vs&tpd.con&.
vim /etc/vs"tpd/vs"tpd@con"
A contnuacn anazaremos os parmetros a modfcar o aadr, segn se requera para
necesdades partcuares.
361
45.4.3. <ar;metro anonymousQena!le.
Se utza para defnr s se permtrn os accesos annmos a servdor. Estabezca como vaor X">
o )0 de acuerdo a o que se requera.
anonymous.enable*;&S
45.4.4. <ar;metro localQena!le.
Estabece s se van a permtr os accesos autentcados de os usuaros ocaes de sstema.
Estabezca como vaor X"> o )0 de acuerdo a o que se requera.
local.enable*;&S
45.4.5. <ar;metro PriteQena!le.
Estabece s se permte e mandato Prite (escrtura) en e servdor. Estabezca como vaor X"> o
)0 de acuerdo a o que se requera.
rite.enable*;&S
45.4.6. <ar;metro anonQuploadQena!le
Especfca s os usuaros annmos tendrn permtdo subr contendo a servdor. Por o genera no
es una funcn deseada, por o que se acostubra desactvar sta.
anon.upload.enable*,/
45.4.7. <ar;metro anonQmLdirQPriteQena!le
Especfca s os usuaros annmos tendrn permtdo crear drectoros en e servdor. A gua que
a anteror, por o genera no es una funcn deseada, por o que se acostumbra desactvar sta.
anon.mkdir.rite.enable*,/
45.4.9. <ar;metro &tpdQ!anner.
Este parmetro srve para estabecer e bandern de benvenda que ser mostrado cada vez que
un usuaro acceda a servdor. Puede estabecerse cuaquer frase breve que consdere
convenente, pero sin signos de puntuacin.
"tpd.banner*:ienvenido al servidor =0< de nuestra empresa
362
45.4.S. "sta!leciendo .aulas para los usuarios- par;metros
c$rootQlocalQuserF y c$rootQlistQ&ile.
De modo predetermnado os usuaros de sstema que se autentquen tendrn acceso a otros
drectoros de sstema fuera de su drectoro persona. S se desea recur a os usuaros a so
poder utzar su propo drectoro persona, puede hacerse fcmente con e parmetro
c$rootQlocalQuser que habtar a funcn de c$rootMN, y os parmetros c$rootQlistQena!le, y
c$rootQlistQ&ile, para estabecer e archvo con a sta de usuaros que quedarn excudos de a
funcn c$rootMN.
chroot.local.user*;&S
chroot.list.enable*;&S
chroot.list."ile*/etc/vs"tpd/chroot.list
Con o anteror, cada vez que un usuaro oca se autentque en e servdor FTP, so tendr acceso
a su propo drectoro persona, y o que ste contenga. Por favor, recuerde crear el arc$ivo
=etc=vs&tpd=c$rootQlistF ya #ue de otro modo ser; imposi!le #ue &uncione correctamente
el servicio vs&tpd.
touch /etc/vs"tpd/chroot.list
45.4.+O. Control del anc$o de !anda.
45.4.+O.+. <ar;metro anonQma2Qrate.
Se utza para mtar a tasa de transferenca, en bytes por segundo, para os usuaros annmos,
ago sumamente t en servdores FTP de acceso pbco. En e sguente e|empo se mta a tasa
de transferenca a 500 Kb por segundo para os usuaros annmos:
anon.max.rate*964655
45.4.+O.*. <ar;metro localQma2Qrate.
Hace o msmo que anonQma2Qrate, pero apca para usuaros ocaes de servdor. En e sguente
e|empo se mta a tasa de transferenca a 1 MB por segundo para os usuaros ocaes:
local.max.rate*1$45976
45.4.+O.3. <ar;metro ma2Qclients.
Estabece e nmero mxmo de centes que podrn acceder smutneamente haca e servdor
FTP. En e sguente e|empo se mtar e acceso a 20 centes smutneos.
max.clients*6$
45.4.+O.4. <ar;metro ma2QperQip.
Estabece e nmero mxmo de conexones que se pueden reazar desde una msma dreccn IP.
Tome en cuenta que agunas redes acceden a travs de un servdor ntermedaro (Proxy) o puerta
de enace, y debdo a sto podran quedar boqueados nnecesaramente agunos accesos. En e
sguente e|empo se mta e nmero de conexones por IP smutneas a un mxmo de 10.
363
max.per.ip*1$
45.4.++. >oporte >>=@> para GF>@<D.
G>F@<D puede ser confgurado fcmente para utzar os protocoos >> (>ecure >ockets ayer,
o Nve de Zcao Seguro), y @> (@ransport ayer >ecurty, o Segurdad para Nve de Transporte)
a travs de un certfcado '>A.
Acceda a sstema como e usuaro root.
Acceda a drectoro =etc=pLi=tls=.
cd /etc/pki/tls/
E certfcado se puede generar fcmente utzando e sguente mandato, donde se generar un
certfcado con estructura D.5OS, agortmo de encrptacn '>A de 1024 kb, sn @riple D">, e
cua permta ncar normamente, sn nteraccn aguna, a servco vs&tpd, con una vadez por
73O das (dos aos) en e archvo =etc=pLi=tls=certs=vs&tpd.crt. Por favor, e|ecute, desde a
termna, e sguente mandato:
openssl reJ !x9$8 !nodes !days 7?$ !nekey rsa#1$64 !keyout private/vs"tpd@key !out
certs/vs"tpd@crt
Lo anteror soctar se ngresen os sguentes datos:
Cdgo de dos etras para e pas.
Estado o provnca.
Cudad.
Nombre de a empresa, o ben a razn soca.
Undad o seccn responsabe de certfcado.
Nombre de anftrn (FODN), o ben domno con comodn.
Dreccn de correo eectrnco de a persona responsabe de certfcado.
La sada devueta sera smar a a sguente:
364
;ou are about to be asked to enter in"ormation that ill be
incorporated into your certi"icate reJuest@
3hat you are about to enter is hat is called a %istinguished ,ame or
a %,@
0here are Juite a "e "ields but you can leave some blank
=or some "ields there ill be a de"ault valueB
(" you enter U@UB the "ield ill be le"t blank@
!!!!!
)ountry ,ame (6 letter code) DI:E#MX
State or <rovince ,ame ("ull name) D:erkshireE#D%s$r%$o Fe-er#)
1ocality ,ame (egB city) D,eburyE#MeC%&o
/rganiCation ,ame (egB company) D-y )ompany 1tdE#E9'res#6 S.A. -e C.;.
/rganiCational >nit ,ame (egB section) DE#%ireccion )omercial
)ommon ,ame (egB your name or your serverUs hostname) DE#\.-o9%n%o.or
&mail 4ddress DE#?e!9#s$erJ-o9%n%o.or
E archvo de certfcado (vs&tpd.crt), y e de a frma dgta (vs&tpd.Ley), deben tener permsos
de so ectura para e usuaro root.
chmod 4$$ certs/vs"tpd@crt private/vs"tpd@key
Regrese a drectoro de nco de usuaro root.
cd
Fnamente se aaden as sguente neas a fna de archvo =etc=vs&tpd=vs&tpd.con&:
A &speci"icar cualJuier rango arbitrarioB y estrechoB de puertos para
A conexiones pasivas@
pasv.min.port*?$?$$
pasv.max.port*?$?$8
A 2abilita el soporte de 01S/SS1
ssl.enable*;&S
A %eshabilita o habilita utiliCar 01S/SS1 con usuarios anRnimos
allo.anon.ssl*,/
A /bliga a utiliCar 01S/SS1 para todas las operacionesB es decirB
A trans"erencia de datosB y autenticaciRn de usuarios locales@
A &stablecer el valor ,/B hace Jue sea o'&%on#) utiliCar 01S/SS1@
"orce.local.data.ssl*;&S
"orce.local.logins.ssl*;&S
A Se pre"iere 01Sv1 sobre SS1v6B y SS1v?
ssl.tlsv1*;&S
ssl.sslv6*,/
ssl.sslv?*,/
A Rutas del certi"icadoB y "irma digital
rsa.cert."ile*8e$&8'7%8$)s8&er$s8*s+$'-.&r$
rsa.private.key."ile*8e$&8'7%8$)s8'r%*#$e8*s+$'-.7ey
45.4.++.+. Clientes recomendados para acceder a F@<">.
Los centes recomendados para acceder a travs de F@<">, son F@< (compado con a opcn
66(it6openssl, y e|ecutando con a opcn 6e Gset ftp)ssl6force trueG), File8illa 3.3.2 (confgurar
conexn como -TF,$ 6 -TF sobre T%$*$$% e4plcito), y bin>C<. A momento de redactar este
documento, as versones mas recentes de centes como FreFTP o gFTP, tenen roto e soporte
para FTP sobre TLS/SSL (F@<>, y F@<">), por o que por e momento es preferbe evtaros.
S utza File8illa, de cua hay versones para ?),=inu2, :ac 0> D, y bindoPs D<=Gista=7, a
sguente magen ustra a confguracn que se requere utzar.
365
Confguracn de cuenta FTPES en Feza.
Luego de ncada a conexn, a prmera vez que File8illa se conecte a servdor, mostrar una
ventana con a nformacn de certfcado, y soctar se acepte ste. Actve a casa que dce
2$iempre confiar en el certificado en futuras sesiones3 antes de hacer cc en e botn de
2Aceptar.3
Daogo de certfcado de FTPES en Feza.
366
45.4.+*. %niciarF detenerF y reiniciar el servicio vs&tpd.
Para ncar por prmera vez e servco vs&tpd, e|ecute e sguente mandato:
service vs"tpd start
Para rencar e servco vs&tpd, o ben hacer que os cambos hechos a a confguracn surtan
efecto, e|ecute e sguente mandato:
service vs"tpd restart
Para detener e servco vs&tpd, e|ecute e sguente mandato:
service vs"tpd stop
45.4.+3. Agregar el servicio vs&tpd al arran#ue del sistema.
Para hacer que e servco de vs&tpd est actvo con e sguente nco de sstema, en todos os
chkcon"ig vs"tpd on
S se utza un cortafuegos con potcas estrctas, como por e|empo >$orePall, es necesaro abrr
os puerto 20, y 21, por TCP (F@<(DA@A, y F@<, respectvamente).
S utza >$orePall, edte e archvo =etc=s$orePall=rules:
vim /etc/shoreall/rules
Las regas corresponderan a ago smar a o sguente, consderando que se abre e acceso para
FTP, sn @>=>>, desde cuaquer zona de muro cortafuegos:
A4)0(/, S/>R)& %&S0 <R/0/ %&S0 S/>R)&
A </R0 </R0(S)1
4))&<0 all " tcp 6$B61
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
S se va a utzar F@<">, e muro cortafuegos debe estar a!ierto para todos los puertos
especfcados en e rango entre e vaor de parmetro pasvQminQport, y e vaor de parmetro
pasvQma2Qport, estabecdos en e archvo =etc=vs&tpd=vs&tpd.con&, debdo a que a
mpementacn de TLS/SSL Expcto de G>F@<D utza puertos aeatoros en dcho rango para
reazar conexones pasvas. S, por e|empo, eg utzar e rango de puertos de 3O3OO a
3O3OS, estabezca o sguente.
A4)0(/, S/>R)& %&S0 <R/0/ %&S0 S/>R)&
A </R0 </R0(S)1
4))&<0 all " tcp 6$B61B3/3//D3/3/<
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
367
A termnar de confgurar as regas para >$orePall, rence e muro cortafuegos, e|ecutando e
sguente mandato:
368
46. Con&iguracin de 0pen>>E.
46.+. %ntroduccin.
46.+.+. Acerca de >>E.
>>E (>ecure >$e) es un con|unto de estndares y protocoo de red que permte estabecer una
comuncacn a travs de un cana seguro entre un cente oca y un servdor remoto. Utza una
cave pbca cfrada para autentcar e servdor remoto y, opconamente, permtr a servdor
remoto autentcar a usuaro. SSH provee confdencadad e ntegrdad en a transferenca de os
datos utzando crptografa y :AC (:essage Authentcaton Codes, o Cdgos de Autentcacn
de Mensa|e). De modo predetermnado, escucha petcones a travs de puerto 22 por TCP.
46.+.*. Acerca de >F@<.
>F@< (>SH Fe @ransfer <rotoco) es un protocoo que provee funconadad de transferenca y
manpuacn de archvos a travs de un fu|o confabe de datos. Comnmente se utza con >>E
para proveer a ste de transferenca segura de archvos.
46.+.3. Acerca de >C<.
>C< (>ecure Copy, o Copa Segura) es una protcoo seguro para transferr archvos entre un
anftrn oca y otro remoto, a travs de >>E. Bscamente, es dntco a 'C< ('emote Copy, o
Copa Remota), con a dferenca de que os datos son cfrados durante a transferenca para evtar
a extraccn potenca de nformacn a travs de programas de captura de as tramas de red
(pacLet sni&&ers). >C< so mpementa a transferenca de archvos, pues a autentcacn
requerda es reazada a travs de >>E.
46.+.4. Acerca de 0pen>>E.
0pen>>E (0pen >ecure >$e) es una aternatva de cdgo aberto, con licencia B>D, haca a
mpementacn propetara y de cdgo cerrado >>E creada por Tatu Ynen. 0pen>>E es un
proyecto creado por e equpo de desarroo de OpenBSD y actuamente drgdo por Theo de
Raadt. Se consdera es ms segura que su contraparte propetara debdo a a constante audtora
que se reaza sobre e cdgo fuente por parte de una gran comundad de desarroadores, una
venta|a que brnda a tratarse de un proyecto de fuente aberta.
OpenSSH ncuye servco y centes para os protocoos >>E, >F@< y >C<.
URL: http://www.openssh.org/.
369
S se utza de Cent0> 5, o 'ed Eat "nterprise inu2 5, o versones posterores de stos, se
e|ecuta o sguente:
yum !y install openssh openssh!server openssh!clients
46.3. >"inu2 y el servicio ss$d.
S se utza de Cent0> 6, o 'ed Eat "nterprise inu2 6, e sstema ncuye tres potcas para e
servco ss$d.
46.3.+. <oltica ss$Qc$rootQrPQ$omedirs.
Esta potca habta, o deshabta, a ectura y escrtura de archvos a travs de SFTP en os
drectoros de nco de os usuaros en|auados. E vaor predetermnado es deshabtado. Para
habtar, e|ecute o sguente
setsebool !< ssh.chroot.r.homedirs 1
46.3.*. <oltica &encedQcanQss$.
Esta potca habta, o deshabta, que usuaros en|auados a travs de SFTP puedan ngresar
tambn a travs de SSH. E vaor predetermnado es deshabtado. Para habtar, e|ecute o
sguente
setsebool !< "enced.can.ssh 1
46.3.3. <oltica ss$QsysadmQlogin.
Esta potca habta, o deshabta, e acceso a travs de ssh como admnstrador de sstema
(contextos sysadmQr-sysadmQt, que corresponden a os de drectoro de nco de usuaro root, o
ben que pueden ser apcados a drectoro de nco de otro usuaro con prvegos). E vaor
predetermnado es deshabtado. Para habtar, e|ecute o sguente
setsebool !< ssh.sysadm.login 1
46.3.4. <oltica alloPQss$QLeysign.
Esta potca habta, o deshabta, e acceso a travs de ssh utzando frmas dgtaes. E vaor
predetermnado es deshabtado. Para habtar, e|ecute o sguente
setsebool !< allo.ssh.keysign 1
Para ms detaes, consute e documento ttuado Cmo utili8ar 0pen>>E con autenticacin
a travs de &irma digital..
370
46.4. Arc$ivos de con&iguracin.
/etc/ssh/sshd_confg Archvo prncpa de confguracn de servco >>E.
Edte =etc=ss$=ss$dQcon&ig. A contnuacn se anazarn os parmetros a modfcar.
vim /etc/ssh/sshd.con"ig
46.5.+. <ar;metro <ort.
Una forma de eevar consderabemente a segurdad a servco de >>E, es cambar e nmero de
puerto utzado por e servco, por otro que so conozca e admnstrador de sstema. A este tpo
de tcncas se es conoce como >eguridad por 0scuridad. La mayora de os dencuentes
nformtcos utza guones que buscan servdores que respondan a petcones a travs de puerto
22. Cambar de puerto e servco de SSH dsmnuye consderabemente a posbdad de una
ntrusn a travs de este servco.
<ort 66
>>E traba|a a travs de puerto 22 por TCP. Puede eegrse cuaquer otro puerto entre e 1025 y
65535. e|empo:
<ort 96?41
46.5.*. <ar;metro istenAddress.
De modo predetermnado, e servco de SSH responder petcones a travs de todas as
nterfaces de sstema. En agunos casos es posbe que no se desee esto y se prefera mtar e
acceso so a travs de una nterfaz a a que so se pueda acceder desde a red oca. Para ta fn
puede estabecerse o sguente, consderando que e servdor a confgurar posee a IP
+S*.+69.+.*54:
1isten4ddress 186@165@1@694
46.5.3. <ar;metro <ermit'ootogin.
Estabece s se va a permtr e acceso drecto de usuaro root a servdor SSH. S se va a permtr
e acceso haca e servdor desde redes pbcas, resutar prudente utzar este parmetro con e
vaor no.
<ermitRoot1ogin no
46.5.4. <ar;metro D++ForParding.
Estabece s se permte o no a e|ecucn remota de apcacones grfcas. S se va a acceder haca
e servdor desde red oca, este parmetro puede quedarse con e vaor yes. S se va a permtr e
acceso haca e servdor desde redes pbcas, resutar prudente utzar este parmetro con e
vaor no.
371
X11=orarding yes
46.5.5. <ar;metro AlloP,sers.
Permte restrngr e acceso por usuaro y, de manera opcona, anftrn desde e cua pueden
hacero. E sguente e|empo restrnge e acceso haca e servdor >>E para que so puedan
hacero os usuaros fuano y mengano, desde cuaquer anftrn.
4llo>sers "ulano mengano
Tambn se puede restrngr e acceso por usuaro y anftrn. E sguente e|empo restrnge e
acceso haca e servdor >>E para que so puedan hacero os usuaros fuano y mengano,
soamente desde os anftrones 10.1.1.1 y 10.2.2.1.
4llo>sers "ulanoX1$@1@1@1 menganoX1$@1@1@1 "ulanoX1$@6@6@1 menganoX1$@6@6@1
46.6. Aplicando los cam!ios.
E servco de >>E puede ncar, detenerse o rencar a travs de un gun smar a os de resto
de sstema. De ta modo, podr ncar, detenerse o rencar a travs de mandato service y
aadrse a arranque de sstema en un nve o nvees de e|ecucn en partcuar con e mandato
c$Lcon&ig.
De modo predetermnado, e servco ss$d est actvo en todos os nvees de e|ecucn.
Para e|ecutar por prmera vez e servco ss$d, e|ecute o sguente:
service sshd start
Para hacer que surtan efecto os cambos hechos a a confguracn de servco ss$d, e|ecute o
sguente:
service sshd restart
Para detener e servco ss$d, e|ecute o sguente:
service sshd stop
De forma predetermnada, e servco >>E est ncudo en todos os nvees de e|ecucn con
servco de red. Para desactvar e servco ss$d de todos os nvees de e|ecucn, e|ecute:
chkcon"ig sshd o""
46.7. <ro!ando 0pen>>E.
46.7.+. Acceso a travs de intrprete de mandatos.
Para acceder a travs de ntrprete de mandatos haca e servdor, basta con e|ecutar desde e
sstema cente e mandato ss$ defnendo e usuaro a utzar y e servdor a cua conectar:
372
ssh usuarioXservidor
Para acceder haca un puerto en partcuar, se utza e parmetro (p. En e sguente e|empo,
utzando a cuanta de usuaro .uan, se ntentar acceder haca e servdor con dreccn IP
+S*.+69.7O.SS, e cua tene un servco de >>E que responde petcones a travs de puerto
52341.
ssh !p 96?41 MuanX186@165@7$@88
46.7.*. @rans&erencia de arc$ivos a travs de >F@<.
Para acceder a travs de >F@< haca e servdor, basta con e|ecutar desde e sstema cente e
mandato s&tp defnendo e usuaro a utzar y e servdor a cua conectar:
s"tp usuarioXservidor
E ntrprete de mandatos de >F@< es muy smar a utzado para e protocoo FTP y tene as
msmas funconadades.
Para acceder haca un puerto en partcuar, en e cua est traba|ando e servco de SSH, se hace
travs de e parmetro (o, con a opcn <ortRn1mero de puerto. En e sguente e|empo,
utzando a cuenta de usuaro .uan, se acceder a travs de >F@< haca e servdor
192.168.70.99, e cua tene traba|ando e servco de SSH en e puerto 52341.
s"tp !o <ort*96?41 MuanX186@165@7$@88
S dspone de un escrtoro en GNU/Lnux, con GNOME 2.x, puede acceder haca servdores >>E a
travs de protocoo >F@< utzando e admnstrador de archvos ()autilus) para reazar
transferencas y manpuacn de archvos, especfcando e ,'% (,nform 'esource ocator o
Locazador Unforme de Recursos) Is&tp-J, segudo de servdor y a ruta haca a que se quere
acceder, segudo de puerto, en e caso que sea dstnto a 22.
373
Nautus, accedendo haca un drectoro remoto a travs de >F@<.
46.7.*.+. Jaulas para los usuarios #ue acceden a travs de >F@<.
La funcn de chroot vene ncuda desde a versn 4.9p1de OpenSSH. Para habtara, es
necesaro edtar e archvo /etc/ssh/sshd_confg:
vim /etc/ssh/sshd.con"ig
Cas a fna de archvo, ocace a sguente nea:
Subsystem s"tp /usr/libexec/openssh/s"tp!server
Comente a nea con una amohada y aada e sguente contendo:
ASubsystem s"tp /usr/libexec/openssh/s"tp!server
S.!sys$e9 s+$' %n$ern#)-s+$'
M#$&h Gro.' s+$'.sers
Chroo$D%re&$ory Gh
For&eCo99#n- %n$ern#)-s+$'
A))o?T&'For?#r-%n no
Guarde e archvo y regrese a ntrprete de mandatos
Rence e servco ss$d e|ecutando o sguente:
service sshd restart
Utce e mandato groupadd para crear e grupo s&tpusers.
groupadd s"tpusers
374
Aada a os usuaros a os cuaes se quera en|auar, a grupo s&tp.
gpassd !a Muanito s"tpusers
Cambe os permsos de drectoro de nco de os usuaros nvoucrados, para que pertenezcan a
root, y tengan permso de acceso 755.
chon root#root /home/Muanito
chmod 799 /home/Muanito
Fnamente, cambe e ntrprete de mandatos de os usuaros nvoucrados a =s!in=nologin o ben
=!in=&alse.
usermod !s /sbin/nologin Muanito
A partr de este momento, os usuaros nvoucrados podrn ngresar a sstema a travs de SFTP,
pero soo podrn tener acceso a su drectvo de nco.
DMbarriosXcentos6 YEF s+$' MuanitoX186@165@5$@5
MuanitoX186@165@5$@5Us passord#
)onnected to 186@165@5$@5@
s"tpL '?-
Remote orking directory# /
s"tpL )s -#
@ @@ @bash.logout @bash.pro"ile @bashrc
s"tpL
46.7.3. @rans&erencia de arc$ivos a travs de >C<.
Para reazar transferencas de archvos a travs de >C<, es necesaro conocer as rutas de os
drectoros ob|etvo de anftrn remoto. A contnuacn se descrben agunas de as opcones ms
mportantes de mandato scp.
(p Preserva e tempo de modfcacn, tempos de acceso y os modos de
archvo orgna.
(< Especfca e puerto para reazar a conexn.
(r Copa recursva de os drectoros especfcados.
En e sguente e|empo, se transferr e archvo algo.t2t, preservando tempos y modos, haca e
drectoro de nco de usuaro fuano en e servdor 192.169.0.99.
scp !p algo@txt "ulanoX186@165@7$@88#Y/
En e sguente e|empo, se transferr a carpeta :ail, |unto con todo su contendo, preservando
tempos y modos, $acia e drectoro de nco de usuaro fuano en e servdor 192.169.0.99.
scp !rp -ail "ulanoX186@165@7$@88#Y/
375
En e sguente e|empo, se transferr a carpeta :ail, |unto con todo su contendo, desde e
drectoro de nco de usuaro fuano en e servdor 192.169.0.99, cuyo servco de >>E escucha
petcones a travs de puerto 52341, preservando tempos y modos, haca e drectoro de usuaro
con e que se est traba|ando en e anftrn oca.
scp !< 96?41 !rp "ulanoX186@165@7$@88#Y/-ail @/
e puerto 22 por UDP (>>E).
Las regas corresponderan a ago smar a o sguente:
A4)0(/, S/>R)& %&S0 <R/0/ %&S0 S/>R)&
A </R0 </R0(S)1
4))&<0 net " tcp 66
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
S a red de rea oca (LAN) va a acceder haca e servdor recn confgurado, es necearo abrr e
puerto correspondente.
A4)0(/, S/>R)& %&S0 <R/0/ %&S0 S/>R)&
A </R0 </R0(S)1
4))&<0 net " tcp 66
ACCEAT )o& +? $&' 22
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
O ben, hacer todo o anteror, con una soa rega, que permta e acceso desde cuaquer zona de
muro cortafuegos:
A4)0(/, S/>R)& %&S0 <R/0/ %&S0 S/>R)&
A </R0 </R0(S)1
ACCEAT #)) +? $&' 22
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
S se decd ofuscar e puerto de SSH, puede utzar a sguente rega, donde, en ugar de 52341,
deber especfcar e puerto que haya eegdo:
A4)0(/, S/>R)& %&S0 <R/0/ %&S0 S/>R)&
A </R0 </R0(S)1
ACCEAT #)) +? $&' 523E4
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
sguente mandato:
376
377
47. 0pen>>E con autenticacin a travs de
&irma digital.
47.+. %ntroduccin.
Utzar caves pbcas en ugar de caves de acceso a travs de servcos como >>E, >C< o >F@<,
resuta una tcnca ms segura para autentcar dchos servcos, factando tambn a operacn
de guones y herramentas de respado que utzan dchos protocoos.
47.*.+. :odi&icaciones en el >ervidor remoto.
Se requere acceder prmero como admnstrador a servdor remoto, y habtar a potca para
SELnux denomnada alloPQss$QLeysign, e|ecutando o sguente:
setsebool !< allo.ssh.keysign 1
A termnar, acceder con a cuenta de usuaro que se utzar para acceder a servdor.
ssh usuarioXservidor
Cmo este usuaro, e|ecutar os sguentes mandatos, os cuaes tene como ob|etvo crear e
drectoro Y=.ss$=, con permso de acceso de ectura/escrtura so para e usuaro, e archvo
Y=.ss$=aut$ori8edQLeys, guamente con permso de acceso de ectura/escrtura so para e
usuaro:
mkdir !m $7$$ Y/@ssh/
touch Y/@ssh/authoriCed.keys
chmod 6$$ Y/@ssh/authoriCed.keys
exit
378
47.*.*. :odi&icaciones en el cliente.
47.*.*.+. ?enerar &irma digital Mllave p1!licaN.
Se debe generar una frma dgta (ave pbca) creada con D>A (Dgta >gnature Agorthm o
Agortmo de Frma dgta). >i se desea no utili8ar clave de acceso para autenticarF slo se
pulsa la tecla ")@"'. S asgna cave de acceso, est ser utzada para autentcar e certfcado
creado cada vez que se quera utzar ste para autentcar remotamente.
ssh!keygen !t dsa
E procedmento devueve una sada smar a a sguente:
Ienerating public/private dsa key pair@
&nter "ile in hich to save the key (/home/usuario/@ssh/id.dsa)#
&nter passphrase (empty "or no passphrase)#
&nter same passphrase again#
;our identi"ication has been saved in /home/usuario/@ssh/id.dsa@
;our public key has been saved in /home/usuario/@ssh/id.dsa@pub@
0he key "ingerprint is#
6c#7?#?$#"e#96#61#a9#56#75#48#97#cd#?7#a"#?6#d" usuarioXcliente
)ota- Es mportante resatar que s desea utzar a frma dgta sn cave de acceso, |ams se
deber estabecer una cave de acceso durante a generacn de a frma dgta. Cuando e dogo
de ss$(Leygen socte una cave de acceso con confrmacn, smpemente pusar a teca
")@'A' (,?T,A) y contnuar e procedmento.
Lo anteror genera os archvos os archvos Y=.ss$=idQdsa y Y=.ss$=idQdsa.pu!, os cuaes deben
tener permso de acceso 600 (so ectura y escrtura para e usuaro).
chmod 6$$ Y/@ssh/\id.dsaBid.dsa@pub]
Se debe copar e contendo de a ave pbca D>A (idQdsa.pu!) a archvo
Y=.ss$=aut$ori8edQLeys de usuaro a utzar en servdor en donde se va a autentcar.
cat Y/@ssh/id.dsa@pubZssh usuarioXservidor +cat LL/home/usuario/@ssh/authoriCed.keys+
Para poder acceder a servdor desde cuaquer cente, basta copar os archvos idQdsa y
idQdsa.pu! dentro de drectoro Y=.ss$=, de a cuenta de usuaro de cada cente desde e que se
requera reazar conexn haca e servdor. Tendr seras mpcacones de segurdad s e archvo
idQdsa cae en manos equvocadas, o se ve comprometdo, por tanto, dcho archvo deber ser
consderado como atamente confdenca.
Pueden generarse dferentes frmas dgtaes para cada usuaro que deba ngresar a travs de SSH
a servdor remoto. Smpemente se aade e contendo de archvo Y=.ss$=idQdsa.pu! de cada
usuaro a archvo Y=.ss$=aut$ori8edQLeys de a cuenta a utzar en e servdor remoto. Pueden
agregarse cuantas frmas dgtaes en este archvo como sean necesaras. S acaso se ve
comprometda a segurdad de aguna frma dgta, smpemente bastar emnar sta de archvo
Y=.ss$=aut$ori8edQLeys de servdor remoto.
379
47.*.3. Compro!aciones.
S no fue asgnada cave de acceso para a ave D>A, deber poderse acceder haca e servdor
remoto sn necesdad de autentcar con cave de acceso de usuaro remoto. S fue asgnada una
cave de acceso a a cave D>A, se podr acceder haca e servdor remoto autentcando con a
cave de acceso defnda a a cave D>A, y sn necesdad de autentcar con cave de acceso de
usuaro remoto.
380
49. Cmo con&igurar )@<.
49.+. %ntroduccin.
49.+.+. Acerca de )@<.
)@< ()etwork @me <rotoco) es un protocoo, de entre os ms antguos protocoos de Internet
(1985), utzado para a sncronzacn de reo|es de sstemas computaconaes a travs de redes,
hacendo uso de ntercambo de paquetes (undades de nformacn transportadas entre nodos a
travs de enaces de datos compartdos) y atenca varabe (tempo de demora entre e momento
en que ago nca y e momento en que su efecto nca). )@< fue orgnamente dseado, y sgue
sendo mantendo, por Dave Ms, de a unversdad de Deaware.
NTP Utza e agortmo de Marzuo (nventado por Keth Marzuo), e cua es un utzado para
seecconar fuentes para a estmacn exacta de tempo a partr de un nmero de fuentes,
utzando a escaa ,@C.
La versn 4 de protocoo puede mantener e tempo con un margen de 10 msegundos a travs
de a red munda, acanzado exacttud de 200 mcrosegundos. En redes ocaes, ba|o condcones
dneas, este margen se reduce consderabemente.
E servco traba|a a travs de puerto 123, ncamente por ,D<.
URL: http://www.etf.org/rfc/rfc1305.txt
49.+.+.+. "stratos.
)@< utza e sstema |errquco de estratos de reo|.
"strato O: son dspostvos, como reo|es ?<> o rado reo|es, que no estn conectados haca
redes sno computadoras.
"strato +: Los sstemas se sncronzan con dspostvos de estrato 0. Los sstemas de este estrato
son referdos como servdores de tempo.
"strato *: Los sstemas envan sus petcones NTP haca servdores de estrato 1, utzando e
agortmo de Marzuo para recabar a me|ores muestra de datos, descartando que parezcan
proveer datos errneos, y compartendo datos con sstemas de msmo estrato 2. Los sstemas de
este estrato actan como servdores para e estrato 3.
381
"strato 3: Los sstemas utzan funcones smares a as de estrato 2, srvendo como servdores
para e estrato 4.
"strato 4: Los sstemas utzan funcones smares a as de estrato 3.
Lsta de servdores pbcos, de estrato 1 y 2, en http://kopernx.com/?q=ntp y
http://www.eecs.ude.edu/-ms/ntp/servers.htm
49.+.*. Acerca de ,@C.
,@C (Coordnated ,nversa @me, o Tempo Unversa Coordnado) es un estndar de ata
precsn de tempo atmco. Tene segundos unformes defndos por @A% (@empo Atmco
%nternacona, o Internatona Atomc Tme), con segundos ntercaares o adconaes que se
anuncan a ntervaos rreguares para compensar a desaceeracn de a rotacn de a Terra, as
como otras dscrepancas. Estos segundos adconaes permten a ,@C estar cas a a par de
Tempo Unversa (,@, o ,nversa @me), e cua es otro estndar pero basado sobre e nguo de
rotacn de a Terra, en ugar de e paso unforme de os segundos.
URL: http://es.wkpeda.org/wk/UTC
S utza Cent0> 4 o b$ite Bo2 "nterprise inu2 4, soo se necesta reazar o sguente para
yum !y install ntp
49.*.*. %nstalacin a travs de up*date.
up6date !i ntp
49.3.+. Eerramienta ntpdate
Una forma muy senca de sncronzar e reo| de sstema con cuaquer servdor de tempo es a
travs de ntpdate. Es una herramenta smar a rdate, y se utza para estabecer a fecha y hora
de sstema utzando )@<. E sguente e|empo reaza una consuta drecta )@<, utzando un
puerto sn prvegos (opcn (u, muy t s hay un cortafuegos que mpda a sada) haca e
servdor H.pool.ntp.org.
ntpdate !u 6@pool@ntp@org
382
49.3.*. Arc$ivo de con&iguracin =etc=ntp.con&.
Los sstemas operatvos como Red Hat Enterprse Lnux 4 y CentOS 4, se ncuye un archvo de
confguracn =etc=ntp.con&, con fnes demostratvo. La recomendacn es respadaro para futura
consuta, y comenzar con un archvo con una confguracn nuevo, msmo que a contnuacn se
descrbe.
A Se establece la poletica predeterminada para cualJuier
A servidor de tiempo utiliCado# se permite la sincroniCaciRn
A de tiempo con las "uentesB pero sin permitir a la "uente
A consultar (noJuery)B ni modi"icar el servicio en el
A sistema (nomodi"y) y declinando proveer mensaMes de
A registro (notrap)@
restrict de"ault nomodi"y notrap noJuery
A <ermitir todo el acceso a la inter"aC de retorno del
A sistema@
restrict 167@$@$@1
A Se le permite a la red local sincroniCar con el servidor
A pero sin permitirles modi"icar la con"iguraciRn del
A sistemaB y sin usar a fstos como iguales para sincroniCar@
restrict 186@165@1@$ mask 699@699@699@$ nomodi"y notrap
A ReloM local indisciplinado@
A &ste es un controlador emulado Jue se utiliCa solo como
A respaldo cuando ninguna de las "uentes reales estin
A disponibles@
"udge 167@167@1@$ stratum 1$
server 167@167@1@$
A 4rchivo de variaciones@
dri"t"ile /var/lib/ntp/dri"t
broadcastdelay $@$$5
A 4rchivo de claves si acaso "uesen necesarias para realiCar
A consultas
keys /etc/ntp/keys
A 1ista de servidores de tiempo de estrato 1 o 6@
A Se recomienda tener al menos ? servidores listados@
A -as servidores en#
A http#//kopernix@com/WJ*ntp
A http#//@eecis@udel@edu/Ymills/ntp/servers@html
server $@pool@ntp@org
server 1@pool@ntp@org
server 6@pool@ntp@org
A <ermisos Jue se asignarin para cada servidor de tiempo@
A &n los eMemplosB no se permite a las "uente consultarB ni
A modi"icar el servicio en el sistema ni enviar mensaMe de
A registro@
restrict $@pool@ntp@org mask 699@699@699@699 nomodi"y notrap noJuery
restrict 1@pool@ntp@org mask 699@699@699@699 nomodi"y notrap noJuery
restrict 6@pool@ntp@org mask 699@699@699@699 nomodi"y notrap noJuery
A Se 4ctiv la di"usiRn hacia los clientes
broadcastclient
383
49.3.3. %niciarF detener y reiniciar el servicio ntpd.
Para e|ecutar por prmera vez e servco ntpd, utce:
service ntpd start
Para hacer que os cambos hechos, tras modfcar a confguracn, surtan efecto, utce:
service ntpd restart
Para detener e servco ntpd, utce:
service ntpd stop
49.3.4. Agregar el servicio ntpd al arran#ue del sistema.
Para hacer que e servco de ntpd est actvo con e sguente nco de sstema, en todos os
chkcon"ig ntpd on
e puerto 123 por UDP ()@<, tanto para trfco entrante como saente.
Las regas para e archvo =etc=s$orePall=rules de >$orePall correspondera a ago smar a o
sguente:
A4)0(/, S/>R)& %&S0 <R/0/ %&S0 S/>R)&
A </R0 </R0(S)1
4))&<0 net " udp 16?
4))&<0 " net udp 16?
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
S a red de rea oca (LAN) va a acceder haca e servdor recn confgurado, es necesaro abrr e
puerto correspondente.
A4)0(/, S/>R)& %&S0 <R/0/ %&S0 S/>R)&
A </R0 </R0(S)1
4))&<0 net " udp 16?
4))&<0 " net udp 16?
ACCEAT )o& +? .-' 423
ACCEAT +? )o& .-' 423
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
384
4S. Cmo con&igurar el sistema para sesiones
gr;&icas remotas
4S.+. %ntroduccin.
Cuando se tenen dstntas mqunas en una LAN y se desea aprovechar e poder y recursos de una
de stas y ahorrar traba|o, una sesn grfca remota ser de gran utdad. Lograr esto es muy
fc. Se puede hacer de dos formas, una accedendo va SSH, RHS o Tenet, y a otra utzando
aguna de as pantaas de acceso grfco, como GDM.
4S.*. >esin gr;&ica remota con ?D:
GDM tene una caracterstca poco usada, pero muy t. E mtodo ser de mucha utdad
suponendo que se tene un servdor centra con buena cantdad de memora y un buen
mcroprocesador y o ms nuevo en equpamento gco; y en a red de rea oca (LAN) se tenen
una o varas mqunas con muy poco espaco en dsco y/o poco poder en e mcroprocesador, o
resuta mucho traba|o nstaares todo un sstema optmzado y personazado.
E ob|etvo ser entonces que os usuaros puedan utzar e servdor con mayor poder y recursos
para que se e|ecuten ah as sesones grfcas y as tener un mayor contro en toda a red.
4S.*.+. <rocedimiento
1. Actuace gdm a menos a a versn 2.2.x o, de ser posbe, ms recente:
yum !y install gdm
2. En e servdor, abra una termna como sperusuaro y e|ecute e mandato gdmsetup; vaya
a a soapa de I&E#F y de a a a pestaa XDMCP. Deben habtarse as casas de
"Activar I&E#F" y ".onrar peticiones indirectas" como se muestra a contnuacn:
385
3. Como medda de segurdad, deshabte e acceso de root tanto oca como remotamente.
386
4. Debe determnarse a ocazacn de X con e mandato whch:
hich X
5. En os centes, debe respadarse y edtarse e archvo /etc/X11/prefdm y debe hacerse que
contenga ncamente o sguente, consderando que se debe poner a ruta competa de X:
Ah/bin/sh
/usr/X11R6/bin/X !Juery direcciRn.(<.del.Servidor
E|empo:
Ah/bin/sh
/usr/X11R6/bin/X !Juery 186@165@1@694
6. En todas as mqunas, ya sea s se utza webmn o nuxconf o aguna otra herramenta,
debe hacer que e modo de e|ecucn sea grfco y con red, es decr que arranque en modo
de e|ecucn 5 (o nve de e|ecucn 5).
Puede modfcar /etc/nttab y cambar:
id:3:initdefault:
Por:
id:5:initdefault:
7. Deben rencarse os servdores X de as mqunas centes.
8. Las mqunas centes vern a GDM e|ecutndose como s se estuvese en e msmo
servdor, y permtr ncar GNOME o KDE o cuaquer otro entorno grfco utzado. S
cuenta con buenos adaptadores de red, n squera se notar s se est en un cente o en e
servdor.
S o prefere tambn puede ncar e servdor de vdeo remoto smpemente e|ecutando o
sguente desde cuaquer termna:
X !Juery direcciRn.(<.del.Servidor
387
5O. Cmo con&igurar un servidor )F>
5O.+. %ntroduccin
NFS, acrnmo de !et(or' File System, es un popuar protocoo utzado para compartr
vomenes entre mqunas dentro de una red de manera transparente, ms comnmente utzado
entre sstemas basados sobre UNIX. Es t y fc de utzar, sn embargo no en vano es apodado
cari!osamente como J?o -ile $ecurityJ. NFS no utza un sstema de contraseas como e que
tene SAMBA, so una sta de contro de acceso determnada por dreccones IP o nombres. Es por
esto que es mportante que e admnstrador de a red oca o usuaro entenda que un servdor NFS
puede ser un verdadero e nmenso agu|ero de segurdad s ste no es confgurado apropadamente
e mpementado detrs de un corta-fuegos o frewa.
Personamente, recomendo utzar NFS dentro de una red oca detrs de un corta-fuegos o
frewa que permta e acceso so a as mqunas que ntegren a red oca, nunca para compartr
sstemas de archvos a travs de Internet. A no contar con un sstema de autentcacn por
contraseas, es un servco susceptbe de ataque de agn dencuente nfomtco. SAMBA es un
protocoo mucho me|or y ms seguro para compartr sstemas de archvos.
5O.*. <rocedimientos
Tenendo en cuenta os aspectos de segurdad menconados, es mportante que sga os
procedmentos descrtos a contnuacn a pe de a etra, y que posterormente se comprometa
tambn consutar a detae a documentacn ncuda en e paquete nfs-uts, ya que sta e
proporconar nformacn adcona y competa sobre aspectos avanzados de confguracn y
utzacn.
5O.*.+. %nstalacin del e#uipamiento lgico necesario
yum !y install n"s!utils portmap
5O.3. Con&igurando la seguridad
Lo sguente ser confgurar un nve de segurdad para portmap. Esto se consgue modfcando os
archvos *etc*osts.allo( y *etc*osts.deny. Debemos especfcar qu dreccones IP o rango de
dreccones IP pueden acceder a os servcos de portmap y qunes no pueden hacero. Podemos
entonces determnar en /etc/hosts.aow como rango de dreccones IP permtdas os sguente:
portmap#186@165@1@$/699@699@699@$
388
Esto corresponde a a dreccn IP de a red competa y a mscara de a subred. Adconamente
podemos especfcar dreccones IP ndvduaes sn necesdad de estabecer una mscara. Esto es
de utdad cuando se desea compartr vomenes con otras mqunas en otras redes a travs de
Internet. E|empo:
portmap#186@165@1@$/699@699@699@$
portmap#186@165@6$@69
portmap#186@165@?$@6
portmap#616@6$$@196@86
portmap#145@64$@65@171
Una vez que se han determnado as dreccones IP que pueden acceder a portmap, so resta
determnar qunes no pueden hacero. Evdentemente nos refermos a resto de mundo, y esto se
hace agregando a sguente nea:
portmap#411
Es mportante destacar que a nea anteror es %)D%><")>AB" y )"C">A'%A s quere tener un
nve de segurdad decente. De manera predetermnada as versones ms recentes de nfs-uts no
permtrn ncar e servco s esta nea no se encuentra presente en /etc/hosts.deny.
Una vez confgurado portmap, debe rencarse e servco de portmap:
service portmap restart
S tene un DNS, aada os regstros de as dreccones IP asocadas a un nombre o ben
modfque /etc/hosts y agregue as dreccones IP asocadas con un nombre. Esto nos servr como
stas de contro de accesos. E|empo de archvo =etc=$osts:
186@165@1@694 servidor@mi!red!local@org servidor
186@165@1@6 algun.nombre@mi!red!local@org algun.nombre
186@165@1@? otro.nombre@mi!red!local@org otro.nombre
186@165@1@4 otro.nombre.mas@mi!red!local@org otro.nombre.mas
186@165@1@9 como.se.llame@mi!red!local@org como.se.llame
186@165@1@6 como.sea@mi!red!local@org como.sea
186@165@1@7 lo.Jue.sea@mi!red!local@org lo.Jue.sea
5O.3.+. Compartir un volumen )F>
Procederemos a determnar qu drectoro se va a compartr. Puede crear tambn uno nuevo:
mkdir !p /var/n"s/publico
Una vez hecho esto, necestaremos estabecer qu drectoros en e sstema sern compartdos
con el resto de las m;#uinas de la redF o !ien a #u m;#uinasF de acuerdo al D)> o
=etc=$osts se permtr e acceso. stos deberemos agregaros en /etc=e2ports determnado con
qu mqunas y e modo en que se compartr e recurso. Se puede especfcar una dreccn IP o
ben nombrar aguna mquna, o ben un patrn comn con comodn para defnr qu mqunas
pueden acceder. Podemos utzar e sguente e|empo (a separacn de espacos se hace con un
tabuador):
389
/var/n"s/publico K@mi!red!local@org(roBsync)
En e e|empo anteror se est defnendo que se compartr /var/nfs/pubco/ a todas as mqunas
cuyo nombre, de acuerdo a DNS o /etc/hosts, tene como patrn comn mi(red(local.org, en
modo de ectura escrtura. Se utz un astersco (*) como comodn, segudo de un punto y e
nombre de domno. Esto permtr que comoKseKllame.mi6red6local.org, comoKsea.mi6red6
local.org, loKqueKsea.mi6red6local.org, etc., podrn acceder a voumen /var/nfs/pubco/ en modo
de so ectura. S queremos que e accesos a este drectoro sea en modo de ectura y escrtura,
cambamos (ro) por (rw):
/var/n"s/publico K@mi!red!local@org(rBsync)
Ya que se defneron os vomenes a compartr, so resta ncar o rencar e servco nfs. Utce
cuaquera de as dos neas dependendo de caso:
service n"s start
service n"s restart
A fn de asegurar de que e servco de nfs est habtado, a prxma vez que se encenda e
equpo, de deber e|ecutar o sguente:
chkcon"ig !!level ?49 n"s on
E mandato anteror hace que se habte nfs en os nvees de e|ecucn 3, 4 y 5.
Como medda de segurdad adcona, s tene un corta-fuegos o fire(all mpementado. Cerre,
para todo aqueo que no sea parte de su red oca, os puertos tcp y udp 2049, ya que stos son
utzados por NFS para escuchar petcones.
5O.3.*. Con&igurando las m;#uinas clientes
Para probar a confguracn, es necesaro que as mqunas centes se encuentren defndas en e
DNS o en e archvo *etc*osts de servdor. S no hay un DNS confgurado en a red, debern
defnrse os nombres y dreccones IP correspondentes en e archvo /etc/hosts de todas as
mqunas que ntegran a red oca.
Como root, en e equpo cente, e|ecute e sguente mandato para consutar os vomenes
exportados (-e) a travs de NFS por un servdor en partcuar:
shomount !e 186@165@1@694
Lo anteror mostrar una sta con os nombres y rutas exactas a utzar. E|empo:
&xport list "or 186@165@1@694#
/var/n"s/publico 186@165@1@$/64
A contnuacn creamos, como root, desde cuaquer otra mquna de a red oca un punto de
monta|e:
mkdir /mnt/servidorn"s
390
Por tmo, para proceder a montar e voumen remoto, utzaremos a sguente nea de
mandato :
mount servidor@mi!red!local@org#/var/n"s/publico /mnt/servidorn"s
S por aguna razn en e DNS de a red oca, o e archvo =etc=$osts de a mquna cente,
decd no asocar e nombre de a mquna que fungr como servdor NFS a su correspondente
dreccn IP, puede especfcar sta en ugar de nombre. E|empo:
mount !t n"s 186@165@1@694#/var/n"s/publico /mnt/servidorn"s
Podremos acceder entonces a dcho voumen remoto cambando a drectoro oca defndo como
punto de monta|e, de msmo modo que se hara con un dsquete o una undad de CDROM:
cd /mnt/servidorn"s
S queremos montar este voumen NFS con una smpe nea de mandato o ben hacendo dobe
cc en un cono sobre e escrtoro, ser necesaro agregar a correspondente nea en /etc/fstab.
E|empo:
servidor@mi!red!local@org#/var/n"s/publico /mnt/servidorn"s n"s
userBexecBdevBnosuidBrBnoauto $ $
La nea anteror especfca que e drectoro /var/nfs/pubco/ de a mquna servdor.m-red-
oca.org ser montado en e drectoro oca /mnt/servdor/nfs, permtndoe a os usuaros poder
montaro, en modo de ectura y escrtura y que este voumen no ser montado durante e arranque
de sstema. Esto tmo es de mportanca, sendo que s e servdor no est encenddo a
momento de arrancar a mquna cente, ste se cogar durante agunos mnutos.
Una vez agregada a nea en /etc/fstab de a mquna cente, s utza GNOME-1.4 o superor, ste
ncorpora Nautus como admnstrador de archvos, msmo que auto-detecta cuaquer cambo
en /etc/fstab. Debe hacerse cc derecho sobre e escrtoro y posterormente seecconar e dsco
que se desee montar.
391
5O.4. %nstalacin de ?),=inu2 a travs de un servidor )F>
Este es quzs e uso ms comn para un voumen NFS. Permte compartr un voumen que
contenga una copa de CD de nstaacn de aguna dstrbucn y reazar ncusve nstaacones
smutneas en varos equpos. Tene como venta|a que a nstaacn puede resutar ms rpda
que s se hcese con un CDROM, sendo que a tasa de trasferenca de archvos ser determnada
por e ancho de banda de a red oca, y nos permtr nstaar GNU/Lnux en mqunas que no
tengan undad de CDROM.
Una vez creado y confgurado un voumen a compartr coparemos todo e contendo de CD de
nstaacn en ste:
cp !r /mnt/cdrom/K /var/n"s/publico/
En e drectoro images de CD encontraremos varas mgenes para crear dsquetes de arranque.
Utzaremos bootnet.mg para crear e nmero de dsquetes necesaros para cada mquna en a
que reazaremos una nstaacn y que nos permtrn acceder a a red. Inserte un dsquete y
e|ecute o sguente:
cd /var/n"s/publico/images/
dd i"*bootnet@img o"*/dev/"d$ bs*144$k
Aada en /etc/hosts, o ben de de ata en e DNS, as dreccones IP, que sern utzadas por as
nuevas mqunas, asocadas a un nombre con e domno que especfco como rega de contro de
acceso en /etc/exports 6es decir L.mi6red6local.org6. Para /etc/hosts, puede quedar como sgue:
186@165@1@694 servidor@mi!red!local@org servidor
186@165@1@6 algun.nombre@mi!red!local@org algun.nombre
186@165@1@? otro.nombre@mi!red!local@org otro.nombre
186@165@1@4 otro.nombre.mas@mi!red!local@org otro.nombre.mas
186@165@1@9 como.se.llame@mi!red!local@org como.se.llame
186@165@1@6 como.sea@mi!red!local@org como.sea
186@165@1@7 lo.Jue.sea@mi!red!local@org lo.Jue.sea
186@165@1@5 nueva.maJuina@mi!red!local@org nueva.maJuina
186@165@1@8 otra.nueva.maJuina@mi!red!local@org otra.nueva.maJuina
Utce estos dsquetes para arrancar en os equpos, ngrese una dreccn IP y dems parmetros
para esta mquna y cuando se e pregunte ngrese a dreccn IP de servdor NFS y e drectoro
en ste en e que se encuentra a copa de CD de nstaacn. E resto contnuar como cuaquer
otra nstaacn.
392
5+. Cmo con&igurar >am!a !;sico.
5+.+. %ntroduccin.
5+.+.+. Acerca del protocolo >:B.
>:B (acrnmo de >erver :essage Bock) es un protocoo, de )ivel de <resentacin de
modeo OSI de TCP/IP, creado en 1985 por IBM. Agunas veces es referdo tambn como C%F>
(Acrnmo de Common %nternet Fe >ystem, http://samba.org/cfs/) tras ser renombrado por
Mcrosoft en 1998. Entre otras cosas, Mcrosoft aad a protocoo soporte para enaces smbcos
y duros as como tambn soporte para archvos de gran tamao. For mera coincidencia esto
ocurr por a msma poca en que Sun Mcrosystems hzo e anzamento de WebNFS (una versn
extendda de )F>, http://www.sun.com/software/webnfs/overvew.xm).
>:B fue orgnamente dseado para traba|ar a travs de protocoo NetBIOS, e cua a su vez
traba|a sobre )etB",% (acrnmo de )etBIOS "xtended ,ser %nterface, que se traduce como
Interfaz de Usuaro Extendda de NetBIOS), %<D=><D (acrnmo de %nternet <acket
E2change/>equenced <acket E2change, que se traduce como %ntercam!io de pa#uetes inter(
red=%ntercam!io de pa#uetes secuenciales) o )B@, aunque tambn puede traba|ar
drectamente sobre @C<=%<.
5+.+.*. Acerca de >am!a.
SAMBA es un con|unto de programas, orgnamente creados por Andrew Trdge, y actuamente
mantendos por The SAMBA Team, ba|o a Lcenca Pubca Genera GNU, y que mpementan en
sstemas basados sobre UNIX e protocoo >:B. Srve como reempazo tota para Wndows NT,
Warp, NFS o servdores Netware.
Los procedmentos descrtos en este manua han sdo probados para poder apcarse en sstemas
con CentOS 5 o Red Hat Enterprse Lnux 5, o equvaentes o versones posterores, y a menos
>am!a 3.O.33 o versones posterores.
Necestar tener nstaados os sguentes paquetes:
samba: Servdor SMB.
samba-cent: Dversos centes para e protoco SMB.
samba-common: Archvos necesaros para cente y servdor.
393
S utza Cent0> 5 y 6 o 'ed Eath "nterprise inu2 5 o 6, y versones posterores, so se
necesta e|ecutar o sguente para nstaar o actuazar e equpamento gco necesaro:
yum !y install samba samba!client samba!common
En e caso de Cent0> 6 y 'ed Eath "nterprise inu2 6, se nstaar >am!a 3.5.4.
En e caso de Cent0> 5 y 'ed Eath "nterprise inu2 5, se nstaar >am!a 3.O.33, sn
embargo hay opcn a utzar en su ugar >am!a 3.5.4 nstaando os paquetes sam!a32,
sam!a32(client y sam!a32(common.
yum remove samba samba!client samba!common
yum !y install samba?x samba!client?x samba!common?x
5+.3.+. >"inu2 y el servicio sm!.
A fn de que SELnux permta a servco sm! a escrtura como usuaro annmo, e|ecute e
sguente mandato:
setsebool !< allo.smbd.anon.rite 1
A fn de que SELnux permta a servco sm! funconar como Controador Prmaro de Domno
(<DC, <rmary Doman Controer), e|ecute e sguente mandato:
setsebool !< samba.domain.controller 1
A fn de que SELnux permta a servco sm! compartr os drectoros de nco de os usuaros
ocaes de sstema, e|ecute e sguente mandato:
setsebool !< samba.enable.home.dirs 1
A fn de que SELnux desactve a proteccn para os drectoros de nco de os usuaros a travs
de servco sm!, e|ecute e sguente mandato:
setsebool !< use.samba.home.dirs 1
A fn de que SELnux permta a servco sm! crear nuevos drectoros de nco para os usuaros a
travs de PAM (operacn comn en Controadores Prmaros de Domno), e|ecute e sguente
mandato:
setsebool !< samba.create.home.dirs 1
Para defnr que un drectoro ser compartdo a travs de servco sm!, como por e|empo
=var=sam!a=pu!lico, y que se debe consderar como contendo tpo Samba, se utza e sguente
mandato:
394
chcon !t samba.share.t /var/samba/publico
Cada nuevo drectoro que vaya a ser compartdo a travs de Samba, debe ser confgurado como
acaba de descrbrse antes de ser confgurado en e archvo =etc=sam!a=sm!.con&.
A fn de que SELnux permta a servco sm! compartr todos os recursos en modo de so ectura,
e|ecute e sguente mandato:
setsebool !< samba.export.all.ro 1
A fn de que SELnux permta a servco sm! compartr todos os recursos en modo de ectura y
escrtura, e|ecute e sguente mandato:
setsebool !< samba.export.all.r 1
5+.3.*. Alta de cuentas de usuario.
Asgne una cave de acceso a usuaro root. sta puede ser dstnta a a utzada en e sstema.
smbpassd !a root
Es mportante sncronzar as cuentas entre e servdor >am!a y as estacones Wndows. Es
decr, s en una mquna con Wndows ngresamos como e usuaro fulano con cave de acceso
:HMq(e, en e servdor >am!a deber exstr tambn dcha cuenta con ese msmo nombre y a
msma cave de acceso. Como a mayora de as cuentas de usuaro que se utzarn para acceder
haca >am!a no requeren acceso a ntrprete de mandatos de sstema, no es necesaro asgnar
cave de acceso con e mandato passPd y se deber defnr =s!in=nologin o ben =!in=&alse como
ntrprete de mandatos para a cuenta de usuaro nvoucrada.
useradd !s /sbin/nologin .s.#r%o-?%n-o?s
smbpassd !a .s.#r%o-?%n-o?s
Es opcona asgnar cave de acceso con e mandato passPd.
S se necesta que as cuentas se puedan utzar para acceder haca otros servcos como seran
Tenet, SSH, etc, es decr, que se permta acceso a ntrprete de mandatos, ser necesaro
especfcar =!in=!as$ como ntrprete de mandatos y adems se deber asgnar una cave de
acceso en e sstema con e mandato passPd:
useradd !s /bin/bash .s.#r%o-?%n-o?s
passd .s.#r%o-?%n-o?s
smbpassd !a .s.#r%o-?%n-o?s
5+.3.3. "l arc$ivo lm$osts
Es necesaro empezar resovendo de manera oca os nombres )etB%0>, asocndoos con as
dreccones IP correspondentes, en e archvo =etc=sam!a=lm$osts (mhosts es acrnmo de AN
:anager $osts). Edte e archvo =etc=sam!a=lm$osts con cuaquer edtor de texto smpe.
vim /etc/samba/lmhosts
395
Para fnes prctcos e nombre ?etB01$ debe tener un m;2imo de doce caracteres
al&anumricos. Normamente se utza e nombre corto de servdor, ben o e nombre corto que
se asgno como aas a a nterfaz de red. S se edta e archvo =etc=sam!a=lm$osts, se
encontrar un contendo smar a sguente:
167@$@$@1 localhost
Se pueden aadr os nombres y dreccones IP de cada uno de os anftrones de a red oca. Como
mnmo debe encontrarse e nombre de anftrn >am!a, |unto con su correspondente dreccn
IP, y, de manera opcona, e resto de os anftrones de a red oca. La separacn de espacos se
hace con un tabuador. E|empo:
167@$@$@1 localhost
186@165@7$@1 servidor
186@165@7$@6 Moel
186@165@7$@? blanca
186@165@7$@4 aleMandro
186@165@7$@9 sergio
186@165@7$@6 isaac
186@165@7$@7 "inanCas
186@165@7$@5 direccion
5+.3.4. <ar;metros principales del arc$ivo sm!.con&.
Edte e archvo =etc=sam!a=sm!.con& con cuaquer edtor de texto smpe.
vim /etc/samba/smb@con"
Dentro de este archvo, encontrar nformacn que ser de utdad, y que est comentada con
amohadas (smboo i), y varos e|empos comentados con punto y coma (smboo f), sendo
estos tmos os que se pueden tomar como referenca para confgurar.
5+.3.4.+. <ar;metro PorLgroup.
Se estabece e grupo de traba|o defnendo e vaor de parmetro PorLgroup asgnando un
grupo de traba|o deseado:
orkgroup * -(IR></
5+.3.4.*. <ar;metro net!ios name.
De manera opcional, se puede estabecer con e parmetro net!ios name otro nombre dstnto
para e servdor, s acaso sto fuese necesaro, pero sempre tomando en cuenta que dcho nombre
deber corresponder con e estabecdo en e archvo =etc=sam!a=lm$osts:
netbios name * servidor
5+.3.4.3. <ar;metro server string.
Este parmetro es de carcter descrptvo. Puede utzarse un comentaro breve que de una
descrpcn de servdor.
396
server string * Servidor Samba Tv en T1
5+.3.4.4. <ar;metro $osts alloP.
La segurdad es mportante, y sta se puede estabecer estabecendo a sta de contro de acceso,
a cua defnr qu mqunas, o redes, podrn acceder haca e servdor. E parmetro $osts
alloP srve para determnar sto. S a red consste en as mqunas con dreccn IP desde
192.168.70.1 hasta 192.168.70.126, e rango de dreccones IP que se defnr en $osts alloP
ser +S*.+69.7O. de modo ta que so se permtr e acceso dchas mqunas. En e sguente
e|empo se defnen as redes 192.168.70.0/24 y 192.168.37.0/24, defnendo os tres prmeros
octetos de a dreccn IP de red, as como cuaquer dreccn IP de a red 127.0.0.0/8 (retorno de
sstema o loopbac'), sendo necesaro defnr so e prmer octeto de dcho segmento:
hosts allo * 167@B 186@165@7$@B 186@165@?7@
5+.3.4.5. <ar;metro inter&aces.
E parmetro inter&aces permte estabecer desde que nterfaces de red de sstema se
escucharn petcones. >am!a gnorar todas as petcones provenentes desde cuaquer
nterfaz, o dreccn IP, sn especfcar. sto es t cuando >am!a se e|ecuta en un servdor que
srve adems de puerta de enace para a red oca, mpdendo se estabezcan conexones haca
este servco desde Internet, o ben fuera de boque, o segmento, de dreccones de a red oca.
Los vaores aceptados para este parmetro es una sta, separada por comas, o espacos, con os
nombres de as nterfaces (o, eth0, eth1, etc.), y dreccones IP utzada en una nterfaz en
partcuar, con a mscara de sub-red en formato C%D' (Cassess %nter-Doman 'outng), es decr,
expresada en bts. E|empo:
inter"aces * loB eth1B 186@165@7$@694/69
5+.3.5. <ar;metro remote announce.
La opcn remote announce se encarga de que e servco nm!d se anunce a s msmo de forma
perdca haca una red en partcuar y un grupo de traba|o especfco. Esto es partcuarmente t
s se necesta que e servdor >am!a aparezca en su propo grupo de traba|o, y otros grupos de
traba|o exstentes en a red de rea oca. E grupo de traba|o de destno puede estar en donde
sea, mentras exsta una ruta, y sea posbe a dfusn extosa de paquetes.
Los vaores que pueden ser utzados son dreccones IP de dfusn (!roadcast) de a red utzada
(es decr a tma dreccn IP de segmento de red) y/o nombres de grupos de traba|o. En e
sguente e|empo se defne que e servdor >am!a se anunce a travs de as dreccones IP de
dfusn +S*.+69.7O.+*7 (que corresponde a a dreccn IP de dfusn de a red
+S*.+69.7O.O=*5) y +S*.+69.*.*55 (que corresponde a a dreccn IP de dfusn de a red
+S*.+69.*.O=*4) y haca os grupos de traba|o D0:%)%0+ y D0:%)%0*.
remote announce * 186@165@7$@167/%/-(,(/1B 186@165@6@699/%/-(,(/6
397
5+.3.6. %mpresoras en >am!a.
Las mpresoras se comparten de modo predetermnado, as que so hay que reazar agunos
a|ustes. S se desea que se pueda acceder haca a mpresora como usuaro nvtado sn cave de
acceso, basta con aadr pu!lic R Xes (que es o msmo que guest oL R Xes) en a seccn de
mpresoras de sguente modo:
DprintersE
comment * &l comentario Jue guste@
path * /var/spool/samba
printable * ;es
broseable * ,o
ritable * no
printable * yes
'.!)%& = Ues
Para a admnstracn de as coas de mpresn, anterormente se haca utzando e parmetro
printer admin, defnendo una sta de usuaros, o grupos. Actuamente se hace gua que en
Wndows, utzando potcas, e|ecutando, desde termna, o sguente:
net !S ser*%-or !> roo$ rpc rights grant +.)#no Se<rint/perator<rivilege
5+.3.7. Compartiendo directorios a travs de >am!a.
Para os drectoros o vomenes que se rn a compartr, en e msmo archvo de confguracn
encontrar dstntos e|empos para dstntas stuacones partcuares. En genera, puede utzar e
sguente e|empo que funconar para a mayora:
D1o.Jue.seaE
comment * )omentario Jue se le ocurra
path * /cualJuier/ruta/Jue/desee/compartir
E voumen puede utzar cuaquera de as sguentes opcones:
398
0pcin Descripcin
guest ok Defne s se permtr e acceso como usuaro nvtado. E vaor puede
ser ;es o ,o.
public Es un e#uivalente de parmetro guest oL, es decr defne s se
permtr e acceso como usuaro nvtado. E vaor puede ser ;es o
,o.
broseable Defne s se permtr mostrar este recurso en as stas de recursos
compartdos. E vaor puede ser ;es o ,o.
ritable Defne s se permtr a escrtura. Es e parmetro contraro de read
only. E vaor puede ser ;es o ,o. E|empos: _ritable * ;es` es lo
mismo #ue _read only * ,o`. Obvamente _ritable * ,o` es lo
mismo #ue _read only * ;es`
valid users Defne os usuaros, o grupos, que podrn acceder a recurso
compartdo. Los vaores pueden ser nombres de usuaros separados
por comas, o ben nombres de grupo anteceddos por una @.
E|empo: "ulanoB menganoB Xadministradores
rite list Defne os usuaros, o grupos, que podrn acceder con permso de
escrtura. Los vaores pueden ser nombres de usuaros separados por
comas, o ben nombres de grupo anteceddos por una @. E|empo:
"ulanoB menganoB Xadministradores
admin users Defne os usuaros, o grupos, que podrn acceder con permsos
admnstratvos para e recurso. Es decr, podrn acceder haca e
recurso reazando todas as operacones como super-usuaros. Los
vaores pueden ser nombres de usuaros separados por comas, o ben
nombres de grupo anteceddos por una @. E|empo: "ulanoB
menganoB Xadministradores
directory mask Es o msmo que directory mode. Defne qu permso en e sstema
tendrn os subdrectoros creados dentro de recurso. E|empos: 1777
create mask Defne que permso en e sstema tendrn os nuevos archvos
creados dentro de recurso. E|empo: $644
En e sguente e|empo se compartr a travs de Samba e recurso denomnado datos, e cua
est ocazado en e drectoro =var=sam!a=datos de dsco duro. Se permtr e acceso a
cuaquera pero ser un recurso de so ectura savo para os usuaros admnstrador y fuano.
Todo drectoro nuevo que sea creado en su nteror tendr permso 755 (drP2r(2r(2), y todo
archvo que sea puesto en su nteror tendr permsos 644 ((rP(r((r((.
Prmero, se crea e nuevo drectoro =var=sam!a=datos, utzando e sguente mandato:
mkdir !p /var/samba/datos
Luego, se camba e contexto de SELnux, a fn de que este drectoro sea consderado como
contendo Samba.
chcon !t samba.share.t /var/samba/datos
Se edta e archvo =etc=sam!a=sm!.con&, y se aade, hasta e fna de ste, e sguente
contendo:
399
DdatosE
comment * %irectorio de %atos
path * /var/samba/datos
guest ok * ;es
read only * ;es
rite list * "ulanoB administrador
directory mask * $799
create mask * $644
5+.3.7.+. 0cultando arc$ivos #ue inician con punto.
Es poco convenente que os usuaros puedan acceder, notando a presenca de archvos ocutos
de sstema, es decr archvos cuyo nombre comenza con un punto, como es e caso de drectoro
de nco de usuaro en e servdor >am!a (.bashrc, .bash_profe, .bash_hstory, etc.). Puede
utzarse e parmetro $ide dot &iles, con e vaor Xes, para manteneros ocutos.
hide dot "iles * ;es
Este parmetro es partcuarmente t para compementar a confguracn de os drectoros
personaes de os usuaros.
DhomesE
comment * 2ome %irectories
broseable * no
ritable * yes
h%-e -o$ +%)es = Ues
5+.4. %niciar el servicioF y aadirlo al arran#ue del sistema.
Para ncar os servcos nm! y sm! por prmera vez reace o sguente:
service nmb start
service smb start
S reaza agn cambo en a confguracn de parmetro net!ios name, es necesaro rencar e
servco nm!, e cua es e encargado de proveer e servdor de nombres para os centes a travs
de NetBIOS sobre IP.
service nmb restart
S va a apcar agn cambo en cuaquer otro parmetro de a confguracn, como son os
recursos compartdos, so es necesaro rencar e servco sm!:
service smb restart
Para que os servcos nm! y sm! ncen automtcamente |unto con e sstema, so utce os
dos sguentes mandato:
chkcon"ig nmb on
chkcon"ig smb on
400
5+.5. Compro!aciones.
5+.5.+. :odo te2to.
5+.5.+.+. Eerramienta sm!client.
Indudabemente e mtodo ms prctco, e ndudabemente ms confabe para pruebas de
dagnstco, es e mandato smbclient. Este permte acceder haca cuaquer servdor Samba o
Wndows, smar a mandato &tp en modo texto.
Para acceder a cuaquer recurso de aguna mquna Wndows o servdor Samba, determne
prmero que vomenes o recursos compartdos posee sta. Utce e mandato smbclient de
sguente modo:
smbclient !> usuario !1 alguna.maJuina
Lo cua e devovera ms menos o sguente:
%omain*D-(!%/-(,(/E /S*D>nixE Server*DSamba ?@9@4!65@el6.$@6E
Sharename 0ype )omment
!!!!!!!!! !!!! !!!!!!!
homes %isk 2ome %irectories
netlogon %isk ,etork 1ogon Service
datos %isk datos
(<)F (<) (<) Service (Servidor Samba ?@9@4!65@el6.$@6 en mi!servidor)
4%-(,F (<) (<) Service (Servidor Samba ?@9@4!65@el6.$@6 en mi!servidor)
epl98$$ <rinter )reated by system!con"ig!printer 1@6@x
hp699$b <rinter )reated by system!con"ig!printer 1@6@x
4nonymous login success"ul
%omain*D-(!%/-(,(/E /S*D>nixE Server*DSamba ?@9@4!65@el6.$@6E
Server )omment
!!!!!!!!! !!!!!!!
mi!servidor Servidor Samba ?@9@4!65@el6.$@6 en mi!servidor
3orkgroup -aster
!!!!!!!!! !!!!!!!
-(!%/-(,(/ -(!S&R'(%/R
La sguente corresponde a a sntaxs bsca para poder navegar os recursos compartdos por a
mquna Wndows o e servdor SAMBA:
smbclient //alguna.maJuina/recurso !> usuario
E|empo:
smbclient //1(,>X/%40/S !> "ulano
Despus de e|ecutar o anteror, e sstema soctar se proporcone a cave de acceso de usuaro
fulano en e equpo denomnado %0?5I.
401
smbclient //1(,>X/%40/S !> "ulano
added inter"ace ip*186@165@7$@166 bcast*186@165@7$@167 nmask*699@699@699@165
<assord#
%omain*D"ulanoE /S*D>nixE Server*DSamba 6@6@1aE
smb# L
Pueden utzarse cas os msmos mandatos que en e ntrprete de ftp, como seran get, mget,
put, de, etc.
5+.5.*. :odo gr;&ico
5+.5.*.+. Desde el escritorio de ?)0:".
S utza GNOME 2.x o superor, ste ncuye un mduo para Nautus (gnome(v&s(sm!, en
Cent0> 5, o gv&s(sm!, en Cent0> 6), e cua permte acceder haca os recursos compartdos a
travs de Samba. So hay que hacer cc en e men de GNOME. en >ervidores de red.
5+.5.*.*. Desde bindoPs.
Desde Wndows deber ser posbe acceder sn probemas haca cuaquer servdor >am!a, como
s fuese haca cuaquer otro sstema con Wndows.
402
403
5*. Cmo con&igurar >am!a denegando acceso
a ciertos arc$ivos.
5*.+. %ntroduccin.
En agunos casos puede ser necesaro denegar e acceso a certas extensones de archvos, como
archvos de sstema y archvos de mutmedos como MP3, MP4, MPEG y DvX.
Este documento consdera que usted ya ha edo prevamente, a detae y en su totadad e
manua Cmo confgurar Samba bsco. y que ha confgurado extosamente >am!a como
servdor de archvos.
5*.*. <rocedimientos.
E parmetro veto &iles se utza para especfcar a sta, separada por dagonaes, de aqueas
cadenas de texto que denegarn e acceso a os archvos cuyos nombres contengan estas
cadenas. En e sguente e|empo, se denegar e acceso haca os archvos cuyos nombres
ncuyan a paabra 2$ecurity3 y os que tengan extensn o termnen en 2.tmp3:
DhomesE
broseable * no
ritable * yes
*e$o +%)es = 8\Se&.r%$y\8\.$9'8
En e sguente e|empo, se denegar e acceso haca os archvos que tengan as extensones o
termnen en 2.mpM3, 2.mpN3, 2.mpeg3 y 2.avi3 en todos os drectoros personaes de todos os
usuaros de sstema:
DhomesE
broseable * no
ritable * yes
*e$o +%)es = 8\.9'38\.9'E8\.9'8\.#*%8\.$9'8
5*.3. Aplicando los cam!ios.
Para hacer que os cambos hechos surtan efecto tras modfcar a confguracn, utce:
404
service smb restart
5*.4. Compro!aciones.
Con a fnazad de reazar pruebas, genere con e mandato ec$o de sstema un archvo
denomnado prue!a.mp3:
echo +archivo -<? de pruebas+ L prueba@mp?
S an no exstera, genere a usuaro &ulano:
useradd "ulano
Utce e mandato sm!passPd y asgne +*3#Pe como cave de acceso a usuaro &ulano:
smbpassd !a "ulano
Acceda con sm!client haca e servdor >am!a con e usuaro &ulano:
smbclient //167@$@$@1/"ulano !>"ulanoT16?Je
%omain*D-$64E /S*D>nixE Server*DSamba ?@6@$rc1!14@8@el9@alE
smb# L
Utzando e mandato put de intrprete >:B, suba e archvo prue!a.t2t a drectoro persona
de fuano:
smb# L '.$ 'r.e!#.9'3
Lo anteror debe devover una sada smar a a sguente ndcando e mensa|e
)@Q>@A@,>Q0BJ"C@Q)A:"Q)0@QF0,)D como respuesta, o cua ndca que no fue permtdo
subr e archvo prue!a.mp3:
smb# L put prueba@mp?
NT_STATUS_OBWECT_NAME_NOT_FOUND o'en%n re9o$e +%)e 'r.e!#.9'3
smb# L
Para sar de intrprete >:B utce e mandato e2it:
smb# L exit
405
53. Cmo con&igurar >am!a con <apelera de
'ecicla.e.
53.+. %ntroduccin.
En agunas crcunstancas, es necesaro aadr una <apelera de 'ecicla.e ('ecycle Bin) para
evtar a emnacn permanente de contendo de un drectoro compartdo a travs de >am!a. Es
partcuarmente t para os drectoros personaes de os usuaro.
Este documento consdera que usted ya ha edo prevamente, a detae y en su totadad e
servdor de archvos.
La <apelera de 'ecicla.e se actva aadendo a recurso a compartr os parmetros v&s o!.ects
y recycle-repository de modo e|empfcado a contnuacn:
DhomesE
broseable * no
ritable * yes
*+s o!He&$s = re&y&)e
re&y&)eDre'os%$ory = Re&y&)e B%n
Lo anteror creara e ob|eto recycle, que amacenar os contendos emnados desde e cente en
un subdrectoro denomnado 'ecycle Bin, e cua es creado s ste no exstera. S e contendo de
'ecycle Bin es emnado, ste se har de forma permanente.
En e caso de drectoros compartdos que sean acceddos por dstntos usuaros, e subdrectoro
'ecycle Bin se crea con permsos de acceso soo para e prmer usuaro que emne contendo. Lo
correcto es soo utzaro en drectoros compartdos que soo sean utzados por un soo usuaro.
De ser necesaro, se puede cambar e permso de acceso de subdrectoro 'ecycle Bin con e
mandato c$mod de O7OO a +777 para permtr a otros usuaros utzar ste, tomando en cuenta
que de esta forma e contendo conservar os prvegos de cada usuaro y os contendos soo
podrn ser emnados permanentemente por sus propetaros correspondentes.
406
Se pueden aadr ms opcones para ograr un comportamento ms smar a de una <apelera
de 'ecicla.e norma en bindoPs. E parmetro recycle-versions defne que s hay dos o ms
archvos con e msmo nombre, y estos son envados a a <apelera de 'ecicla.e, se mantendrn
todos donde os archvo ms recentes tendrn un nombre con e esquema ICopy i2 o& nom!re(
arc$ivoJ (es decr, Copia i2 del nom!re(arc$ivo). E parmetro recycle-Leeptree defne que
s se emna un drectoro con subdrectoros y contendo, se mantendr a estructura de stos.
DhomesE
broseable * no
ritable * yes
v"s obMects * recycle
recycle#repository * Recycle :in
re&y&)eD*ers%ons = Ues
re&y&)eD7ee'$ree = Ues
Se puede defnr adems que se excuyan archvos (recycle-e2clude) y drectoros
(recycle-e2cludeQdir) de ser envado a a <apelera de 'ecicla.e certo tpo de contendo y sea
emnado de forma permanente de nmedato. Las stas para archvos y drectoros son separadas
por tuberas (j), y aceptan comodnes (\ y ?). En e sguente e|empo se excuyen os archvos con
extensones \.tmp, \.temp, \.o, \.o!., YZ\, \.Y??, \.log, \.trace y \.@:<, y os drectoros =tmp,
=temp y =cac$e.
DhomesE
broseable * no
ritable * yes
recycle#versions * ;es
recycle#keeptree * ;es
re&y&)eDeC&).-e = \.$9'@\.$e9'@\.o@\.o!H@]^\@\.]__@\.)o@\.$r#&e@\.TMA
re&y&)eDeC&).-e-%r = 8$9'@8$e9'@8&#&he
S no se quere que se guarden versones dstntas de archvos con e msmo nombre, para agunas
extensones, es posbe hacero defnendo e parmetro recycle-noversions y una sta de
extensones de archvos separados por tuberas (j). En e sguente e|empo, se ndca que no se
guarden dferentes versones de archvos con e msmo nombre que tengan as extensones \.doc,
\.ppt, \.dat y \.ini.
DhomesE
broseable * no
ritable * yes
recycle#exclude * K@tmpZK@tempZK@oZK@obMZYFKZK@YWWZK@logZK@traceZK@0-<
recycle#excludedir * /tmpZ/tempZ/cache
re&y&)eDno*ers%ons = \.-o&@\.''$@\.-#$@\.%n%
407
Tambn es posbe defnr un mnmo y un mxmo de tamao en !ytes a travs de os
parmetros recycle-minsi8e, que defne un tamao mnmo, y recycle-ma2si8e, que defne un
tamao mxmo. Cuaquer archvo que est fuera de estos mtes estabecdos, ser emnado
permanentemente de forma nmedata. En e sguente e|empo se defne que soo podrn ser
envados a a <apelera de 'ecicla.e os archvos que tengan un tamao mnmo de 10 bytes y un
tamao mxmo de 5120 bytes (5 MB)
DhomesE
broseable * no
ritable * yes
recycle#exclude * K@tmpZK@tempZK@oZK@obMZYFKZK@YWWZK@logZK@traceZK@0-<
recycle#excludedir * /tmpZ/tempZ/cache
recycle#noversions * K@docZK@pptZK@datZK@ini
re&y&)eD9%ns%:e = 4/
re&y&)eD9#Cs%:e = 542/
Para hacer que os cambos hechos surtan efecto tras modfcar a confguracn, utce:
service smb restart
Con a fnazad de reazar pruebas, genere con e mandato ec$o de sstema un archvo
denomnado prue!a.t2t:
echo +archivo de pruebas+ L prueba@txt
S an no exstera, genere a usuaro &ulano:
useradd "ulano
Utce e mandato sm!passPd y asgne +*3#Pe como cave de acceso a usuaro &ulano:
smbpassd !a "ulano
Acceda con sm!client haca e servdor >am!a con e usuaro &ulano:
smbclient //167@$@$@1/"ulano !>"ulanoT16?Je
%omain*D-$64E /S*D>nixE Server*DSamba ?@6@$rc1!14@8@el9@alE
smb# L
408
Utzando e mandato put de intrprete >:B, suba e archvo prue!a.t2t a drectoro persona
de fuano:
smb# L '.$ 'r.e!#.$C$
smb# L put prueba@txt
putting "ile prueba@txt as prueba@txt ($B4 kb/s) (average $B4 kb/s)
smb# L
Vsuace e contendo de drectoro actua desde e intrprete >:B utzando e mandato
dirpara verfcar que se ha subdo e archvo prue!a.t2t:
smb# L -%r
smb# L dir
@ % $ 3ed ûn 15 6$#44#?8 6$$5
@@ % $ 3ed ûn 15 6$#$4#14 6$$5
@bashrc 2 164 3ed ûn 15 6$#$4#14 6$$5
@bash.pro"ile 2 176 3ed ûn 15 6$#$4#14 6$$5
@bash.logout 2 64 3ed ûn 15 6$#$4#14 6$$5
prueba@txt 4 18 3ed ûn 15 6$#44#?8 6$$5
?417? blocks o" siCe 964655@ 1614? blocks available
smb# L
Emne e archvo prue!a.t2t utzando e mandato de desde e intrprete >:B:
smb# L -e) 'r.e!#.$C$
smb# L
Vsuace de nuevo e contendo de drectoro con e mandato dir, o cua debe devover una sada
smar a a sguente donde ha desaparecdo e archvo prue!a.t2t y ahora aparece e drectoro
'ecycle Bin:
smb# L -%r
@ % $ 3ed ûn 15 6$#96#48 6$$5
@@ % $ 3ed ûn 15 6$#$4#14 6$$5
@bashrc 2 164 3ed ûn 15 6$#$4#14 6$$5
@bash.pro"ile 2 176 3ed ûn 15 6$#$4#14 6$$5
@bash.logout 2 64 3ed ûn 15 6$#$4#14 6$$5
@Cshrc 2 695 3ed ûn 15 6$#$4#14 6$$5
@kde %2 $ 3ed ûn 15 6$#$4#14 6$$5
@emacs 2 919 3ed ûn 15 6$#$4#14 6$$5
Re&y&)e B%n % $ 3ed ûn 15 6$#96#48 6$$5
?417? blocks o" siCe 964655@ 1614? blocks available
smb# L
Acceda a drectoro 'ecycle Bin utzando e mandato cd:
409
smb# L smb# L &- "Re&y&)e B%n"
Vsuace e contendo con e mandato dir, o cua debe devover una sada smar a a sguente
donde se muestra que e archvo prue!a.t2t, que fue emnado con e mandato del, ahora est
dentro de drectoro 'ecycle Bin.
smb# Re&y&)e B%nL -%r
@ % $ 3ed ûn 15 6$#96#48 6$$5
@@ % $ 3ed ûn 15 6$#96#48 6$$5
'r.e!#.$C$ 4 18 3ed ûn 15 6$#44#?8 6$$5
?417? blocks o" siCe 964655@ 16141 blocks available
Para sar de intrprete >:B utce e mandato e2it:
smb# Recycle :inL eC%$
410
54. Cmo instalar y con&igurar >am!a(Gscan en
Cent0> 5.
54.+. %ntroduccin.
54.*. Acerca de >am!a(Gscan.
>am!a(Gscan es un nteresante mduo desarroado por 0penAntivirus, como una prue!a de
concepto de mduo para e sstema de archvos vrtua de >am!a. Su desarroo an est en fase
expermenta, pero es o sufcentemente estabe para e uso daro, con un mnmo de faas.
Adems de ClamAG, ncuye soprote para otros antvrus como EHB"DG AntiGir (versn
servdor), F(<rot Daemon, >ymantec AntiGirus, KaspersLy AntiGirus, @rend :icro
File>canner=%nter>can Girusball, )A%=:cA&ee uvscan y F(>ecure AntiGirus.
Este documento descrbe e procedmento de nstaacn y confguracn de >am!a(Gscan
utzando ClamAG y requere haber reazado prmero os procedmentos descrtos en e
documento de Alcance i!re ttuado ICmo con&igurar ClamdJ.
Es mportante seaar que sam!a(vscan O.3.6cBeta5 es ncompatbe con >am!a 3.*.2 y
versones posterores ()ota usuarios e#uipamiento lgico de Alcance i!re- samba-vscan
0.3.6cBeta5 es compatbe con A >erver, pero es ncompatbe con A DesLtop).
54.3. %nstalacin de e#uipamiento lgico necesario.
Instaar prmero os paquetes gcc, gbc-deve, camav-deve, pcre-deve y rpm(!uild. Este tmo
ser utzado para crear a estructura de drectoros de rpm!uild y que soo sern necesaros para
nstaar y preparar os fuentes RPM.
yum !y install gcc glibc!devel rpm!build clamav!devel pcre!devel
Se debe descargar e paquete de fuentes de Samba de a sguente forma:
get http#//mirrors@kernel@org/centos/9/updates/SR<-S/samba!?@$@65!1@el9.6@1@src@rpm
Instaar e cdgo fuente:
411
rpm !ivh samba!?@$@65!1@el9.6@1@src@rpm
Cambarse a drectoro de archvos de especfcacn:
cd /usr/src/redhat/S<&)S/
Utzar rpmbud con as opcones (!p para descomprmr os fuentes de Samba.
rpmbuild !bp samba@spec
Cambarse a subdrectoro sam!a(3.O.*9=source= que se encuentra dentro de drectoro de
compacn:
cd /usr/src/redhat/:>(1%/samba!?@$@65/source/
E|ecutar .=con&igure dentro de drectoro =usr=src=red$at=B,%D=sam!a(3.O.*9=source=.
@/con"igure
Lo anteror demorar agunos mnutos en competarse.
E|ecutar e mandato maLe proto para compar o mnmo necesaro para posterormente compar
>am!a(Gscan:
make proto
Cambarse a drectoro ..=e2amples=GF>=:
cd @@/examples/'=S
Descargar a versn O.3.6cBeta5 de >am!a(Gscan.
get http#//@openantivirus@org/donload/samba!vscan!$@?@6c!beta9@tar@gC
Descomprmr sam!a(vscan(O.3.6c(!eta5.tar.g8:
tar Cxv" samba!vscan!$@?@6c!beta9@tar@gC
Cambarse a drectoro sam!a(vscan(O.3.6c(!eta5=:
cd samba!vscan!$@?@6c!beta9/
E|ecutar dentro de este drectoro .=con&igure:
@/con"igure
E|ecutar maLe clamav:
412
make clamav
Instaar vscan(clamav.so en =usr=li!=sam!a=v&s=:
install vscan!clamav@so /usr/lib/samba/v"s/
Instaar clamav=vscan(clamav.con& en =etc=sam!a=:
install !m $644 clamav/vscan!clamav@con" /etc/samba/
Es mportante menconar que e procedmento de compacn de sam!a(vscan debe repetirse
cada vez que se actuace Samba, de otra manera este servco de|ar de funconar.
S se sgu a pe de a etra a confguracn de Camd en e documento de Alcance i!re ttuado
ICmo con&igurar ClamdJ, edtar =etc=sam!a=vscan(clamav.con& y defnr
=var=run=clamd.local$ost=clamd.socL como zcao en e parmetro clamd socLet name.
V socket name o" clamd (de"ault# /var/run/clamd)@ Setting ill be ignored i"
V libclamav is used
clamd socket name * /var/run/clamd
Tambn es mportante defnr un drectoro para cuarentena de archvos nfectados a travs de
parmetro #uarantine directory. La recomendacn es utzar cuaquer otro drectoro dstnto
de =tmp y que haya sdo creado especfcamente para este fn.
V here to put in"ected "iles ! you really ant to change thish
Juarantine directory * /tmp
V pre"ix "or "iles in Juarantine
Juarantine pre"ix * vir!
Para utzar sam!a(vscan en a confguracn de Samba, se aaden as sguentes dos neas a
cada recurso compartdo, defndo en e archvo =etc=sam!a=sm!.con&, donde se desee utzar
proteccn con antvrus:
v"s obMect * vscan!clamav
vscan!clamav# con"ig!"ile * /etc/samba/vscan!clamav@con"
E|empos:
DhomesE
broseable * yes
ritable * yes
DpublicoE
comment * %irectorio pbblico
path * /var/samba/publico
ritable * no
printable * no
broseable * yes
413
public * yes
Para probar, puede utzarse e archvo de prueba Ecarcom2 a travs de sm!client o ben nterfaz
grfca desde Lnux con Nautus o ben desde Wndows con Exporador de Wndows, sobre
cuaquer recurso compartdo que haya sdo confgurado con >am!a(Gscan.
414
55. Cmo con&igurar >am!a como cliente o
servidor b%)>.
Sitio de Red:ttp)**(((.alcancelibre.org*
55.+. %ntroduccin.
b%)> (bndows %nternet )ame >ervce) es un servdor de nombres de para NetBIOS, que se
encarga de mantener una taba con a correspondenca entre dreccones IP, y nombres )etB%0>,
de os equpos que conforman a red oca. Esta sta permte ocazar rpdamente a otro equpo
dentro de a red. A utzar un servdor b%)> se evta e reazar bsquedas nnecesaras a travs
de dfusn (!roadcast) reducendo sustancamente e trfco de red. La resoucn de nombres
em >am!ase eva a cabo reazando consutas en e sguente orden:
+. Servdor b%)>
*. Informacn de archvo =etc=sam!a=lm$osts
3. Informacn de archvo =etc=$osts
4. Dfusn (!roadcast)
Este documento consdera que usted ya ha edo prevamente, a detae, y en su totadad, e
servdor de archvos.
Todos os parmetros descrtos a contnuacn, se defnen en a seccn Tglo!alU de archvo
=etc=sam!a=sm!.con&.
vim /etc/samba/smb@con"
55.*.+. <ar;metros Pins serverF y Pins support.
Se puede defnr que e servdor >am!a recn confgurado se converta en un servdor b%)>, o
ben utzar un servdor b%)> ya exstente. )o es posi!le ser clienteF y servidor al mismo
tiempo. Los parmetros Pins server, y Pins support, que se defnen en a seccn Tglo!alU de
archvo =etc=sam!a=sm!.con&, son mutuamente excuyentes.
S e sstema va ser utzado como servdor b%)>, debe habtarse e parmetro Pins support
con e vaor yes:
ins support * ;es
415
S e sstema va a utzar un servdor b%)> e2istente, debe habtarse e parmetro Pins
server, y como vaor se especfca a dreccn IP que utce e servdor b%)>. En e sguente
e|empo se defne a sstema con dreccn IP +S*.+69.+.+ como servdor b%)>:
ins server * 186@165@1@1
55.*.*. <ar;metro name resolve order
Defne en >am!a e orden de os mtodos a travs de os cuaes se ntentar resover os nombres
)etB%0>. Pueden defnrse hasta hasta cuatro vaores: wns, mhosts, hosts, y bcast, como se
muestra en e sguente e|empo.
name resolve order * ins lmhosts hosts bcast
55.*.3. <ar;metro Pins pro2y.
Cuando su vaor es yes, permte a >am!a como servdor ntermedaro (pro2y) para otro servdor
b%)>.
ins proxy * yes
E vaor predetermnado de este parmetro es no.
55.*.4. <ar;metro dns pro2y.
Cuando su vaor es yes, permte a >am!a reazar bsquedas en un servdor D)> s e es
mposbe determnar un nombre a travs de un servdor b%)>.
dns proxy * yes
E vaor predetermnado de este parmetro es no.
55.*.5. <ar;metro ma2 ttl.
E parmetro ma2 ttl defne e mxmo tempo de vda en segundos para os nombres )etB%0>
que han sdo consutados como cente b%)> en un servdor b%)>. su vaor predetermnado es
*5S*OO, que corresponde a tres das. <or lo general no es necesario modi&icar este
par;metro. S as dreccones IP de os equpos que ntegran a red oca camban demasado
frecuentemente, puede reducrse este tempo. En e sguente e|empo, se defnen 48 horas como
tempo mxmo de vda para os nombres )etB%0>:
max ttl * 564$$
416
55.*.6. <ar;metros ma2 Pins ttl y min Pins ttl.
Los parmetros ma2 Pins ttl, y min Pins ttl, corresponden a os tempos mxmo, y mnmo,
respectvamente, en escaa de segundos, que tendrn de vda os nombres )etB%0> que han sdo
asgnados por e servdor >am!a. E vaor predetermnado de ma2 Pins ttl, es 5+94OO, es decr,
6 das, y e vaor predetermnado de min Pins ttl, es *+6OO, es decr, 6 horas. <or lo general no
es necesario modi&icar estos par;metros. S as dreccones IP de os equpos que ntegran a
red oca camban muy frecuentemente, pueden modfcarse estos tempos. En e sguente
e|empo se redundan os vaores predetermnados:
max ins ttl * 9154$$
min ins ttl * 616$$
Para hacer que os cambos hechos surtan efecto tras modfcar a confguracn, rence os
servcos sm! y nm!:
service smb restart
service nmb restart
417
56. a ingeniera social y los TincorrectosU
$;!itos del usuario
56.1. Introduccn.
E tan de Aques de cuaquer red o componen os usuaros que a ntegran. La me|or tecnooga
y segurdad de mundo es nservbe cuando un usuaro es ncapaz de mantener en secreto una
cave de acceso o nformacn confdenca. Es por ta motvo que tene partcuar reevanca e
mpusar una cutura de concencar a os usuaros acerca de os pegros de a Ingenera Soca en
a segurdad nformtca. E ms cebre persona|e que utz sta tan extosamente que durante
agn tempo se convrt en e hombre ms buscado por e FBI fue Kevn Mtnck.
0ngeniera $ocial es la prctica de obtener informaci/n confidencial a travs de la manipulaci/n de usuarios legtimos. 5n ingeniero social usar
comDnmente el telfono o 0nternet para enga!ar a la gente y llevarla a revelar informaci/n sensible, o bien a violar las polticas de seguridad
tpicas. #on este mtodo, los ingenieros sociales aprovecan la tendencia natural de la gente a confiar en su palabra, antes que aprovecar
agujeros de seguridad en los sistemas informticos. Oeneralmente se est de acuerdo en que Plos usuarios son el eslab/n dbilQ en seguridadR
ste es el principio por el que se rige la ingeniera social.
Wkpeda, a enccopeda bre.
Cscos e|empos de ataques extosos aprovechando a ngenera soca es e envo de os
ad|untos en e correo eectrnco (vrus, troyanos y gusanos) que pueden e|ecutar cdgo macoso
en una estacn de traba|o o computadora persona.
Lo anteror fue o que obg a os proveedores de equpamento gco a desactvar e e|ecucn
automtca de os ad|untos a abrr e mensa|e de correo eectrnco, por o que es necesaro que e
usuaro actve esta funconadad de modo expcto a fn de vover a ser vunerabe. Sn embargo,
a mayora de os usuaros smpemente hacen cc con e ratn a cuaquer cosa que egue en e
correo eectrnco, hacendo que ste mtodo de ngenera soca sea extoso.
Otro tpo de ataque de ngenera soca, e ncrebemente e ms fc de reazar, consste en
engaar a un usuaro hacndoe pensar que se trata de un admnstrador de a red donde se
abora soctando caves de acceso u otro tpo de nformacn confdenca. Buena parte de correo
eectrnco que ega a buzn de usuaro consste de engaos soctando caves de acceso,
nmero de tar|eta de crdto y otra nformacn, hacendo pensar que es con una fnadad
egtma, como sera e caso de reactvar o crear una cuenta o confguracn. Este tpo de ataque
se conoce actuamente como pising (pesca).
Lamentabemente muchos estudos muestran que os usuaros tenen una pobre concenca acerca
de a mportanca de a segurdad. Una encuesta de InfoSecurty arro| como resutados que 90%
de os ofcnstas reveara una cave de acceso a cambo de un bografo.
418
Un tpo de ngenera soca muy efectvo es ncur grandes cantdades de texto a un acuerdo de
cencamento. La gran mayora de os usuaros, ncuyendo admnstradores, rara vez een squera
una paabra contenda en dcho texto y sencamente dan cc en a aceptacn de cencamentos
y acuerdos. Esto reguarmente es aprovechado por Adware (equpamento gco que despega
anuncos comercaes) y Spyware (equpamento gco que espa a actvdad de usuaro). En
Latno Amrca este probema es an mayor debdo a vergonzoso y pobre ndce de ectura
(menos de un bro por ao).
La prncpa defensa contra a ngenera soca es a educacn de usuaro, empezando por os
propos admnstradores de redes. La me|or forma de combatr a ngenera soca es a prevencn.
56.*. 'ecomendaciones para evitar ser vctimas de la
ingeniera social a travs del correo electrnico.
No utzar cuentas de correo eectrnco para uso persona para asuntos aboraes.
No utzar cuentas de correo eectrnco destnadas para uso abora para asuntos
personaes.
Adestrar a os usuaros para |amas pubcar cuentas de correo en reas pbcas que
permtan sean cosechadas por software para este fn.
Adestrar a usuaro para no pubcar cuentas de correo eectrnco en ugares pbcos.
Adestrar a usuaro para evtar proporconar cuentas de correo eectrnco y otros datos
personaes a personas u entdades que puedan utzar estos con otros fnes.
Evtar pubcar dreccones de correo eectrnco en formuaros destnados a recabar datos
de os centes utzando formuaros que ocuten a dreccn de correo eectrnco.
S es nevtabe, utzar una cuenta destnada y dedcada para ser mostrada a travs de
HTTP.
Adestrar a usuaro a utzar caves de acceso ms compe|as.
Adestrar a usuaro a no abrr y dar cc a todo o que egue por correo.
Adestrar a usuaro para |ams responder a un mensa|e de spam.
Adestrar a usuaro a no hacer cc en os enaces en os mensa|es de spam y que pueden
ser utzados para confrmar a spammer que se trata de una cuenta de correo actva.
419
57. %nstalacinF con&iguracin y optimi8acin de
>pamassassin.
57.+. %ntroduccin.
57.+.+. Acerca de >pamAssassin.
>pamAssassin es una mpementacn que utza un sstema de puntuacn, basado sobre
agortmos de tpo gentco, para dentfcar mensa|es que puderan ser sospechosos de ser correo
masvo no soctado, aadendo cabeceras a os mensa|es de modo que pueda ser ftrados por e
cente de correo eectrnco o :,A (:a ,ser Agent).
URL: http://spamassassn.apache.org/
57.+.*. Acerca de <rocmail.
Procma es un programa que funcona como :DA (:a Devery Agent, o Agente de Entrega de
Correo) que se utza para gestonar a entrega de correo oca en e sstema. Adems de o
anteror, permte tambn reazar ftracn automtca de correo eectrnco, pre-ordenamento y
otras tareas.
Procma puede ser utzado ndstntamente con Sendma, o ben Postfx.
URL: http://www.procma.org
S dspone de un servdor con Cent0> 5 o 6 o ben 'ed Eath "nterprise inu2 5 o 6, puede
utzar e sguente mandato:
yum !y install spamassassin procmail
S se utza Sendma como servdor de correo eectrnco, procmail ya debe estar nstaado, pues
es dependenca de paquete sendmail. S se utza Postfx como servdor de correo eectrnco, es
necesaro edtar e archvo =etc=post&i2=main.c& y aadr o descomentar mail!o2Qcommand
R =usr=!in=procmail, o ben smpemente e|ecutar os sguentes dos mandatos.
420
postcon" !e Umailbox.command * /usr/bin/procmailU
service post"ix restart
S se quere nstaar paquetes adconaes para ncrementar as capacdades de ftrado de
Spamassassn, se pude crear e archvo =etc=yum.repos.d=A(>erver.repo. S dspone de un
servdor con Cent0> 5 o 6, o ben 'ed Eath "nterprise inu2 5 o 6, puede utzar e e
amacn YUM de Alcance i!re para servdores en produccn, descargando e archvo
$ttp-==PPP.alcanceli!re.org=al=server=A(>erver.repo dentro de drectoro
=etc=yum.repos.d=:
cd /etc/yum@repos@d/
get !, http#//@alcancelibre@org/al/server/41!Server@repo
cd
Este archvo, que se guarda como =etc=yum.repos.d=A(>erver.repo, debe tener e sguente
contendo:
D41!ServerE
gpgcheck*1
Hecho o anteror, ser posbe nstaar os paquetes perl(:ail(><F, perl('a8or(Agent, py8or,
spamassassin(Fu88y0cr, popler(utils y re*c:
yum !y install perl!-ail!S<= perl!RaCor!4gent pyCor
yum !y install spamassassin!=uCCy/cr poppler!utils re6c
57.3. >"inu2 y el servicio spamasssassin.
57.3.+. <olticas de >"linu2.
A fn de que SELnux permta a servco spamassassin conectarse a servcos externos, como
'a8or o <y8or, utce e sguente mandado:
setsebool !< spamassassin.can.netork 1
A fn de que SELnux permta a os usuaros de sstema utzar spamassassin desde sus
drectoros de nco, utce e sguente mandato:
setsebool !< spamd.enable.home.dirs 1
421
)ota.
Lo sguente so apca para Cent0> 5 y 'ed Eath "nterprise inu2 5.
S se desea desactvar toda gestn de SELnux sobre e servco spamassassin, hacendo que todo o
anteror perda sentdo y emnando a proteccn que brnda esta mpementacn, utce e sguente
mandato:
setsebool !< spamd.disable.trans 1
Esta potca es nexstente en Cent0> 6 y 'ed Eath "nterprise inu2 6.
57.3.*. 0tros a.ustes de >"inu2.
A fn de que SELnux permta a spamassassin aadr regstros a a btcora de servco de 'a8or,
es necesaro generar una nueva potca.
Genere un nuevo drectoro denomnado =usr=s$are=selinu2=pacLages=spamd:
mkdir 8.sr8sh#re8se)%n.C8'#&7#es8s'#9-
Cambarse a drectoro =usr=s$are=selinu2=pacLages=spamd:
cd 8.sr8sh#re8se)%n.C8'#&7#es8s'#9-
S se utza Cent0> 6 o 'ed Eat "nterprise inu2 6, Descargar e archvo
$ttp-==PPP.alcanceli!re.org=linu2=secrets=el6=spamd.te:
get http#//@alcancelibre@org/linux/secrets/el6/spamd@te
Edtar e archvo recn descargado:
vim spamd@te
Asegurarse que tenga e sguente contendo:
422
module spamd 1@$V
reJuire \
type spamc.tV
type admin.home.tV
type sendmail.tV
type spamd.tV
type root.tV
class lnk."ile readV
class "i"o."ile riteV
class "ile \ ioctl read open getattr append ]V
]
A************* spamd.t **************
allo spamd.t root.t#"ile \ ioctl append ]V
allo spamd.t admin.home.t#"ile \ read ioctl open getattr append ]V
A************* spamc.t **************
allo spamc.t sendmail.t#"i"o."ile riteV
allo spamc.t admin.home.t#"ile \ read open ]V
Lo anteror fue obtendo de a sada de mandato dmesgjgrep auditjaudit*alloP (m
spamd]spamd.te en un sstema donde SELnux mpeda a spamassassin reazar escrtura
sobre a btcora de Razor. En s, defne que se permta aadr contendo a archvo =ra8or(
agent.log.
S se utza Cent0> 5 o 'ed Eat "nterprise inu2 5, Descargar e archvo
$ttp-==PPP.alcanceli!re.org=linu2=secrets=el5=spamd.te:
get http#//@alcancelibre@org/linux/secrets/el9/spamd@te
vim spamd@te
module spamd 1@$V
reJuire \
type spamc.tV
type sendmail.tV
type spamd.tV
type root.tV
class "ile \ ioctl append ]V
]
A************* spamd.t **************
A************* spamc.t **************
423
A contnuacn, se genera e archvo de mduo para SELnux (spamd.mod) utzando e mandato
c$ecLmodule de a sguente forma:
checkmodule !- !m !o spamd@mod spamd@te
Luego, se procede a empaquetar e archvo spamd.mod como e archvo spamd.pp:
semodule.package !o spamd@pp !m spamd@mod
Fnamente se vncua e archvo spamd.pp obtendo con as potcas actuaes de SELnux y se
cargan stas en e nceo en e|ecucn:
semodule !i /usr/share/selinux/packages/spamd/spamd@pp
Una vez cargadas as nuevas potcas, se pueden emnar os archvos spamd.te y spamd.mod,
pues so ser necesaro que exsta e archvo bnaro spamd.pp.
57.4.+. %niciar el servicio y aadirlo a los servicios de arran#ue del
sistema.
chkcon"ig spamassassin on
service spamassassin restart
Cabe seaar, que so es necesaro utzar e servco spamassassin s e servdor de correo
eectrnco dspone de una gran cantdad de usuaros, o ben tene una eevada cantdad de
trfco. S se dspone de pocos usuaros, es posbe utzar e mandato spamassassin a travs de
archvo =etc=procmailrc o ben Y=.procmailrc.
57.4.*. Con&iguracin de <rocmail.
Hay tres formas de utzar Procma para hacer uso de Spamassassn.
57.4.*.+. ,tili8ando el mandato spamassassin.
La forma ms smpe de utzar Spamassassn es hacendo uso de mandato con e msmo nombre.
Funcona ben so s se tenen pocos usuaros, pues genera una nstanca de ste cada vez que se
utza o ega un mensa|e de correo eectrnco a sstema. La sguente es a confguracn
recomendada para e archvo =etc=procmailrc, s se desea que apque a todos os usuaros de
sstema, o ben e archvo Y=.procmailrc de drectoro de nco de un usuaro en partcuar, s so
se desea que sea utzado por agunos usuaros:
#$"
Z /usr/bin/spamassassin
424
S se dspone de muchos usuaros, es ms convenente utzar e mandato spamc, msmo que
requere est funconado e servco spamassassin. La sguente es a confguracn recomendada
para e archvo =etc=procmailrc, s se desea que apque a todos os usuaros de sstema, o ben e
archvo Y=.procmailrc de drectoro de nco de un usuaro en partcuar, s so se desea que sea
utzado por agunos usuaros:
#$"
Z /usr/bin/spamc
Todo o anteror hace que e correo eectrnco sea examnado y marcado como $pam s acanza
una cantdad sufcente de puntos. S se desea reazar un ftrado envando e correo cafcado
como $pam haca una capeta de correo (Y=mail=>pam), se puede utzar o sguente:
#$"
Z /usr/bin/spamc
A 1os mensaMes marcados como spam se almacenan en carpeta de spam
D/D
\ `X-S'#9-S$#$.sD Ues
ÎOME89#%)8S'#9
57.4.3. Con&iguracin del arc$ivo =etc=mail=spamassassin=local.c&.
Edte e archvo =etc=mail=spamassassin=local.c&.
vim /etc/mail/spamassassin/local@c"
Se pueden modfcar y aadr parmetros con vaores, entre os cuaes se pueden confgurar os
sguentes:
425
requred_hts Se utza para estabecer a cantdad de puntos
acumuados, y asgnados por >pamAssassin, en un
mensa|e para consderar e ste como Spam. E vaor
predetermnado es 5, acepta decmaes y se puede a|ustar
con un vaor nferor o mayor de acuerdo a crtero de
admnstrador. E|empo: 4.5
report_safe Determna s e mensa|e, s es cafcado como spam, se
ncuye en un ad|unto, con e vaor 1, o se de|a e mensa|e
ta y como est, con e vaor 0. E vaor predetermnado es
O.
rewrte_header Defne con que cadena de caracteres se aadr a mensa|e
para dentfcaro como Spam. E vaor predetermnado es
T><A:U, y puede cambarse por o que consdere apropado
e admnstrador. E|empo: rePriteQ$eader >u!.ect
T>pam?U
whtest_from Se utza para defnr que |ams se consdere como Spam
os mensa|es de correo eectrnco cuyo remtente sea un
domno o cuenta de correo eectrnco en partcuar. Se
pueden defnr varas neas. E|empo:
whtest_from *@mdomno.ago
whtest_from *@acancebre.org
whtest_from 201.161.1.226
whtest_to S utza una sta de correo eectrnco (ma.ordomo o
mailman), y se desea evtar que accdentamente se
consdere Spam un mensa|e de correo eectrnco emtdo
por una de estas stas, se puede defnr que nunca se
consdere Spam e correo emtdo por dcha sta. E|empo:
whtest_to maman-users@ago.ago
backst_from Se puede defnr que todo e correo eectrnco provenente
de un domno o cuenta de correo eectrnco en partcuar
sempre sea consderado como Spam. E|empo:
backst_from aguen@spammer.com
Hay una herramenta de confguracn de SpamAssassn, que permte generar e archvo
=etc=mail=spamassassin=local.c&, en http://www.yrex.com/spam/spamconfg.php.
De prmera nstanca, aada a archvo =etc=mail=spamassassin=local.c& sus dreccones IP
ocaes con e parmetro P$itelistQ&rom. E|empo:
426
A 0hese values can be overridden by editing Y/@spamassassin/user.pre"s@c"
A (see spamassassin(1) "or details)
A 0hese should be sa"e assumptions and allo "or simple visual si"ting
A ithout risking lost emails@
reJuired.hits 9
report.sa"e $
rerite.header SubMect DS<4-E
?h%$e)%s$_+ro9 42=././.4
?h%$e)%s$_+ro9 4<2.438.4.<4
?h%$e)%s$_+ro9 2/4.434.4.223
S se utza e mandato spamassassin en e archvo =etc=procmailrc o Y=.procmailrc, os
cambos surten efecto de nmedato. S se utza e mandato spamc, para que surtan efecto os
cambos se requere rencar e servco spamassassin:
57.5. Conse.os para sacarle me.or provec$o a >pamassassin
utili8ando sa(learn.
Muchos admnstradores de servdores utzan Spamassassn para ftrar os mensa|es de correo
eectrnco que egan a sus servdores. S embargo, son muy pocos os que conocen y utzan a
herramenta sa(learn, ncuda con >pamassassin, msma que srve para entrenar y ensear a
dentfcar spam (o correo catarra) a propo >pamassassin.
Esencamente, e mandato sa(learn srve para entrenar a componente casfcador Bayesano de
Spamassassn.
La forma que sugero consste en utzar e cente de correo eectrnco, y mover todos os
mensa|es que se consderen como spam a una carpeta destnada para ta fnadad, como por
e|empo Y=mail=>pam, y mover de a carpeta de spam todos aqueos mensa|es que se consderan
como egtmos a cuaquer otra carpeta de correo o ben e buzn de entrada.
Acto segudo, se utza e mandato sa(learn, con as opcones ((spam, para ndcar que se trata
de mensa|es de spam, y a opcn ((m!o2, para ndca que se trata de un buzn de correo en
formato m!o2, o cua permtr examnar todos os mensa|es contendos en ste:
sa!learn !!spam !!mbox Y/mail/Spam
Para que os mensa|es que se casfcaron ncdentamente como spam, y que fueron movdos a
otra carpeta (como por e|empo Y=mail=:ensa.es), o ben e buzn de entrada
(=var=spool=mail=usuario), se utza e mandato sa(learn con as opcones (($am, para ndcar
que es correo egtmo y que se debe de|ar de consderar ste como spam, y a opcn ((m!o2,
para ndca que se trata de un buzn de correo en formato m!o2, o cua permtr examnar todos
os mensa|es contendos en ste:
sa!learn !!ham !!mbox Y/mail/-ensaMes
sa!learn !!ham !!mbox /var/spool/mail/usuario
427
De este modo, y consderando que se utza e archvo Y=.promailrc, o cua so apcara para e
usuaro utzado, o ben =etc=procmailrc, s se desea que apque para todos os usuaros de
servdor, contene ago smar a o sguente:
-4(1%(R*F2/-&/mail
1/I=(1&*F2/-&/mail/log
A send mail through spamassassin
#$"
A-ensMes marcados como spamB ponerlos en carpeta de spam
#$#
K [X!Spam!Status# ;es
Spam
Se consegur que a mayora os mensa|es de spam smares a os que se moveron a a carpeta
Y=mail=>pam, en adeante sern ms fces de dentfcar y ftrar, y os mensa|es que
ncdentamente se casfcaron como spam, de|arn de ser casfcados como taes, o ben ser
ms dfc que sean casfcados como spam.
Todo o anteror puede ser utzado como e usuaro root, o cua hara que os nuevos ftros
creados a entrenar a >pamassassin apquen para todos os usuaros, o ben como cuaquer
usuaro, o cua so tendran efecto para ste en partcuar.
S aguen tene nters en aprender ms acerca de mandato sa(learn, puede hacero consutando
desde una termna de texto e|ecutando man sa(learn.
57.6. %ncrementando las capacidades de &iltrado.
A fn de enrquecer a capacdad de deteccn de spam de >pamassassin, pueden nstaarse
paquetes opconaes como perl(:ail(><F, perl('a8or(Agent. Los tres brndan capacdades
adconaes de ftracn de spam, descrtas ms adeante, y pueden contrbur de manera
sgnfcatva a reducr a cantdad de spam que de otro modo podra pasar por ato
>pamassassin.
Para os todos os procedmentos descrtos a contnuacn, se consdera que en e servdor de
correo eectrnco se utza como sstema operatvo Cent0> 5 y 6, o ben 'ed Eat "nterprise
inu2 5 y 6, se tenen nstaados os paquetes procmail (requsto de paquete sendmail y
opcona para e paquete post&i2) y spamassassin y que se tene confgurado a menos o
sguente en e archvo =etc=procmailrc:
A send mail through spamassassin
#$"
Z /usr/bin/spamc
A 1os mensaMes marcados como Spam se almacenan en carpeta Y/mail/Spam
#$#
F2/-&/mail/Spam
428
Prmeramente, y con a fnadad de actuazar e |uego de regas y ftros de Spamassassn, es
convenente utzar e mandato sa(update de vez en cuando, a o sumo una o dos veces a mes.
Los |uegos de regas y ftros de Spamassassn reamente sufren pocos cambos a o argo de ao y
se amacenan en un sub-drectoro dentro de =var=li!=spamassassin=. So es necesaro conservar
e sub-drectoro con a versn ms recente. E sguente mandato reazar a consuta y
actuazacn de regas y ftros de Spamassassn y rencar e servco soamente s se descarg
una actuazacn:
sa!update !v cc service spamassassin restart
La opcn -v hace que se muestre una sada que ncuye una descrpcn de os canaes
actuazados. S desea una sada mpa, sn mensa|es descrptvos, e|ecute o sguente:
sa!update cc service spamassassin restart
Para nstaar e con|unto de paquetes que enrquecern as capacdades de ftrado de
>pamassassin, consderando que tene confgurados os amacenes YUM para AL Server de
Acance Lbre, e|ecute o sguente:
yum !y install perl!-ail!S<= perl!RaCor!4gent pyCor
yum !y install spamassassin!=uCCy/cr poppler!utils
S se utzan paquetes provenentes de otros amacenes YUM dstntos a os de Acance Lbre, e
compemento para <y8or ncudo dentro de >pamassassin requerr adems e paquete perl(
Digest(>EA:
yum !y install perl!%igest!S24
A fn de que >pamassassin pueda utzar os compementos que hacen uso de os compementos
que se actvan con estos componentes, es necesaro rencar e servco spamassassin:
57.6.+. 0ptimi8ando >pamassassin.
S se tene un servdor de correo eectrnco con mucha carga de traba|o, convene optmzar
spamasassassin compando as regas de ste para convertras a formato bnaro. Para ta fn es
necesaro que est nstaados os paquetes re*c y gcc:
yum !y install re6c gcc
Y enseguda se e|ecuta e mandato sa-compe:
sa!compile
S a sntaxs de archvo =etc=mail=spamassassin=local.c& est correcta, e sstema debe reazar
a compacn y amacenar os bnaros dentro de =var=li!=spamassassin=compiled=. Lo anteror
deber ser repetdo cada vez que se reacen modfcacones de archvo
=etc=mail=spamassassin=local.c& o ben se actuace e con|unto de regas con e mandato sa(
update.
429
57.6.*. <or #u <erl(:ail(><FF <erl('a8or(AgentF <y8orF >pamassassin(
Fu88y0cr y poppler(utils?
57.6.*.+. <erl(:ail(><F.
<erl(:ail(><F Impementa una proteccn contra a fasfcacn de dreccones en e envo de
correo eectrnco conocda como ><F (>ender <ocy Framework o Conveno de Remtentes).
Funcona reazando consutas a os servdores DNS en busca de regstro TXT para ><F que
especfca os servdores de correo eectrnco autorzados para envar correo eectrnco para un
domno en partcuar.
Para que un domno en partcuar, o ben e propo domno, sea excudo de este tpo de ftracn,
requere contar con un regstro smar a sguente, o cua estabece que pre&erentemente se
descartan como emsores de correo eectrnco todos aqueos servdores que carezcan de regstro
tpo MX o tpo A:
dominio@com@ (, 0X0 +v*sp"1 a mx Yall+
O ben, s se quere ago ms estrcto, donde se descartan por competo como emsores de correo
eectrnco todos aqueos servdores que carezcan de regstro tpo MX o tpo A:
dominio@com@ (, 0X0 +v*sp"1 a mx !all+
57.6.*.*. <erl('a8or(Agent.
<erl('a8or(Agent es a mpementacn Per de 'a8or, que es una red dstrbuda y coaboratva
dedcada a a deteccn y ftracn de spam. Consste en un cataogo de propagacn de spam que
es actuazado constantemente. Se compementa de manera mutua con <y8or.
57.6.*.3. <y8or.
<y8or es smar a 'a8or, y funcona de a msma forma como una red dstrbuda y coaboratva
dedcada a a deteccn y ftracn de spam. A dferenca de <erl('a8or(Agent, est escrto en
Python. Se compementa de manera mutua con 'a8or.
57.6.*.4. >pamassassin(Fu88y0cr.
Suee haber casos en os cuaes se envan mensa|es de spam que so ncuyen una magen
ncrustada en e mensa|e, con e fn de evadr os ftros de os servdores de correo eectrnco.
Fu88y0cr es un compemento (plugin) para >pamassassin e cua est enfocado sobre este tpo
de spam. Utza ?0C' (,?5 -ptical Caracter Recognition, o Reconocmento Optco de
Caracteres de GNU) y otros mtodos para anazar e contendo de as mgenes y poder dstngur
entre correo ordnaro y correo spam.
57.6.*.5. <oppler(utils.
Este con|unto de herramentas es utzado por Spamassassn para gestonar os contendos de os
documentos en formato PDF, partcuarmente as herramentas como pd&tops, pstopnm y
pd&in&o. Es atamente recomendado nstaaro.
430
59. Con&iguracin simple para Antivirus y
Antispam.
59.+. <rocedimientos
Asumendo que tene confgurados os amacenes YUM de Acance Lbre, nstae os paquetes
spamassassin, clamav, y clamav(update.
yum !y install spamassassin clamav clamav!update
Actve as sguentes potcas de SELnux:
setsebool !< clamd.use.Mit 1
Actuace a base de datos de antvrus CamAV, e|ecutando o sguente:
"reshclam
Actuace e con|unto de regas de Spamassassn, e|ecutando o sguente:
sa!update !v
Lo anteror deber ndcar qu componentes de >pamassassin fueron actuazados.
)ota.
Para optmzar y extender e funconamento de >pamassassin, estude e documento ttuado Cmo
instalar y con&igurar >pamassassin.
Utzando e mandato touc$, genere e archvo =etc=procmailrc:
touch /etc/procmailrc
Edte e archvo =etc=procmailrc:
vim /etc/procmailrc
431
S2&11*/bin/sh
A Si desea almacenar toda la in"ormaciRn de actividad
A de <rocmail en una biticoraB descomente lo siguiente@
A1/I=(1&*/var/log/procmail@log
A )on"iguraciRn basada sobre http#//bulma@net/body@phtmlWn(d,oticia*1875
A y adecuadaB y actualiCadaB por ôel :arrios %ueSas@
4'.R&</R0*k/usr/bin/clamscan !!stdout !!no!summary ! Z cut !d# !" 6k
'(R>S*ki" D +F4'.R&</R0+ h* + /H+ EV then echo ;esV else echo ,oV"ik
A 4Sade el campo de reporte )lam4'@
#$"
Z "ormail !i +X!'irus# F'(R>S+
A Si el mensaMe es positivo a virusB se cambia el asunto@
#$"
K [X!'irus# ;es
Z "ormail !i +'irus# F4'.R&</R0+ !i +SubMect# -&,S4^& )/, '(R>S# F4'.R&</R0+
A 2acer pasar todo el correo electrRnico a travfs de spamassassin
#$"
Con o anteror, en adeante todo e correo ser examnado prmero por ClamAG, y
>pamassassin, y casfcado antes de ser entregado a usuaro. Es nnecesaro rencar e servco
sendmail, o servco aguno. Esta soucn es perfecta para servdores de correo eectrnco con
poco carga de tra!a.o.
S se tene un servdor de correo eectrnco con mucha carga de traba|o, nstae e paquete
camav-scanner-sysvnt:
yum !y install clamav!scanner!sysvinit
Ince e servco camd.scan, e|ecutando o sguente:
service clamd@scan start
Ince e servco spamassassn, e|ecutando o sguente.
service spamassassin start
Aada os servcos clamd.scan, y spamassassin, a nco de sstema:
chkcon"ig clamd@scan on
Genere un enace smbco como =etc=clamd.con&, que apunte haca =etc=clamd.d=scan.con&:
ln !s /etc/clamd@d/scan@con" /etc/clamd@con"
Edte e archvo =etc=procmailrc, y cambe =usr=!in=clamscan por =usr=!in=clamdscan, y
=usr=!in=spamassassin por =usr=!in=spamc.
432
S2&11*/bin/sh
A de <rocmail en una biticoraB des!comente lo siguiente@
4'.R&</R0*k/usr/bin/&)#9-s&#n !!stdout !!no!summary ! Z cut !d# !" 6k
#$"
#$"
K [X!'irus# ;es
#$"
Z /usr/bin/s'#9&
Con o anteror, tendr una soucn aceptabe, barata, confabe, rpda, y senca, para servdores
de correo eectrnco con muc$a carga de tra!a.o.
S, adems, necesta que todos os mensa|es de Spam sean movdos automtcamente a a carpeta
de correo Y=mail=>pam, y que os mensa|es nfectados con vrus sean movdos a a carpeta de
correo Y=mail=Girus, utce a sguente confguracn para e archvo =etc=procmailrc:
S2&11*/bin/sh
A de <rocmail en una biticoraB descomente lo siguiente@
4'.R&</R0*k/usr/bin/clamdscan !!stdout !!no!summary ! Z cut !d# !" 6k
#$"
#$"
K [X!'irus# ;es
A Si el mensaMe es positivo a virusB se almacena en F2/-&/mail/'irus
#$#
K [X!'irus# ;es
ÎOME89#%)8;%r.s
A Si lo deseaB puede enviar los mensaMes in"ectados a /dev/null@
#$"
Z /usr/bin/spamc
A 1os mensaMes marcados como spam se almacenan en carpeta de spam
D/D
\ `X-S'#9-S$#$.sD Ues
ÎOME89#%)8S'#9
433
A fn de que todo o anteror funcone correctamente, es mprescndbe que os usuaros generen y
suscrban con anteacn a as carpetas IMAP $HOME/ma/Spam y $HOME/ma/Vrus. Es
mportante consderar que $HOME/ma/Spam y $HOME/ma/Vrus sern propedad de root, con
permso de so ectura para root, savo que hayan sdo creadas y suscrtas prevamente por e
usuaro.
S tene nters en me|orar, y optmzar, e ftrado de spam, consute e documento ttuado Cmo
instalar y con&igurar >pamassassin.
434
5S. %ntroduccin a los protocolos de correo
electrnico.
5S.+. %ntroduccin.
5S.+.+. <reparativos.
A fn de poder reazar todas as pruebas correspondentes a cada protocoo, nstae con e
mandato yum os paquetes netcat (nc), dovecot, y post&i2, o ben sendmail.
S ege utzar sendmail, e|ecute o sguente:
yum !y install mailx nc dovecot sendmail
S ege utzar post&i2, e|ecute o sguente:
yum !y install mailx nc dovecot post"ix
S utza Cent0> 5, o 'ed Eat "nterprise inu2 5, omta e sguente paso. S utza Cent0> 6,
o 'ed Eat "nterprise inu2 6, edte e archvo =etc=dovecot=con&.d=+O(mail.con&:
vim /etc/dovecot/con"@d/1$!mail@con"
Arededor de a nea 30 de archvo =etc=dovecot=con&.d=+O(mail.con&, estabezca
m!o2-Y=mail-%)B0DR=var=mail=Vu como vaor de parmetro mailQlocation.
A See doc/iki/'ariables@txt "or "ull list@ Some examples#
A
A mail.location * maildir#Y/-aildir
A mail.location * mbox#Y/mail#(,:/X*/var/mail/Tu
A mail.location * mbox#/var/mail/Td/T1n/Tn#(,%&X*/var/indexes/Td/T1n/Tn
A
A adoc/iki/-ail1ocation@txtL
A
mail.location * 9!oCD]89#%)DFNBOX=8*#r89#%)8G.
Ince e servco dovecot:
435
service dovecot start
chkcon"ig dovecot on
Estabezca sendmail, o post&i2, como agente de transporte de correo (:@A, :a @ransport
Agent) predetermnado de sstema, utzando e mandato alternatives, de sguente modo:
alternatives !!con"ig mta
Lo anteror devover una sada smar a a sguente, donde deber eegr entre post&i2, y
sendmail como MTA predetermnado de sstema:
2ay 6 programas Jue proporcionan UmtaU@
SelecciRn )omando
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
1 /usr/sbin/sendmail@post"ix
KN 6 /usr/sbin/sendmail@sendmail
<resione (ntro para mantener la selecciRn actualDNEB o escriba el nbmero de la selecciRn# 6
S eg utzar sendmail en ugar de post&i2, detenga este tmo (es e MTA predetermnado en
Cent0> 6, y 'ed Eat "nterprise inu2 6) e nce e servco sendmail:
service post"ix stop
chkcon"ig post"ix o""
service sendmail start
chkcon"ig sendmail on
S eg utzar post&i2 en ugar de sendmail, detenga este tmo> (es e MTA predetermnado
en Cent0> 5, y 'ed Eat "nterprise inu2 5) e nce e servco post&i2:
service sendmail stop
chkcon"ig sendmail o""
service post"ix start
chkcon"ig post"ix on
En todo momento podr conmutar de nuevo entre Sendma, o Postfx, como MTA predetermnado
de sstema, utzando este msmo procedmento.
5S.+.*. <rotocolos utili8ados.
5S.+.*.+. >:@< M>imple :ail @rans&er <rotocolN.
Es un protocolo est;ndar de Internet, de )ivel de Aplicacin utzado, para a transmsn de
correo eectrnco a travs de una conexn TCP/IP. ste es, de hecho, e nco protocoo utzado
para a transmsn de correo eectrnco a travs de Internet. Es un protocoo basado sobre texto,
y reatvamente smpe, donde se especfca un destnataro, o mtpes destnataros, en un
mensa|e que es transferdo. A o argo de os aos han sdo muchas as personas que han edtado,
o contrbudo a as especfcacones de >:@<, entre as cuaes estn |on Poste, Erc Aman, Dave
Crocker, Ned Freed, Randa Geens, |ohn Kensn, y Keth Moore.
436
Para determnar e servdor >:@< para un domno dado, se utzan os regstros :D (:a
E2changer) en a Zona de Autordad correspondente a ese msmo domno contestado por un
>ervidor D)>. Despus de estabecerse una conexn entre e remtente (e cente), y e
destnataro (e servdor), se nca una sesn >:@<, e|empfcada a contnuacn.
)liente#
F n& 42=././.4 25
Servidor# 0rying 167@$@$@1@@@
)onnected to localhost@localdomain (167@$@$@1)@
&scape character is U[EU@
66$ nombre@dominio &S-0< Sendmail 5@1?@1/5@1?@1V SatB 15 -ar 6$$6 16#$6#67 !$6$$
)liente# IELO )o&#)hos$.)o&#)-o9#%n
Servidor# 69$ nombre@dominio 2ello localhost@localdomain D167@$@$@1EB pleased to meet you
)liente# MAFL FROMDL+.)#noJ)o&#)hos$.)o&#)-o9#%nN
Servidor# 69$ 6@1@$ a"ulanoXlocalhost@localdomainL@@@ Sender ok
)liente# RCAT TODL+.)#noJ)o&#)hos$.)o&#)-o9#%nN
Servidor# 69$ 6@1@9 a"ulanoXlocalhost@localdomainL@@@ Recipient ok
)liente# DATA
Servidor# ?94 &nter mailB end ith +@+ on a line by itsel"
)liente# S.!He&$D Mens#He -e 'r.e!#
Fro9D +.)#noJ)o&#)hos$.)o&#)-o9#%n
ToD +.)#noJ)o&#)hos$.)o&#)-o9#%n
Io)#. Es$e es .n 9ens#He -e 'r.e!#.
A-%os.
.
Servidor# 69$ 6@$@$ k6(-6RM4$$?857 -essage accepted "or delivery
)liente# [UFT
Servidor# 661 6@$@$ nombre@dominio closing connection
Servidor# )onnection closed by "oreign host@
La descrpcn competa de protocoo orgna >@:< est defnda en e 'FC 9*+, aunque e
protocoo utzado hoy en da, tambn conocdo como ">:@< ("xtended >mpe :a @ransfer
<rotoco), est defndo en e 'FC *9*+. >:@< traba|a sobre @C< en e puerto 25.
5S.+.*.*. <0<3 M<ost 0&&ice <rotocol version 3N.
Es un protocolo est;ndar de Internet, de )ivel de Aplicacin, que recupera e correo
eectrnco desde un servdor remoto a travs de una conexn TCP/IP desde un cente oca. E
dseo de <0<3, y sus predecesores es permtr a os usuaros recuperar e correo eectrnco,
mentras estn conectados en una red, y manpuar os mensa|es recuperados sn necesdad de
permanecer conectados. A pesar de que muchos centes de correo eectrnco ncuyen soporte
para de|ar e correo en e servdor, todos os centes de POP3 recuperan todos os mensa|es, y os
amacenan como mensa.es nuevos en a computadora, o anftrn, utzado por e usuaro,
emnan os mensa|es en e servdor, y termnan a conexn.
Despus de estabecerse una conexn entre e cente, y e servdor, se nca una sesn <0<3,
e|empfcada a contnuacn.
437
)liente#
F n& 42=././.4 44/
N/H dovecot ready@
)liente# USER +.)#no
Servidor# N/H
)liente# AASS clave de accceso
Servidor# N/H 1ogged in@
)liente# STAT
Servidor# N/H 1 765
)liente# LFST
Servidor# N/H 1 messages#
1 765
@
)liente# RETR 4
Servidor# N/H 765 octets
Return!<ath# a"ulanoXlocalhost@localdomainL
Received# "rom localhost@localdomain (localhost@localdomain D186@165@1@694E)
by localhost@localdomain (5@1?@1/5@1?@1) ith S-0< id k6(-6RM4$$?857
"or a"ulanoXlocalhost@localdomainLV SatB 15 -ar 6$$6 16#$?#61 !$6$$
%ate# SatB 15 -ar 6$$6 16#$6#67 !$6$$
-essage!(d# a6$$6$?1566$?@k6(-6RM4$$?857Xlocalhost@localdomainL
SubMect# -ensaMe de prueba
=rom# "ulanoXlocalhost@localdomain
0o# "ulanoXlocalhost@localdomain
Status# /
)ontent!1ength# 4?
1ines# 6
X!>(%# 6$6
X!Heyords#
2ola@ &ste es un mensaMe de prueba@
4dios@
@
)liente# [UFT
Servidor# N/H 1ogging out@
)onnection closed by "oreign host@
<0<3 est defndo en e 'FC +S3S. <0<3 traba|a sobre @C< en e puerto 110.
5S.+.*.3. %:A< M%nternet :essage Access <rotocolN.
Es un protocolo est;ndar de Internet, de )ivel de Aplicacin, utzado para acceder haca e
correo eectrnco en un servdor remoto a travs de una conexn TCP/IP desde un cente oca.
La versn ms recente de %:A< es a 4, revsn 1, y est defnda en e 'FC 35O+. %:A< traba|a
sobre @C< en e puerto 143.
Fue dseado por Mark Crspn en 1986 como una aternatva ms moderna que cubrera as
defcencas de <0<3. Las caracterstcas ms mportantes de %:A< ncuyen:
Soporte para os modos de operacn conectado (connected), y desconectado (dsconnected),
permtendo a os centes de correo eectrnco permanezcan conectados e tempo que su nterfaz
permanezca actva, descargando os mensa|es conforme se neceste.
A dferenca de <0<3, permte accesos smutneos desde mtpes centes, y proporcona os
mecansmos necesaros para stos para que se detecten os cambos hechos por otro cente de
correo eectrnco, conectado de manera concurrente, en e msmo buzn de correo.
Permte a os centes obtener ndvduamente cuaquer parte :%:" (acrnmo de :ut-Purpose
%nternet :a "xtensons, o Extensones de correo de Internet de propstos mtpes), as como
tambn obtener porcones de as partes ndvduaes, o ben os mensa|es competos.
A travs de !anderas defndas en e protocoo, vgar a nformacn de estado de os mensa|es de
438
correo eectrnco que se mantengan en e servdor. Por e|empo s e estado de mensa|e es ledo,
no ledo, respondido, o eliminado.
Incuye soporte para mtpes buzones de correo eectrnco que permte crear, renombrar, o
emnar, mensa|es de correo eectrnco presentados en e servdor dentro de carpetas, y mover
estos mensa|es entre dstntas cuentas de correo eectrnco. Esta caracterstca tambn permte a
servdor proporconar acceso haca os carpetas pbcas, y as compartdas.
Incuye soporte para reazar bsquedas de ado de servdor a travs de mecansmos que permten
obtener resutados de acuerdo a varos crteros, permtendo evtar que os centes de correo
eectrnco tengan que descargar todos os mensa|es desde e servdor.
Las especfcacones de protocoo %:A< defnen un mecansmo expcto medante e cua puede
ser me|orada su funconadad a travs de extensones. Un e|empo es a extensn %:A< %D", a
cua permte sncronzar ente e servdor, y e cente a travs de avsos.
Despus de estabecerse una conexn entre e cente, y e servdor, se nca una sesn %:A<,
e|empfcada a contnuacn.
)liente#
F n& 42=././.4 4E3
K /H dovecot ready@
N/H dovecot ready@
)liente# C LOGFN +.)#no clave de acceso
Servidor# x /H 1ogged in@
)liente# C SELECT %n!oC
Servidor# K =14IS (O4nsered O=lagged O%eleted OSeen O%ra"t)
K /H D<&R-4,&,0=14IS (O4nsered O=lagged O%eleted OSeen O%ra"t OK)E =lags permitted@
K 1 &X(S0S
K $ R&)&,0
K /H D>,S&&, 1E =irst unseen@
K /H D>(%'41(%(0; 11$$968?56E >(%s valid
K /H D>(%,&X0 6$?E <redicted next >(%
x /H DR&4%!3R(0&E Select completed@
)liente# C FETCI 4 1+)#s !o-y"he#-er.+%e)-s 1s.!He&$5(5
Servidor# K 1 =&0)2 (=14IS (OSeen) :/%;D2&4%&R@=(&1%S (S>:^&)0)E \?$]
)
x /H =etch completed@
@
)liente# C FETCI 4 1!o-y"$eC$(5
Servidor# K 1 =&0)2 (:/%;D0&X0E \49]
4dios@
)
)liente# C LOGOUT
Servidor# K :;& 1ogging out
x /H 1ogout completed@
5S.*. 'e&erencias.
$ttp-==PPP.iet&.org=r&c=r&c****.t2t
$ttp-==PPP.iet&.org=r&c=r&c9*+.t2t
$ttp-==PPP.iet&.org=r&c=r&c*9*+.t2t
$ttp-==PPP.iet&.org=r&c=r&c+S3S.t2t
$ttp-==PPP.iet&.org=r&c=r&c35O+.t2t
439
6O. Con&iguracin !;sica de >endmail.
6O.+. %ntroduccin.
Es mprescndbe prmero estudar, y comprender, os conceptos descrtos en e documento
ttuado %ntroduccin a los protocolos de correo electrnico.
6O.+.+. Acerca de >endmail.
Es e ms popuar agente de transporte de correo (MTA, o :a @ransport Agent), responsabe,
quz, de poco ms de 70% de correo eectrnco de mundo. Aunque por argo tempo se e ha
crtcado por muchos ncdentes de segurdad, o certo es que stos sempre han sdo resuetos en
pocas horas.
URL: http://www.sendma.org/.
6O.+.*. Acerca de Dovecot.
Dovecot es un servdor de POP3 e IMAP, de cdgo fuente aberto, que funcona en Lnux, y
sstemas basados sobre Unx, y dseado con a segurdad como prncpa ob|etvo. Dovecot
puede utzar tanto e formato m!o2 como maildir, y es compatbe con as mpementacones de
os servdores UW-IMAP, y Courer IMAP.
URL: http://dovecot.procontro.f/.
6O.+.3. Acerca de >A>F y Cyrus >A>.
>A> (>mpe Authentcaton and >ecurty ayer) es una mpementacn dseada para a
segurdad de datos en protocoos de Internet. Desempare|a os mecansmos de a autentcacn
desde protocoos de apcacones, permtendo, en teora, cuaquer mecansmo de autentcacn
soportado por SASL, para ser utzado en cuaquer protocoo de apcacn que sea capaz de
utzar SASL. Actuamente SASL es un protocoo de a IETF (%nternet "ngneerng @ask Force) que
ha sdo propuesto como estndar. Est especfcado en e 'FC **** creado por |ohn Meyers en a
Unversdad Carnege Meon.
Cyrus >A> es una mpementacn de >A> que puede ser utzada de ado de servdor, o de
ado de cente, y que ncuye como prncpaes mecansmos de autentcacn soportados a
ANONYMOUS, CRAM-MD5, DIGEST-MD5, GSSAPI, y PLAIN. E cdgo fuente ncuye tambn soporte
para os mecansmos LOGIN, SRP, NTLM, OPT, y KERBEROS_V4.
URL: http://asg.web.cmu.edu/sas/sas-brary.htm.
440
cyrus-sas
cyrus-sas-pan
dovecot
m4
make
sendma-cf<
sendma
%nstalacin a travs de yum.
S se utza de Cent0> 5, o 'ed Eat "nterprise inu2 5, o versones posterores de stos, se
e|ecuta o sguente:
yum !y install sendmail sendmail!c" dovecot m4 make
yum !y install cyrus!sasl cyrus!sasl!plain
S acaso estuvese nstaado, emne e paquete cyrus-sas-gssap, ya que este utza e mtodo de
autentcacn GSSAPI, msmo que requerra de a base de datos de cuentas de usuaro de un
servdor Kerberos. De gua manera, s estuvese nstaado, emne e paquete cyrus-sas-md5, ya
que este utza os mtodos de autentcacn CRAM-MD5, y Dgest-MD5, msmos que requeran
asgnar as caves de acceso para SMTP a travs de mandato saspasswd2. Outook carece de
soporte para estos mtodos de autentcacn.
yum remove cyrus!sasl!gssapi cyrus!sasl!md9
6O.3.+. De&iniendo >endmail como agente de transporte de correo
predeterminado.
E mandato alternatives, con a opcn ((con&ig, y e vaor mta, se utza para conmutar e
servco de correo eectrnco de sstema, y eegr qu programa utzar. So es necesaro utzar
ste s prevamente estaban nstaados Postfx o Exm. S este es e caso, e|ecute o sguente
desde una termna, y defna >endmail como agente de transporte de correo (:@A, :a
@ransport Agent), seecconado ste.
441
SelecciRn )omando
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
1 /usr/sbin/sendmail@post"ix
KN 6 /usr/sbin/sendmail@sendmail
S estuvera presente post&i2, detenga ste (es e :@A predetermnado en Cent0> 6, y 'ed Eat
"nterprise inu2 6) e nce e servco sendmail:
service post"ix stop
chkcon"ig post"ix o""
6O.3.*. Alta de cuentas de usuarioF y asignacin de claves de acceso.
La autentcacn para >:@<, a travs de cuaquer mtodo (<A%), 0?%), Digest(:D5, o
C'A:(:D5), requere se actve, e nce, e servco saslaut$d de sguente modo:
chkcon"ig saslauthd on
service saslauthd start
E ata de usuaros es a msma que como con cuaquer otro usuaro de sstema. Sendma utzar
e servco saslaut$d para autentcar a os usuaros a travs de os mtodos <A%), y 0?%), con
opcn a utzar tambn Digest(:D5, o ben C'A:(:D5.
E ata de as cuentas de usuaro en e sstema, a cua se sugere se asgne =dev=null, o
=s!in=nologin como ntrprete de mandatos, pude hacerse de sguente modo:
useradd !s /sbin/nologin "ulano
La asgnacn de caves de acceso, para permtr autentcar a travs de >:@<, <0<3, e %:A<,
utzando e mtodo <A%), o ben e mtodo 0?%), se hace exactamente gua que con
cuaquer otra cuenta de usuaro de sstema, como se muestra a contnuacn:
passd usuario
E|ecutando o anteror, e sstema soctar se ngrese una cave de acceso, con confrmacn.
Prefera utzar buenas caves de acceso, y de este modo evtar probemas de segurdad.
442
)ota.
La asgnacn de caves de acceso para autentcar >:@<, a travs de mtodos cfrados (C'A:(:D5, y
D%?">@(:D5), en sstemas con versn de Sendma compada contra >A>(* (Red Hat Enterprse
Lnux 5, CentOS 5, y versones posterores de stos), puede hacerse a travs de mandato
saslpassPd* de sguente modo, tomando en consderacn que 0utlooL y 0utlooL "2press
carecen de soporte para autenticar claves de acceso a travs de estos mtodosF los cuales
re#uieren adem;s tener instalado el pa#uete cyrus(sasl(md5:
saslpassd6 usuario
Puede mostrarse a sta de os usuaros con cave de acceso asgnada a travs de SASL-2 utzando e
mandato sasld!listusers*.
6O.3.3. Dominios a administrar.
Edte e archvo =etc=mail=local($ost(names.
vim /etc/mail/local!host!names
Estabezca os domnos ocaes que sern admnstrados:
dominio1@tld
dominio6@tld
dominio?@tld
dominio4@tld
Genere e archvo =etc=mail=relay(domains, e|ecutando o sguente:
touch /etc/mail/relay!domains
Edte e archvo =etc=mail=relay(domains que acaba de crear:
vim /etc/mail/relay!domains
Estabezca os nombres de os domnos que tendrn permtdo re-transmtr correo eectrnco
desde e servdor. Tcncamente tendr e msmo contendo de =etc=mail=local($ost(names, a
menos que se desee excur agn domno en partcuar, o ben se trate de servdor de correo
secundaro para otro domno en otro servdor.
dominio1@tld
dominio6@tld
dominio?@tld
dominio4@tld
6O.3.4. Control de acceso
Para defnr as stas de contro de acceso, edte e archvo =etc=mail=access:
vim /etc/mail/access
443
Debe ncur las direcciones %< locales del servidor (as que devueva e mandato i&con&ig).
Puede ncur a sta dreccones IP, domnos, o ben cuentas de correo eectrnco con permsos
de re-transmsn sn restrccones, o con permso de acceso para envar correo so a cuentas
ocaes. Puede defnr tambn una lista negra de dreccones de correo, domnos, y dreccones IP,
a as que se desee denegar e acceso. Consdere que:
Cuaquer eemento que vaya acompaada de '"AX, tendr permtdo envar correo
eectrnco, sn necesdad de autentcar, y re(transmitir ste sin restriccin
alguna.
Cuaquer eemento que vaya acompaada de 0K, tendr permtdo envar correo
eectrnco, sn necesdad de autentcar, pero so a as cuentas ocaes.
Cuaquer eemento que vaya acompaada de '"J"C@, tendr prohbda cuaquer tpo
de comuncacn de correo eectrnco.
)ota.
|ams confgure una segmento competo de red oca con R&14;, ya que de|ara de tener sentdo utzar
autentcacn a travs de SMTP, y potencamente podra permtr que os probemas de segurdad de
maqunas nfectadas con vrus, gusanos, o troyanos, se magnfquen, sendo que permtra e envo, sin
restricciones, de correo eectrnco nfectado, o ben cantdades extraordnaras de spam, orgnadas
por os equpos cuya segurdad se haya vsto comprometda.
E|empo de confguracn para e archvo =etc=mail=access:
444
)onnect#localhost@localdomain R&14;
)onnect#localhost R&14;
)onnect#167@$@$@1 R&14;
A
A %irecciRn (< del propio servidor@
)onnect#186@165@7$@91 R&14;
A
A /tros servidores de correo en la 14, a los Jue se les permitiri enviar
A correo libremente a travfs del propio servidor de correo@
)onnect#186@165@7$@96 R&14;
)onnect#186@165@7$@9? R&14;
A
A %irecciones (< Jue sRlo podrin entregar correo de "orma localB es decirB
A no pueden enviar correo "uera del propio servidor@
)onnect#186@165@6@64 /H
)onnect#186@165@6@6? /H
)onnect#186@165@6@69 /H
A
A 1ista negra
usuarioXmolesto@com R&^&)0
productoinutil@com@mx R&^&)0
1$@4@9@6 R&^&)0
A
A :loJues de 4sia <aci"ic ,etorksB (S< desde el cual se emite la mayor
A parte del Spam del mundo@
A 1as redes involucradas abarcan 4ustraliaB âpRnB )hinaB )orea del SurB
0aianB
A 2ong Hong e (ndia por lo Jue bloJuear el correo de dichas redes signi"ica
A cortar comunicaciRn con estos paesesB pero acaba con entre el 6$TB y 5$T
A del Spam@
666 R&^&)0
661 R&^&)0
66$ R&^&)0
618 R&^&)0
615 R&^&)0
616 R&^&)0
611 R&^&)0
61$ R&^&)0
6$? R&^&)0
6$6 R&^&)0
14$@1$8 R&^&)0
1?? R&^&)0
61 R&^&)0
6$ R&^&)0
98 R&^&)0
95 R&^&)0
6O.3.5. Alias de la cuenta de root.
Es pegroso autentcarse con a cuenta de root, a travs de cuaquer tpo de red, so para revsar
os mensa|es de correo eectrnco orgnados por e sstema. Se recomenda defnr aas para a
cuenta de root, haca a cua se entregar todo e correo eectrnco orgnamente drgdo a root.
Edte e archvo =etc=aliases:
vim /etc/aliases
A fna de ste, defna a que cuenta de usuaro reguar e ser entregado e correo eectrnco
orgnamente destnado a root:
445
root# "ulano
Para convertr e archvo /etc/aases en /etc/aases.db, que es e archvo, en formato de base de
datos, que utzar sendma, y para verfcar que a sntaxs est correcta, o ben s exsten aases
dupcados, e|ecute e sguente mandato:
nealiases
Lo anteror, debe devover una sada smar a a sguente:
/etc/aliases# 77 aliasesB longest 1$ bytesB 777 bytes total
6O.3.6. Con&iguracin de &unciones de >endmail.
Para defnr, cambar, o aadr funcones, edte e archvo =etc=mail=sendmail.mc.
vim /etc/mail/sendmail@mc
6O.3.6.+. con&>:@<Q0?%)Q:>?.
Este parmetro permte estabecer e mensa|e de benvenda a estabecer a conexn a servdor.
Es posbe ocutar e nombre, y a versn de Sendma, sto con e ob|eto de agregar seguridad por
oscuridad. Funcona de manera senca, hacendo que, quen estabezca una conexn haca e
servdor, sea ncapaz determnar qu versn de Sendma se est utzando, y con sto dfcutar a
un dencuente, o abusador de servco, e determnar que vunerabdad especfca aprovechar.
Descomente o sguente en e archvo =etc=mail=sendmail.mc:
dnl A
dnl A %o not advertiCe sendmail version@
dnl A
-e+%ne1a&on+SMTA_LOGFN_MSGB6a^H Sen-9#%)Y ^!B5-n)
dnl A
dnl A de"ault logging level is 8B you might ant to set it higher to
dnl A debug the con"iguration
dnl A
dnl de"ine(kcon"1/I.1&'&1UB k8U)dnl
S guarda os cambos, renca e servco sendmail, y reaza una conexn a puerto 25, o
anteror har que se devueva una sada smar a a sguente:
F n& 42=././.4 25
0rying 167@$@$@1@@@
)onnected to mail@dominio@tld@
66$ mail@dominio@tld &S-0< Sendmail V -onB 17 -ay 6$$4 $6#66#68 !$9$$
,.%$
661 6@$@$ mail@dominio@tld closing connection
F
446
6O.3.6.*. con&A,@EQ0<@%0)>.
La sguente nea vene habtada de modo predetermnado, y permtr reazar e proceso de
autentcacn a travs de puerto 25, utzando e mtodo <A%), o ben e mtodo 0?%), os
cuaes transmten e nombre de usuaro, |unto con su correspondente cave de acceso, en texto
smpe, garantzando 100% de compatbdad con todos os centes de correo eectrnco
exstentes. Sn embargo, sto tambn mpca un enorme resgo de segurdad, por o cua se
recomenda mpementar segurdad a travs de SSL/TLS.
de"ine(k>>)<.-4(1&R.-4XUB k6$$$$$$U)dnl
de"ine(kcon">S&R%:.S<&)UB k/etc/mail/userdb@dbU)dnl
de"ine(kcon"<R('4);.=14ISUB kautharningsBnovr"yBnoexpnBrestrictJrunU)dnl
-e+%ne1a&on+AUTI_OATFONSB6aAB5-n)
dnl A
dnl A 0he "olloing allos relaying i" the user authenticatesB and disallos
dnl A plaintext authentication (<14(,/1/I(,) on non!01S links
Para aadr a segurdad necesara, consute, y estude, e documento ttuado Cmo con&igurar
>endmailF y Dovecot con soporte >>=@>.
.
)ota.
S utza a sguente nea, en ugar de a menconada arrba, se desactvar a funcn que permte a
autentcacn envando as caves de acceso en texto smpe, a travs de conexones sn cfrar
(SSL/TLS), y se habtar a funcn que so permte autentcar a travs de mtodos que utcen caves
de acceso encrptadas, como sera CRAM-MD5, y DIGEST-MD5. "sto o!liga a utili8ar clientes de
correo electrnico con soporte para autenticacin a travs de C'A:(:D5F y D%?">@(:D5
(todos centes de correo eectrnco conocdos, excepto Outook, y Outook Express), a tener nstaado
e paquete cyrus-sas-md5, y asgnar as caves de acceso para SMTP a travs de mandato
saslpassPd*.
dnl A 0he "olloing allos relaying i" the user authenticatesB and disallos
dnl A plaintext authentication (<14(,/1/I(,) on non!01S links
dnl A
-e+%ne1a&on+AUTI_OATFONSB6aA 'B5-n)
dnl A
dnl A <14(, is the pre"erred plaintext authentication method and used by
dnl A -oCilla -ail and &volutionB though /utlook &xpress and other ->4s do
dnl A use 1/I(,@ /ther mechanisms should be used i" the connection is not
6O.3.6.3. @',>@QA,@EQ:"CEF y con&A,@EQ:"CEA)%>:>.
S se desea utzar SMTP autentcado para equpos excudos de archvo =etc=mail=access, se
requeren des-comentar as sguentes dos neas de archvo =etc=mail=sendmail.mc, emnando
e dnl y e espaco que es precede:
dnl A <14(, is the pre"erred plaintext authentication method and used by
dnl A -oCilla -ail and &volutionB though /utlook &xpress and other ->4s do
dnl A use 1/I(,@ /ther mechanisms should be used i" the connection is not
dnl A guaranteed secure@
dnl A <lease remember that saslauthd needs to be running "or 4>02@
dnl A
TRUST_AUTI_MECI1aEXTERNAL DFGEST-MD5 CRAM-MD5 LOGFN ALAFNB5-n)
-e+%ne1a&on+AUTI_MECIANFSMSB6 aEXTERNAL GSSAAF DFGEST-MD5 CRAM-MD5LOGFN ALAFNB5-n)
dnl A
dnl A Rudimentary in"ormation on creating certi"icates "or sendmail 01S#
dnl A cd /etc/pki/tls/certsV make sendmail@pem
447
6O.3.6.4. DA":0)Q0<@%0)>.
De modo predetermnado, >endmail escucha petcones so a travs de a nterfaz de retorno de
sstema, y a travs de %<v4 (127.0.0.1), y gnorando otros dspostvos de red. So se necesta
emnar a restrccn de a nterfaz de retorno para poder recbr correo desde Internet, o a LAN.
Locace a sguente nea resatada:
dnl A 0he "olloing causes sendmail to only listen on the (<v4 loopback address
dnl A 167@$@$@1 and not on any other netork devices@ Remove the loopback
dnl A address restriction to accept email "rom the internet or intranet@
dnl A
DAEMON_OATFONS1aAor$=s9$'6A--r=42=././.46 N#9e=MTAB5-n)
dnl A
dnl A 0he "olloing causes sendmail to additionally listen to port 957 "or
dnl A mail "rom ->4s that authenticate@ Roaming users ho canUt reach their
dnl A pre"erred sendmail daemon due to port 69 being blocked or redirected "ind
dnl A this use"ul@
dnl A
%4&-/,./<0(/,S(k<ort*submissionB ,ame*-S4B -*&aU)dnl
dnl A
dnl A 0he "olloing causes sendmail to additionally listen to port 469B but
dnl A starting immediately in 01S mode upon connecting@ <ort 69 or 957 "olloed
Examne este parmetro, y emne e vaor AddrR+*7.O.O.+, adems de a coma (,) que e
antecede, de modo que quede como se muestra a contnuacn:
dnl A
DAEMON_OATFONS1aAor$=s9$'6 N#9e=MTAB5-n)
dnl A
dnl A this use"ul@
dnl A
dnl A
E puerto 587 (submsson) puede ser utzado tambn para envo de correo eectrnco. Por
estndar se utza como puerto aternatvo en os casos donde un cortafuegos mpde a os
usuaros acceder haca servdores de correo eectrnco, os cuaes normamente traba|an a travs
de puerto 25. Para este fn, se requere descomentar a nea que ncuye
DA":0)Q0<@%0)>Mk<ortRsu!missionF )ameR:>AF :R"acNdnl, como se ustra a
contnuacn, resatado en negrita:
448
dnl A
%4&-/,./<0(/,S(k<ort*smtpB ,ame*-04U)dnl
dnl A
dnl A this use"ul@
dnl A
DAEMON_OATFONS1aAor$=s.!9%ss%on6 N#9e=MSA6 M=E#B5-n)
dnl A
6O.3.6.5. F"A@,'"MkacceptQunresolva!leQdomainscN.
De modo predetermnado, como una forma de permtr e correo de propo sstema en una
computadora de escrtoro, o una computadora portt, est se utza e parmetro
F"A@,'"MkacceptQunresolva!leQdomainscN. Sn embargo se recomenda desactvar esta
funcn a fn de mpedr aceptar correo de domnos nexstentes (generamente utzado para e
envo de correo masvo no soctado, o >pam), so se necesta comentar esta confguracn
precedendo un dnl, de sguente modo:
dnl A 3e strongly recommend not accepting unresolvable domains i" you ant to
dnl A protect yoursel" "rom spam@ 2oeverB the laptop and users on computers
dnl A that do not have 64x7 %,S do need this@
dnl A
-n) FEATURE1a#&&e'$_.nreso)*#!)e_-o9#%nsB5-n)
dnl A
dnl =&40>R&(krelay.based.on.-XU)dnl
dnl A
6O.3.6.6. "nmascaramiento.
Des-comente as sguentes tres neas, y adapte e vaor de :A>B,"'AD"QA> para defnr a
mscara que utzar e servdor:
-4Sl>&R4%&.4S(k-o9%n%o4.$)-U)dnl
=&40>R&(masJuerade.envelope)dnl
=&40>R&(masJuerade.entire.domain)dnl
S se van a admnstrar mtpes domnos, aada aqueos deban conservar su propa mscara,
utzando e parmetro :A>B,"'AD"Q"DC"<@%0) de sguente modo:
-4Sl>&R4%&.4S(kdominio1@tldU)dnl
MAS[UERADE_EXCEATFON1a-o9%n%o2.$)-B5-n)
MAS[UERADE_EXCEATFON1a-o9%n%o3.$)-B5-n)
MAS[UERADE_EXCEATFON1a-o9%n%oE.$)-B5-n)
=&40>R&(masJuerade.envelope)dnl
=&40>R&(masJuerade.entire.domain)dnl
6O.3.6.7. Control del correo c$atarra MspamN a travs de D)>Bs.
S se desea utzar listas negras para mtgar e correo chatarra (spam), pueden aadr a sguente
nea para defnr a sta negra de >pamCop.net, cas a fna de archvo =etc=mail=sendmail.mc,
y |usto arrba de EA0%,A@smtpCdnl:
449
dnl -4Sl>&R4%&.%/-4(,(localhost@localdomain)dnl
dnl -4Sl>&R4%&.%/-4(,(mydomainalias@com)dnl
dnl -4Sl>&R4%&.%/-4(,(mydomain@lan)dnl
FEATURE1aenh-ns!)B6 a!).s'#9&o'.ne$B6 a"S'#9 !)o&7e- seeD h$$'D88s'#9&o'.ne$8!).sh$9)_"^bX&)%en$_#--rZB6 a$B5-n)
-4(1&R(smtp)dnl
-4(1&R(procmail)dnl
dnl -4(1&R(cyrusv6)dnl
6O.3.7. Con&iguracin de Dovecot.
6O.3.7.+. <ar;metros del arc$ivo =etc=dovecot=dovecot.con& en Cent0> 6F y 'ed
Eat "nterprise inu2 6.
Cent0> 6, y 'ed Eat "nterprise inu2 6 utzan a versn *.O de Dovecot, y por o cua
camba radcamente a confguracn respecto de a versn +.O.2, utzada en Cent0> 5, y 'ed
Eat "nterprise inu2 5, y versones anterores. Edte e archvo =etc=dovecot=dovecot.con&, y
descomente e parmetro protocols, estabecendo como vaor pop3 imap lmtp.
A <rotocols e ant to be serving@
protocols * imap pop? lmtp
6O.3.7.*. <ar;metros del arc$ivo =etc=dovecot=con&.d=+O(mail.con& en Cent0> 6F
y 'ed Eat "nterprise inu2 6.
A See doc/iki/'ariables@txt "or "ull list@ Some examples#
A
A mail.location * maildir#Y/-aildir
A mail.location * mbox#Y/mail#(,:/X*/var/mail/Tu
A mail.location * mbox#/var/mail/Td/T1n/Tn#(,%&X*/var/indexes/Td/T1n/Tn
A
A adoc/iki/-ail1ocation@txtL
A
mail.location * 9!oCD]89#%)DFNBOX=8*#r89#%)8G.
Cabe seaar que a versn de dovecot ncuda en Cent0> 6, y 'ed Eath "nterprise inu2 6,
es obgatoro generar un certfcado, pues so permtr conexones sn TLS desde 127.0.0.1. Sga
e procedmento descrto en e documento ttuado Cmo con&igurar >endmailF y Dovecot con
soporte >>=@>.
6O.3.7.3. <ar;metros del arc$ivo =etc=dovecot=dovecot.con& en Cent0> 5F y 'ed
S utza Cent0> 5, o 'ed Eath "nterprise inu2 5, so debe edtar e archvo
=etc=dovecot.con&, y habtar os servcos de IMAP y/o POP3, de sguente modo (estn
habtados de modo predetermnado pop3, pop3s, map, e maps):
A <rotocols e ant to be serving#
A imap imaps pop? pop?s
'ro$o&o)s = %9#' %9#'s 'o'3 'o'3s
450
6O.3.9. Aadir al inicio del sistema e iniciar servicios dovecotF y
sendmail.
E servco dovecot, en cuaquera de as versones de os sstemas operatvos menconados, se
agrega a nco de sstema de sguente modo:
Para ncar e servco dovecot, se e|ecuta o sguente:
Para apcar cambos en a confguracn de servco dovecot, se e|ecuta o sguente:
service dovecot restart
E servco sendmail se agrega a nco de sstema, e|ecutando o sguente:
Para ncar e servco sendmail, se e|ecuta o sguente:
Para rencar servco sendmail, so bastar e|ecutar:
service sendmail restart
Probar servdor envando/recbendo mensa|es con CUALOUIER cente estndar de correo
eectrnco con soporte para POP3/IMAP/SMTP con soporte para autentcar a travs de SMTP
utzando os mtodos LOGIN, o PLAIN.
Para detectar posbes errores, se puede examnar e contendo de a btcora de correo
eectrnco de sstema, utzando e mandato tail, con a opcn (&, sobre e archvo
=var=log=maillog, como se muestra a contnuacn:
tail !" /var/log/maillog
6O.4. :odi&icaciones necesarias en el muro corta&uegos.
Como medda de segurdad, sempre abra os puertos de cortafuegos hasta despus de fnazar a
confguracn de servdor de correo eectrnco, y que haya comprobado as confguracones.
Para e funconamento norma de un servco de correo eectrnco estndar, es necesaro abrr os
puertos 25 (smtp), 465 (smtps), y 587 (submsson), as como os puertos 110 (pop3), 143 (map),
993 (maps), y 995 (pop3s).
451
A4)0(/, S/>R)& %&S0 <R/0/ %&S0 S/>R)&
A </R0 </R0(S)1
4))&<0 all " tcp 69B469B957
4))&<0 all " tcp 11$B14?B88?B889
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
sguente mandato:
6O.5. ecturas posteriores.
Se recomenda consutar os documentos ttuados Cmo con&igurar >endmailF y Dovecot con
soporte >>=@>, Con&iguracin avan8ada de >endmail, Cmo instalar y con&igurar
>pamassassin, y Con&iguracin simple para Antivirus y Antispam.
452
6+. Cmo con&igurar >endmail y Dovecot con
soporte >>=@>.
6+.+. %ntroduccin.
Este documento requere a ectura y comprensn preva de documento ttuado Con&iguracin
!;sica de >endmail.
6+.+.+. Acerca de D>A.
D>A (Dgta >gnature Agorthm o Agortmo de Frma dgta) es un agortmo creado por e NIST
()atona %nsttute of >tandards and @echnoogy o Insttuto Nacona de Normas y Tecnooga de
EE.UU.), pubcado e 30 de agosto de 1991, como propuesta para e proceso de frmas dgtaes.
Se utza para frmar nformacn, ms no para cfrar sta.
URL: http://es.wkpeda.org/wk/DSA
6+.+.*. Acerca de '>A.
'>A, acrnmo de os apedos de sus autores, Ron 'vest, Ad >hamr y Len Ademan, es un
agortmo para e cframento de caves pbcas que fue pubcado en 1977, patentado en EE.UU.
en 1983 por e e Insttuto Tecnogco de Mchgan (:%@). '>A es utzado ampamente en todo e
mundo para os protocoos destnados para e comerco eectrnco.
6+.+.3. Acerca de D.5OS.
%nfrastructure). Entre otras cosas, estabece os estndares para certfcados de caves pbcas y
un agortmo para vadacn de ruta de certfcacn. Este tmo se encarga de verfcar que a
453
6+.+.4. Acerca de 0pen>>.
ayer o Nve de Zcao Seguro) y @> (@ransport ayer >ecurty, o Segurdad para Nve de
Transporte). Est basado sobre e extnto proyecto >>eay, ncado por Erc Young y Tm Hudson,
6+.*. <rocedimientos.
Todos os procedmentos deben reazarse como e usuaro root.
6+.*.+. ?enerando &irma digital y certi&icado.
cd /etc/pki/tls/
Los servdores de correo eectrnco, como Sendma y Postfx, pueden utzar una frma dgta
creada con agortmo D>A de 1024 octetos. Para ta fn, se crea prmero un archvo de parmetros
D>A:
openssl dsaparam 1$64 !out dsa1$64@pem
A contnuacn, se utza este archvo de parmetros D>A para crear una ave con agortmo D>A
y estructura 25OS, as como tambn e correspondente certfcado. En e mandato de e|empo
mostrado a contnuacn, se estabece una vadez por 1095 das (tres aos) para e certfcado
creado.
openssl reJ !x9$8 !nodes !nekey dsa#dsa1$64@pem !days 1$89 !out &er$s8s9$'.&r$ !keyout
'r%*#$e8s9$'.7ey
Lo anteror soctar se ngresen varos datos:
Estado o provnca.
Cudad.
Nombre de a empresa o razn soca.
Undad o seccn.
Nombre de anftrn.
Dreccn de correo.
La sada debe devover ago smar a o sguente:
454
Ienerating a 1$64 bit %S4 private key
riting ne private key to Usmtp@keyU
!!!!!
3hat you are about to enter is hat is called a %istinguished ,ame
or a %,@
!!!!!
/rganiCational >nit ,ame (egB section) DE#D%re&&%on Co9er&%#)
)ommon ,ame (egB your name or your serverUs hostname) DE#\.-o9%n%o.&o9
&mail 4ddress DE#?e!9#s$erJ-o9%n%o.&o9
S defn un nombre de anftrn absouto (e|empo: ma.domno.com), e certfcado so ser
vdo cuando e servdor de correo eectrnco sea nvocado con e nombre defndo en e campo
Common )ame. Es decr, so podr utzaro cuando se defna mail.dominio.com como
servdor >:@< con soporte @> desde e cente de correo eectrnco. Funconar
ncorrectamente s se nvoca a servdor como, por menconar un e|empo, dominio.com. Es por
eso que se sugere utzar \.dominio.com s se panea acceder haca e msmo servdor con
dferentes subdomnos de msmo domno.
A termnar, ya no ser necesaro conservar e archvo dsa+O*4.pem, msmo que puede
emnarse con pena segurdad.
rm !" dsa1$64@pem
Es ndspensabe que todos os archvos de caves y certfcados tengan permsos de acceso de so
ectura para e usuaro root:
chmod 4$$ certs/smtp@crt private/smtp@key
Cambe a drectoro =etc=pLi=dovecot=.
cd /etc/pki/dovecot/
Emne os certfcados de prueba creados durante a nstaacn.
rm !" private/dovecot@pem certs/dovecot@pem
La creacn de a frma dgta y certfcado para Dovecot es ms smpe, pero requere utzar una
cave con agortmo '>A de 1024 octetos, con estructura D.5OS. En e e|empo a contnuacn, se
estabece una vadez por 1095 das (tres aos) para e certfcado creado.
openssl reJ !x9$8 !nodes !nekey rsa#1$64 !days 1$89 !out certs/dovecot@pem !keyout
private/dovecot@pem
De forma smar a como ocurr con e certfcado para e servdor correo eectrnco, o anteror
soctar se ngresen varos datos.
455
La sada devueta debe smar a a sguente:
Ienerating a 1$64 bit RS4 private key
@@@@@@@@@@@@@@@@NNNNNN
@NNNNNN
riting ne private key to Udovecot@pemU
!!!!!
or a %,@
!!!!!
)ommon ,ame (egB your name or your serverUs hostname) DE# \.-o9%n%o.&o9
Nuevamente, s defn un nombre de anftrn absouto (e|empo: ma.domno.com), e certfcado
so ser vdo cuando e servdor de correo eectrnco sea nvocado con e nombre defndo en e
campo Common )ame. Es decr, so podr utzaro cuando se defna mail.dominio.com como
servdor <0<3 o %:A< con soporte @> desde e cente de correo eectrnco. Funconar
A fn de factar a os centes de correo eectrnco e poder gestonar una futura actuazacn de
certfcado, convene aadr una huea dstntva ndubtabe (fngerprnt) a certfcado.
openssl x9$8 !subMect !"ingerprint !noout !in certs/dovecot@pem
Es ndspensabe que todos os archvos de caves y certfcados tengan permsos de acceso de so
ectura para e usuaro root:
chmod 4$$ private/dovecot@pem certs/dovecot@pem
cd
6+.*.*. Con&iguracin de >endmail.
6+.*.*.+. <ar;metros de =etc=mail=sendmail.mc.
Es necesaro confgurar os sguente parmetros en e archvo
/etc/ma/sendma.mc a fn de que Sendma utce a cave y certfcado recn creados:
de"ine(kcon")4)&R0.<402UBk/etc/pki/tls/certsU)dnl
de"ine(kcon")4)&R0UBk/etc/pki/tls/certs/ca!bundle@crtU)dnl
-e+%ne1a&on+SER;ER_CERTB6a8e$&8'7%8$)s8&er$s8s9$'.&r$B5-n)
-e+%ne1a&on+SER;ER_>EUB6a8e$&8'7%8$)s8'r%*#$e8s9$'.7eyB5-n)
456
E acceso cfrado con TLS es opcona s se reazan conexones a travs de puerto 25, y obgatoro
s se hacen a travs de puerto 465. E puerto 587 (submsson), puede ser tambn utzado para
envo de correo eectrnco. Por estndar se utza como puerto aternatvo en os casos donde un
cortafuegos mpde a os usuaros acceder haca servdores de correo traba|ando por puerto 25. MS
Outook Express carece de soporte para usar TLS a travs de puerto 587, pero e resto de os
centes de correo eectrnco con soporte TLS s o tenen.
A fn de habtar e puerto 465 (smtps), a travs de TCP, se debe descomentar a nea que
contene DA":0)Q0<@%0)>Mk<ortRsmtpsF )ameR@>:@AF :RscNdnl, como se muestra a
contnuacn, resatado en negrita:
dnl A
%4&-/,./<0(/,S(k<ort*smtpB ,ame*-04U)dnl
dnl A
dnl A this use"ul@
dnl A
dnl A
dnl A by S04R001S is pre"erredB but roaming clients using /utlook &xpress canUt
dnl A do S04R001S on ports other than 69@ -oCilla -ail can /,1; use S04R001S
dnl A and doesnUt support the deprecated smtpsV &volution a1@1@1 uses smtps
dnl A hen SS1 is enabled!! S04R001S support is available in version 1@1@1@
dnl A
dnl A =or this to ork your /penSS1 certi"icates must be con"igured@
dnl A
DAEMON_OATFONS1aAor$=s9$'s6 N#9e=TLSMTA6 M=sB5-n)
dnl A
dnl A 0he "olloing causes sendmail to additionally listen on the (<v6 loopback
dnl A device@ Remove the loopback address restriction listen to the netork@
A fn de que surtan efecto os cambos, es necesaro rencar e servco sendmail.
6+.*.*.*. Compro!acin.
Reace una conexn con e mandato nc (netcat), o ben e mandato telnet, a puerto 25 de
sstema. Ingrese e mandato "E0 con e domno confgurado. La sada deber devover, entre
todas as funcones de servdor, una nea que ndca >@A'@@>. La sada puede ser smar a a
sguente:
457
n& 42=././.4 25
66$ dominio@com &S-0< Sendmail V SatB 18 ûn 6$1$ 15#15#$6 !$9$$
eh)o -o9%n%o.&o9
69$!dominio@com 2ello localhost@localdomain D167@$@$@1EB pleased to meet you
69$!&,24,)&%S040>S)/%&S
69$!<(<&1(,(,I
69$!5:(0-(-&
69$!S(G&
69$!%S,
69$!&0R,
69$!4>02 1/I(, <14(,
25/-STARTTLS
69$!%&1('&R:;
69$ 2&1<
[UFT
Para sar, so escrba OUIT y puse a teca ENTER.
A reazar a confguracn de cente de correo eectrnco, deber especfcarse conexn por
TLS. Tras aceptar e certfcado, deber ser posbe autentcar, con nombre de usuaro y cave de
acceso, y envar correo eectrnco.
6+.*.3. Con&iguracin de Dovecot.
6+.*.3.+. Con&iguracin de Dovecot en Cent0> 6 y 'ed Eat "nterprise inu2 6.
Cent0> 6 y 'ed Eat "nterprise inu2 6 utzan a versn *.O de Dovecot, y por o cua
camba radcamente a confguracn respecto de a versn +.O.2, utzada en Cent0> 5 y 'ed
Edte e archvo =etc=dovecot=con&.d=+O(ssl.con&:
vim /etc/dovecot/con"@d/1$!ssl@con"
Descomente as sguentes neas resatadas en negrta:
A SS1/01S support# yesB noB reJuired@ adoc/iki/SS1@txtL
ss) = yes
A <&- encoded X@9$8 SS1/01S certi"icate and private key@ 0heyUre opened be"ore
A dropping root privilegesB so keep the key "ile unreadable by anyone but
A root@ (ncluded doc/mkcert@sh can be used to easily generate sel"!signed
A certi"icateB Must make sure to update the domains in dovecot!openssl@cn"
ss)_&er$ = L8e$&8'7%8-o*e&o$8&er$s8-o*e&o$.'e9
ss)_7ey = L8e$&8'7%8-o*e&o$8'r%*#$e8-o*e&o$.'e9
A fn de que surtan efecto os cambos, es necesaro rencar e servco dovecot.
6+.*.3.*. Con&iguracin de Dovecot en Cent0> 5 y 'ed Eat "nterprise inu2 5.
Edte e archvo =etc=dovecot.con&:
vim /etc/dovecot@con"
458
Asegrese que e parmetro protocols estn estabecdos como vaores: imap imaps pop3
pop3s.
protocols * imap imaps pop? pop?s
De modo predetermnado, e soporte SSL de Dovecot est actvo. Verfque que e parmetro
sslQdisa!le tenga e vaor no, o ben so est comentado.
Assl.disable * no
Y se especfcan as rutas de certfcado y cave a travs de os parmetros sslQcertQ&ile y
sslQLeyQ&ile, de sguente modo:
ssl.cert."ile * /etc/pki/dovecot/certs/dovecot@pem
ssl.key."ile * /etc/pki/dovecot/private/dovecot@pem
A fn de que surtan efecto os cambos, es necesaro rencar e servco dovecot.
6+.3. Compro!aciones.
Utce cuaquer cente de correo eectrnco con soporte para TLS y confgure ste para
conectarse haca e sstema a travs de %:A<> (puerto 993) o ben <0<3> (puerto 995). Tras
aceptar e certfcado de servdor, e sstema deber permtr autentcar, con nombre de usuaro y
cave de acceso, y reazar a ectura de correo eectrnco.
6+.3.+. Con&iguracin de ?)0:" "volution.
Para GNOME Evouton, a confguracn de IMAP o POP3 se reaza seecconando e tpo de
servdor, defnendo e nombre de servdor utzado para crear e certfcado, nombre de usuaro, y
usar encrptacn segura TLS.
459
Confguracn IMAP, en GNOME Evouton.
Se hace o msmo para a confguracn de SMTP (utzar conexn segura TLS), pero consderando
adems que tambn se puede utzar e puerto 587 (submsson) en caso de que e proveedor de
acceso a Internet de cente haya restrngdo e uso de puerto 25 (smtp).
460
Confguracn SMTP, GNOME Evouton.
6+.3.*. Con&iguracin :o8illa @$under!ird.
Para Moza Thunderbrd, se defne e nombre de servdor utzado para crear e certfcado,
usuaro y usar conexn segura TLS.
461
Confguracn IMAP, Moza Thunderbrd.
Confguracn SMTP, Moza Thunderbrd.
462
463
6*. Con&iguracin avan8ada de >endmail.
6*.+. Antes de continuar.
Este documento requere a ectura preva de os documentos ttuados %ntroduccin a los
protocolos de correo electrnico, Con&iguracin !;sica de >endmail, y Cmo
con&igurar >endmailF y Dovecot con soporte >>=@>.
6*.*. ,suarios Girtuales.
S se desea brndar un servco de hospeda|e de domnos vrtuaes, permtendo que os usuaros
enven, y recban, correo eectrnco, utzando sus propos domnos, se deben aadir os
sguentes parmetros resaltados, |usto deba|o de a funcn de virtuserta!le de archvo
=etc=mail=sendmail.mc:
de"ine(kcon"0/.(%&,0UB k$U)dnl
dnl =&40>R&(delay.checks)dnl
=&40>R&(kno.de"ault.msaUB kdnlU)dnl
=&40>R&(ksmrshUB k/usr/sbin/smrshU)dnl
=&40>R&(kvirtusertableUBkhash !o /etc/mail/virtusertable@dbU)dnl
FEATURE1aener%&s$#!)eB6ah#sh -o 8e$&89#%)8ener%&s$#!)e.-!B5-n)
GENERFCS_DOMAFN_FFLE1a8e$&89#%)8ener%&s--o9#%nsB5-n)
=&40>R&(redirect)dnl
=&40>R&(alays.add.domain)dnl
=&40>R&(use.c."ile)dnl
=&40>R&(use.ct."ile)dnl
Se generan tres archvos nuevos dentro de drectoro /etc/mail:
touch /etc/mail/virtusertable
touch /etc/mail/genericstable
touch /etc/mail/generics!domains
E archvo =etc=mail=virtuserta!le srve para defnr qu cuentas vrtuaes de correo eectrnco
se entregan en certos buzones, de determnados usuaros. Edte e archvo
=etc=mail=virtuserta!le:
vim /etc/mail/virtusertable
464
E formato de este archvo permte que la separacin de columnas se $aga con ta!uladores,
a fn de poder anear os regstros, y poder tener todo me|or organzado. En e e|empo a
contnuacn, se entrega e correo de (ebmasterSdominio:.net en a cuenta mengano, y e correo
de (ebmasterSdominioH.com, en e buzn de usuaro perengano:
ebmasterXdominio1@net mengano
ebmasterXdominio6@com perengano
Para hacer que e correo eectrnco de usuaro mengano saga de servdor como
(ebmasterSdominio:.net, y que e de usuaro perengano saga como (ebmasterSdominioH.com,
es necesaro defnr en e archvo =etc=mail=genericsta!le, e contendo contraro de archvo
=etc=mail=virtuserta!le.
Genere e archvo =etc=mail=genericsta!le:
touch /etc/mail/genericstable
Edte e archvo =etc=mail=genericsta!le:
vim /etc/mail/generictable
Defna e contendo contraro de archvo en e archvo =etc=mail=virtuserta!le, de sguente
modo:
mengano ebmasterXdominio1@net
perengano ebmasterXdominio6@com
Para efectos prctcos, y salvo #ue se re#uiera #ue $aya m;s de una cuenta virtual de
correo electrnico para un mismo usuario, o ben, #ue dos o m;s usuarios emitan
mensa.es con la misma cuenta de correo electrnico, se puede mantener sncronzados
ambos archvos, traba|ando drectamente con =etc=mail=virtuserta!le, e|ecutando e sguente
gun, e cua se encargar de pasar e texto desde e archvo =etc=mail=virtuserta!le, con e
orden nvertdo de as coumnas, haca e archvo =etc=mail=genericsta!le.
hile read cuenta usuario garbage
do
echo !e +F\usuario]OtF\cuenta]+ LL /etc/mail/genericstable
done a /etc/mail/virtusertable
E archvo =etc=mail=generics(domains debe contener prctcamente o msmo que e archvo
=etc=mail=local($ost(names, ms os domnos que vayan a ser gestonados como domnos
vrtuaes.
dominio@com
dominio1@net
dominio6@com
Invarabemente os archvos =etc=mail=virtuserta!le.d!, y =etc=mail=genericsta!le.d!, deben
actuazarse con e contendo de =etc=mail=virtuserta!le, y =etc=mail=genericsta!le,
respectvamente, cada vez que se se reacen cuaquer tpo de cambo, como actuazar, aadr, o
emnar, cuentas de correo vrtuaes.
465
"or " in virtusertable genericstable
do
makemap hash /etc/mail/F\"]@db a /etc/mail/F\"]
done
6*.3. "ncaminamiento de dominios.
Sendma ncuye soporte para reazar en re-encamnamento de domnos de correo a travs de
parmetro F"A@,'"Mkmailerta!lecFk$as$ (o =etc=mail=mailerta!le.d!cN que debe estar
$a!ilitado de modo prede&inido en e archvo =etc=mail=sendmail.mc. Esta funcn permte a
Sendma reazar traduccn de domnos, especfcar un agente de entrega, y cambar e
encamnamento estabecdo en un DNS.
6*.3.+. 'edundancia del servidor de correo.
Cuando se tene un domno de correo eectrnco que recbe mucho trfco, es convenente
estabecer redundanca en e servco para garantzar que e correo sempre ser recbdo, y egar
a os buzones de correo haca os que est destnado.
Se requeren dos servdores de correo. Uno deber estar regstrado en a zona de domno en e
DNS como servidor de correo primario (ma.domno.com), y otro deber estar regstrado en a
zona de domno en e DNS como servidor de correo secundario (ma2.domno.com) a fn de
contar con redundanca.
+
.
Defna en a zona de DNS de domno.com un servdor de correo prmaro (ma.domno.com), y un
servdor de correo secundaro (ma2.domno.com)
*
.
Confgure normamente e servdor de correo prmaro (ma.domno.com) para admnstrar e
correo de domno.com.
3
.
Confgure e servdor de correo secundaro (ma2.domno.com) de msmo modo, pero no aada
domno.com en e archvo =etc=mail=local($ost(names ya que de otro modo e correo ser
tratado como oca, y |amas podr ser entregado en e servdor de correo prmaro.
4
.
Debe de estar stado domno.com en e archvo =etc=mail=relay(domains en e servdor de correo
secundaro (ma2.domno.com) a fn de permtr a retransmsn de ste haca e servdor de
correo prmaro (ma.domno.com).
5
.
En e servdor de correo secundaro (ma2.domno.com) modfque e archvo
=etc=mail=mailerta!le, y defna que domno.com ser entregado en e servdor de correo prmaro
utzando e nombre penamente resueto en a zona de DNS.
dominio@com smtp#mail@dominio@com
S o desea, puede especfcar a dreccn IP en ugar de nombre:
dominio@com smtp#D176@16@1@9$E
6
.
Rence Sendma
7
.
En adeante e correo de domno.com ser entregado normamente, y de prmera nstanca en e
servdor de correo prmaro (ma.domno.com), pero cuando ste, por aguna razn, se vea
mposbtado para recbr conexones, e servdor de correo secundaro (ma2.domno.com)
defndo en a zona de DNS recbr todo e correo de domno.com, y o entregar en e servdor de
correo prmaro (ma.domno.com) cuando ste re-estabezca operacones normamente.
466
6*.3.*. >ervidor de correo intermediario.
Sendma puede servr de ntermedaro de correo eectrnco ya sea para ftrado de correo con un
antvrus, equpamento gco para ftrado de correo chatarra, o ben como ntermedaro entre
una red pbca, y un servdor en red oca. Se requeren dos servdores de correo. Uno que ser e
servdor de correo ntermedaro (proxy.domno.com), que de forma obgatora deber estar
defndo en a zona de DNS de domno como servdor de correo prmaro (un regstro MX), y otro
que servr como servdor de correo de destno (ma.domno.com).
+
.
E servdor de correo que funconar como ntermedaro (proxy.domno.com) se confgura
normamente, pero no aada domno.com en e archvo =etc=mail=local($ost(names ya que de
otro modo e correo ser tratado como oca, y |amas podr ser entregado en e servdor de correo
de destno (ma.domno.com).
*
.
Debe de estar stado domno.com en e archvo =etc=mail=relay(domains en e servdor de correo
ntermedaro (proxy.domno.com) a fn de permtr a retransmsn de ste haca e servdor de
correo prmaro (ma.domno.com).
3
.
La dreccn P de servdor de destno (ma.domno.com) debe estar stada en e archvo
=etc=mail=access con '"AX (retransmsn autorzada) de servdor de correo ntermedaro
(proxy.domno.com).
4
.
La dreccn P de servdor de ntermedaro (proxy.domno.com) debe estar stada en e archvo
=etc=mail=access con '"AX (retransmsn autorzada) de servdor de correo de destno
(ma.domno.com).
5
.
En e servdor de correo ntermedaro (proxy.domno.com) modfque e archvo
=etc=mail=mailerta!le, y defna que domno.com ser entregado en e servdor de correo de
destno (ma.domno.com) utzando e nombre FBD) (Fuy Buafed Doman )ame), y
penamente resueto.
dominio@com smtp#mail@dominio@com
6
.
S o desea, puede especfcar a dreccn IP en ugar de nombre:
dominio@com smtp#D176@16@1@9$E
7
.
En e servdor de correo de destno (ma.domno.com), des-comente, y defna pro2y.dominio.com
como vaor para e parmetro de&ineMk>:A'@QE0>@cFksmtp.your.providercN, de modo que
pro2y.dominio.com sea e servdor de retransmsn (smart host:
de"ine(kS-4R0.2/S0UBkproxy@dominio@comU)
9
.
Rence Sendma en ambos servdores de correo.
6*.4. Geri&icando el servicio.
Desde una termna, e|ecute e mandato nc drgdo haca e puerto 25 de a dreccn IP prncpa
de sstema:
F nc 186@165@$@694 69
S Sendma est funconando correctamente, se estabecer una conexn extosa, y deber
devover una sada smar a a sguente:
0rying 176@16@1@9$@@@
)onnected to nombre@dominio (176@16@1@9$)@
66$ nombre@dominio &S-0< Sendmail 5@1?@1/5@1?@1V SunB 9 -ar 6$$6 61#49#91 !$6$$
E|ecute e mandato E"0 segudo de nombre de anftrn:
467
2&1/ nombre@dominio
Obtendr una sada smar a esta:
69$ nombre@dominio 2ello nombre@dominio D176@16@1@9$EB pleased to meet you
E|ecute e mandato "E0 segudo de nombre de anftrn:
&21/ nombre@dominio
Obtendr una sada smar a sta, y que mostrar as funcones de servdor:
69$!nombre@dominio 2ello nombre@dominio D176@16@1@9$EB pleased to meet you
69$!&,24,)&%S040>S)/%&S
69$!<(<&1(,(,I
69$!5:(0-(-&
69$!S(G&
69$!%S,
69$!&0R,
69$!4>02 %(I&S0!-%9 )R4-!-%9
69$!%&1('&R:;
69$ 2&1<
E|ecute e mandato B,%@ para cerrar a conexn.
l>(0
E servdor deber contestar o sguente a termnar a conexn:
661 6@$@$ nombre@dominio closing connection
La sada competa de todo e procedmento anteror debe ucr smar a esto (mandatos utzados
resatados en negrita):
D"ulanoXnombre YEF n& 4=2.43.4.5/ 25
0rying 176@16@1@9$@@@
66$ nombre@dominio &S-0< Sendmail 5@1?@1/5@1?@1V SunB 9 -ar 6$$6 61#49#91 !$6$$
IELO no9!re.-o9%n%o
EILO no9!re.-o9%n%o
69$!nombre@dominio 2ello nombre@dominio D176@16@1@9$EB pleased to meet you
69$!&,24,)&%S040>S)/%&S
69$!<(<&1(,(,I
69$!5:(0-(-&
69$!S(G&
69$!%S,
69$!&0R,
69$!4>02 %(I&S0!-%9 )R4-!-%9
69$!%&1('&R:;
69$ 2&1<
[UFT
468
6*.5. <rue!as de envo de correo.
6*.5.+. ,tili8ando nc.
Utzar e mandato nc permte conocer, y examnar como funcona reamente a nteraccn entre
un servdor de correo, y un cente de correo.
Abra una sesn con nc drgdo haca e puerto 25 de a dreccn IP prncpa de sstema.
nc 176@16@1@9$ 69
Saude a sstema con e mandato E"0 segudo de nombre de anftrn.
2&1/ nombre@dominio
E servdor de correo deber contestare:
E|ecute e mandato :A% F'0: especfcando a cuenta de correo de un usuaro oca de sus
sstema de sguente modo:
-4(1 =R/-# a"ulanoXnombre@dominioL
E servdor de correo deber contestare o sguente, a menos que especfque una cuenta de
correo con un domno dstnto a os especfcados en e archvo =etc=mail=relay(domains:
69$ 6@1@$ a"ulanoXnombre@dominioL@@@ Sender ok
E|ecute e mandato 'C<@ @0 especfcando una cuenta de correo exstente en e servdor de
sguente modo:
R)<0 0/# arootXnombre@dominioL
E servdor de correo deber contestare o sguente:
69$ 6@1@9 arootXnombre@dominioL@@@ Recipient ok
E|ecute e mandato DA@A:
%404
E servdor de correo deber contestare o sguente:
?94 &nter mailB end ith +@+ on a line by itsel"
Enseguda se ngresa e texto que desee ncur en e mensa|e de correo eectrnco. A termnar
fnace con un punto en una nueva nea.
469
2olaB este es un mensaMe de prueba@
@
E sstema deber contestare ago smar a o sguente:
69$ 6@$@$ k66?&HH$$66$8 -essage accepted "or delivery
E|ecute e mandato B,%@:
l>(0
E servdor deber contestar o sguente a termnar a conexn:
La sada competa de todo e procedmento anteror debe ucr smar a esto (mandatos utzados
resatados en negrita):
D"ulanoXnombre YEF n& 4=2.43.4.5/ 25
0rying 176@16@1@9$@@@
66$ nombre@dominio &S-0< Sendmail 5@1?@1/5@1?@1V SunB 9 -ar 6$$6 61#95#14
!$6$$
IELO no9!re.-o9%n%o
MAFL FROMD L+.)#noJno9!re.-o9%n%oN
69$ 6@1@$ a"ulanoXnombre@dominioL@@@ Sender ok
RCAT TOD Lroo$Jno9!re.-o9%n%oN
69$ 6@1@9 arootXnombre@dominioL@@@ Recipient ok
DATA
?94 &nter mailB end ith +@+ on a line by itsel"
Io)#6 es$e es .n 9ens#He -e 'r.e!#.
.
69$ 6@$@$ k66?&HH$$66$8 -essage accepted "or delivery
[UFT
6*.5.*. ,tili8ando mutt.
Mutt, trmno utzado en a engua ngesa para referrse a perros mestzos, es un cente de
correo eectrnco (MUA, o :a ,ser Agent) para modo texto. Incuye soporte para coor, hos,
MIME, PGP/GPG, protocoos POP3, IMAP, y NNTP, y para os formatos de correo :aildir, y m!o2.
Basta e|ecutar mutt, y pusar as tecas ndcadas a nterfaz de texto para reazar dversas tareas.
Para envar un mensa|e de correo eectrnco sga este procedmento:
+
.
Como usuaro sn prvegos, e|ecute mutt.
*
.
Responda con a teca IsJ para confrmar que se crear Y=:ail.
470
3
.
Una vez ncada a nterfaz de texto de mutt, puse a teca ImJ para crear un nuevo mensa|e.
4
.
En a parte nferor de a pantaa aparece un dogo para e destnataro (@o- ). Ingrese una cuenta
de correo eectrnco vda, o aguna que exsta a menos en e domno de a Red Loca (A)).
5
.
En a parte nferor de a pantaa aparece un dogo para ngresar e asunto de mensa|e (>u!.ect-
). Ingrese un ttuo para e mensa|e.
6
.
Enseguda mutt ncar vi para crear e texto que se envar en e mensa|e. Ince e modo de
insertar texto (i) de vi e ngrese agunas paabras. A termnar, guarde, y saga de vi (-P#).
7
.
Tras termnar con e edtor de texto smpe vi, mutt presentar una vsta preva de mensa|e.
Confrme que os datos son os correctos, y puse a teca IyJ para envar e mensa|e. S necesta
cambar aguno de stos, puse ItJ para cambar e destnataro, o ben puse a teca IsJ, para
cambar e campo de asunto de mensa|e.
9
.
Mutt e devover a a pantaa prncpa. S recbe un mensa|e de respuesta, seeccone ste, y puse
a teca ")@"' para vsuazar e contendo.
S
.
S desea responder e mensa|e, puse a teca IrJ, y repta os procedmentos de paso 4 a 7.
S o desea, tambn puede utzar mutt desde a nea de mandatos.
echo !e O
+2olaB soy F\>S&R] en F\2/S0,4-&]@OnO
<or "avor responde este mensaMe@OnOnSaludos@+ O
Z mutt O
!s +-ensaMe enviado desde F\2/S0,4-&]+ O
"ulanoXmaJuina@dominio
Lo anteror enva un mensa|e de correo eectrnco haca a cuenta fuano@maquna.domno, con
e asunto :ensa.e enviado desde nom!re.dominio con e sguente contendo como texto
de mensa|e:
2olaB soy .s.#r%o en no9!re.-o9%n%o
<or "avor responde este mensaMe@
Saludos@
471
63. 0pciones avan8adas de seguridad para
>endmail.
63.+. %ntroduccin.
Debdo a a naturaeza de correo eectrnco, es posbe para un atacante nundar fcmente e
servdor y desencadenar en una denegacn de servco. Fenmenos como e denomnado correo
masvo no soctado o Spam no hacen as cosas ms fces y as admnstracn de un servdor de
correo puede tornarse una pesada. Aadr opcones avanzadas de segurdad se converte en ago
ndspensabe.
63.*. Funciones.
Todas as funcones expcadas a contnuacn pueden ncurse en e archvo /etc/mail/sendmail@mc
|usto deba|o de a tma nea que ncuya de"ine y arrba de a prmera nea que ncuya =&40>R&.
63.*.+. con&:ADQ'C<@>Q<"'Q:">>A?"
Este parmetro srve para estabecer un nmero mxmo de destnataros para un mensa|e de
correo eectrnco. De modo predefndo Sendma estabece un mxmo de 256 destnataros. En
e sguente e|empo se mtar e nmero de destnataros a 20:
de"ine(kcon"-4X.R)<0S.<&R.-&SS4I&UB k6$U)dnl
63.*.*. con&BADQ'C<@Q@E'0@@"
Este parmetro srve para estabecer e tempo de etargo que se utzar por cada destnataro
que sobrepase e mte estabecdo por con"-4X.R)<0S.<&R.-&SS4I&. De modo predefndo Sendma no
estabece tempo de etargo. En e sguente e|empo se estabecern 2 segundos de etargo por
cada destnataro rechazado por sobrepasar e mte de destnataros permtdos:
de"ine(kcon":4%.R)<0.02R/001&UB k6U)dnl
472
63.*.3. con&<'%GACXQFA?>
Cuando se estabece como vaor `goaway', se deshabtan varos mandatos SMTP como EXPN y
VRFY, os cuaes puderan ser utzados para revear os nombres de usuaros ocaes a un
spammer. Tambn deshabta as notfcacones de entrega, e cua es un mecansmo
comunmente utzado por quenes envan correo masvo no soctado para verfcar/confrmar a
exstenca de una cuenta actva, y hace que e sstema socte obgatoramente HELO o EHLO
antes de utzar e mandato MAIL. Muchos programas de utzados para envar correo masvo no
soctado n squera se moestan en utzar HELO o EHLO. De modo predefndo os vaores de
confPRIVACY_FLAGS son àuthwarnngs,novrfy,noexpn,restrctqrun', cambe por o sguente:
de"ine(kcon"<R('4);.=14ISUBkgoaayU)dnl
63.*.4. con&:ADQE"AD"'>Q")?@E
Est parmetro se utza para defnr e tamao mxmo permtdo para a cabecera de un mensa|e
en bytes. Agunos programas utzados para envar spam tratan de mpedr que os MTA puedan
regstrar transaccones generando cabeceras muy grandes.
Lmtar e tamao de as cabeceras hace ms dfc a e|ecucn de gun que expote
vunerabdades recentes (desbordamentos de bfer) en UW IMAP, Outook y Outook Express.
La mayor parte de os mensa|es de correo eectrnco tendrn cabeceras de menos de 2 Kb (2048
bytes). Un mensa|e de correo eectrnco ordnaro, por muy exagerado que resute e tamao de
a cabecera, rara vez utzar una cabecera que sobrepase os 5 Kb o 6 Kb, es decr, de 5120 o
6144 bytes. En e sguente e|empo se mtar e tamao mxmo de a cabecera de un mensa|e a
16 Kb (requrerdo para MaScanner):
de"ine(kcon"-4X.2&4%&RS.1&,I02UB k16?54U)dnl
E vaor sugerdo es 16 Kb (16384 bytes). Aumente o dsmnuya e vaor a su dscresn.
63.*.5. con&:ADQ:">>A?"Q>%["
Este parmetro srve para especfcar e tamao mxmo permtdo para un mensa|e de correo
eectrnco en bytes. Puede especfcarse o que e admnstrador consdera apropado. En e
sguente e|empo se mtar e tamao mxmo de un mensa|e a 3 MB:
de"ine(kcon"-4X.-&SS4I&.S(G&UB k?149765U)dnl
63.*.6. con&:ADQDA":0)QCE%D'")
Este parmetro srve para especfcar cuantos procesos h|os se permtrn smutneamente en e
servdor de correo. De modo predefndo sendma no estabece mtes para este parmetro. S se
sobre pasa e mte de conexones smutneas, e resto sern demoradas hasta que se termnen
as conexones exstentes y de|en ugar para nuevas conexones. En e sguente e|empo se
mtar e nmero de conexones smutneas haca e servdor a 5:
de"ine(kcon"-4X.%4&-/,.)2(1%R&,UB k9U)dnl
473
63.*.7. con&C0))"C@%0)Q'A@"Q@E'0@@"
Este parmetro srve para estabecer e numero de conexones mxmas por segundo. De modo
predefndo sendma no estabece mtes para este parmetro. En e sguente e|empo se mtar
a 4 conexones por segundo:
de"ine(kcon")/,,&)0(/,.R40&.02R/001&UB k4U)dnl
474
64. Cmo instalar y con&igurar <ost&i2 y
Dovecot con soporte para @> y autenticacin.
64.+. %ntroduccin.
ttuado %ntroduccin a los protocolos de correo electrnico.
64.+.+. Acerca de <ost&i2.
<ost&i2, orgnamente conocdo por os nombres VMaer e IBM Secure Maer, es un popuar
agente de transporte de correo (MTA, o :a @ransport Agent), creado con a prncpa ntencn de
ser una aternatva ms rpda, fc de admnstrar, y segura que Sendma. Fue orgnamente
escrto por Wetse Venema durante su estanca en e Thomas |. Watson Research Center de IBM.
URL: http://www.postfx.org/.
64.+.*. Acerca de Dovecot.
Dovecot es un servdor de POP3 e IMAP de fuente aberta que funcona en Lnux, y sstemas
basados sobre Unx, y dseado con a segurdad como prncpa ob|etvo. Dovecot puede utzar
tanto e formato m!o2 como maildir, y es compatbe con as mpementacones de os servdores
UW-IMAP, y Courer IMAP.
URL: http://dovecot.procontro.f/.
64.+.3. Acerca de >A>F y Cyrus >A>.
>A> (>mpe Authentcaton and >ecurty ayer) es un estructura para a segurdad de datos en
protocoos de Internet. Desempare|a mecansmos de a autentcacn desde protocoos de
apcacones, permtendo, en teora, cuaquer mecansmo de autentcacn soportado por SASL
para ser utzado en cuaquer protocoo de apcacn que capaz de utzar SASL. Actuamente
SASL es un protocoo de a IETF (%nternet "ngneerng @ask Force) que ha sdo propuesto como
estndar. Est especfcado en e 'FC **** creado por |ohn Meyers en a Unversdad Carnege
Meon.
Cyrus >A> es una mpementacn de >A> que puede ser utzada de ado de servdor, o de
ado de cente, y que ncuye como prncpaes mecansmos de autentcacn soportados a
ANONYMOUS, CRAM-MD5, DIGEST-MD5, GSSAPI, y PLAIN. E cdgo fuente ncuye tambn soporte
para os mecansmos LOGIN, SRP, NTLM, OPT, y KERBEROS_V4.
475
URL: http://asg.web.cmu.edu/sas/sas-brary.htm.
64.+.4. Acerca de D>A.
D>A (Dgta >gnature Agorthm, o Agortmo de Frma dgta) es un agortmo creado por e NIST
()atona %nsttute of >tandards and @echnoogy, o Insttuto Nacona de Normas, y Tecnooga de
EE.UU.), pubcado e 30 de agosto de 1991, como propuesta para e proceso de frmas dgtaes.
Se utza para frmar nformacn, ms no para cfrar sta.
URL: http://es.wkpeda.org/wk/DSA
64.+.5. Acerca de '>A.
'>A, acrnmo de os apedos de sus autores, Ron 'vest, Ad >hamr, y Len Ademan, es un
%nfrastructure). Entre otras cosas, estabece os estndares para certfcados de caves pbcas, y
ayer, o Nve de Zcao Seguro), y @> (@ransport ayer >ecurty, o Segurdad para Nve de
Transporte). Est basado sobre e extnto proyecto >>eay, ncado por Erc Young, y Tm Hudson,
Instaar os paquetes post&i2, dovecot, cyrus(sasl, y cyrus(sasl(plain:
yum !y install post"ix dovecot cyrus!sasl cyrus!sasl!plain
S acaso estuvese nstaado, emne e paquete cyrus-sas-gssap, ya que este utza e mtodo de
autentcacn GSSAPI, msmo que requerra de a base de datos de cuentas de usuaro de un
servdor Kerberos:
476
yum remove cyrus!sasl!gssapi
De gua manera, s estuvese nstaado, emne e paquete cyrus-sas-md5, ya que este utza os
mtodos de autentcacn CRAM-MD5, y Dgest-MD5, msmos que requeran asgnar as caves de
acceso para SMTP a travs de mandato saspasswd2. Outook carece de soporte para estos
mtodos de autentcacn.
yum remove cyrus!sasl!md9
Todos os procedmentos deben reazarse como e usuaro root.
64.3.+. De&iniendo <ost&i2 como agente de transporte de correo
predeterminado.
E mandato alternatives, con a opcn alternatives--confg mta, se utza para conmutar e
servco de correo eectrnco de sstema y eegr que paquete utzar. So es necesaro utzar
ste s prevamente estaban nstaados Sendma o Exm. S este es e caso, e|ecute o sguente
desde una termna, y defna <ost&i2 como agente de transporte de correo (:@A, :a @ransport
Agent), seecconado ste.
SelecciRn )omando
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
KN 1 /usr/sbin/sendmail@post"ix
6 /usr/sbin/sendmail@sendmail
S estuvera presente sendmail, detenga ste (es e :@A predetermnado en Cent0> 5, y 'ed
Eat "nterprise inu2 5) e nce postfx:
service sendmail stop
chkcon"ig sendmail o""
service post"ix start
64.3.*. >"inu2F y <ost&i2.
A fn de que SELnux permta a Postfx escrbr e e drectoro de entrada de correo eectrnco
(=var=spool=mail=), es necesaro habtar a sguente potca:
setsebool !< allo.post"ix.local.rite.mail.spool 1
477
Soo en Cent0> 5, y 'ed Eat "nterpise inu2 5, a fn de que SELnux permta a ectura de
correo eectrnco, es necesaro habtar a sguente potca:
setsebool !< mail.read.content 1
En Cent0> 6, y 'ed Eat "nterpise inu2 6, esta potca de| de exstr, pues se vov
nnecesara.
64.3.*.+. ?enerando &irma digitalF y certi&icado.
cd /etc/pki/tls/
Los servdores de correo eectrnco, como Sendma, y Postfx, pueden utzar una frma dgta
creada con agortmo D>A de 1024 octetos. Para ta fn, se crea prmero un archvo de parmetros
D>A:
openssl dsaparam 1$64 !out dsa1$64@pem
A contnuacn, se utza este archvo de parmetros D>A para crear una ave con agortmo D>A,
y estructura 25OS, as como tambn e correspondente certfcado. En e e|empo a contnuacn,
se estabece una vadez por 1095 das (tres aos) para e certfcado creado.
openssl reJ !x9$8 !nodes !nekey dsa#dsa1$64@pem !days 1$89 !out &er$s8s9$'.&r$ !keyout
'r%*#$e8s9$'.7ey
Estado, o provnca.
Cudad.
Nombre de a empresa, o razn soca.
Undad, o seccn.
Nombre de anftrn.
Dreccn de correo.
478
Ienerating a 1$64 bit %S4 private key
riting ne private key to Usmtp@keyU
!!!!!
or a %,@
!!!!!
)ommon ,ame (egB your name or your serverUs hostname) DE#\.-o9%n%o.&o9
S defn un nombre de anftrn absouto (e|empo: ma.domno.com), e certfcado soo ser
vdo cuando e servdor de correo eectrnco sea nvocado con e nombre defndo en e campo
Common )ame. Es decr, soo podr utzaro cuando se defna mail.dominio.com como
servdor >:@< con soporte @> desde e cente de correo eectrnco. Funconar
A termnar, ya no ser necesaro conservar e archvo dsa+O*4.pem, msmo que puede
emnarse con pena segurdad.
rm !" dsa1$64@pem
Es ndspensabe que todos os archvos de caves, y certfcados tengan permsos de acceso de
soo ectura para e usuaro root:
chmod 4$$ certs/smtp@crt private/smtp@key
Cambe a drectoro =etc=pLi=dovecot=.
cd /etc/pki/dovecot/
Emne os certfcados de prueba creados durante a nstaacn.
rm !" private/dovecot@pem certs/dovecot@pem
La creacn de a frma dgta, y certfcado para Dovecot es ms smpe, pero requere utzar
una cave con agortmo '>A de 1024 octetos, con estructura D.5OS. En e e|empo a
contnuacn, se estabece una vadez por 1095 das (tres aos) para e certfcado creado.
openssl reJ !x9$8 !nodes !nekey rsa#1$64 !days 1$89 !out certs/dovecot@pem !keyout
private/dovecot@pem
openssl x9$8 !subMect !"ingerprint !noout !in certs/dovecot@pem
479
De forma smar a como ocurr con e certfcado para e servdor correo eectrnco, o anteror
soctar se ngresen varos datos.
La sada devueta debe smar a a sguente:
@@@@@@@@@@@@@@@@NNNNNN
@NNNNNN
riting ne private key to Udovecot@pemU
!!!!!
or a %,@
!!!!!
)ommon ,ame (egB your name or your serverUs hostname) DE# \.-o9%n%o.&o9
Nuevamente, s defn un nombre de anftrn absouto (e|empo: ma.domno.com), e certfcado
soo ser vdo cuando e servdor de correo eectrnco sea nvocado con e nombre defndo en e
campo Common )ame. Es decr, soo podr utzaro cuando se defna mail.dominio.com como
servdor <0<3, o %:A<, con soporte @> desde e cente de correo eectrnco. Funconar
Es ndspensabe que todos os archvos de caves, y certfcados tengan permsos de acceso de
soo ectura para e usuaro root:
chmod 4$$ private/dovecot@pem certs/dovecot@pem
cd
64.3.3. Con&iguracin de <ost&i2.
64.3.3.+. Arc$ivo de con&iguracin =etc=post&i2=master.c&.
Edtar e archvo =etc=post&i2=master.c&:
vim /etc/post"ix/master@c"
S utza Cent0> 5, o 'ed Eat "nterprise inu2 5, debe descomentar as sguentes neas
resatadas en negrita:
480
smtp inet n ! n ! ! smtpd
s.!9%ss%on %ne$ n - n - - s9$'-
-o s9$'-_en+or&e_$)s=yes
-o s9$'-_s#s)_#.$h_en#!)e=yes
-o s9$'-_&)%en$_res$r%&$%ons='er9%$_s#s)_#.$hen$%&#$e-6reHe&$
s9$'s %ne$ n - n - - s9$'-
-o s9$'-_$)s_?r#''er9o-e=yes
-o s9$'-_s#s)_#.$h_en#!)e=yes
S utza Cent0> 6, o 'ed Eat "nterprise inu2 6, debe descomentar as sguentes neas
resatadas en negrita:
smtp inet n ! n ! ! smtpd
s.!9%ss%on %ne$ n - n - - s9$'-
-o s9$'-_$)s_se&.r%$y_)e*e)=en&ry'$
-o s9$'-_s#s)_#.$h_en#!)e=yes
-o 9%)$er_9#&ro_-#e9on_n#9e=ORFGFNATFNG
s9$'s %ne$ n - n - - s9$'-
-o s9$'-_$)s_?r#''er9o-e=yes
-o s9$'-_s#s)_#.$h_en#!)e=yes
-o 9%)$er_9#&ro_-#e9on_n#9e=ORFGFNATFNG
64.3.3.*. Arc$ivo de con&iguracin =etc=post&i2=main.c&.
A contnuacn, se debe edtar e archvo =etc=post&i2=main.c&:
vim /etc/post"ix/main@c"
'espetando el resto del contenido original de este arc$ivo, y asumendo que e nombre de
anftrn de servdor es mail.dominio.com, y que se va a utzar para gestonar e correo
eectrnco de dominio.com, soo se deben locali8arF y con&igurar os sguentes parmetros:
481
A 0odo lo siguiente solo reJuiere descomentarseB o bien modi"icar la lenea
A correspondiente Jue estf descomentada@
A %e"inir el nombre de an"itriRn del sistema (hostname)@
myhostname * mail@-o9%n%o.&o9
A %e"inir el dominio principal a gestionar@
mydomain * -o9%n%o.&o9
myorigin * Fmydomain
A %e"inir se trabaMe por todas las inter"aces@
A %e modo predeterminado solo trabaMa por la inter"aC de retorno del sistema
A (loopback)B es decirB solo escucha peticiones a travfs de sobre 167@$@$@1
Ainet.inter"aces * localhost
inet.inter"aces * all
A Si se van a maneMar mis dominios de correo electrRnicoB aSadirlos tambifn@
mydestination * FmyhostnameB FmydomainB localhost@localdomainB localhost
A %e"inir tus redes localesB eMemplo asume Jue tu 14, es 186@165@1@$/64
mynetorks * 186@165@1@$/64B 167@$@$@$/5
A Si se van a maneMar mis dominios de correo electrRnicoB aSadirlos tambifn@
relay.domains * Fmydestination
A (mportante para poder utiliCar 'ro&9#%) para "iltrar correo@
mailbox.command * /usr/bin/procmail
A 0odo lo siguiente esti ausente en la con"iguraciRn@
A 4Sadir todo al "inal del archivo main@c"
A
smtpd.tls.security.level * may
smtpd.tls.)4"ile * /etc/pki/tls/certs/ca!bundle@crt
A 1as rutas deben corresponder a las del certi"icadoB y "irma digital creados@
smtpd.tls.key."ile * /etc/pki/tls/private/smtp@key
smtpd.tls.cert."ile * /etc/pki/tls/certs/smtp@crt
smtpd.tls.auth.only * no
smtp.use.tls * yes
smtpd.use.tls * yes
smtp.tls.note.starttls.o""er * yes
smtpd.tls.loglevel * 1
smtpd.tls.received.header * yes
smtpd.tls.session.cache.timeout * ?6$$s
tls.random.source * dev#/dev/urandom
A Soporte para autenticar a travfs de S4S1@
A smtpd.sasl.local.domain * A Solo como re"erencia@
smtpd.sasl.auth.enable * yes
smtpd.sasl.security.options * noanonymous
broken.sasl.auth.clients * yes
smtpd.sasl.authenticated.header * yes
smtpd.recipient.restrictions *
permit.sasl.authenticatedBpermit.mynetorksBreMect.unauth.destination
A fn de ahorrar tempo reazando bsqueda de os parmetros anterores, todo o anteror
tambn se puede confgurar utzando e mandato postcon&, de sguente modo:
482
postcon" !e Umyhostname * mail@-o9%n%o.&o9U
postcon" !e Umydomain * -o9%n%o.&o9U
postcon" !e Umyorigin * FmydomainU
postcon" !e Uinet.inter"aces * allU
postcon" !e Umydestination * FmyhostnameB FmydomainB localhost@localdomainB localhostU
postcon" !e Umynetorks * 4<2.438.4./82EB 167@$@$@$/5U
postcon" !e Urelay.domains * FmydestinationU
postcon" !e Umailbox.command * /usr/bin/procmailU
postcon" !e Usmtpd.tls.)4"ile * /etc/pki/tls/certs/ca!bundle@crtU
postcon" !e Usmtpd.tls.key."ile * /etc/pki/tls/private/smtp@keyU
postcon" !e Usmtpd.tls.cert."ile * /etc/pki/tls/certs/smtp@crtU
postcon" !e Usmtpd.tls.auth.only * noU
postcon" !e Usmtp.use.tls * yesU
postcon" !e Usmtpd.use.tls * yesU
postcon" !e Usmtp.tls.note.starttls.o""er * yesU
postcon" !e Usmtpd.tls.loglevel * 1U
postcon" !e Usmtpd.tls.received.header * yesU
postcon" !e Usmtpd.tls.session.cache.timeout * ?6$$sU
postcon" !e Utls.random.source * dev#/dev/urandomU
postcon" !e Usmtpd.sasl.auth.enable * yesU
postcon" !e Usmtpd.sasl.security.options * noanonymousU
postcon" !e Ubroken.sasl.auth.clients * yesU
postcon" !e Usmtpd.sasl.authenticated.header * yesU
postcon" !e Usmtpd.recipient.restrictions *
permit.sasl.authenticatedBpermit.mynetorksBreMect.unauth.destinationU
64.3.3.3. Arc$ivo de con&iguracin =etc=aliases.
Se debe edtar tambn e archvo =etc=aliases:
vim /etc/aliases
Se debe defnr que e correo de usuaro root se entregue a cuaquer otro usuaro de sstema. E
ob|etvo de esto es que |ams se tenga necesdad de utzar a cuenta de usuaro root, y se
prefera en su ugar una cuenta de usuaro sn prvegos. Soo se requere descomentar a tma
nea de este archvo, que como e|empo entrega e correo de usuaro root a usuaro marc, y
defnr un usuaro exstente en e sstema
Aroot# marc
roo$D +.)#no
A termnar, se e|ecuta e mandato postalias para generar e archvo =etc=aliases.d! que ser
utzado por <ost&i2:
postalias /etc/aliases
64.3.4. Con&iguracin de Dovecot en Cent0> 5F y 'ed Eat "nterprise
inu2 5.
64.3.4.+. <ar;metros del arc$ivo =etc=dovecot.con&.
Edtar e archvo =etc=dovecot.con&:
vim /etc/dovecot@con"
En e parmetro protocols, se deben actvar todos os servcos (map, maps, pop3, y pop3s).
protocols * imap imaps pop? pop?s
483
De modo predetermnado, e soporte SSL de Dovecot est actvo. Verfque que e parmetro
sslQdisa!le tenga e vaor no, o ben soo est comentado.
Assl.disable * no
Y se especfcan as rutas de certfcado, y cave a travs de os parmetros sslQcertQ&ile, y
sslQLeyQ&ile, de sguente modo:
ssl.cert."ile * /etc/pki/dovecot/&er$s/dovecot@pem
ssl.key."ile * /etc/pki/dovecot/'r%*#$e/dovecot@pem
64.3.5. Con&iguracin de Dovecot en Cent0> 6F y 'ed Eat "nterprise
inu2 6.
Cent0> 6, y 'ed Eat "nterprise inu2 6 utzan a versn *.O de Dovecot, y por o cua
camba radcamente a confguracn respecto de a versn +.O.2, utzada en Cent0> 5, y 'ed
64.3.5.+. <ar;metros del arc$ivo =etc=dovecot=dovecot.con&.
Edte e archvo =etc=dovecot=dovecot.con&, y descomente e parmetro protocolos,
estabecendo como vaor pop3 imap lmtp.
protocols * imap pop?
64.3.5.*. <ar;metros del arc$ivo =etc=dovecot=con&.d=+O(mail.con&.
mail.location * mbox#Y/mail#(,:/X*/var/mail/Tu
64.3.5.3. <ar;metros del arc$ivo =etc=dovecot=con&.d=+O(ssl.con&.
En e archvo =etc=dovecot=con&.d=+O(ssl.con&, descomente as sguentes neas resatadas en
negrta:
A SS1/01S support# yesB noB reJuired@ adoc/iki/SS1@txtL
ss) = yes
A <&- encoded X@9$8 SS1/01S certi"icate and private key@ 0heyUre opened
be"ore
A dropping root privilegesB so keep the key "ile unreadable by anyone but
A root@ (ncluded doc/mkcert@sh can be used to easily generate sel"!signed
A certi"icateB Must make sure to update the domains in dovecot!openssl@cn"
ss)_&er$ = L8e$&8'7%8-o*e&o$8&er$s8-o*e&o$.'e9
ss)_7ey = L8e$&8'7%8-o*e&o$8'r%*#$e8-o*e&o$.'e9
484
64.3.6. %niciar serviciosF y aadir stos al arran#ue del sistema.
Se deben aadr a arranque de sstema e ncar (o rencar) os servcos saslaut$d, dovecot, y
post&i2:
64.3.7. >oporte para :@<.
S utza Cent0> 6, o 'ed $at "nterprise inu2 6, es decr Dovecot *.O, y <ost&i2 *.6.6,
podr utzar :@< (oca :a @ransfer <rotoco), o protocoo de transporte oca de correo. Este
protocoo esta basado sobre e protocoo SMTP, y est dseado como una aternatva a SMTP para
stuacones donde e ado receptor carece de coa de correo (queue mail), como un MTA que
entende conversacones SMTP. Puede ser utzado como una forma aternatva, y ms efcente
para e transporte de correo entre Postfx, y Dovecot.
Edte e archvo =etc=dovecot=dovecot.con&, y aada lmtp a os vaores de parmetro
protocolos, de a sguente forma.
protocols * imap pop? )9$'
A fn de poder hacer uso de :@< de manera apropada, es necesaro aadr e sguente
parmetro en e archvo =etc=post&i2=main.c&:
virtual.transport * lmtp#unix#/var/run/dovecot/lmtp
O ben e|ecutar o sguente:
postcon" !e Uvirtual.transport * lmtp#unix#/var/run/dovecot/lmtpU
Y rencar os servcos dovecot, y post&i2.
64.3.9. :odi&icaciones necesarias en el muro corta&uegos.
S se utza un cortafuegos con potcas estrctas, como por e|empo >$orePall, es necesaro
abrr, adems de os puertos 25, 110, 143, y 587 por TCP (>:@<, <0<3, %:A<, y >u!mission,
respectvamente), os puertos 465, 993, y 995 por TCP (>:@<>, %:A<, y <0<3>,
respectvamente).
Edtar e archvo =etc=s$orePall=rules:
485
sguente:
A4)0(/, S/>R)& %&S0 <R/0/ %&S0 S/>R)&
A </R0 </R0(S)1
ACCEAT ne$ +? $&' 25644/64E36E35658=6<<36<<5
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
Para que tomen efecto os cambos, hay que rencar e servco Shorewa.
64.3.S. 'e#uisitos en la 8ona de reenvo en el servidor D)>.
Es ndspensabe que exsta un DNS que resueva correctamente e domno, y apunte e servco de
correo eectrnco haca a IP de servdor de correo eectrnco recn confgurado. Asumendo que
se hzo correctamente todo o menconado en este documento, a nca forma en que se
mposbtara a egada y/o sada de correo eectrnco se est utzando un enace ADSL con IP
dnmca (restrngdo por e proveedor para utzar e puerto 25), o ben que e servdor DNS que
resueve e domno, est apuntando haca otra dreccn IP para e servco de correo eectrnco.
En e DNS se requeren a menos os sguentes regstros, donde 22.22.22.22 corresponde a a IP
de servdor de correo eectrnco.
F001 564$$
X (, S/4 dns1@isp@com alguien@algo@com (
6$1$$618$1 V ,bmero de serie
655$$ V 0iempo de re"resco
76$$ V 0iempo entre reintentos
6$45$$ V tiempo de espiraciRn
564$$ V 0iempo total de vida
)
X (, ,S dns1@isp@com@
X (, ,S dns6@isp@com@
X (, 4 a@b@c@d
J FN MX 4/ 9#%)
J FN TXT "*=s'+4 # 9C -#))"
9#%) FN A CC.CC.CC.CC
(, 4 a@b@c@d
"tp (, 4 a@b@c@d
64.4.+. A travs de terminal.
Reace una conexn con e mandato nc (netcat), o ben e mandato telnet, a puerto 25 de
sstema. Ingrese e mandato "E0 con e domno confgurado. La sada deber devover, entre
todas as funcones de servdor, una nea que ndca >@A'@@>. La sada puede ser smar a a
sguente:
486
n& 42=././.4 25
66$ emachine@alcancelibre@org &S-0< <ost"ix
EILO -o9%n%o.&o9
69$!mail@dominio@com
69$!<(<&1(,(,I
69$!S(G& 1$64$$$$
69$!'R=;
69$!&0R,
25/-STARTTLS
25/-AUTI ALAFN LOGFN
25/-AUTI=ALAFN LOGFN
69$!&,24,)&%S040>S)/%&S
69$!5:(0-(-&
69$ %S,
[UFT
Para sar, soo escrba OUIT, y puse a teca ENTER.
64.4.*. A travs de clientes de correo electrnico.
Utce cuaquer cente de correo eectrnco con soporte para TLS/SSL, y confgure ste para
conectarse haca e sstema a travs de %:A<> (puerto 993), o ben <0<3> (puerto 995). Tras
aceptar e certfcado de servdor, e sstema deber permtr autentcar, con nombre de usuaro, y
cave de acceso, y reazar a ectura de correo eectrnco.
64.4.*.+. Con&iguracin de ?)0:" "volution.
Para GNOME Evouton, a confguracn de IMAP, o POP3, se reaza seecconando e tpo de
servdor, defnendo e nombre de servdor utzado para crear e certfcado, nombre de usuaro, y
usar encrptacn segura TLS.
487
Confguracn IMAP, en GNOME Evouton.
488
Confguracn SMTP, GNOME Evouton.
64.4.*.*. Con&iguracin :o8illa @$under!ird.
Para Moza Thunderbrd, se defne e nombre de servdor utzado para crear e certfcado,
usuaro, y usar conexn segura TLS.
489
Confguracn IMAP, Moza Thunderbrd.
Confguracn SMTP, Moza Thunderbrd.
490
S se utza un cortafuegos con potcas estrctas, como por e|empo >$orePall, es necesaro
abrr, adems de os puertos 25, 110, 143, y 587 por TCP (>:@<, <0<3, %:A<, y >u!mission,
respectvamente), os puertos 465, 993, y 995 por TCP (>:@<>, %:A<, y <0<3>,
respectvamente).
La rega para e archvo =etc=s$orePall=rules de >$orePall correspondera a ago smar a o
sguente:
A4)0(/, S/>R)& %&S0 <R/0/ %&S0 S/>R)&
A </R0 </R0(S)1
4))&<0 all " tcp 69B11$B14?B469B957B88?B889
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
491
65. Cmo instalar y con&igurar Amavisd(neP
con <ost&i2 en Cent0> 5.
65.+. %ntroduccin.
Este documento permtr confgurar Postfx para utzar amavsd-new para e contro de vrus y
correo spam. Se requere haber confgurado prevamente Postfx de a forma en que se descrbe en
e documento ttuado #/mo instalar y configurar Fostfi4 en #ent1$ 7 con soporte para T%$ y
autenticaci/n.3
65.+.+. Acerca de Amavisd(neP.
Amavisd(neP es una nterfaz confabe y de ato desempeo entre e agente de trasporte de
correo (:@A, :a @ransport Agent) y uno o ms supervsores de contendo, como es e caso de
supervsores ant-vrus, y/o SpamAssassn. Est escrto en Per para asegurar su ata confabdad,
portabdad y facdad de mantenmento.
Funcona comuncndose con e MTA a travs de ">:@< ("xtended Smpe :a @ransfer <rotoco,
o Protocoo Smpe de Transferenca de Correo) o ben :@< (oca :a @ransfer <rotoco, o
Protocoo de Transferenca Loca de Correo), a travs de programas auxares, con un dseo que
mpde se puede parder correo eectrnco de manera ncdenta.
URL: http://www.|s.s/software/amavsd/
65.*.+. Creacin del usuario para ClamAG.
De modo predetermnado, en os paquetes RPM basados sobre os dsponbes para Fedora, e
usuaro para CamAV se asgna a travs de os mandatos &edora(groupadd y &edora(useradd e
UID y GID 4 en e sstema. A fn de prevenr un confcto de UID/GID con otros usuaros y grupos de
sstema, se recomenda crear prevamente a grupo y usuaro correspondentes para CamAV:
groupadd !r clamav
useradd !r !s /sbin/nologin !d /var/lib/clamav !- !c U)lamav 4ntivirusU !g clamav
clamav
492
65.*.*. Con&iguracin de depsitos X,: para Cent0> 5 y 'ed Eat
"nterprise inu2 5.
Se pueden utzar e sguente depsto YUM para a pataforma Enterprse Lnux 5.
D41!ServerE
name*&nterprise 1inux Freleasever ! Fbasearch ! 41 Server
Instaar os paquetes necesaros se utza e sguente mandato:
yum !y install amavisd!ne clamav!update clamav!server cabextract tne"
yum !y install arM lha unCoo p7Cip p7Cip!plugins
Lo anteror tambn nstaar todas as dependencas necesaras.
65.3.+. Con&iguracin de >"inu2.
65.3.+.+. <rocedimiento para crear poltica.
Crear e drectoro /usr=s$are=selinu2=pacLages=amavisd:
mkdir /usr/share/selinux/packages/amavisd
Cambarse a drectoro /usr=s$are=selinu2=pacLages=amavisd:
cd /usr/share/selinux/packages/amavisd
Descargar desde Alcance i!re e archvo
$ttp-==PPP.alcanceli!re.org=linu2=secrets=amavisd.te:
get http#//@alcancelibre@org/linux/secrets/amavisd@te
Edtar e archvo amavisd.te:
vim #9#*%s-.$e
Verfcar que e archvo amavisd.te tenga e sguente contendo:
module amavisd 1@$V
reJuire \
type traceroute.port.tV
type amavis.tV
type clamd.tV
type spamd.tV
493
type initrc.var.run.tV
type amavis.var.run.tV
type root.tV
class dir \ rite search add.name ]V
class udp.socket name.bindV
class "ile \ ioctl append read lock ]V
]
A************* amavis.t **************
allo amavis.t initrc.var.run.t#"ile \ read lock ]V
allo amavis.t traceroute.port.t#udp.socket name.bindV
A************* clamd.t **************
allo clamd.t amavis.var.run.t#dir \ rite search add.name ]V
A************* spamd.t **************
Crear e archvo de mduo amavisd.mod a partr de archvo amavisd.te:
checkmodule !- !m !o amavisd@mod amavisd@te
Crear e archvo de potca amavisd.pp a partr de archvo amavisd.mod
semodule.package !o amavisd@pp !m amavisd@mod
Incur a potca a sstema:
semodule !i /usr/share/selinux/packages/amavisd/amavisd@pp
65.3.*. Con&iguracin de Amavisd(neP.
Edtar e archvo /etc=amavisd=amavisd.con&
vim /etc/amavisd/amavisd@con"
Locazar a sguente nea:
Fmydomain * Uexample@comUV A a convenient de"ault "or other settings
Cambar por o sguente:
Fmydomain * Udominio@comUV A a convenient de"ault "or other settings
65.3.3. Con&iguracin de <ost&i2.
Edtar e archvo /etc=post&i2=master.c&
vim /etc/post"ix/master@c"
Aadr a fna de ste todo o sguente:
494
A )on"iguraciRn de amavisd!ne
amavis"eed unix ! ! n ! 6 lmtp
!o lmtp.data.done.timeout*16$$
!o lmtp.send.x"orard.command*yes
!o disable.dns.lookups*yes
!o max.use*6$
167@$@$@1#1$$69 inet n ! n ! ! smtpd
!o content."ilter*
!o smtpd.delay.reMect*no
!o smtpd.client.restrictions*permit.mynetorksBreMect
!o smtpd.helo.restrictions*
!o smtpd.sender.restrictions*
!o smtpd.recipient.restrictions*permit.mynetorksBreMect
!o smtpd.data.restrictions*reMect.unauth.pipelining
!o smtpd.end.o".data.restrictions*
!o smtpd.restriction.classes*
!o mynetorks*167@$@$@$/5
!o smtpd.error.sleep.time*$
!o smtpd.so"t.error.limit*1$$1
!o smtpd.hard.error.limit*1$$$
!o smtpd.client.connection.count.limit*$
!o smtpd.client.connection.rate.limit*$
!o receive.override.options*no.header.body.checksBno.unknon.recipient.checksBno.miltersBno.add
ress.mappings
!o local.header.rerite.clients*
!o smtpd.milters*
!o local.recipient.maps*
!o relay.recipient.maps*
Edtar e archvo /etc=post&i2=main.c&:
vim /etc/post"ix/main@c"
Aadr a fna de ste o sguente:
content."ilter * amavis"eed#D167@$@$@1E#1$$64
Lo anteror se puede defnr automtcamente en e archvo /etc=post&i2=main.c& e|ecutando:
postcon" !e Ucontent."ilter * amavis"eed#D167@$@$@1E#1$$64U
Edtar e archvo /etc=aliases:
vim /etc/aliases
Defnr un aas para a cuenta virusalert:
virusalert# "ulano
Para que surtan efecto os cambos, e|ecutar:
postalias /etc/aliases
65.3.4. %niciarF detener y reiniciar el servicio spamass(milter.
Aadr os servcos clamd.amavisd y amavisd a os servcos de arranque de sstema:
chkcon"ig clamd@amavisd on
chkcon"ig amavisd on
495
Incar os servcos clamd.amavisd y amavisd:
service clamd@amavisd start
service amavisd start
Rencar e servco post&i2:
65.3.5. <ost&i2 con dominios virtuales y Amavisd(neP.
Para poder utzar Postfx con dominios virtuales y Amavsd-new, es ndspensabe edtar e
archvo /etc=amavisd=amavisd.con&:
vim /etc/amavisd/amavisd@con"
Y modfcar os vaores de parmetro @localQdomainsQmaps. E vaor predetermnado es e
sguente:
Xlocal.domains.maps * ( D+@Fmydomain+E )V
Se deben agregar os domnos vrtuaes de a sguente manera:
Xlocal.domains.maps * ( D+@Fmydomain+B +dominio@com+B +otrodominio@net+B +otrodominio@org+E )V
Y para que surtan efecto os cambos, se debe rencar e servco amavisd:
service amavisd restart
496
66. Cmo con&igurar <ost&i2 en Cent0> 5 para
utili8ar dominios virtuales con usuarios del
sistema.
66.+. %ntroduccin.
Este documento permtr confgurar Postfx para utzar mtpes domnos vrtuaes, utzando
os usuaros ocaes de sstema. Se requere haber confgurado prevamente Postfx de a forma en
que se descrbe en e documento ttuado 2#/mo instalar y configurar Fostfi4 en #ent1$ 7 con
soporte para T%$ y autenticaci/n.3 Se recomenda eer, estudar y apcar tambn os
procedmentos descrtos en e documento ttuado 2#/mo instalar y configurar Amavisd6ne( con
Fostfi4 en #ent1$ 7.3
66.*.+. Con&iguracin de >"inu2.
Por o genera, a mayora de os documentos dsponbes en Internet recomendan desactvar
SELnux, sn mayores argumento o expcacones. Sn embargo, hacer sto mpca renuncar a una
magnfca proteccn que brnda a sstema esta mportante mpementacn de segurdad. Tengo
un ema persona que me gusta ctar para expcar m opnn respecto de SELnux:
Es vale tenerlo y jams necesitarlo, que necesitarlo y carecer de ste.
S es posbe utzar SELnux |unto con domnos vrtuaes. Cuando se quere mpementar un
servco de hospeda|e con domnos vrtuaes, y se utza =$ome para crear os drectoros de nco
de os domnos vrtuaes, se requeren pocos o nngn a|uste en SELnux. Sn embargo, hay
escenaros donde se utza =var=PPP para crear os drectoros de nco de os domnos vrtuaes.
S se hace de este modo, y s se quere mantener SELnux actvo, es necesaro generar una potca
que permta a os servcos de Postfx o Sendma, Dovecot, Pyzor y Spamassassn poder reazar
ectura, escrtura y otros atrbutos sobre drectoros y archvos con contexto
$ttpdQsysQcontentQt. E sguente procedmento srve para crear a potca necesara.
66.*.+.+. <rocedimiento para crear poltica.
Crear e drectoro =usr=s$are=selinu2=pacLages=virtualmail:
mkdir /usr/share/selinux/packages/virtualmail
Cambarse a drecrtoro =usr=s$are=selinu2=pacLages=virtualmail:
497
cd /usr/share/selinux/packages/virtualmail
$ttp-==PPP.alcanceli!re.org=linu2=secrets=virtualmail.te:
get http#//@alcancelibre@org/linux/secrets/virtualmail@te
Edtar e archvo virtualmail.te:
vim *%r$.#)9#%).$e
Verfcar que e archvo virtualmail.te tenga e sguente contendo:
module virtualmail 1@$V
reJuire \
type pyCor.tV
type sendmail.tV
type post"ix.local.tV
type post"ix.postdrop.tV
type post"ix.master.tV
type procmail.tV
type spamc.tV
type dovecot.tV
type tmp.tV
type httpd.log.tV
type httpd.sys.content.tV
type httpd.con"ig.tV
type spamd.tV
type system.mail.tV
class "ile \ read lock rename create rite getattr link unlink append ]V
class dir \ search read rite getattr remove.name add.name ]V
]
A************* dovecot.t **************
allo dovecot.t httpd.sys.content.t#dir \ rite search read remove.name getattr add.name ]V
allo dovecot.t httpd.sys.content.t#"ile \ rite getattr link rename read lock create unlink ]V
A************* post"ix.local.t **************
allo post"ix.local.t httpd.sys.content.t#dir searchV
A************* post"ix.postdrop.t **************
allo post"ix.postdrop.t tmp.t#"ile \ getattr append ]V
allo post"ix.postdrop.t httpd.log.t#"ile getattrV
A************* post"ix.master.t **************
allo post"ix.master.t httpd.con"ig.t#dir searchV
A************* procmail.t **************
allo procmail.t httpd.sys.content.t#dir searchV
A************* pyCor.t **************
allo pyCor.t httpd.sys.content.t#dir \ rite search ]V
A************* spamc.t **************
A************* spamd.t **************
allo spamd.t httpd.sys.content.t#dir \ rite search getattr ]V
allo spamd.t httpd.sys.content.t#"ile \ read getattr ]V
A************* system.mail.t **************
allo system.mail.t httpd.sys.content.t#"ile appendV
Crear e archvo de mduo virtualmail.mod a partr de archvo virtualmail.te:
498
checkmodule !- !m !o virtualmail@mod virtualmail@te
Crear e archvo de potca virtualmail.pp a partr de archvo virtualmail.mod
semodule.package !o virtualmail@pp !m virtualmail@mod
semodule !i /usr/share/selinux/packages/virtualmail/virtualmail@pp
66.*.*. Con&iguracin de <ost&i2.
66.*.*.+. Arc$ivo =etc=post&i2=main.c&.
Edtar e archvo =etc=post&i2=main.c&:
vim 8e$&8'os$+%C89#%n.&+
Defnr os sguentes parmetros:
A &stablecer el valor de myhostname como localhost@localdomain
A 0ambifn se puede de"inir cualJuier otro dominioB siempre y cuando sea distinto
A a cualJuiera de los de"inidos en los valores de virtual.alias.domains o en
A virtual.alias.maps@
9yhos$n#9e = )o&#)hos$.)o&#)-o9#%n
A %e"inir el valor predeterminado para mydomain
9y-o9#%n = )o&#)hos$.)o&#)-o9#%n
A %e"inir los valores predeterminados para mydestination y relay.domains
9y-es$%n#$%on = ^9yhos$n#9e6 )o&#)hos$.^9y-o9#%n6 )o&#)hos$
re)#y_-o9#%ns = ^9y-es$%n#$%on
A Recomendado@
A ûnto con virtual.alias.mapsB reemplaCa a virtual.maps
A Se utiliCa para declarar los dominios virtuales@
A Se puede prescindir de fste si se aSaden dominios en /etc/post"ix/virtual@
*%r$.#)_#)%#s_-o9#%ns = ^*%r$.#)_#)%#s_9#'s
A /bligatorio@
A ûnto con virtual.alias.domainsB reemplaCa a virtual.maps
A Se utiliCa para declarar la reescritura de direcciones@ &Memplo#
A MbarriosXdominio@com Moel
A &Memplo hace Jue todo correo para MoelXdominio@com se entregue a Moel
A Si se Juiere precindir de utiliCar *%r$.#)_#)%#s_-o9#%nsB aSadir tambifn los
A dominios en este "ormato#
A dominio@com dominio@com
A otrodominio@net otrodominio@net
A otrodominio@org otrodominio@org
A Si se hace lo anteriorB comentar *%r$.#)_#)%#s_-o9#%ns@
*%r$.#)_#)%#s_9#'s = h#shD8e$&8'os$+%C8*%r$.#)
A Recomendado@
A &s la contraparte de #)%#s_-#$#!#se = 8e$&8#)%#ses
A Se utiliCa para reescritura de direcciones de salida@ &Memplo#
A Moel Moel@barrios
A &Memplo hace Jue todo el correo de Moel salga como Moel@barrios
canonical.maps * hash#/etc/post"ix/canonical
A Recomendado@
A Se utiliCa solo para reescribir la direcciRn de salida de una cuenta@
499
A &Memplo#
A Moel MbarriosXdominio@com
A &Memplo hace Jue todo el correo de Moel salga como MbarriosXdominio@com
sen-er_&#non%&#)_9#'s = h#shD8e$&8'os$+%C8sen-er_&#non%&#)
A /pcional@
A <oco utiliCado@ >tiliCar virtual.alias.maps en su lugar@
A )onsiderar Jue se procesa antes Jue canonical.maps@
A Se utiliCa solo para reescribir solo la direcciRn de entrada de una cuenta@
A &Memplo#
A MbarriosXdominio@com Moel
A &Memplo hace Jue todo correo para MbarriosXdominio@com se entregue a Moel
recipient.canonical.maps * hash#/etc/post"ix/recipient.canonical
Todo o anteros se puede reazar tambn e|ecutando e mandato postcon& para cada parmetro:
postcon" !e Umyhostname * localhost@localdomainU
postcon" !e Umydomain * localhost@localdomainU
postcon" !e Umydestination * FmyhostnameB localhost@FmydomainB localhostU
postcon" !e Urelay.domains * FmydestinationU
postcon" !e Uvirtual.alias.domains * Fvirtual.alias.mapsU
postcon" !e Uvirtual.alias.maps * hash#/etc/post"ix/virtualU
postcon" !e Ucanonical.maps * hash#/etc/post"ix/canonicalU
postcon" !e Usender.canonical.maps * hash#/etc/post"ix/sender.canonicalU
postcon" !e Urecipient.canonical.maps * hash#/etc/post"ix/recipient.canonicalU
A termnar, genere os archvos =etc=post&i2=senderQcanonical y
=etc=post&i2=recipientQcanonical:
touch /etc/post"ix/sender.canonical
touch /etc/post"ix/recipient.canonical
66.*.*.*. Arc$ivos =etc=post&i2=virtual y =etc=post&i2=senderQcanonical.
Edtar e archvo =etc=post&i2=virtual:
vim 8e$&8'os$+%C8*%r$.#)
Crear a taba de cuentas de correo eectrnco vrtuaes de entrada, especfcando a que cuenta
de usuaro oca se entrega cada dreccn.
dominio@com dominio@com
otrodominio@net otrodominio@net
otrodominio@org otrodominio@org
MoelXdominio@com Moel
MuanXdominio@com Muan
pabloXdominio@com pablo
pedroXdominio@com pedro
hugoXotrodominio@net hugo
luisXotrodominio@org luis
ebmasterXdominio@com MoelXdominio@com
ebmasterXotrodominio@net hugoXotrodominio@net
ebmasterXotrodominio@org luisXotrodominio@org
Edtar e archvo =etc=post&i2=senderQcanonical:
vim 8e$&8'os$+%C8sen-er_&#non%&#)
500
Crear a taba de cuentas de correo eectrnco vrtuaes de sada, especfcando as dreccones de
sada que utzar cada usuaro. Es decr, cas o contraro a o estabecdo en /etc/postfx/vrtua,
pero especfcando un nco usuaro para cada cuenta de correo eectrnco. |ams se especfque
ms de un usuaro por cuenta de correo eectrnco, n ms de una cuenta de correo eectrnco
por usuaro.
Moel MoelXdominio@com
Muan MuanXdominio@com
pablo pabloXdominio@com
pedro pedroXdominio@com
hugo hugoXotrodominio@net
luis luisXotrodominio@org
Utzar e mandato postmap con os archvos =etc=post&i2=canonical,
=etc=post&i2=recipientQcanonical, =etc=post&i2=senderQcanonical y =etc=post&i2=virtual a fn
de generar os archvos .db correspondentes y que surtan efecto os cambos uego de rencar e
servco post&i2:
postmap /etc/post"ix/canonical
postmap /etc/post"ix/recipient.canonical
postmap /etc/post"ix/sender.canonical
postmap /etc/post"ix/virtual
66.*.3. 'einiciar el servicio post&i2.
A fn de que surtan efecto todos os cambos, se debe rencar e servco post&i2:
501
67. Cmo con&igurar Cyrus %:A<.
67.+. %ntroduccin.
Proyecto que do nco en 1994, en a ,niversidad Carnegie :ellon, e servdor Cyrus %:A< se
dstngue de resto de os equpamentos gcos con a msma fnadad en que utza un formato
para os buzones de correo que me|ora e rendmento y escaabdad de formato :aildir,
utzado por otros equpamentos gcos como Dovecot. Este formato amacena os datos por
partes de sstema de archvos y que soo pueden ser acceddos por e servco de Cyrus %:A<.
Esto permte gestonar grandes cantdades de datos de forma efcente y con un ntrprete de
mandatos para su admnstracn. Incuye soporte para os protocoos %:A<, %:A<, <0<3 y
<0<3>, as como soporte para stas de contro de acceso y cuotas en a |erarqua de buzones.
URL: http://asg.web.cmu.edu/cyrus/mapd/
cirus(imapd: servdor %:A<, %:A<, <0<3 y <0<3>.
cyrus(imapd(utils: herramentas de admnstracn.
cyrus(sasl: servco de autentcacn.
cyrus(sasl(plain: soporte para autentcacn a travs de texto smpe.
cyrus(sasl(md5: soporte para autentcacn a travs de mtoos cfrados.
S utza Cent0> 4 o b$ite Bo2 "nterprise inu2 4, y versones posterores, soo se necesta
reazar o sguente para nstaar o actuazar e equpamento gco necesaro:
yum !y install cyrus!imapd cyrus!imapd!utils cyrus!sasl cyrus!sasl!plain cyrus!sasl!md9
up6date !i cyrus!imapd cyrus!imapd!utils cyrus!sasl cyrus!sasl!plain cyrus!sasl!md9
502
Cyrus %:A< no requere modfcar archvo aguno de confguracn. Los vaores predetermnados
permten su funconamento norma. Sn embargo, requere de agunos procedmentos adconaes
en reacn a otros equpamentos gcos.
>e de!e asignar una clave de acceso para e usuaro admnstrador de Cyrus %:A<, a fn de
mpedr accesos no autorzados a ntrprete de mandatos para admnstracn. Esto se reaza a
travs de mandato passPd, de sguente modo:
passd cyrus
67.3.+. Alta de cuentas de usuario y asignacin de claves de acceso.
E ata de usuaros a travs de este mtodo ser dferente a a manera tradcona, debdo a que
para utzar e mtodo de autentcacn para acceder haca os servcos %:A<, %:A<>, <0<3 y
<0<3>, Cyrus %:A< utzar >A>. Por ta motvo, e ata de cuentas de usuaro de correo
deber de segur e sguente procedmento:
+. Ata de a cuenta de usuaro en e sstema, a cua se sugere no deber tener acceso a ntrprete
de mandato aguno:
useradd !s /sbin/nologin "ulano
*. Asgnacn de caves de acceso en e sstema para permtr autentcar a travs de os mtodos
<A%) y 0?%) para autentcar a travs de os protocoos <0<3 e %:A<:
passd usuario
3. Asgnacn de caves de acceso para autentcar %:A<, %:A<>, <0<3 y <0<3> a travs de
mtodos cfrados (C'A:(:D5 y D%?">@(:D5) en sstemas con versn de Cyrus %:A<
compada contra >A>(* (Red Hat Enterprse Lnux 4, CentOS 4 o Whte Box Enterprse Lnux 4),
requeren utzar e mandato saslpassPd* de sguente modo:
s#s)'#ss?-2 usuario
4. Acceder haca e ntrprete de mandatos para admnstracn de Cyrus %:A<D, cyradm, de
sguente modo:
cyradm !user cyrus !auth login localhost
5. Crear os buzones de correo para e usuaro a travs de ntrprete de mandatos para
admnstracn de Cyrus %:A<D, cyradm, de sguente modo:
createmailbox user@usuario
Para mostrar a sta de buzones exstentes, se utza e mandato listmail!o2. Para sar de
ntrprete, soo se ngresa e mandato e2it
6. La autentcacn para %:A<, %:A<>, <0<3 y <0<3> a travs de cuaquer mecansmo requere se
actve e nce e servco de saslaut$d de sguente modo:
En e caso en que se haya decddo utzar mtodos cfrados (C'A:(:D5 y D%?">@(:D5), puede
mostrarse a sta de os usuaros con cave de acceso a travs de SASL-2 utzando e mandato
sasld!listusers*. Puede mostrarse a sta de os usuaros con cave de acceso a travs de SASL-1
utzando e mandato sasld!listusers. S ya se cuenta con un grupo de caves de acceso de
usuaros dados de ata en SASL-1, se pueden convertr haca SASL-2 con e mandato d!converter(
*.
503
67.3.*. %niciarF detener y reiniciar el servicio cyrus(imapd.
Para ncar por prmera vez e servco cyrus(imapd, utce:
/sbin/service cyrus!imapd start
Para hacer que os cambos hechos a a confguracn de servco cyrus(imapd surtan efecto,
utce:
/sbin/service cyrus!imapd restart
Para detener e servco cyrus(imapd, utce:
/sbin/service cyrus!imapd stop
67.3.3. Agregar el servicio cyrus(imapd al arran#ue del sistema.
Para hacer que e servco de cyrus(imapd est actvo con e sguente nco de sstema, en todos
os nvees de e|ecucn (2, 3, 4, y 5), se utza o sguente:
/sbin/chkcon"ig cyrus!imapd on
67.3.4. %ntegracin con >endmail.
Para hacer que e correo que ega a travs de >endmail sea amacenado en su totadad en os
buzones de Cyrus %:A< a travs de :@< (oca :a @ransfer <rotoco o Protocoo de
trasferenca de correo oca, descrto en e RFC 2033), es necesaro descomentar/agregar as
sguentes neas de confguracn en e archvo =etc=mail=sendmail.mc, |usto antes de
DA":0)Q0<@%0)>Mk<ortRsmtpF )ameR:@AcNdnl.
de"ine(kcon"1/)41.-4(1&RUB kcyrusv6U)dnl
de"ine(k);R>S'6.-4(1&R.4RISUB k=(1& /var/lib/imap/socket/lmtpU)dnl
Y descomentar/agregar a sguente nea a fna de archvo =etc=mail=sendmail.mc, |usto deba|o
de :A%"'MprocmailNdnl.
-4(1&R(cyrusv6)dnl
Tras reazado o anteror, soo se necesta rencar e servco sendmail.
Enve un mensa|e de correo eectrnco utzando e mandato mail y estabezca una conexn
entre e cente y e servdor a travs de <0<3, como se e|empfcada a contnuacn.
504
)liente#
F $e)ne$ 42=././.4 44/
N/H localhost@localdomain )yrus </<? v6@6@16!(nvoca!R<-!6@6@16!?@R2&14@1 server ready@
)liente# USER +.)#no
Servidor# N/H
)liente# AASS clave de accceso
Servidor# N/H 1ogged in@
)liente# STAT
Servidor# N/H 1 765
)liente# LFST
Servidor# N/H 1 messages#
1 765
@
)liente# RETR 4
Servidor# N/H 765 octets
Return!<ath# a"ulanoXlocalhost@localdomainL
Received# "rom localhost@localdomain (localhost@localdomain D186@165@1@694E)
by localhost@localdomain (5@1?@1/5@1?@1) ith S-0< id k6(-6RM4$$?857
"or arootXlocalhost@localdomainLV SatB 15 -ar 6$$6 16#$?#61 !$6$$
%ate# SatB 15 -ar 6$$6 16#$6#67 !$6$$
-essage!(d# a6$$6$?1566$?@k6(-6RM4$$?857Xlocalhost@localdomainL
=rom# "ulanoXlocalhost@localdomain
0o# rootXlocalhost@localdomain
Status# /
)ontent!1ength# 4?
1ines# 6
X!>(%# 6$6
X!Heyords#
4dios@
@
)liente# [UFT
Servidor# N/H 1ogging out@
Repta e procedmento, esta vez estabecendo conexn entre e cente y e servdor a travs de
%:A<, como se e|empfcada a contnuacn.
505
)liente#
F $e)ne$ 42=././.4 4E3
K /H localhost@localdomain )yrus (-4<4 v6@6@16!(nvoca!R<-!6@6@16!?@R2&14@1 server ready@
N/H dovecot ready@
)liente# C LOGFN +.)#no clave de acceso
Servidor# x /H 1ogged in@
)liente# C SELECT %n!oC
Servidor# K =14IS (O4nsered O=lagged O%eleted OSeen O%ra"t)
K /H D<&R-4,&,0=14IS (O4nsered O=lagged O%eleted OSeen O%ra"t OK)E =lags permitted@
K 1 &X(S0S
K $ R&)&,0
K /H D>,S&&, 1E =irst unseen@
K /H D>(%'41(%(0; 11$$968?56E >(%s valid
K /H D>(%,&X0 6$?E <redicted next >(%
x /H DR&4%!3R(0&E Select completed@
)liente# C FETCI 4 1+)#s !o-y"he#-er.+%e)-s 1s.!He&$5(5
Servidor# K 1 =&0)2 (=14IS (OSeen) :/%;D2&4%&R@=(&1%S (S>:^&)0)E \?$]
)
@
)liente# C FETCI 4 1!o-y"$eC$(5
Servidor# K 1 =&0)2 (:/%;D0&X0E \49]
4dios@
)
)liente# C LOGOUT
Servidor# K :;& 1ogging out
x /H 1ogout completed@
506
69. Apndice- "nviar correo a todos los usuarios
del sistema
69.+. <rocedimientos
1. Lo prmero ser generar un archvo en e sstema, e cua tendr como contendo una sta
de os usuaros de sstema a os que se quere envar un mensa|e. ste puede ocazarse en
cuaquer ugar de sstema, como por e|empo /etc/mail/allusers. Puede edtarse e archvo
/etc/mail/allusers y aadr ndvduamente cada usuaro que se desee conforme esa sta o
ben, s se quere aadr a todos os usuaros de sstema, e|ecutar o sguente:
ak !=# UF? L 9$$ \ print F1 ]U /etc/passd L /etc/mail/allusers
2. A contnuacn, debe modfcarse e archvo /etc/aliases y aadr a fna de msmo:
allusers# #include#/etc/mail/allusers
1. A termnar so debe e|ecutarse e mandato nealiases o ben rencar e servco de
Sendma (e gun de nco se encarga de hacer todo o necesaro).
3. Para probar, bastar con envar un mensa|e de correo eectrnco a a cuenta allusers de
servdor.
69.*. Acerca de la seguridad
Evte a toda costa utzar allusers o paabras muy obvas como aas de correo para envar a todas
as cuentas. Seguramente quenes se dedcan a envar correo masvo no soctado o correo
chatarra ($pam), tratarn de envar correo a este aas en e servdor. No es facte e traba|o a
esas personas y trate de utzar un aas ofuscado o en cave. E|empo: TjjMUsjeiTUV.
507
6S. Cmo instalar y con&igurar el programa
vacation para responder avisos autom;ticos en
vacaciones.
6S.+. %ntruccin.
Gacation es un pequeo pero t programa que permte confgurar cuentas de correo eectrnco
para que respondan automtcamente con un mensa|e que ndca que e usuaro se encuentra de
vacacones.
6S.*. "#uipamiento lgico necesario.
6S.*.+. %nstalacin a travs de yum.
Proceda a confgurar e depsto YUM de Acance Lbre que ncuye e paquete modfcado de squd
con soporte para dreccones MAC:
cd !
S utza Cent0> 5, 'ed Eath "nterprise inu2 5 o b$ite Bo2 "nterprise inu2 5, soo se
necesta reazar o sguente para nstaar o actuazar e equpamento gco necesaro:
yum !y install vacation
6S.*.*. %nstalacin a travs de up*date.
Edte e archvo =etc=syscon&ig=r$n=sources.
vim /etc/syscon"ig/rhn/sources
Aada e sguente contendo.
yum 41!Server http#//@alcancelibre@org/al/server/4/
508
up6date !i vacation
6S.3. <rocedimientos.
Es ndspensabe que e usuaro tenga acceso a ntrprete de mandatos a fn de poder utzar e
programa vacation. Asgne como ntrprete de mandatos =!in=!as$ o ben =!in=s$ a usuaro:
usermod !s /bin/bash usuario
Cambe a a sesn de usuaro:
su !l usuario
Utce vm para crear e archvo Y=.vacation.msg:
vim Y/@vacation@msg
Puse a teca %nsert.
Cooque dentro de archvo un contendo smar a sguente, evtando utzar acentos y a etra :
SubMect# &stoy de vacaciones@
=rom# como se llame ausuaarioXmi!dominio@com@mxL
Reply!0o# como se llame ausuaarioXmi!dominio@com@mxL
:uen diaB por el momento no me encuentro en la o"icinaB estoy de regreso el
proximo %% de ---- de 4444@
Reciba un cordial saludo@
4tentamente
1ic@ como se llame
,/04# -ensaMe KintencionalmenteK enviado sin acentos@
Puse a teca "sc, guarde cambos y saga de vm pusando a combnacn de tecas -2 y uego a
teca = (")@"').
Utce vm para crear e archvo Y=.&orPard:
vim Y/@"orard
Puse a teca %nsert.
Aada e sguente contendo, tomando en cuenta que a omsn de a barra nvertda (\) a nco
har que e programa vacation fae rremedabemente:
OusuarioB +Z/usr/bin/vacation usuario+
teca = (")@"').
509
Cambe os permsos de archvo para que soo permtan a ectura y escrtura a usuaro propetaro
de ste.
chmod 6$$ Y/@"orard
Como usuaro e|ecute e sguente mandato, a fn de ncar e programa.
vacation !(
Saga de a sesn de usuaro.
exit
A partr de este momento, todo e correo eectrnco que se env a a cuenta de usuaro, ser
responddo automtcamente con un avso que ncur e texto defndo en e archvo
=$ome=usuario=.vacation.msg.
Para desactvar e programa, soo es necesaro ngresar nuevamente a sstema como root y
emnar o renombrar e archvo =$ome=usuario=.&orPard.
mv /home/usuario/@"orard /home/usuario/@"orard@old
Y defnr de nuevo =dev=null, =!in=&alse o =s!in=nologin como ntrprete de mandatos para e
usuaro.
usermod !s /sbin/nologin usuario
510
7O. Cmo con&igurar clamav(milter.
7O.+. %ntroduccin.
7O.+.+. Acerca de clamav(milter.
Clamav(milter es un componente para aadr (<lug(in) para a bboteca de ftros de correo
(li!milter) de >endmail, que se encarga de hacer pasar todo e correo entrante, ncuyendo todo
o que se recba a travs de rmail=,,C<, a travs de ClamAG, que a su vez es un poderoso, y
robusto motor, con cencamento bre, para a deteccn de gusanos, troyanos, y vrus. Verfca e
correo eectrnco durante a conexn con e servdor de correo que remte ste utmo, y o
rechaza automtcamente s ste ncuye agn gusanos, troyanos o vrus.
A gua que clamav(milter, e cua es utzado para a ftracn de Spam, representa una
exceente aternatva pues tene un ba|o consumo de recursos de sstema, hacndoo dneo para
servdores con sustento fsco obsoeto, o donde otras apcacones tene mayor prordad en a
utzacn de recursos de sstema.
7O.+.*. Acerca de ClamAG.
ClamAG es un con|unto de herramentas antvrus, bre, y de cdgo fuente aberto, que tene as
sguente caracterstcas:
Dstrbudo ba|o os trmnos de a Lcenca Pubca Genera GNU versn 2.

Cumpe con as especfcacones de fama de estndares <0>%D (<ortabe 0peratng >ystem
%nterface for UNID o nterfaz portabe de sstema operatvo para Unx).
Exporacn rpda.
Detecta ms de 720 m vrus, gusanos, y troyanos, ncuyendo vrus para MS Offce.

Capacdad para examnar contendo de archvos ZIP, RAR, Tar, Gzp, Bzp2, MS OLE2, MS Cabnet,
MS CHM, y MS SZDD.
Soporte para exporar archvos comprmdos con UPX, FSG, y Pette.

Avanzada herramenta de actuazacn con soporte para frmas dgtaes, y consutas basadas
sobre DNS.
511
sendma (prevamente confgurado) sendma-cf
make m4
camav camav-mter
7O.*.+. Creacin del usuario para ClamAG.
De modo predetermnado, en os paquetes RPM basados sobre os dsponbes para Fedora, e
usuaro para CamAV se asgna a travs de os mandatos &edora(groupadd, y &edora(useradd e
UID, y GID 4 en e sstema. A fn de prevenr un confcto de UID/GID con otros usuaros, y grupos
de sstema, se recomenda crear prevamente a grupo, y usuaro correspondentes para CamAV:
groupadd !r clamav
useradd !r !s /sbin/nologin !d /var/lib/clamav !- !c U)lamav 4ntivirusU !g clamav clamav
7O.*.*. %nstalacin a travs de yum.
S dspone de un servdor con Cent0> 5, y 6 o 'ed Eath "nterprise inu2 5, y 6, puede utzar
e e amacn YUM de Alcance i!re para servdores en produccn, descargando e archvo
$ttp-==PPP.alcanceli!re.org=al=server=A(>erver.repo dentro de drectoro
=etc=yum.repos.d=:
cd
Este archvo, que se guarda como =etc=yum.repos.d=A(>erver.repo, debe tener e sguente
contendo:
D41!ServerE
gpgcheck*1
La nstaacn a travs de mandato yum requere utzar o sguente:
yum !y install clamav!milter clamav!milter!sysv clamav!data!empty clamav!update clamav!
scanner clamav!scanner!sysvinit
7O.3.+. >"inu2F y el servicio clamav(milter.
7O.3.+.+. Cent0> 5F y 'ed Eat "nterprise inu2 5.
En CentOS 5 ,y Red Hat Enterprse Lnux 5 se debe crear una potca para permtr a servco
clamd.scan utzar J%@, y a funcn e4ecmem@C.
Genere un nuevo drectoro denomnado =usr=s$are=selinu2=pacLages=clamd:
512
mkdir 8.sr8sh#re8se)%n.C8'#&7#es8&)#9-
Cambarse a drectoro =usr=s$are=selinu2=pacLages=clamd:
cd 8.sr8sh#re8se)%n.C8'#&7#es8&)#9-
Descargar e archvo $ttp-==PPP.alcanceli!re.org=linu2=secrets=clamd.te:
get http#//@alcancelibre@org/linux/secrets/clamd@te
vim clamd@te
module clamd 1@$V
reJuire \
type clamd.tV
class process execmemV
]
A************* clamd.t **************
allo clamd.t sel"#process execmemV
Lo anteror fue obtendo de a sada de mandato cat =var=log=audit=audit.logjgrep auditj
audit*alloP (m clamd]clamd.te en un sstema donde SELnux mpeda a clamav(milter utzar
a funcn e4ecmem@C.
A contnuacn, se genera un e archvo de mduo para SELnux (clamd.mod) utzando e
mandato c$ecLmodule de a sguente forma:
checkmodule !- !m !o clamd@mod clamd@te
Luego, se procede a empaquetar e archvo clamd.mod como e archvo clamd.pp:
semodule.package !o clamd@pp !m clamd@mod
Fnamente se vncua e archvo clamd.pp obtendo con as potcas actuaes de SELnux, y se
cargan stas en e nceo en e|ecucn:
semodule !i /usr/share/selinux/packages/clamd/clamd@pp
Una vez cargadas as nuevas potcas, se pueden emnar os archvos clamd.te, y clamd.mod,
pues soo ser necesaro que exsta e archvo bnaro clamd.pp.
A fn de evtar reazar todo o anteror, permtr que e servco clamd.scan pueda utzar a
funcn e4ecmem@C, y que SELnux mpda as conexones de servco clamav(milter haca e
servco clamd.scan, utce e sguente mandato:
513
setsebool !< clamd.disable.trans 1
Para que SELnux permta a servco clamav(milter funconar normamente, y que permta
reazar a revsn de correo eectrnco, utce e sguente mandato:
setsebool !< clamscan.disable.trans 1
Para que SELnux permta a mandato &res$clam funconar normamente, y que permta actuazar
a base de datos de frmas dgtaes, utce e sguente mandato:
setsebool !< "reshclam.disable.trans 1
7O.3.+.*. Cent0> 6F y 'ed Eat "nterprise inu2 6.
En CentOS 6, y Red Hat Enterprse Lnux 6 soo exste una potca a confgurar, y es
clamdQuseQ.it, a cua permte a servco clamd.scan utzar J%@, y a funcn e4ecmem@C.
setsebool !< clamd.use.Mit on
7O.3.*. 'e#uisitos previos.
Se requere un servdor de correo con >endmail, prevamente confgurado, y funconando para
envar, y recbr correo eectrnco. Para ms detaes a respecto, consutar e documento ttuado
2#onfiguraci/n bsica de $endmail @Farte 0C.3.
7O.3.3. Arc$ivo =etc=mail=sendmail.mc.
Es necesaro agregar e sguente contendo en e archvo =etc=mail=sendmail.mc, |usto arrba de
a nea :A%"'MsmtpNdnl.
(,<>0.-4(1.=(10&R(kclamavUB kS*local#/var/run/clamav!milter/clamav@sockB =*B 0*S#4mVR#4mU)dnl
de"ine(kcon"(,<>0.-4(1.=(10&RSUB k&)#9#*U)dnl
S se combna con >pamassassin :ilter, quedara de sguente modo:
(,<>0.-4(1.=(10&R(kclamavUB kS*local#/var/run/clamav!milter/clamav@sockB =*B 0*S#4mVR#4mU)dnl
(,<>0.-4(1.=(10&R(kspamassassinUB kS*unix#/var/run/spamass!milter/spamass!milter@sockB =*B
0*)#19mVS#4mVR#4mV&#1$mU)dnl
de"ine(kcon"-(10&R.-4)R/S.)/,,&)0UBktB bB MB .B B B U)dnl
de"ine(kcon"-(10&R.-4)R/S.2&1/UBksB B B B B U)dnl
de"ine(kcon"(,<>0.-4(1.=(10&RSUB ks'#9#ss#ss%nB&)#9#*U)dnl
7O.3.4. Con&iguracin.
Clamav(milter depende totamente de a base de datos de ClamAG. E funconamento estndar,
que consste en rechazar correo eectrnco que contenga vrus, y otros programas magnos,
funcona sn necesdad de parmetros adconaes. Las banderas de nco para camav-mter estn
defndas en e archvo =etc=syscon&ig=clamav(milter, msmo que permte funconar
normamente sn necesdad de modfcar un soo parmetro, a menos que se neceste especfcar
aguna opcn avanzada defnda en a pgna de manua de camav-mter.
man clamav!milter
514
7O.3.5. %niciarF detenerF y reiniciar el servicio clamav(milter.
Desde a versn 0.95, CamAV-mter requere est funconando camdscan como servco. Los
paquetes de CamAV ncuyen o necesaro a travs de camav-scanner. Soo se requere agregar a
arranque de sstema, y se nca os servcos clamd.scan, y clamav(milter de sguente modo, y
orden:
chkcon"ig clamd@scan on
service clamd@scan start
chkcon"ig clamav!milter on
service clamav!milter start
E archvo =etc=&res$clam.con& de os paquetes dstrbudos por Alcance i!re ya ncuye as
modfcacones necesaras para permtr e funconamento de mandato &res$clam. Sn embargo,
s se utzan paquetes para Fedora, es necesaro edtar este archvo, y comentar o emnar a nea
9, que ncuye smpemente a paabra ngesa ,4ample, y que de otro mod mpedra utzar e
mandato &res$clam:
AA
AA &xample con"ig "ile "or "reshclam
AA <lease read the "reshclam@con"(9) manual be"ore editing this "ile@
AA
A )omment or remove the line belo@
T EC#9')e
E archvo =etc=syscon&ig=&res$clam de os paquetes dstrbudos por Alcance i!re ya ncuye
as modfcacones necesaras para permtr a actuazacn automtca de a base de datos de
ClamAG. S se utzan paquetes de Fedora, y a fn de mantener actuazada a base de datos de
frmas dgtaes, es necesaro edtar e archvo =etc=syscon&ig=&res$clam con e ob|eto de permtr
as actuazacones automtcas:
AAA hhhhh R&-/'& -& hhhhhh
AAA R&-/'& -&# :y de"aultB the "reshclam update is disabled to avoid
AAA R&-/'& -&# netork access ithout prior activation
T FRESICLAM_DELAU=-%s#!)e--?#rn T REMO;E ME
Antes de poner en operacn e servdor, es recomendabe actuazar manuamente, y de manera
nmedata, a base de datos de frmas utzando e mandato &res$clam, desde cuaquer termna
como root.
"reshclam
A termnar, consderando que est nstaado e paquete sendmail(mc, e cua permte
reconfgurar >endmail a partr de archvo =etc=mail=sendmail.mc, se debe rencar e servco
sendmail para que surtan efectos os cambos.
515
7+. Cmo con&igurar spamass(milter.
7+.+. %ntroduccin.
7+.+.+. 'e#uisitos previos.
Se requere un servdor de correo con >endmail, prevamente confgurado y funconando para
envar y recbr correo eectrnco. Para ms detaes a respecto, consutar e documento ttuado
2#onfiguraci/n bsica de $endmail3.
Se requere adems eer y estudar prevamente a nformacn de documento ttuado 2#/mo
instalar y configurar $pamassassin.3
7+.+.*. Acerca de spamass(milter.
>pamass(milter es un componente adcona (<lug(in) para a bboteca de ftros de correo
(li!milter) de >endmail, que se encarga de hacer pasar todo e correo entrante, ncuyendo todo
o que se recba a travs de rmail=,,C<, a travs de >pamAssassin, que a su vez es un
poderoso y robusto componente de ftrado de correo.
Representa una exceente aternatva pues tene un ba|o consumo de recursos de sstema,
hacndoo dneo para servdores con sustento fsco obsoeto, o donde otras apcacones tene
mayor prordad en a utzacn de recursos de sstema.
URL: http://savannah.nongnu.org/pro|ects/spamass-mt/
7+.+.3. Acerca de >pamAssassin.
>pamAssassin es una mpementacn que utza un sstema de puntuacn, basado sobre
agortmos de tpo gentco, para dentfcar mensa|es que puderan ser sospechosos de ser correo
masvo no soctado, aadendo cabeceras a os mensa|es de modo que puedan ser ftrados por e
cente de correo eectrnco o :,A (:a ,ser Agent).
URL: http://spamassassn.apache.org/
sendma (prevamente confgurado) sendma-cf
make m4
spamassassn spamass-mter
516
per-Ma-SPF per-Razor-Agent
pyzor
S dspone de un servdor con Cent0> 4 o 5 o ben 'ed Eath "nterprise inu2 4 o 5, puede
utzar e depsto yum de Alcance i!re para servdores en produccn:
D41!ServerE
gpgcheck*1
La nstaacn soo requere utzar o sguente:
yum !y install spamass!milter perl!-ail!S<= perl!RaCor!4gent pyCor
7+.3.+. >"inu2 y el servicio spamass(milter.
A fn de que SELnux permta a servco spamassassin conectarse a servcos externos, como
razor o Pyzor, utce e sguente mandado:
A fn de que SELnux permta a os usuaros de sstema utzar spamassassin desde sus
drectoros de nco, utce e sguente mandato:
S se desea desactvar toda gestn de SELnux sobre os servcos spamass(milter y
spamassassin, hacendo que todo o anteror perda sentdo y emnando a proteccn que
brnda esta mpementacn, utce os sguentes mandatos:
setsebool !< spamd.disable.trans 1
setsebool !< spamass.milter.disable.trans 1
7+.3.+.+. A.ustes adicionales.
Actuazacones recentes en as potcas de SELnux mpedrn que e servco spamass(milter
pueda squera ncar. Por o tanto, es mperatvo nstaar as potcas de SELnux
correspondentes.
Genere un nuevo drectoro denomnado =usr=s$are=selinu2=pacLages=spamassmilter:
mkdir 8.sr8sh#re8se)%n.C8'#&7#es8s'#9#ss9%)$er
Cambarse a drectoro =usr=s$are=selinu2=pacLages=spamassmilter:
517
cd 8.sr8sh#re8se)%n.C8'#&7#es8s'#9#ss9%)$er
S utza Cent0> 5 o 'ed Eat "nterprise inu2 5, descargar e archvo
$ttp-==PPP.alcanceli!re.org=linu2=secrets=el5=spamassmilter.te:
get http#//@alcancelibre@org/linux/secrets/el9/spamassmilter@te
vim spamassmilter@te
module spamassmilter 1@$V
reJuire \
type spamass.milter.data.tV
type spamass.milter.tV
type pyCor.tV
type spamd.tV
class dir \ search read create rite getattr remove.name add.name ]V
class "ile \ read create ioctl rite getattr unlink append ]V
]
A************* pyCor.t **************
allo pyCor.t spamass.milter.data.t#dir \ rite search create getattr add.name ]V
allo pyCor.t spamass.milter.data.t#"ile \ read rite create getattr ]V
A************* spamass.milter.t **************
allo spamass.milter.t initrc.var.run.t#"ile \ rite getattr ]V
A************* spamd.t **************
allo spamd.t spamass.milter.data.t#dir \ rite search read remove.name create getattr add.name ]V
allo spamd.t spamass.milter.data.t#"ile \ rite getattr read create unlink ioctl append ]V
audit*alloP (m spamassmilter]spamassmilter.te en un sstema Cent0> 5 donde SELnux
mpeda a spamass(milter funconar correctamente.
S utza Cent0> 6 o 'ed Eat "nterprise inu2 6, descargar e archvo
$ttp-==PPP.alcanceli!re.org=linu2=secrets=el6=spamassmilter.te:
get http#//@alcancelibre@org/linux/secrets/el6/spamassmilter@te
vim spamassmilter@te
module spamassmilter 1@$V
reJuire \
type spamass.milter.data.tV
518
type spamass.milter.tV
type pyCor.tV
type spamc.tV
type spamd.tV
class dir \ search read create rite open getattr remove.name add.name ]V
class "ile \ read create ioctl rite open getattr unlink append ]V
]
A************* pyCor.t **************
allo pyCor.t spamass.milter.data.t#dir \ rite search create getattr add.name ]V
allo pyCor.t spamass.milter.data.t#"ile \ read rite create getattr ]V
A************* spamass.milter.t **************
allo spamass.milter.t initrc.var.run.t#"ile \ rite getattr ]V
A************* spamd.t **************
allo spamd.t spamass.milter.data.t#dir \ rite open search read remove.name create getattr
add.name ]V
allo spamd.t spamass.milter.data.t#"ile \ rite open getattr read create unlink ioctl append ]V
A************* spamc.t **************
allo spamc.t spamass.milter.data.t#"ile openV
audit*alloP (m spamassmilter]spamassmilter.te en un sstema Cent0> 6 donde SELnux
mpeda a spamass(milter funconar correctamente.
A contnuacn, se genera un e archvo de mduo para SELnux (spamassmilter.mod) utzando
e mandato c$ecLmodule de a sguente forma:
checkmodule !- !m !o spamassmilter@mod spamassmilter@te
Luego, se procede a empaquetar e archvo spamassmilter.mod como e archvo
spamassmilter.pp:
semodule.package !o spamassmilter@pp !m spamassmilter@mod
Fnamente se vncua e archvo spamassmilter.pp obtendo con as potcas actuaes de SELnux
y se cargan stas en e nceo en e|ecucn:
semodule !i /usr/share/selinux/packages/spamassmilter/spamassmilter@pp
Una vez cargadas as nuevas potcas, se pueden emnar os archvos spamassmilter.te y
spamassmilter.mod, pues soo ser necesaro que exsta e archvo bnaro spamassmilter.pp.
7+.3.*. Arc$ivo =etc=mail=sendmail.mc.
Edtar e archvo =etc=mail=sendmail.mc:
vim 8e$&89#%)8sen-9#%).9&
Es necesaro agregar e sguente contendo en e archvo =etc=mail=sendmail.mc, |usto arrba de
:A%"'MsmtpNdnl.
dnl -4Sl>&R4%&.%/-4(,(localhost)dnl
519
FNAUT_MAFL_FFLTER1as'#9#ss#ss%nB6 aS=.n%CD8*#r8r.n8s'#9#ss-9%)$er8s'#9#ss-9%)$er.so&76 F=6
T=CD459YSDE9YRDE9YED4/9B5-n)
-e+%ne1a&on+MFLTER_MACROS_CONNECTB6a$6 !6 H6 _6 X-#e9on_n#9eZ6 X%+_n#9eZ6 X%+_#--rZB5-n)
-e+%ne1a&on+MFLTER_MACROS_IELOB6as6 X$)s_*ers%onZ6 X&%'herZ6 X&%'her_!%$sZ6 X&er$_s.!He&$Z6
X&er$_%ss.erZB5-n)
-e+%ne1a&on+MFLTER_MACROS_EN;RCATB6ar6 *6 KB5-n)
-4(1&R(smtp)dnl
-4(1&R(procmail)dnl
S se combna con ClamAG :ilter, quedara de sguente modo:
dnl -4Sl>&R4%&.%/-4(,(localhost)dnl
FNAUT_MAFL_FFLTER1a&)#9#*B6 aS=)o&#)D8*#r8r.n8&)#9#*-9%)$er8&)#9#*.so&76 F=6 T=SDE9YRDE9B5-n)
FNAUT_MAFL_FFLTER1as'#9#ss#ss%nB6 aS=.n%CD8*#r8r.n8s'#9#ss-9%)$er8s'#9#ss-9%)$er.so&76 F=6
T=CD459YSDE9YRDE9YED4/9B5-n)
-e+%ne1a&on+MFLTER_MACROS_CONNECTB6a$6 !6 H6 _6 X-#e9on_n#9eZ6 X%+_n#9eZ6 X%+_#--rZB5-n)
-e+%ne1a&on+MFLTER_MACROS_IELOB6as6 X$)s_*ers%onZ6 X&%'herZ6 X&%'her_!%$sZ6 X&er$_s.!He&$Z6
X&er$_%ss.erZB5-n)
-e+%ne1a&on+MFLTER_MACROS_EN;RCATB6ar6 *6 KB5-n)
-e+%ne1a&on+FNAUT_MAFL_FFLTERSB6 as'#9#ss#ss%n6&)#9#*B5-n)
-4(1&R(smtp)dnl
-4(1&R(procmail)dnl
7+.3.3. Arc$ivo =etc=syscon&ig=spamass(milter.
Edtar e archvo =etc=syscon&ig=spamass(milter:
vim 8e$&8sys&on+%8s'#9#ss-9%)$er
E archvo =etc=syscon&ig=spamass(milter ncuye e sguente contendo:
AAA /verride "or your di""erent local con"ig
AS/)H&0*/var/run/spamass!milter/spamass!milter@sock
AAA Standard parameters "or spamass!milter are#
AAA !< /var/run/spamass!milter@pid (<(% "ile)
AAA
AAA ,ote that the !" parameter "or running the milter in the background
AAA is not reJuired because the milter runs in a rapper script that
AAA backgrounds itsel"
AAA
AAA ;ou may add another parameters hereB see spamass!milter(1)
A&X0R4.=14IS*+!m !r 19+
De forma predetermnada, a travs de parmetro (m, spamass(milter desactva a modfcacn
de asunto de mensa|e (>u!.ect-) y a cabecera Content(@ype-, o cua es convenente para
aadr cabeceras y se procesado posterormente, y, a travs de parmetro (r +5, rechaza os
mensa|es de correo eectrnco cuando stos tenen asgnados 15 puntos o ms. Se pueden
modfcar e nmero de puntos mnmos para rechazar drectamente e correo eectrnco
sospechoso de ser $pam ncrementando e vaor para e parmetro (r. La recomendacn es
asgnar un vaor mayor a defndo en e archvo =etc=mail=spamassassin=local.c&. S, por
e|empo, se estabece en ste tmo re#uiredQ$its 4.5 y rePriteQ$eader >u!.ect d>pam?g y
en e archvo =etc=syscon&ig=spamass(milter se estabece "D@'AQFA?>R/(m (r +O/, ocurrr
o sguente:
520
1. Todos os mensa|es marcados con 4.4 puntos o menos, se entregarn
nmedatamente a usuaro sn modfcacones vsbes.
2. Todos os mensa|es marcados desde 4.5 hasta 9.9 puntos se entregarn a usuaro
con e asunto modfcado aadendo a ste {Spam?} a nco.
3. Todos os mensa|es que estn marcados con 10.0 puntos o ms sern rechazados
automtcamente.
Basado sobre e e|empo menconado, e contendo de archvo =etc=syscon&ig=spamass(milter
quedara de sguente modo:
AAA /verride "or your di""erent local con"ig
AS/)H&0*/var/run/spamass!milter/spamass!milter@sock
AAA Standard parameters "or spamass!milter are#
AAA !< /var/run/spamass!milter@pid (<(% "ile)
AAA
AAA ,ote that the !" parameter "or running the milter in the background
AAA is not reJuired because the milter runs in a rapper script that
AAA backgrounds itsel"
AAA
AAA ;ou may add another parameters hereB see spamass!milter(1)
EXTRA_FLAGS="-9 -r 4/"
7+.3.4. Arc$ivo =etc=procmailrc.
S se desea que e correo marcado con una mnma puntuacn para ser consderado >pam (gua
o superor a vaor defndo para e parmetro re#uiredQ$its de archvo
/etc/ma/spamassassn/oca.cf) se entregue en una carpeta dferente a buzn de entrada, para
ser consutado a travs de un webma (Squrrema o GroupOffce) o ben un cente con soporte
IMAP (Mcrosoft Outook, GNOME Evouton o Moza Thunderbrd), se puede crear e archvo
=etc=procmailrc:
vim 8e$&8'ro&9#%)r&
Y aadre e sguente contendo:
A 2acer pasar el correo por spamassassin
#$"
Z /usr/bin/spamc
A -over mensaMes positivos a Spam hacia la capeta Y/mail/Spam del usuario
#$#
F2/-&/mail/Spam
Lo anteror defne una rega condconada a que a cabecera de mensa|e ncuya D(>pam(>tatus-
Xes, e cua es agregado por >pamAssassin cuando hay casos que superan e mnmo de puntos
para ser consderado >pam, de modo que todo correo que ncuya esta cabecera ser amacenado
en a carpeta mail=>pam propedad de usuaro a quen sea destnado e mensa|e. A estar en
=etc=procmailrc, esta rega se apca a todas a cuentas de usuaro en e servdor. Combnado con
todo o anteror, ocurrr o sguente:
521
1. Todos os mensa|es marcados con 4.4 puntos o menos, se entregarn
nmedatamente a usuaro sn modfcacones vsbes.
2. Todos os mensa|es marcados desde 4.5 hasta 9.9 puntos se entregarn a usuaro
con e asunto modfcado aadendo a ste {Spam?} a nco y se amacenarn en a
capeta Y=mail=>pam de usuaro.
3. Todos os mensa|es que estn marcados con 10.0 puntos o ms sern rechazados
automtcamente.
Arc$ivo =etc=syscon&ig=spamassassin.
A fn de que spamass(milter y spamassassin traba|en |untos, es necesaro exsta e drectoro de
confguracn para e usuaro sa(milt que se utzar para ncar spamd, e cua corresponde a
servco spamassassin. Por o genera, este drectoro se crea automtcamente a nstaar e
paquete spamassassin.
Este drectoro debe pertenecer a usuaro sa(milt y grupo sa(milt.
chon !R sa!milt#sa!milt /var/lib/spamassassin
Se edta e archvo =etc=syscon&ig=spamassassin:
vim 8e$&8sys&on+%8s'#9#ss#ss%n
Y se aaden as opcones (u sa(milt (2 ((virtual(con&ig(dirR=var=li!=spamassassin, as cuaes
especfcan que se ncar como e usuaro sa(milt, que se desactvar a confguracn por
usuaro y que se utzar =var=li!=spamassassin como drectoro vrtua de confguracn. De ta
modo, e archvo debe quedar de a sguente forma:
A /ptions to spamd
SAAMDOATFONS="-- -& -95 -I -. s#-9%)$ -C --*%r$.#)-&on+%--%r=8*#r8)%!8s'#9#ss#ss%n"
7+.3.5. %niciarF detener y reiniciar el servicio spamass(milter.
Se agrega a arranque de sstema y se nca e servco spamassasin de sguente modo:
service spamassassin start
E servco spamass(milter se agrega a arranque de sstema y se nca de sguente modo:
chkcon"ig spamass!milter on
service spamass!milter start
A termnar, consderando que est nstaado e paquete sendmail(mc, e cua permte apcar
cambos en a confguracn >endmail a partr de archvo =etc=mail=sendmail.mc, se debe
rencar e servco sendmail para que surtan efectos os cambos reazado en e archvo
menconado.
522
A fn de mantener actuazado e |uego de regas y ftros de Spamassassn, es convenente
actuazar stos de vez en cuando, a o sumo una o dos veces a mes. Los |uegos de regas y ftros
de Spamassassn reamente sufren pocos cambos a o argo de ao y se amacenan en un sub-
drectoro dentro de =var=li!=spamassassin=. Soo es necesaro conservar e sub-drectoro con a
versn ms recente. E sguente mandato reazar a consuta y actuazacn de regas y ftros
de Spamassassn y rencar e servco soamente s se descarg una actuazacn:
sa!update cc service spamassassin restart
523
7*. Cmo con&igurar un servidor )%>
7*.+. %ntroduccin.
Anterormente conocdo como >un XelloP <ages (X< o Pgnas Amaras), )%> ()etwork
%nformaton >ervce o Sstema de Informacn de Red) es un protocoo para servco de drectoros
cente/servdor para a dstrbucn de datos, como pueden ser nombres de usuaros, caves de
acceso, drectoros de usuaro y nombres de anftrones, utzados por sstemas comuncados en
una red. Orgnamente fue desarroado por >un :icrosystems y est est basado sobre 0)C
'<C. Consta de un servdor, una bboteca para os centes y herramentas de
admnstracn. Actuamente NIS est ncudo como mpementacn bre en todas as
dstrbucones de Lnux y varantes de Unx, e ncuso exsten mpementacones bres.
7*.*. <rocedimientos.
Este documento consdera as sguentes varabes que debern ser reempazadas por vaores
reaes:
domno.net: susttuya por e domno que se desee confgurar.
servdor.domno.net: susttuya por e nombre de anftrn de servdor NIS.
192.168.0.254: Dreccn IP de servdor NIS
192.168.0.0: Dreccn de red
255.255.255.0: Mscara de subred.
%nstalacin del e#uipamiento lgico necesario en el servidor )%>.
7*.*.+.+. %nstalacin a travs de yum.
S utza Cent0> 4 y 5, b$ite Bo2 "nterprise inu2 4 y 5 o 'ed Eat "nterprise inu2 5, y
versones posterores, soo se necesta reazar o sguente para nstaar o actuazar e
equpamento gco necesaro:
yum !y install ypbind yp!tools ypserv
7*.*.+.*. %nstalacin a travs de up*date.
up6date !i install ypbind yp!tools ypserv
524
7*.*.*. Con&iguracin del servidor )%>.
7*.*.*.+. Con&iguracin del arc$ivo =etc=yp.con&
Edte e archvo /etc/yp.conf:
vi /etc/yp@con"
Aada a sguente nea:
domain dominio@net server 186@165@$@694
7*.*.*.*. Con&iguracin del arc$ivo =etc=ypserv.con&
Edte e archvo /etc/ypserv.conf
vi /etc/ypserv@con"
Aada o verfque que est presente e sguente contendo:
dns# no
"iles# ?$
x"r.check.port# yes
K # K # shado@byname # port
K # K # passd@adMunct@byname # port
7*.*.*.3. Con&iguracin del arc$ivo =etc=syscon&ig=netPorL
Edte e archvo /etc/sysconfg/network
vi /etc/syscon"ig/netork
,(S%/-4(,*+dominio@net+
Para ntegrarse a domno recn confgurado, es necesaro utzar os sguente mandatos.
domainname dominio@net
ypdomainname dominio@net
7*.*.*.4. Creacin y contenido del arc$ivo =var=yp=securenets.
Edte e archvo /var/yp/securenets:
vi /var/yp/securenets
525
Defnr a dreccn IP de retorno de sstema y a mscara de subred y dreccn IP de red
correspondente a a red con a que se est traba|ando. E e e|empo a contnuacn, se est
utzando una red +S*.+69.O.O con mscara de subred *55.*55.*55.O (24 bts):
host 167@$@$@1
699@699@699@$ 186@165@$@$
7*.*.*.5. %nicio y reinicio de servicios portmap y ypserv.
E servco de portmap se debe rencar para reconozca a servco ypserv recn nstaado.
service portmap restart
E servco ypserv es ncado (o rencado s ya estuvera e|ecutndose) y agregado a arranque
de sstema.
service ypserv start
chkcon"ig ypserv on
Para hacer comprobar que e servco est funconado ypserv correctamente, utce:
rpcin"o !u localhost ypserv
el programa 1$$$$4 versiRn 1 esti listo y a la espera
7*.*.*.6. Creacin de mapas )%>.
Deben crearse os mapas NIS donde se amacenar a nformacn de servco.
/usr/lib/yp/ypinit !m
Lo anteror deber devover una sada smar a o sguente, donde soo deber agregarse e
nombre de anftrn de sstema:
4t this pointB e have to construct a list o" the hosts hich ill run ,(S
servers@ servidor$$@cch!naucalpan@mx is in the list o" ,(S server hosts@ <lease
continue to add
the names "or the other hostsB one per line@ 3hen you are done ith the
listB type a acontrol %L@
next host to add# locahost@localdomain
next host to add#
E e tmo campo ngrese e nombre de anftrn de sstema y puse CTRL-D a termnar:
4t this pointB e have to construct a list o" the hosts hich ill run ,(S
servers@ servidor$$@cch!naucalpan@mx is in the list o" ,(S server hosts@ <lease
continue to add
the names "or the other hostsB one per line@ 3hen you are done ith the
listB type a acontrol %L@
next host to add# localhost@localdomain
526
next host to add# servidor@dominio@net
7*.*.*.7. Arran#ue de servicios yp!indF yppassPdd y yp2&&rd
Ince os servcos ypbnd, yppasswdd y ypxffrd.
service ypbind start
service yppassdd start
service ypx"rd start
Aada stos servcos a arranque de sstema
chkcon"ig ypbind on
chkcon"ig yppassdd on
chkcon"ig ypx"rd on
7*.*.3. %nstalacin del e#uipamiento lgico necesario en el cliente )%>.
7*.*.3.+. %nstalacin a travs de yum.
S utza Cent0> 4 y 5, b$ite Bo2 "nterprise inu2 4 y 5 o 'ed Eat "nterprise inu2 5, y
versones posterores, soo se necesta reazar o sguente para nstaar o actuazar e
yum !y install ypbind yp!tools
7*.*.3.*. %nstalacin a travs de up*date.
up6date !i install ypbind yp!tools
7*.*.4. Con&iguracin del cliente )%>.
7*.*.4.+. Con&iguracin de arc$ivos =etc=syscon&ig=netPorLF =etc=yp.con&
y =etc=$osts.
Edte e archvo /etc/sysconfg/network:
vi /etc/syscon"ig/netork
Aada a sguente nea:
,(S%/-4(,*internal
Edte e archvo /etc/yp.conf:
vi /etc/yp@con"
527
Consderando que e domno a utzar es dominio.net y que a dreccn IP de servdor es
+S*.+69.O.*54, aada a sguente nea:
domain dominio@net server 186@165@$@94
Edte e archvo /etc/hosts:
vi /etc/hosts
Asegrese que est defndo un regstro que asoce a dreccn IP prncpa de sstema con e
nombre de anftrn de sstema. Consderando que a IP de servdor es +S*.+69.O.*54, y que e
nombre de anftrn es servidor.dominio.net, deber encontrar o aadr un regstro smar a
sguente:
186@165@$@694 servidor@dominio@net servidor
7*.*.4.*. "sta!lecer el domino )%>.
Es necesaro ntegrar e sstema a domno NIS. Utce os sguentes dos mandatos para ograr
sto:
domainname dominio@net
ypdomainname dominio@net
7*.*.4.3. A.ustes en los arc$ivos =etc=nssPitc$.con&F =etc=$osts.alloP
y =etc=$osts.deny.
Edte e archvo /etc/nsswtch.conf:
vi /etc/nssitch@con"
Aada as sguentes neas a fna de este archvo:
passd# "iles nis
shado# "iles nis
group# "iles nis
A fn de estabecer una segurdad apropada, es necesaro denegar e acceso a todo en e
archvo /etc/hosts.deny. Edte ste archvo:
vi /etc/hosts@deny
Aada a sguente nea:
portmap#411
Edte e archvo /etc/hosts.aow:
v /etc/hosts.aow
528
Defna os anftrones y redes que tendrn permtdo acceder a os servcos confgurados:
portmap#167@$@$@1
portmap#186@165@$@$/699@699@699@$
7*.*.4.4. %niciar servicio yp!ind.
Ince y aada a arranque de sstema e servco ypbnd:
service ypbind start
chkcon"ig ypbind on
7*.*.4.5. Compro!aciones.
Para asegurarse de que todo funcona correctamente, utce e sguente mandato que reazar
una soctud RPC para soctar nformacn de servco ypbnd:
rpcin"o !u localhost ypbind
E mandato anteror deber regresar una sada smar a a sguente. S acaso regresa ago dstnto
o conexn rehusada, deben revsarse todos os procedme|ntos reazados hasta este punto.
Utce e sguente mandato para consutar todos os datos que estn sendo dstrbudos por e
servco ypserv de servdor NIS.
ypcat passd
Lo anteror debe devover una sada smar a a sguente, que consste en todo e contendo de
/etc/passwd.
usuario1#F1Fnie-2n4/FSc/%0%5lpog66Jl$?^h$$#941#45##/home/usuario1#/bin/bash
usuario6#F1Fnie-2n4/FSc/%0%5lpog66Jl$?^h$$#91$#45##/home/usuario6#/bin/bash
vusuario?#F1Fnie-2n4/FSc/%0%5lpog66Jl$?^h$$#946#45##/home/usuario?#/bin/bash
529
73. %ntroduccin a 0penDA<.
73.+. %ntroduccin.
73.+.+. Acerca de DA<.
DA< (ghtweght Drectory Access <rotoco) es un protocoo para consuta y modfcacn de
servcos de drectoro que se desempean sobre TCP/IP. DA< utza e modeo X.500 para su
estructura, es decr, se estructura rbo de entradas, cada una de as cuaes consste de un
con|unto de atrbutos con nombre y que a su vez amacenan vaores.
E nco de a operacn StartTLS en un servdor LDAP, estabece a comuncacn @> (@ransport
ayer >ecurty, o Segurdad para Nve de Transporte) a travs de msmo puerto 389 por TCP.
Provee confdencadad en e transporte de datos e proteccn de a ntegrdad de datos. Durante
a negocacn, e servdor enva su certfcado con estructura X.509 para verfcar su dentdad.
URL: http://en.wkpeda.org/wk/LDAP
73.+.*. Acerca de '>A.
530
531
74. Cmo con&igurar 0penDA< como servidor
de autenticacin
532
75. %ntroduccin.
Por favor, eer e documento ttuado Introduccn a OpenLDAP.
75.+. "#uipamiento lgico necesario.
opendap-cents-2.x
opendap-servers-2.x
authconfg
authconfg-gtk (opcona)
mgratontoos
%nstalacin a travs de yum.
S utza Cent0> 6, o 'ed Eath "nterprise inu2 6, e|ecute o sguente para nstaar, o
actuazar, e equpamento gco necesaro:
yum !y install openldap openldap!clients openldap!servers nss!pam!ldapd
yum !y install authcon"ig authcon"ig!gtk migrationtools
)ota.
S utza Cent0> 5, o 'ed Eath "nterprise inu2 5, e|ecute o sguente para nstaar o actuazar e
yum !y install openldap openldap!clients openldap!servers nss.ldap
yum !y install authcon"ig authcon"ig!gtk
75.*.+. >"inu2 y el servicio ldap.
E servco slapd funconar perfectamente con SELnux actvo en modo de imposici/n
(en&orcing).
Todo e contendo de drectoro =var=li!=ldap debe tener contexto tpo slapdQd!Qt.
chcon !R !t slapd.db.t /var/lib/ldap
Lo anteror soo ser necesaro s se restaura un respado hecho a partr de un sstema sn SELnux.
75.*.*. Certi&icados para @>=>>.
Es muy mportante utzar TLS/SSL cuando se confgura e sstema para fungr como servdor de
autentcacn, por o cua e sguente procedmento es obgatoro. S utza Cent0> 6, o 'ed
Eath "nterprise inu2 6, requerr a menos openldap(*.4.*3(+6.el6, debdo a que a
versones anterores tenen roto e soporte para TLS/SSL.
533
Cambe a drectoro =etc=pLi=tls=certs:
cd /etc/pki/tls/certs
La creacn de a frma dgta y certfcado requere utzar una frma dgta con agortmo '>A de
2048 octetos, y estructura 25OS. De modo predetermnado se estabece una vadez por 365 das
(un ao) para e certfcado que se crear.
rm !" slapd@pem
make slapd@pem
cd !
Estado o provnca.
Cudad.
Undad o seccn.
Nombre de anftrn.
Dreccn de correo.
La sada sera smar a a sguente:
@@@@@@@@@@@@@@@@NNNNNN
@NNNNNN
riting ne private key to Udovecot@keyU
!!!!!
or a %,@
!!!!!
/rganiCation ,ame (egB company) D-y )ompany 1tdE#
M% e9'res#6 S.A. -e C.;.
)ommon ,ame (egB your name or your serverUs hostname) DE#
ser*%-or.-o9%n%o.$)-
&mail 4ddress DE#?e!9#s$erJ-o9%n%o.$)-
E certfcado soo ser vdo cuando e servdor DA< sea nvocado con e nombre defndo en e
campo Common )ame. Es decr, so podr utzaro cuando se defna como nombre de anftrn,
es decr servidor.dominio.tld. Para que esto funcone, ser ndspensabe que un servdor DNS se
encargue de a resoucn de nombre de anftrn de servdor LDAP para toda a red de rea oca.
534
Es ndspensabe que e archvo que contene a frma dgta y e certfcado tenga permsos de
acceso de ectura y escrtura para e usuaro root, y permsos de acceso de so ectura para e
grupo ldap:
chon root#ldap /etc/pki/tls/certs/slapd@pem
chmod 64$ /etc/pki/tls/certs/slapd@pem
Edte e archvo =etc=syscon&ig=ldap:
vi /etc/syscon"ig/ldap
Arededor de a nea 20, ocace #SLAPD_LDAPS=no:
TSLAAD_LDAAS=no
Emne a amohada (#) y cambe no por yes, de modo que quede como >A<DQDA<>Ryes.
SLAAD_LDAAS=yes
75.*.3. Creacin de directorios.
Con fnes de organzacn se crear un drectoro especfco para este drectoro y se confgurar
con permsos de acceso excusvamente a usuaro y grupo dap.
mkdir /var/lib/ldap/autenticar
chmod 7$$ /var/lib/ldap/autenticar
Se requere copar e archvo DBQC0)F%?.e2ample dentro de drectoro
=var=li!=ldap=autenticar=, como e archvo DBQC0)F%?. Es decr, e|ecute o sguente:
cp /usr/share/openldap!servers/%:.)/,=(I@example /var/lib/ldap/autenticar/%:.)/,=(I
)ota.
S utza Cent0> 5 o 'ed Eat "nterprise inu2 5, e|ecute o sguente:
cp /etc/openldap/%:.)/,=(I@example /var/lib/ldap/autenticar/%:.)/,=(I
Todo e contendo de drectoro =var=li!=ldap=autenticar debe pertenecer a usuaro y grupo
ldap. E|ecute o sguente:
chon !R ldap#ldap /var/lib/ldap/autenticar
75.*.4. Creacin de claves de acceso para DA<.
Para crear a cave de acceso que se asgnar en LDAP para e usuaro admnstrador de drectoro,
e|ecute o sguente:
slappassd
535
Lo anteror debe devover como sada un crptograma, smar a mostrado a contnuacn:
\SS24]1nmG1=e&1/Cebp74y&=$8,lIa01d4ckC
Cope y respade este crptograma. E texto de a sada ser utzado ms adeante en e archvo
=etc=openldap=slapd.con& y se defnr como cave de acceso para e usuaro Administrador,
quen tendr todos os prvegos sobre e drectoro.
75.*.5. Arc$ivo de con&iguracin =etc=openldap=slapd.con&.
Se debe crear =etc=openldap=slapd.con& como archvo nuevo:
touch /etc/openldap/slapd@con"
vim /etc/openldap/slapd@con"
)ota.
S utza Cent0> 5 o 'ed Eat "nterprise inu2 5, e archvo =etc=openldap=slapd.con& ya exste, e
ncuye contendo de e|empo. Puede reempazar todo e contendo en su totadad, por e e|empfcado
a contnuacn.
E archvo =etc=openldap=slapd.con& debe de tener defndos todos os archvos de esquema
mnmos requerdos. De ta modo, e nco de archvo debe contener ago smar a o sguente:
include /etc/openldap/schema/corba@schema
include /etc/openldap/schema/core@schema
include /etc/openldap/schema/cosine@schema
include /etc/openldap/schema/duacon"@schema
include /etc/openldap/schema/dyngroup@schema
include /etc/openldap/schema/inetorgperson@schema
include /etc/openldap/schema/Mava@schema
include /etc/openldap/schema/misc@schema
include /etc/openldap/schema/nis@schema
include /etc/openldap/schema/openldap@schema
include /etc/openldap/schema/ppolicy@schema
include /etc/openldap/schema/collective@schema
Se deben habtar os parmetros @>CACerti&icateFile, @>Certi&icateFile y
@>Certi&icateKeyFile estabecendo as rutas haca e certfcado y cave.
01S)4)erti"icate=ile /etc/pki/tls/certs/ca!bundle@crt
01S)erti"icate=ile /etc/pki/tls/certs/slapd@pem
01S)erti"icateHey=ile /etc/pki/tls/certs/slapd@pem
A fn de permtr conexones desde centes con OpenLDAP 2.x, estabecer e archvo de nmero de
proceso, y e archvo de argumentos de LDAP, deben estar presentes os sguentes parmetros,
con os correspondentes vaores:
allo bind.v6
pid"ile /var/run/openldap/slapd@pid
args"ile /var/run/openldap/slapd@args
Para concur con e =etc=openldap=slapd.con&, se aade o sguente, que tene como fnadad e
defnr a confguracn de nuevo drectoro que en adeante se utzar para autentcar a toda a
red de rea oca:
536
database bdb
su""ix +dc*-o9%n%oBdc*tld+
rootdn +cn*4dministradorBdc*-o9%n%oBdc*tld+
rootp \SS24]1nmG1=e&1/Cebp74y&=$8,lIa01d4ckC
directory /var/lib/ldap/autenticar
A (ndices a mantener para esta base de datos
index obMect)lass eJBpres
index ouBcnBmailBsurnameBgivenname eJBpresBsub
index uid,umberBgid,umberBloginShell eJBpres
index uidBmember>id eJBpresBsub
index nis-ap,ameBnis-ap&ntry eJBpresBsub
En resumen, e archvo =etc=openldap=slapd.con& debera quedar de modo smar a sguente:
include /etc/openldap/schema/corba@schema
include /etc/openldap/schema/core@schema
include /etc/openldap/schema/cosine@schema
include /etc/openldap/schema/duacon"@schema
include /etc/openldap/schema/dyngroup@schema
include /etc/openldap/schema/inetorgperson@schema
include /etc/openldap/schema/Mava@schema
include /etc/openldap/schema/misc@schema
include /etc/openldap/schema/nis@schema
include /etc/openldap/schema/openldap@schema
include /etc/openldap/schema/ppolicy@schema
include /etc/openldap/schema/collective@schema
01S)4)erti"icate=ile /etc/pki/tls/certs/ca!bundle@crt
01S)erti"icate=ile /etc/pki/tls/certs/slapd@pem
01S)erti"icateHey=ile /etc/pki/tls/certs/slapd@pem
allo bind.v6
pid"ile /var/run/openldap/slapd@pid
args"ile /var/run/openldap/slapd@args
database bdb
su""ix +dc*-o9%n%oBdc*tld+
rootdn +cn*4dministradorBdc*-o9%n%oBdc*tld+
rootp \SS24]1nmG1=e&1/Cebp74y&=$8,lIa01d4ckC
directory /var/lib/ldap/autenticar
A (ndices a mantener para esta base de datos
index obMect)lass eJBpres
index ouBcnBmailBsurnameBgivenname eJBpresBsub
index uid,umberBgid,umberBloginShell eJBpres
index uidBmember>id eJBpresBsub
index nis-ap,ameBnis-ap&ntry eJBpresBsub
A 2abilitar supervisiRn
database monitor
A <ermitir solo a rootdn ver la supervisiRn
access to K
by dn@exact*+cn*4dministradorBdc*-o9%n%oBdc*tld+ read
by K none
Por segurdad, e archvo =etc=openldap=slapd.con& deber tener permsos de lectura y
escritura, so para e usuaro ldap.
chon ldap#ldap /etc/openldap/slapd@con"
chmod 6$$ /etc/openldap/slapd@con"
537
)ota.
S utza Cent0> 5, o 'ed Eat "nterprise inu2 5, o ben versones de opendap anterores a a 2.4,
omta os sguentes tres pasos.
Emne e con|unto de archvos y drectoros que componen os confguracn predetermnada:
rm !r" /etc/openldap/slapd@d/K
Es necesaro ncazar os archvos de a base de datos para e contendo de drectoro
=var=li!=ldap=autenticar, por tanto e|ecute o sguente:
echo ++ Z slapadd !" /etc/openldap/slapd@con"
Converta e archvo =etc=openldap=slapd.con& en e nuevo subcon|unto de archvos df que rn
dentro de drectoro =etc=ldap=slapd.d:
slaptest !" /etc/openldap/slapd@con" != /etc/openldap/slapd@d
Todo e contendo de os drectoros =etc=ldap=slapd.d y =var=li!=ldap=autenticar deben
pertenecer a usuaro y grupo ldap. E|ecute o sguente:
chon !R ldap#ldap /etc/openldap/slapd@d /var/lib/ldap/autenticar
Restabezca os contextos de SELnux para os drectoros =etc=ldap=slapd.d y
=var=li!=ldap=autenticar e|ecutando o sguente:
restorecon !R /etc/openldap/slapd@d /var/lib/ldap/autenticar
75.*.6. %nicio del servicio.
Ince e servco slapd, y aada ste a resto de os servcos que arrancan |unto con e sstema,
e|ecutando os sguentes dos mandatos:
service slapd start
chkcon"ig slapd on
)ota.
S utza Cent0> 5 o 'ed Eat "nterprise inu2 5, nce e servco slapd, y aada ste a resto de
os servcos que arrancan |unto con e sstema:
service ldap start
chkcon"ig ldap on
75.*.7. :igracin de cuentas e2istentes en el sistema.
Edte e archvo =usr=s$are=migrationtools=migrateQcommon.p$:
vim /usr/share/migrationtools/migrate.common@ph
538
)ota.
S utza Cent0> 5 o 'ed Eat "nterprise inu2 5, edte e archvo
=usr=s$are=openldap=migration=migrateQcommon.p$:
vim /usr/share/openldap/migration/migrate.common@ph
Modfque os os vaores de as varabes ZD"FA,@Q:A%QD0:A%) y F%&=4>10.:4S& a fn de que
queden de sguente modo:
A %e"ault %,S domain
F%&=4>10.-4(1.%/-4(, * +-o9%n%o.$)-+V
A %e"ault base
F%&=4>10.:4S& * +-&=-o9%n%o6-&=$)-+V
A contnuacn, hay que crear e ob|eto que a su vez contendr e resto de os datos en e
drectoro, utzando migrateQ!ase.pl para generar e archvo !ase.ldi&.
Genere e archvo !ase.ldi&, e|ecutando o sguente:
/usr/share/migrationtools/migrate.base@pl L base@ldi"
)ota.
S utza Cent0> 5 o 'ed Eat "nterprise inu2 5, puede generar e archvo base.df e|ecutando o
sguente:
/usr/share/openldap/migration/migrate.base@pl L base@ldi"
Utce e mandato ldapadd para nsertar os datos necesaros. Las opcones utzadas con este
mandato son as sguentes:
!x autenticaciRn simple
!3 solicitar clave de acceso
!% binddn ,ombre %istinguido (dn) a utiliCar
!h an"itriRn Servidor 1%4< a acceder
!" archivo archivo a utiliCar
Una vez entenddo o anteror, se procede a nsertar a nformacn generada en e drectoro
utzando o sguente:
ldapadd !x !3 !% Ucn*4dministradorB dc*-o9%n%oB dc*tldU !h 167@$@$@1 !" base@ldi"
Una vez hecho o anteror, se podr comenzar a pobar e drectoro con datos. Lo prmero ser
mportar os grupos y usuaros exstentes en e sstema. Reace a mportacn de usuaros
creando os archvos group.ldi& y passPd.ldi&, utzando migrateQgroup.pl y
migrateQpassPd.pl.
E|ecute os sguentes dos mandatos:
/usr/share/migrationtools/migrate.group@pl /etc/group group@ldi"
/usr/share/migrationtools/migrate.passd@pl /etc/passd passd@ldi"
539
)ota.
S utza Cent0> 5 o 'ed Eat "nterprise inu2 5, e|ecute os sguentes dos mandatos:
/usr/share/openldap/migration/migrate.group@pl /etc/group group@ldi"
/usr/share/openldap/migration/migrate.passd@pl /etc/passd passd@ldi"
Lo anteror crear os archvos group.ldi& y passPd.ldi&, os cuaes ncurn a nformacn de os
grupos y cuentas en e sstema, ncuyendo as caves de acceso. Los datos se podrn nsertar en e
drectoro LDAP utzando o sguente:
ldapadd !x !3 !% Ucn*4dministradorB dc*-o9%n%oB dc*tldU !h 167@$@$@1 !" group@ldi"
ldapadd !x !3 !% Ucn*4dministradorB dc*-o9%n%oB dc*tldU !h 167@$@$@1 !" passd@ldi"
Antes de confgurar e sstema para utzar LDAP para autentcar, es convenente verfcar que
todo funcona correctamente.
E sguente mandato verfca que drectoros dsponbes exsten en e servdor 127.0.0.1.
ldapsearch !h 167@$@$@1 !x !b UU !s base U(obMectclass*K)U naming)ontexts
Lo anteror debe devover una sada smar a o sguente:
A extended 1%(=
A
A 1%4<v?
A base aL ith scope base
A "ilter# (obMectclass*K)
A reJuesting# naming)ontexts
A
A
dn#
naming)ontexts# dc*-o9%n%oBdc*tld
A search result
search# 6
result# $ Success
A numResponses# 6
A num&ntries# 1
E sguente mandato debe devover toda a nformacn de todo e drectoro soctado
(dc=dominio,dc=td).
ldapsearch !x !b Udc*-o9%n%oBdc*tldU U(obMectclass*K)U
Otro e|empo es reazar una bsqueda especfca, para un usuaro en partcuar. Asumendo que en
e drectoro exste e usuaro denomnado fulano, e|ecute o sguente:
ldapsearch !x !b Uuid*"ulanoBou*<eopleBdc*-o9%n%oBdc*tldU
540
Lo anteror debe regresar ago smar a o sguente:
A extended 1%(=
A
A 1%4<v?
A base uid*"ulanoBou*<eopleBdc*-o9%n%oBdc*tld ith scope sub
A "ilter# (obMectclass*K)
A reJuesting# 411
A
A "ulanoB <eopleB dominio@tld
dn# uid*"ulanoBou*<eopleBdc*-o9%n%oBdc*tld
uid# "ulano
cn# "ulano
obMect)lass# account
obMect)lass# posix4ccount
obMect)lass# top
obMect)lass# shado4ccount
user<assord## xxxxxxxxxxxx
shado1ast)hange# 16984
shado-ax# 88888
shado3arning# 7
loginShell# /bin/bash
uid,umber# 9$9
gid,umber# 9$9
home%irectory# /home/"ulano
A search result
search# 6
result# $ Success
A numResponses# 6
A num&ntries# 1
75.4. Con&iguracin de clientes.
Los centes Cent0> 6, y 'ed Eat "nterprise inu2 6, requeren tener nstaados os paquetes
nss(pam(ldap, authconfg y openldap(clients(*.4.*3(+6.el6 (as versones anterores de este
tmo tenen roto e soporte para TLS/SSL):
yum !y install authcon"ig openldap!clients nss!pam!ldapd
)ota.
Los centes Cent0> 5 y 'ed Eat "nterprise inu2 5 requeren tener nstaados os paquetes
nssQldap, authconfg y opendap-cents:
yum !y install authcon"ig openldap!clients nss.ldap
Defna os vaores para os parmetros $ost y !ase, a fn de estabecer haca que servdor y a que
drectoro conectarse, en e archvo =etc=pamQldap.con&.
vim /etc/pam.ldap@con"
541
)ota.
S utza Cent0> 5, o 'ed Eath "nterprise inu2 5, defna o anteror en e archvo =etc=ldap.con&.
vim /etc/ldap@con"
Para fnes prctcos, e vaor de parmetro uri corresponde a nombre de servdor LDAP,
prevamente resueto por un DNS, y e vaor de parmetro !ase debe ser e msmo que se
especfc en e archvo =etc=openldap=slapd.con& para e parmetro su&&i2. Consderando que e
nombre de anftrn de servdor LDAP est resueto por un servdor DNS, como
servidor.dominio.tld, puede defnr o sguente:
uri ldap#//ser*%-or.-o9%n%o.$)-/
base -&=-o9%n%o6-&=$)-
ssl start.tls
tls.checkpeer no
pam.passord md9
Asumendo que e servdor LDAP tene defndo como nombre de anftrn servidor.dominio.tld,
prevamente resueto en un servdor DNS, e|ecute o sguente:
authcon"ig !!useshado !!enablemd9 !!enablelocauthoriCe O
!!enablemkhomedir --en#!)e)-#' --en#!)e)-#'#.$h O
--)-#'ser*er=ser*%-or.-o9%n%o.$)- O
--)-#'!#se-n=-&=-o9%n%o6-&=$)- --en#!)e)-#'$)s !!update
S utza Cent0> 6, o 'ed Eath "nterprise inu2 6, con openldap(clients(*.4.*3(+5.el6, y
versones anterores, utce ((disa!leldaptls, en ugar de ((ena!leldaptls.
A termnar, debe ncar y agregar a os servcos de arranque de sstema a servco nslcd.
chkcon"ig nslcd on
service nslcd start
75.5. Administracin.
Exsten muchos programas para acceder y admnstrar servdores LDAP, pero a mayora so
srven para admnstrar usuaros y grupos de sstema, como e mduo de LDAP de Webmn. La
me|or herramenta de admnstracn de drectoros LDAP que puedo recomendar es PHP LDAP
Admn.
75.6. 'espaldo de datos.
E procedmento requere detener e servco slapd.
service slapd stop
)ota.
S utza Cent0> 5, o 'ed Eat "nterprise inu2 5, debe detenerse e servco ldap antes de
proceder con e respado de datos.
service ldap stop
542
Utce e mandato slapcat de sguente modo, defnendo e drectoro de confguracn
=etc=openldap=slapd.d.
slapcat !v != /etc/openldap/slapd@d !l respaldo!F(date NT;TmTd)@ldi"
)ota.
S utza Cent0> 5, o 'ed Eat "nterprise inu2 5, se utza a herramenta slapcat, defnendo e
archvo de confguracn =etc=openldap=slapd.con&.
slapcat !v !" /etc/openldap/slapd@con" !l respaldo!F(date NT;Tm
Td)@ldi"
Ince de nuevo e servco slapd.
service slapd start
)ota.
S utza Cent0> 5, o 'ed Eat "nterprise inu2 5, nce de nuevo e servco ldap.
service ldap start
75.7. 'estauracin de datos.
E procedmento requere detener e servco. E|ecute o sguente:
service slapd stop
)ota.
S utza Cent0> 5, o 'ed Eat "nterprise inu2 5, e|ecute o sguente:
service ldap stop
Deben emnarse os datos de drectoro a restaurar.
rm !" /var/lib/ldap/autenticar/K
Vueva a copar e archvo DBQC0)F%?.e2ample dentro de drectoro =var=li!=ldap=autenticar=,
como e archvo DBQC0)F%?. Es decr, e|ecute o sguente:
cp /usr/share/openldap!servers/%:.)/,=(I@example /var/lib/ldap/autenticar/%:.)/,=(I
Utce a herramenta slapadd para cargar os datos de respado desde un archvo *.df.
slapadd !v !c !l respaldo!6$11$811@ldi" != /etc/openldap/slapd@d
)ota.
S utza Cent0> 5, o 'ed Eat "nterprise inu2 5, slapadd se utza defnendo e archvo de
confguracn =etc=openldap=slapd.con&.
slapadd !v !c !l respaldo!6$11$811@ldi" !" /etc/openldap/slapd@con"
543
544
Para regenerar os ndces LDAP, e|ecute e mandato slapinde2:
slapindex
Ince de nuevo e servco, e|ecutando o sguente:
service slapd start
)ota.
S utza Cent0> 5, o 'ed Eat "nterprise inu2 5, e|ecute o sguente:
service ldap start
e puerto 389 (ldap), por TCP.
A4)0(/, S/>R)& %&S0 <R/0/ %&S0 S/>R)&
A </R0 </R0(S)1
4))&<0 net " tcp ?58
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
sguente mandato:
545
76. Cmo instalar y con&igurar :y>Bh.
76.+. %ntroduccin.
76.+.+. Acerca de :y>Bh.
:y>Bh es un DB:> (DataBase :anagement >ystem) o sstema de gestn de base de datos
>B (>tructured Buery anguage o Lengua|e Estructurado de Consuta) mutusuaro y mutho
con cenca ?),=?<.
:y>Bh es propedad y patrocno de :y>B AB, compaa fundada por Davd Axmark, Aan
Larsson y Mchae Wdenus, con base de operacones en Sueca, a cua posee os derechos de
autor de cas todo e cdgo que o ntegra. :y>B AB desarroa y mantene e sstema vendendo
servcos de soporte y otros vaores agregados, as como cencamento propetaro para os
desarroos de equpamento gco que requeren mantener cerrado su cdgo.
:y>Bh es actuamente e servdor de base de datos ms popuar para os desarroos a travs
de a red munda, con una estmacn de ms de dez mones de nstaacones. Es muy rpdo y
sdo.
URL: http://www.mysq.com/
yum !y install mysJl mysJl!server
up6date !i mysJl mysJl!server
546
76.3.+. >"inu2 y el servicio mys#ld.
S utza Cent0> 4, 'ed Eath "nterprise inu2 4 o b$ite Bo2 "nterprise inu2 4 o
versones posterores de estos sstemas operatvos, actve a potca mys#ldQdisa!leQtrans con
e mandato setse!ool para permtr funconar a servco mys#ld. De otro modo, e servco
mys#ld |ams podr ncar.
setsebool !< mysJld.disable.trans 1
Para que SELnux permta utzar e cente mys#l para estabecer conexones haca servdores
MySOL, utce e sguente mandato:
setsebool !< allo.user.mysJl.connect 1
76.3.*. %niciarF detener y reiniciar el servicio mys#ld.
Para ncar por prmera vez e servco mys#ld y generar a base de datos nca (mys#l), utce:
/sbin/service mysJld start
Para rencar e servco mys#ld, utce:
/sbin/service mysJld restart
Para detener e servco mys#ld, utce:
/sbin/service mysJld stop
76.3.3. Agregar el servicio mys#ld al arran#ue del sistema.
Para hacer que e servco de mys#ld est actvo con e sguente nco de sstema, en todos os
/sbin/chkcon"ig mysJld on
76.3.4. Asignacin de clave de acceso al usuario root.
E usuaro root en MySOL%trade;, no tene asgnada cave de acceso aguna despus de ncado e
servco por prmera vez. Por razones de segurdad, es muy mportante asgnar una cave de
acceso.
76.3.4.+. :todo corto.
La forma ms smpe de asgnar una cave de acceso a usuaro root de :y>Bh soo requere de
un nco mandato, descrto a contnuacn.
547
mysJladmin !u root passord nueva!clave!de!acceso
En adeante, ser necesaro aadr a opcn (p a cuaquer sentenca de nea de mandatos para ,
mys#ladmin y mys#ldump para ngresar a cave de acceso de usuaro root y poder, de esta
forma, reazar dversas tareas admnstratvas.
76.3.4.*. :todo largo.
La forma compcada de reazar o anteror se descrbe soo con fnes ddctcos y como prue!a
de concepto. No es de todo prctco reazar asgnacn de a cave de acceso de usuaro root
con este mtodo, pero srve para entender e funconamento en cuanto a asgnacn de caves de
acceso.
Como root, utce e mandato mys#l:
A mysJl
Dentro de ntrprete de mandatos de MySOL, ndque con e mandato use mys#l que utzar
nca base de datos exstente, mys#l:
L use mysJl
Socte con e mandato s$oP ta!les que se muestren as tabas de a base de datos mys#l:
L sho tablesV
Con e mandato select \ &rom user se mostrar e contendo de a taba user de a base de datos
actua:
L select K "rom userV
Esto har que se vea, entre otras muc$as cosas, o sguente:
N!!!!!!!!!!!!!!!!!!!!!!!!!N!!!!!!!!!!N!!!!!!!!!!!!!!!!!!N!!!!!!!!!!!!!!N
Z 2ost Z >ser Z <assord Z Select.priv Z
N!!!!!!!!!!!!!!!!!!!!!!!!!N!!!!!!!!!!N!!!!!!!!!!!!!!!!!!N!!!!!!!!!!!!!!N
Z localhost Z root Z Z ; Z
N!!!!!!!!!!!!!!!!!!!!!!!!!N!!!!!!!!!!N!!!!!!!!!!!!!!!!!!N!!!!!!!!!!!!!!N
Como se podr observar, e usuaro root no tene asgnada una cave de acceso, por o que
cuaquera que se dentfque como root en e sstema tendr acceso a todo en MySOL. Se asgnar
una cave de acceso de sguente modo:
L update user set <assord*<4SS3/R%(Unuevo.passordU) here user*UrootUV
Utce de nuevo e mandato select \ &rom user y vueva observar e campo que correspondera a
de a cave de acceso de usuaro root:
L select K "rom userV
548
Deber aparecer ahora un crptograma en e campo que corresponde a a cave de acceso de
usuaro root.
N!!!!!!!!!!!!!!!!!!!!!!!!!N!!!!!!!!!!N!!!!!!!!!!!!!!!!!!N!!!!!!!!!!!!!!N
Z 2ost Z >ser Z <assord Z Select.priv Z
N!!!!!!!!!!!!!!!!!!!!!!!!!N!!!!!!!!!!N!!!!!!!!!!!!!!!!!!N!!!!!!!!!!!!!!N
Z localhost Z root Z498?674b5e$d65M596Z ; Z
N!!!!!!!!!!!!!!!!!!!!!!!!!N!!!!!!!!!!N!!!!!!!!!!!!!!!!!!N!!!!!!!!!!!!!!N
Se recomenda reazar refresco de os prvegos a fn de que tomen efecto os cambos.
L "lush privileges
Para probar, soo hay que sar de ntrprete de MySOL.
L Juit
Intente ngresar de nuevamente a ntrprete de mandatos de MySOL:
mysJl
Notar que ya no se puede acceder como antes, y regresa un mensa|e de error.
&RR/R 1$49# 4ccess denied "or user# UrootXlocalhostU (>sing passord# ,/)
E|ecute ahora e msmo mandato, pero especfcando un usuaro ((u root) y soctando se
pregunte por una cave de acceso ((p):
mysJl !u root !p
A contnuacn se e pedr ngrese una cave de e acceso, tras o cua obtendr de nuevo acceso
a ntrprete de mandatos de MySOL
76.4. Creando y destruyendo !ases de datos.
Para crear una nueva base de datos, puede utzarse e mandato mys#ladmin con e parmetro
create:
mysJladmin !u root !p create dbeMemplo
S queremos emnar dcha base de datos, utzamos e parmetro drop en ugar de create.
mysJladmin !u root !p drop dbeMemplo
76.5. 0torgando permisos a los usuarios.
En adeante e usuaro root soo se utzar para tareas admnstratvas y creacn de nuevas
bases de datos. Resutar convenente deegar a os usuaros ordnaros e mane|o de sus propas
bases de datos.
549
Una vez generada una base de datos, debemos determnar con que usuaro y desde que equpo en
a red oca, se podr tener acceso, as como os prvegos para modfcar esta. Lo ms comn, y
seguro, es asgnar e acceso soo desde e msmo servdor (localost), a menos que e desarroo
web o apcacn se ocace en otro equpo.
Genere un base de datos denomnada directorio:
mysJladmin !u root !p create directorio
Se accede haca e ntrprete de mandatos de :y>Bh y se utza o sguente, suponendo que
se desea asgnar permsos select (seecconar), insert (nsertar), update (actuazar), create
(crear), alter (adetar), delete (emnar) y drop (descartar) sobre as tabas de a base de datos
directorio a usuaro prue!a desde e anftrn local$ost (equpo oca):
IR4,0 selectB insertB updateB createB alterB deleteB drop /, directorio@K 0/
pruebaXlocalhost (%&,0(=(&% :; Upassord.del.usuario.pruebaUV
A concur, se tendr una base de datos denomnada directorio que podr ser utzada y
modfcada por e usuaro prue!a desde e anftrn local$ost. Esto estabecer un nve de
segurdad apropado, y garantzar que de verse comprometda a segurdad, a cave de acceso de
un usuaro no podr ser utzada desde un sstema remoto.
S, por mencionar un e.emplo, se requere permtr e acceso haca a base de datos directorio
desde otro equpo en a red oca, con fnes admnstratvos, se puede otorgar e acceso y permsos
a usuaro .pere8 desde e anftrn 192.168.1.253, es decr .pere8a+S*.+69.+.*53.
IR4,0
selectB insertB updateB createB alterB deleteB drop
/,
directorio@K
0/
MpereCX186@165@1@69?
(%&,0(=(&% :;
Uclave.de.acceso.para.MpereCUV
e puerto 3306 por TCP (mys#l).
Las regas para e archvo =etc=s$orePall=rules de >$orePall en un sstema con una zona (net),
correspondera a o sguente:
A4)0(/, S/>R)& %&S0 <R/0/ %&S0 S/>R)&
A </R0 </R0(S)1
4))&<0 net " tcp ??$6
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
Las regas para e archvo =etc=s$orePall=rules de >$orePall en un sstema con dos zonas (net y
loc), donde soo se va a permtr e acceso a servco mys#ld desde a red oca, correspondera a
o sguente:
A4)0(/, S/>R)& %&S0 <R/0/ %&S0 S/>R)&
A </R0 </R0(S)1
550
4))&<0 loc " tcp ??$6
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
551
77. Con&iguracin !;sica de Apac$e.
77.+. %ntroduccin.
77.+.+. Acerca del protocolo E@@<.
HTTP (Eypertext @ransfer <rotoco, o Protocoo de Trasferenca de Hpertext), es e mtodo
utzado para transferr o transportar nformacn en a Red Munda (WWW, bord bde beb). Su
propsto orgna fue e proveer una forma depubcar y recupertar documentos HTML.
E desarroo de protocoo fue coordnado por Word Wde Web Consortum y a %"@F (%nternet
"ngneerng @ask Force, o Fuerza de Traba|o en Ingenera de Internet), cumnando con a
pubcacn de varso RFC ('equest For Comments), de entre os que destaca e RFC 2616, msmo
que defne a versn 1.1 de protocoo, que es e utzado hoy en da.
E@@< es un protocoo de soctud y respuesta a travs de @C<, entre agentes de usuaro
(Navegadores, motores de ndce y otras herramentas) y servdores, reguarmente utzando e
puerto 80. Entre a comuncacn entre stos puede ntervenr como servdores Intermedaros
(Proxes), puertas de enace y tnees.
URL: http://toos.etf.org/htm/rfc2616
77.+.*. Acerca de Apac$e.
Apache es un servdor HTTP, de cdgo aberto y cencamento bre, que funcona en Lnux,
sstemas operatvos dervados de Unx, Wndows, Nove Netware y otras pataformas. Ha
desempeado un pape muy mportante en e crecmento de a red munda, y contnua sendo e
servdor HTTP ms utzado, sendo adems e servdor de facto contra e cua se reazan as
pruebas comparatvas y de desempeo para otros productos competdores. Apache es
desarroado y mantendo por una comundad de desarroadores auspcada por Apache Software
Foundaton.
URL: http://www.apache.org/
S se utza de Cent0> 4, 'ed Eat "nterpirse inu2 5 o b$ite Bo2 "nterprise inu2 4 o
versones posterores de stos, soo se necesta utzar o sguente:
552
yum !y install httpd
S se desea que Apache ncuya soporte para <E</:y>B, <erl, <yt$on y >>/@>, soo bastar
e|ecutar:
yum !y install php php!mysJl mod.perl mod.python mod.ssl
77.*.*. %nstalacin a travs de ,p*date
S se utza de Red Hat Enterprse Lnux 4, soo se necesta utzar o sguente:
up6date !i httpd
S se desea que Apache ncuya soporte para PHP/MySOL, Per, Python y SSL, soo bastar utzar:
up6date !i php php!mysJl mod.perl mod.python mod.ssl
77.3. %niciar servicio y aadir el servicio al arran#ue del
sistema.
Apache es un servco que por fortuna soo es necesaro nstaar e ncar. No requere
modfcacones adconaes para su funconamento bsco. Para aadr e servco a os servcos
que ncan |unto con e sstema, soo se necesta e|ecuta:
chkcon"ig httpd on
Para ncar e servco por prmera vez, soo se necesta utzar:
service httpd start
Para rencar e servco, consderando que se nterrumprn todas as conexones estabecdas en
ese momento, soo se necesta utzar:
service httpd restart
S e servco ya est traba|ando, tambn puede utzar reload a fn de que Apache vueva a eer y
cargar a confguracn sn nterrumpr e servco, y, por ende, as conexones estabecdas.
service httpd reload
Para detener e servco, soo se necesta utzar:
service httpd stop
553
77.4.+. >"inu2 y Apac$e.
S utza aguna dstrbucn con nceo 2.6 basada sobre Red Hat Enterprse Lnux 4.0, como
seran CentOS 4.0 o Whte Box Enterprse Lnux 4.0 en adeante, stas ncuyen SELnux que aade
segurdad adcona a Apache, sn embargo agunas opcones mpedrn utzar certas funcones
en Apache, como drectoros vrtuaes.
Para permtr a Apache poder envar correo eectrnco desde aguna apcacn, utce e sguente
mandato:
setsebool !< httpd.can.sendmail 1
Para permtr a Apache poder e|ecutar guones CGI, utce e sguente mandato:
setsebool !< httpd.enable.cgi 1
Para permtr as ncusones de ado de servdor (>>%, >erver >de %ncudes), utce e sguente
mandato:
setsebool !< httpd.ssi.exec 1
Para permtr que Apache se pueda conectar a travs de red haca un servdor de bases de datos,
utce e sguente mandato:
setsebool !< httpd.can.netork.connect.db 1
Para permtr a Apache reazar conexones de red haca otro servdor, utce e sguente mandato:
setsebool !< httpd.can.netork.connect 1
Para permtr que os usuaros ocaes tengan puedan utzar un drectoro pbco (pu!licQ$tml),
utce e sguente mandato:
setsebool !< httpd.enable.homedirs 1
Para desactivar a e|ecucn de PHP y otros engua|es de programacn para HTTP a travs de
Apache, utce e sguente mandato:
setsebool !< httpd.builtin.scripting $
Para consutar que otras potcas dsponbes exsten para Apache, utce e sguente mandato:
getsebool !a Zgrep httpd
554
Para defnr que un drectoro o archvo fuera de /var=PPP=$tml, como por
e|empo /var=PPP=dominio=$tml se debe consderar como contendo HTTP, se utza e sguente
mandato:
chcon !t httpd.sys.content.t /var//dominio/html
Para defnr que se permte e|ecutar un gun CGI en partcuar, como por
e|empo /var=PPP=dominio=cgi(!in=&ormulario.pl, se utza e sguente mandato:
chcon !t httpd.sys.script.exec.t /var//dominio/cgi!bin/"ormulario@pl
Para defnr que un programa, que por e|empo puede estar ecrto en PHP
como /var=PPP=dominio=$tml=leer.p$p, soo pueda reazar procedmentos de ectura de datos
y nunca de escrtura, utce e sguente mandato:
chcon !t httpd.sys.script.ro.t /var//dominio/html/leer@php
Para defnr que un programa, que por e|empo puede estar ecrto en PHP
como /var=PPP=dominio=$tml=escri!ir.p$p, pueda reazar procedmentos de ectura y
escrtura de datos, utce e sguente mandato:
chcon !t httpd.sys.script.r.t /var//dominio/html/leer@php
Para defnr que se desactve a proteccn de SELnux para Apache, hacendo que todo o
anterormente descrto en esta seccn perda sentdo, utce e sguente mandato:
setsebool !< httpd.disable.trans 1
77.4.*. ,@F(9 y codi&icacin de documentos.
UTF-8
UTF-8 es un mtodo de codfcacn de ASCII para Uncode (ISO-10646), e
Con|unto de Caracteres Unversa o UCS. ste codfca a mayora de os
sstemas de escrtura de mundo en un soo con|unto de caracteres,
permtendo a mezca de engua|es y guones en un msmo documento sn a
necesdad de a|ustes para reazar os cambos de con|untos de caracteres.
Cuaquer sto de red que haga uso de bases de datos y documentos HTML suee toparse con
probemas cuando se trata de dar con e tpo de codfcacn (UTF-8, ISO-8859-1, etc.), puesto
que en agunos casos, por ctar un e|empo, os caracteres atnos se muestran ncorrectamente
por e cambo de codfcacn.
Debdo a su convenenca actuamente se est adoptando UTF-8 como codfcacn para todo, sn
embargo an hay mucho matera codfcado en, por e|empo, ISO-8859-1.
Lo correcto es codfcar os documentos codfcados en ISO8859-1 y otras tabas de caracteres
haca en UTF-8, utzando mtodos como e sguente:
cd /var//html/
"or " in K@html
555
do
vi !c +#Jh NNenc*ut"5+ F"
done
S desea contnuar viviendo en el pasado y no aceptar e nuevo estndar, tambn puede
desactvar a funcn en Apache que estabece UTF-8 como codfcacn predefnda. Edte e
archvo /etc=$ttpd=con&=$ttpd.con& y ocace o sguente:
4dd%e"ault)harset >0=!5
Cambe o anteror por esto otro:
4dd%e"ault)harset /""
77.4.3. Arc$ivos de con&iguracin.
Cuaquer a|uste que se requera reazar, ya sea para confgurar Stos de Red vrtuaes u otra
funconadad adcona, se puede reazar sn tocar e archvo prncpa de confguracn, utzando
cuaquer archvo con extensn *.con& dentro de drectoro /etc=$ttpd=con&.d=.
77.4.4. Directorios virtuales.
S, por e|empo, se qusera aadr e aas para un drectoro ocazado
en /var=contenidos=varios= y e cua queremos vsuazar como e drectoro /varios= en Apache,
o prmero ser crear e drectoro:
mkdir !p /var/contenidos/varios
A contnuacn se confgura e contexto en SELnux de dcho drectoro a fn de que sea tratado
como un ob|eto (o!.ectQr) creado por usuaro de sstema (systemQu) y que es contendo de
Apache ($ttpdQsysQcontentQt):
chcon !u system.u /var/contenidos/varios
chcon !r obMect.r /var/contenidos/varios
chcon !t httpd.sys.content.t /var/contenidos/varios
Y se crea un archvo que se denomnar arbtraramente como /etc=$ttpd=con&.d=aliases.con&
con e sguente contendo:
4lias /varios /var/contenidos/varios
S trata de acceder haca este nuevo drectoro vrtua con e navegador, notar que no est
permtdo e acceso. Para poder acceder deber haber un documento ndce en e nteror
(ndex.htm, ndex.php, etc) o ben que dcho drectoro sea confgurado para mostrar e contendo
de sguente modo:
a%irectory +/var/contenidos/varios+L
O'$%ons Fn-eCes
a/%irectoryL
556
E parmetro %nde2es ndca que se deber mostrar e ndce de contendo de drectoro. S se
requere que este drectoro tenga mayor funconadad, se pueden aadr ms opcones, como por
e|empo:
a%irectory +/var/contenidos/varios+L
/ptions (ndexes Fn&).-es Fo))o?Sy9L%n7s
A))o?O*err%-e #))
a/%irectoryL
E parmetro FolloP>yminLs posbta poder coocar enaces smbcos dentro de drectoro os
cuaes se segurn. E parmetro %ncludes especfca que se permte a utzacn de os SSI
(Server Sde Incudes) que posbtan utzar funcones como autentcacn. E parmetro
AlloP0verride all posbta utzar archvos .$taccess.
Rence o recargue Apache y acceda haca ttp)**:HU.8.8.:*varios* con cuaquer navegador de red
y vsuace e resutado.
77.4.5. 'edireccin de directorios.
Cuando sea necesaro, es posbe confgurar un drectoro en partcuar para Apache redr|a de
modo transparente ste y su contendo haca cuaquer otra dreccn.
Redirect ?$1 /ebmail http#//mail@su!dominio@net/
En e e|empo anteror, se ndca que s se trata de acceder haca e subdrectoro / Pe!mail en e
servdor, Apache deber redrgr haca ttp)**mail.su6dominio.net*. E nmero 301 corresponde a
mensa|e de protocoo HTTP para ndcar que a redreccn es permanente. S por e|empo hubese
un ob|eto en /webma, como por e|empo /Pe!mail=estadisticas=estadisticas.p$p, Apache
reazar e re-drecconamento transparente haca ttp)**mail.su6
dominio.net*estadisticas*estadisticas.pp.
77.4.6. @ipos de :%:".
S por e|empo se qusera aadr agn tpo de extensn y tpo MIME, como por e|empo Ogg, se
podra generar un archvo que denomnaremos arbtraramente como e
archvo /etc=$ttpd=con&.d=e2tensiones.con& con e sguente contendo:
4dd0ype application/ogg @ogg
4dd%escription +/gg 'orbis 4udio+ @ogg
4dd(con /icons/sound6@png @ogg
77.4.7. >oporte para C?% con e2tensin \.cgi
S se qusera aadr que se reconocera a extensn *.cgi como un gun C?% (Common ?ateway
%nterface), soo bastar aadr un archvo que denomnaremos,
arbtraramente, /etc=$ttpd=con&.d=cgi.con& con e sguente contendo:
4dd2andler cgi!script @cgi
557
77.4.7.+. <ro!ando la con&iguracin.
Utce e edtor de texto de su preferenca para crear e archvo /var=PPP=cgi(!in=tiempo.cgi.
Este deber evar o sguente como contendo:
Ah/usr/bin/perl
print +content!type# text/htmlOnOn+V
print scalar localtimeV
print +On+V
Deberemos de cambar e permso de archvo anteror con a sguente nea de mandato:
chmod 799 /var//cgi!bin/tiempo@cgi
Utce e navegador de red que prefera y apunte ste haca ttp)**:HU.8.8.:*cgi6bin*tiempo.cgi. S
e navegador nos da una sada smar a a sguente, se habr confgurado extosamente Apache
para e|ecutar guones CGI:
0ue ûl $9 66#1$#41 6$$9
77.4.7.*. <ro!lemas posteriores
Antes escrbre a autor de este documento, de recurrr a as stas de soporte o grupos y foros de
dscusn soctando ayuda para hacer traba|ar un gun CGI en partcuar, ea cudadosamente a
documentacn que acompaa a este y verfque que se han estabecdo apropadamente os
permsos de ectura, escrtura y e|ecucn, que se han reazado as modfcacones necesaras en
os parmetros para e uso de gun en su servdor y que e gun CGI no contenga errores.
Recurra a autor de gun CGI o bnaro s necesta ayuda.
77.4.7.3. "rror m;s com1n n1mero +.
=orbidden
;ou donUt have permission to access /algun/directorio/guion@cgi on this server
Sgnfca que e archvo no cuenta con os permsos apropados de ectura, escrtura y e|ecucn. La
mayora guones CGI que encontrar en Internet necestarn a menos permso 755 para poder ser
utzados.
77.4.7.4. "rror m;s com1n n1mero *.
(nternal Server &rror
0he server encountered an internal error or miscon"iguration and as unable to complete
your reJuest@
Sgnfca que hay probemas con e gun CGI en s y no con Apache. En a mayora de os casos
se trata de archvos que fueron eaborados desde un edtor de texto en Wndows, cuyo retorno
de carro es dstnto a de os sstemas operatvos basados sobre UNIX, por o cua se deber
utzar e mandato dos*uni2 sobre dchos archvos. En otros casos, ago menos frecuente, se
requerr que e admnstrador revse nea por nea para ocazar un posbe error o parmetro
ncorrecto. Cuando apque, verfque que a prmera nea de gun que apunta haca donde se
encuentra e mandato perl sea correcta. Verfque tambn s e drectoro que abergue e gun
CGI requere agn permso en partcuar, como sera 777 en e caso de agunos guones CGI.
558
77.4.9. 'o!o de im;genes.
Suee ocurrr que os admnstradores de agunos stos encuentran fc utzar mgenes, y otros
tpos de contendo, vncuando desde sus documentos haca os ob|etos en e servdor. Esto
consume ancho de banda adcona y es una prctca poco tca. En e sguente e|empo,
consderando que se tene un drectoro /var=PPP=$tml=imagenes, y se desea proteger ste para
que soo se permta utzar su contendo s es referdo desde e msmo servdor, se utzara o
sguente:
A Se permite acceder directamente a la imagen o bien si se omite
A en el navegador la in"ormaciRn del re"erente@
Set&nv(",o)ase Re"erer +[F+ local.re"eral*1
A Se permite al propio servidor
Set&nv(",o)ase Re"erer +[http#//(localhost@)Wlocaldomain+ local.re"eral*1
Set&nv(",o)ase Re"erer +[http#//(@)Wmidominio@org+ local.re"eral*1
A Se permite utiliCar las imigenes a otro servidor
Set&nv(",o)ase Re"erer +[http#//(@)Wamigo@org/+ local.re"eral*1
a%irectory +/var//html/imagenes/+L
/rder %enyB4llo
%eny "rom all
4llo "rom env*local.re"eral
a/%irectoryL
La confguracn anteror puede aadrse en cuaquer archvo *.con& dentro de
drectoro /etc=$ttpd=con&.d=.
S se hace o anteror en un archvo .$taccess, quedara de sguente modo:
A Se permite acceder directamente a la imagen o bien si se omite
A en el navegador la in"ormaciRn del re"erente@
Set&nv(",o)ase Re"erer +[F+ local.re"eral*1
A Se permite al propio servidor
Set&nv(",o)ase Re"erer +[http#//(localhost@)Wlocaldomain+ local.re"eral*1
Set&nv(",o)ase Re"erer +[http#//(@)Wmidominio@org+ local.re"eral*1
A Se permite utiliCar las imigenes a otro servidor
Set&nv(",o)ase Re"erer +[http#//(@)Wamigo@com/+ local.re"eral*1
/rder %enyB4llo
%eny "rom all
4llo "rom env*local.re"eral
e puerto 80 por TCP (E@@<).
Las regas para e archvo /etc=s$orePall=rules de >$orePall correspondera a ago smar a o
sguente:
A4)0(/, S/>R)& %&S0 <R/0/ %&S0 S/>R)&
A </R0 </R0(S)1
4))&<0 all " tcp 5$
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
559
77.6. Apndice- Con&iguracin de >itios de 'ed virtuales en
Apac$e.
Puede generarse cuaquer archvo con extensn L.conf dentro de drectoro *etc*ttpd*conf.d* de
Apache 2.0.x. Puede ncurse contendo como e sguente:
A %e"iniciRn del Sitio de Red principal
,ame'irtual2ost 186@165@1@694
a'irtual2ost 186@165@1@694L
Server4dmin ebmasterXdominio@com
%ocumentRoot /var//html/
Ser*erN#9e ???.-o9%n%o.&o9
a/'irtual2ostL
A 3eb virtual con de"iniciRn de directorio para )I(
%ocumentRoot /var//lpt/html
Ser*erN#9e ???.#).n--o9%n%o.&o9
Ser*erA)%#s #).n--o9%n%o.&o9
Ser*erA-9%n ?e!9#s$erJ#).n--o9%n%o.&o9
&rror1og /var//algun!dominio/logs/error.log
)ustom1og /var//algun!dominio/logs/access.log combined
Script4lias /cgi!bin/ +/var//algun!dominio/cgi!bin/+
a%irectory +/var//algun!dominio/cgi!bin+L
4llo/verride ,one
/ptions ,one
/rder alloBdeny
4llo "rom all
a/%irectoryL
4dd2andler cgi!script @cgi
a/'irtual2ostL
A -is Sitios de Red virtuales
Server4dmin ?e!9#s$erJ-o9%n%o.&o9
%ocumentRoot /usr/share/sJuirrelmail/
Server,ame ebmail@dominio@com
&rror1og logs/ebmail@dominio@com!error.log
)ustom1og logs/ebmail@dominio@com!access.log combined
a/'irtual2ostL
Server4dmin ?e!9#s$erJ!e$#.-o9%n%o.&o9
%ocumentRoot /var//beta/
Ser*erN#9e !e$#.-o9%n%o.&o9
&rror1og /var//beta/logs/beta@dominio@com!error.log
)ustom1og /var//beta/logs/beta@dominio@com!access.log combined
a/'irtual2ostL
Server4dmin ?e!9#s$erJ-o9%n%o.&om
%ocumentRoot /usr/share/sJuirrelmail/
Ser*erN#9e 9#%).-o9%n%o.&o9
&rror1og logs/mail@dominio@com!error.log
)ustom1og logs/mail@dominio@com!access.log combined
a/'irtual2ostL
560
Server4dmin ?e!9#s$erJ-o9%n%o.ne$
%ocumentRoot /var//mi!dominio/
Ser*erN#9e ???.-o9%n%o.ne$
&rror1og /var//mi!dominio/logs/@dominio@net!error.log
)ustom1og /var//mi!dominio/logs/@dominio@net!access.log combined
a/'irtual2ostL
561
79. Cmo $a!ilitar los arc$ivos .$taccess y >>% N
>erver >ide %ncludesN en Apac$e *.2.
79.+. %ntroduccin.
Apache 2.x tene me|ores meddas de segurdad que as versones anterores, debdo a que su
confguracn predetermnada vene de ta modo que deshabta muchas cosas que podrn
consderarse de certo resgo. Parte de esa segurdad ncuye deshabtar os >>% (>erver >de
%ncudes o Incusones de Lado de Servdor) y e uso de os archvos .$taccess. Estos tmos
srven para modfcar o agregar funcones a drectoros.
Bscamente soo se necesta agregar as sguentes neas a cuaquer defncn de drectoro que
se desee utzar:
/ptions Fn&).-es
4llo/verride 4ll
79.*.+. Autenticacin de directorios.
La autentcacn para un drectoro, contra un archvo que ncuye caves de acceso, se reaza a
travs de a sguente sntaxs en cuaquer archvo .$taccess.
4uth,ame +4cceso solo usuarios autoriCados+
4uth0ype :asic
reJuire valid!user
4uth>ser=ile /cualJuier/ruta/hacia/archivo/de/claves
79.*.+.+. ".emplo.
Se procede a crear un drectoro que ser vsto desde cuaquer navegador como
ttp)**:HU.8.8.:*privado*.
Genere e archvo =etc=$ttpd=con&.d=e.emplo(autenticar.con& con e sguente contendo:
4lias /privado 8*#r8???8'r%*#-o
a%irectory +8*#r8???8'r%*#-o+L
/ptions Fn&).-es
4llo/verride 4ll
/rder alloBdeny
562
4llo "rom all
a/%irectoryL
Genere e drectoro =var=PPP=privado= reazando o sguente:
mkdir !p /var//privado
?enere e archvo =var=PPP=privado=.$taccess reazando o sguente:
touch /var//privado/@hta&&ess
"dite e archvo =var=PPP=privado=.$taccess y agregue e sguente contendo:
4uth,ame +Solo usuarios autoriCados+
4uth0ype :asic
reJuire valid!user
4uth>ser=ile /var//claves
?enere e archvo de caves de acceso como =var=PPP=claves, utzando e sguente
procedmento:
touch /var//claves
Con e fn de estabecer a segurdad necesara, cambe os atrbutos de ectura y escrtura soo
para e usuaro apac$e:
chmod 6$$ /var//claves
chon apache#apache /var//claves
Agregue agunos usuarios virtuales a archvo de caves, =var=PPP=claves, utzando e
sguente procedmento con e mandato $tpassPd:
htpassd /var//claves "ulano
htpassd /var//claves mengano
Rence e servco $ttpd:
Acceda con cuaquer navegador de red haca ttp)**:HU.8.8.:*privado* y compruebe que funcona
e acceso con autentcacn en dcho subdrectoro utzando cuaquera de os dos usuaros
vrtuaes que gener con e mandato $tpassPd, es decr fuano o mengano.
lynx h$$'D8842=././.48'r%*#-o8
563
79.*.*. Asignacin de directivas para <E<.
Sueen darse os casos donde una apcacn, escrta en <E<, requere agunas drectvas de <E<
en partcuar. En muchos casos se egan a necestar varabes que pueden comprometer a
segurdad de otras apcacones hospedadas en e servdor. Para ta fn es que se puede evtar
modfcar e archvo =etc=p$p.ini utzando e parmetro p$pQ&lag en un archvo .$taccess. La
sguente sntaxs es a sguente:
php."lag directiva.php valor
79.*.*.+. ".emplo
Se proceder a asgnar as drectvas registerQglo!als, magicQ#uotesQruntime,
magicQ#uotesQgpc, y uploadQma2Q&ilesi8e a drectoro en a ruta =var=PPP=aplicacion, msmo
que ser vsuazado desde Apache como ttp)**:HU.8.8.:*aplicacion*. E vaor para
registerQglo!als ser 0n, e vaor para magicQ#uotesQruntime ser 0n, e vaor para
magicQ#uotesQgpc ser 0n y e vaor para uploadQma2Q&ilesi8e ser 4:.
Genere e archvo =etc=$ttpd=con&.d=e.emplo(directivas(p$p.con& con e sguente contendo:
4lias /aplicacion 8*#r8???8#')%&#&%on
a%irectory +8*#r8???8#')%&#&%on+L
/ptions Fn&).-es
4llo/verride 4ll
/rder alloBdeny
4llo "rom all
a/%irectoryL
?enere e archvo =var=PPP=aplicacion=.$taccess reazando o sguente:
touch /var//aplicacion/@hta&&ess
"dite e archvo =var=PPP=aplicacion=.$taccess y agregue e sguente contendo:
php."lag register.globals /n
php."lag magic.Juotes.gpc /n
php."lag magic.Juotes.runtime /n
php.value upload.max."ilesiCe 4-
?enere e archvo =var=PPP=aplicacion=in&o.p$p, una funcn que muestra toda a nformacn
acerca de <E< en e servdor, a fn de corroborar os vaores de as drectvas de <E< en reacn
a drectoro, con e sguente contendo:
aWphpin"o()WL
564
Acceda con cuaquer navegador de red haca ttp)**:HU.8.8.:*aplicacion*info.pp y corrobore que
os vaores para as varabes de <E< para e drectoro nvoucrado reamente han sdo asgnadas.
En a sub-seccn <E< Core de a seccn Con&iguration, hay tres coumnas: Directive, e cua
corresponde a a drectvas <E<, ocal Galue, e cua corresponde a os vaores de as drectvas
de <E< para e drectoro actua, y :aster Galue, que corresponde a os vaores de as drectvas
generaes como estn defndas en e archvo =etc=p$p.ini.
Directive ocal Galue :aster Galue
magicQ#uotesQgpc On Off
magicQ#uotesQruntime On Off
registerQglo!als On Off
uploadQma2Q&ilesi8e 4M 4M
565
7S. Con&iguracin de Apac$e con soporte
>>=@>.
Autor: "oel Barrios &ue!a
7S.+. %ntroduccin.
7S.+.+. Acerca de E@@<>.
E@@<> es a versn segura de protocoo E@@<, nventada en 1996 por Netscape Communcatons
Corporaton. No es un protocoo separado de E@@<. Se trata de una combnacn de este tmo
con un mecansmo de transporte >> o @>, garantzando una proteccn razonabe durante a
comuncacn cente-servdor. Es ampamente utzado en a red munda (bbb o bord bde
beb) para comuncacones como transaccones bancaras y pago de benes y servcos.
E servco utza e puerto 443 por TCP para reazar as comuncacones (a comuncacn norma
para HTTP utza e 80 por TCP). E esquema ,'% (,nform 'esource %dentfer o Identfcador
Unforme de Recursos) es, comparando sntaxs, dntco a de E@@< (http:), utzndose como
I$ttps-J segudo de subcon|unto denomnado ,' (,nform 'esource ocator o Locazador
Unforme de Recursos). E|empo: ttps)**(((.dominio.tld*
URL: http://es.wkpeda.org/wk/HTTPS y http://wp.netscape.com/eng/ss3/draft302.txt
7S.+.*. Acerca de '>A.
7S.+.3. Acerca de @riple D">.
@riple D">, o @D">, es un agortmo que reaza un trpe cfrado DES, desarroado por IBM en
1978. Su orgen tuvo como fnadad e agrandar a ongtud de una cave sn necesdad de cambar
e agortmo de cframento, o cua o hace ms seguro que e agortmo D">, obgando a un
atacante e tener que trpcar e nmero de operacones para poder hacer dao. A pesar de que
actuamente est sendo reempazado por e agortmo A"> (Advanced "ncrypton >tandard,
tambn conocdo como 'i.ndael), sgue sendo estndar para as tar|etas de crdto y
operacones de comerco eectrnco.
URL: http://es.wkpeda.org/wk/Trpe_DES
566
7S.+.4. Acerca de D.5OS.
7S.+.5. Acerca de 0pen>>.
7S.+.6. Acerca de modQssl.
:odQssl es un mduo para e servdor HTTP Apache, e cua provee soporte para SSL versones 2
y 3 y TLS versn 1. Es una contrbucn de Raf S. Engescha, dervado de traba|o de Ben Laure.
URL: http://www.apache-ss.org/ y http://httpd.apache.org/docs/2.2/mod/mod_ss.htm
7S.*. 'e#uisitos.
Es necesaro dsponer de una dreccn IP pbca para cada sto de red vrtua que se quera
confgurar con soporte >>/@>. Debdo a a naturaeza de os protocoos >> y @>, no es posbe
utzar mtpes stos de red vrtuaes con soporte >>/@> utzando una msma dreccn IP.
Cada certfcado utzado requerr una dreccn IP ndependente en e anftrn vrtua.
E paquete mod_ss nstaa e archvo =etc=$ttpd=con&.d=ssl.con&, msmo que no es necesaro
modfcar, puesto que se utzarn archvos de ncusn, con extensn *.conf, dentro de
drectoro =etc=$ttpd=con&.d=, a fn de respetar a confguracn predetermnada y podre contar
con a msma, que es funcona, brndando un punto de retorno en e caso de que ago saera ma.
7S.3. "#uipamiento lgico necesario.
7S.3.+. %nstalacin a travs de yum.
S se utza de Cent0> 5 o 6, o ben 'ed Eat "nterprise inu2 5 o 6, e|ecute o sguente:
yum !y install mod.ssl
567
7S.4. <rocedimientos.
7S.4.+. ?enerando &irma digital y certi&icado.
Acceda a sstema como e usuaro root.
cd /etc/pki/tls
En caso de que exsteran prevamente, debe emnar os archvos certs=dominio.tld.crt,
certs=dominio.tld.crs, private=dominio.tld.Ley y private=dominio.tld.pem.
rm !" certs/dominio@tld@crt private/dominio@tld@key
rm !" certs/dominio@tld@csr private/dominio@tld@pem
Se debe crear una cave con agortmo '>A de 2048 octetos y estructura 25OS, a cua se cfra
utzado @riple D"> (Data "ncrypton >tandard), amacenado en formato <": de modo que sea
nterpretabe como texto ASCII. se soctar una cave de acceso para asgnar a a frma dgta, por
o que se recomienda utili8ar una muy !uena clave de acceso, a cua, mentras ms
compcada y dfc sea, me|or.
openssl genrsa !des? !out 'r%*#$e8-o9%n%o.$)-.7ey 6$45
S se utza este archvo (domno.td.key) para a confguracn de anftrn vrtua, se requerr
de nteraccn de admnstrador cada vez que se tenga que ncar, o rencar, e servco httpd,
ngresando a cave de acceso de a frma dgta. Este es e procedmento ms seguro, sn
embargo, debdo a que resutara poco prctco tener que ngresar una cave de acceso cada vez
que se nce e servco httpd, resuta ms convenente generar una frma dgta '>A, a cua
permta ncar normamente y sn nteraccn aguna, a servco httpd.
openssl rsa !in 'r%*#$e8-o9%n%o.$)-.7ey !out 'r%*#$e8-o9%n%o.$)-.'e9
E archvo dominio.tld.pem ser e que se especfque ms adeante como vaor de parmetro
>>Certi&icateKeyFile en a confguracn de Apache.
A contnuacn, genere e archvo C>' (Certfcate >gnng 'equest), e cua es e archvo de
soctud que se hace egar a una 'A ('egstraton Authorty o Autordad de Regstro), como
Gerisign, quenes, tras e correspondente pago, envan de vueta un certfcado (para ser utzado
como e archvo dominio.tld.crt) frmado por dcha autordad certfcadora.
openssl reJ !ne !key 'r%*#$e8-o9%n%o.$)-.7ey !out &er$s8-o9%n%o.$)-.&sr
Estado o provnca.
Cudad.
568
Undad o seccn.
Nombre de anftrn. Debe ser e nombre con e que se acceder haca e servdor, y
dcho nombre deber estar resueto en un DNS. SI o desea, puede utzar tambn
\.dominio.tld.
Dreccn de correo eectrnco vda de admnstrador de sstema.
De manera opcona se puede aadr otra cave de acceso y nuevamente e nombre
de a empresa. Poco recomendado, a menos que quera ngresar sta cada vez que se
nce o rence e servco $ttpd.
3hat you are about to enter is hat is called a %istinguished ,ame or
a %,@
!!!!!
/rganiCational >nit ,ame (egB section) DE#%ireccion )omercial
)ommon ,ame (egB your name or your serverUs hostname) DE#\.-o9%n%o.$)-
&mail 4ddress DE#?e!9#s$erJ-o9%n%o.$)-
<lease enter the "olloing UextraU attributes
to be sent ith your certi"icate reJuest
4 challenge passord DE#
4n optional company name DE#
S requere un certi&icado auto(&irmado, en ugar de un certfcado frmado por un 'A, puede
generarse ste utzando e archvo de petcn C>' (domno.td.csr). En e e|empo a
contnuacn, se crea un certfcado con estructura X.509 en e que se estabece una vadez por
730 das (dos aos).
openssl x9$8 !reJ !days 7?$ !in certs/dominio@tld@csr !signkey private/dominio@tld@key !out
&er$s8-o9%n%o.$)-.&r$
Con a fnadad de que so e usuaro root pueda acceder a os archvos creados, se deben
cambar os permsos de stos a so ectura para root.
chmod 4$$ private/dominio@tld@key private/dominio@tld@pem
chmod 4$$ certs/dominio@tld@csr certs/dominio@tld@crt
7S.4.*. Con&iguracin simple de Apac$e para un solo dominio.
Edte e archvo =etc=$ttpd=con&.d=ssl.con&:
vim /etc/httpd/con"@d/ssl@con"
Locace o sguente:
569
A Server )erti"icate#
A <oint SS1)erti"icate=ile at a <&- encoded certi"icate@ ("
A the certi"icate is encryptedB then you ill be prompted "or a
A pass phrase@ ,ote that a kill !2>< ill prompt again@ 4 ne
A certi"icate can be generated using the genkey(1) command@
SSLCer$%+%&#$eF%)e 8e$&8'7%8$)s8&er$s8)o&#)hos$.&r$
A Server <rivate Hey#
A (" the key is not combined ith the certi"icateB use this
A directive to point at the key "ile@ Heep in mind that i"
A youUve both a RS4 and a %S4 private key you can con"igure
A both in parallel (to also allo the use o" %S4 ciphersB etc@)
SSLCer$%+%&#$e>eyF%)e 8e$&8'7%8$)s8'r%*#$e8)o&#)hos$.7ey
Cambe local$ost.crt y local$ost.Ley, por dominio.tld.crt y dominio.tld.pem:
A Server )erti"icate#
A <oint SS1)erti"icate=ile at a <&- encoded certi"icate@ ("
A the certi"icate is encryptedB then you ill be prompted "or a
A pass phrase@ ,ote that a kill !2>< ill prompt again@ 4 ne
A certi"icate can be generated using the genkey(1) command@
SSLCer$%+%&#$eF%)e 8e$&8'7%8$)s8&er$s8-o9%n%o.$)-.&r$
A Server <rivate Hey#
A (" the key is not combined ith the certi"icateB use this
A directive to point at the key "ile@ Heep in mind that i"
A youUve both a RS4 and a %S4 private key you can con"igure
A both in parallel (to also allo the use o" %S4 ciphersB etc@)
SSLCer$%+%&#$e>eyF%)e 8e$&8'7%8$)s8'r%*#$e8-o9%n%o.$)-.'e9
A fn de que surtan efecto os cambos, es necesaro rencar e servco $ttpd.
Lo anteror deber de proceder sn soctar a cave de acceso de a frma dgta (a que asgn
cuando se creo dominio.tld.Ley). En caso contraro, sgnfca que estabec dominio.tld.Ley
como vaor de parmetro >>Certi&icateKeyFile en a confguracn de Apache.
7S.4.3. Con&iguracin de Apac$e para m1ltiples dominios.
Omta e procedmento anteror.
Es mportante resatar que cada domno deber contar con su propa dreccn IP, pues e
protocoo HTTPS mpedr utzar ms de un certfcado por dreccn IP.
E prmer paso consste en crear a estructura de drectoros para e anftrn vrtua.
mkdir !p /var//-o9%n%o.$)-/\cgi!binBhtmlBlogsBetc]
De todos drectoros creados, so =var=PPP=dominio.tld=$tml, =var=PPP=dominio.tld=etc y
=var=PPP=dominio.tld=cgi(!in pueden pertenecer a un usuaro sn prvegos, quen admnstrar
este anftrn vrtua.
Crear e archvo =etc=$ttpd=con&.d=dominio.con&:
570
vim /etc/httpd/con"@d/dominio@con"
Adaptar a sguente panta como contendo de este archvo, donde a.!.c.d corresponde a una
dreccn IP, y dominio.tld corresponde a nombre de domno a confgurar para e anftrn
vrtua:
AAA -o9%n%o.$)- AAA
,ame'irtual2ost #.!.&.-#5$
a'irtual2ost #.!.&.-#5$L
Server4dmin ebmasterX-o9%n%o.$)-
%ocumentRoot /var//-o9%n%o.$)-/html
Server,ame @-o9%n%o.$)-
Server4lias -o9%n%o.$)-
Redirect ?$1 / https#//@-o9%n%o.$)-/
)ustom1og logs/-o9%n%o.$)-!access.log combined
&rrorlog logs/-o9%n%o.$)-!error.log
a/'irtual2ostL
,ame'irtual2ost #.!.&.-#44?
a'irtual2ost #.!.&.-#44?L
Server4dmin ebmasterX-o9%n%o.$)-
%ocumentRoot /var//-o9%n%o.$)-/html
Server,ame @-o9%n%o.$)-
Script4lias /cgi!bin/ /var//-o9%n%o.$)-/cgi!bin/
a%irectory +/var//-o9%n%o.$)-/cgi!bin+L
SS1/ptions NStd&nv'ars
a/%irectoryL
SS1&ngine on
SS1<rotocol all !SS1v6
SS1)ipherSuite 411#h4%2#h&X</R0#hSS1v6#R)4NRS4#N2(I2#N-&%(>-#N1/3
SS1)erti"icate=ile /etc/pki/tls/certs/-o9%n%o.$)-@crt
SS1)erti"icateHey=ile /etc/pki/tls/private/-o9%n%o.$)-@pem
Set&nv(" >ser!4gent +@K-S(&@K+ O
nokeepalive ssl!unclean!shutdon O
dongrade!1@$ "orce!response!1@$
)ustom1og logs/-o9%n%o.$)-!ssl.reJuest.log O
+Tt Th T\SS1.<R/0/)/1]x T\SS1.)(<2&R]x O+TrO+ Tb+
&rrorlog logs/-o9%n%o.$)-!ssl.error.log
0rans"er1og logs/-o9%n%o.$)-!ssl.access.log
1og1evel arn
a/'irtual2ostL
A fn de que surtan efecto os cambos, es necesaro rencar e servco $ttpd.
Lo anteror deber de proceder sn soctar a cave de acceso de a frma dgta (a que asgn
cuando se creo dominio.tld.Ley). En caso contraro, sgnfca que estabec dominio.tld.Ley
como vaor de parmetro >>Certi&icateKeyFile en a confguracn de Apache.
7S.4.4. Compro!acin.
So basta drgr cuaquer navegador HTTP haca $ttps-==PPP.dominio.tld= a fn de verfcar
que todo est traba|ando correctamente. Tras aceptar e certfcado, en e caso de que ste no
haya sdo frmado por un 'A, deber poderse observar un sgno en a barra de estado de
navegador, e cua ndca que se trata de una conexn segura.
571
7S.4.5. :odi&icaciones necesarias en el muro corta&uegos.
S se utza un cortafuegos, es necesaro abrr, adems de puerto 80 por TCP (E@@<), e puerto
443 por TCP (E@@<>).
A4)0(/, S/>R)& %&S0 <R/0/ %&S0 S/>R)&
A </R0 </R0(S)1
4))&<0 all " tcp 5$B44?
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
sguente mandato:
572
9O. %ntroduccin al protocolo D)>.
9O.+. "#uipamiento lgico necesario.
Instae os paquetes !ind(utils, y .P$ois.
yum !y install bind!utils Mhois
9O.*. Conceptos.
9O.*.+. Acerca del protocolo D)> MDomain )ame >ystemN.
D)> (acrnmo de Doman )ame >ystem) es una base de datos dstrbuda, y |errquca, que
amacena a nformacn necesara para os nombres de domno. Sus usos prncpaes son a
asgnacn de nombres de domno a dreccones IP, y a ocazacn de os servdores de correo
eectrnco correspondentes para cada domno. E D)> nac de a necesdad de factar a os
seres humanos e acceso haca os servdores dsponbes a travs de Internet permtendo hacero
por un nombre, ago ms fc de recordar que una dreccn %<.
Los >ervidores D)> utzan @C<, y ,D<, en e puerto 53 para responder as consutas. Cas todas
as consutas conssten de una soa soctud ,D< desde un Cliente D)>, seguda por una soa
respuesta ,D< de servdor. Se reaza una conexn @C< cuando e tamao de os datos de a
respuesta exceden os 512 bytes, ta como ocurre con tareas como trans&erencia de 8onas.
9O.*.*. Bu es un )%C M)etPorL %n&ormation CenterN?
)%C (acrnmo de )etwork %nformaton Center o Centro de Informacn sobre a Red) es una
nsttucn encargada de asgnar os nombres de domno en Internet, ya sean nombres de domno
genrcos, o por pases, permtendo personas, o empresas, montar stos de Internet a travs de
un %><, medante un DNS. Tcncamente exste un )%C por cada pas en e mundo, y cada uno de
stos es responsabe por todos os domnos con a termnacn correspondente a su pas. Por
e|empo: NIC Mxco es a entdad encargada de gestonar todos os domnos con termnacn
.m2, a cua es a termnacn correspondente asgnada a os domnos de Mxco.
9O.*.3. Bu es un FBD) MFully Buali&ied Domain )ameN?
FBD) (acrnmo de Fuy Buafed Doman )ame o Nombre de Domno Penamente Cafcado)
es un Nombre de Domno ambguo que especfca a poscn absouta de nodo en e rbo
|errquco de DNS. Se dstngue de un nombre reguar porque eva un punto a fna.
573
Como e|empo: suponendo que se tene un dspostvo cuyo nombre de anftrn es maquna1, y
un domno amado domno.com, e FBD) sera ma#uina+.dominio.com., as es que se
defne de forma nca a dspostvo mentras que puderan exstr muchos anftrones amados
maquna1, soamente puede haber uno amado ma#uina+.dominio.com.. La ausenca de
punto a fna defnra que se pudera tratar soamente de un pref|o, es decr
ma#uina+.dominio.com pudera ser un domno de otro ms argo como
ma#uina+.dominio.com.m2.
La ongtud mxma de un FBD) es de 255 bytes, con una restrccn adcona de 63 bytes para
cada etqueta dentro de nombre de domno. Soamente se permten os caracteres A-Z de ASCII,
dgtos y e carcter - (gun medo). Sn dstncn de mayscuas y mnscuas.
Desde 2004, a soctud de varos pases de Europa, exste e estndar %D) (acrnmo de
%nternatonazed Doman )ame) que permte caracteres no-ASCII, codfcando caracteres
.nicode dentro de cadenas de bytes dentro de con|unto norma de caracteres de FBD). Como
resutado, os mtes de ongtud de os nombres de domno %D) dependen drectamente de
contendo msmo de nombre.
9O.*.4. Componentes de D)>.
DNS opera a travs de tres componentes: Centes DNS, Servdores DNS, y Zonas de Autordad.
9O.*.4.+. Clientes D)>.
Son programas que e|ecuta un usuaro y que generan petcones de consuta para resover
nombres. Bscamente preguntan por a dreccn IP que corresponde a un nombre determnado.
9O.*.4.*. >ervidores D)>.
Son servcos que contestan as consutas reazadas por os Clientes D)>. Hay dos tpos de
servdores de nombres:
>ervidor :aestro: Tambn denomnado <rimario. Obtene os datos de domno a partr de un
archvo ao|ado en e msmo servdor.
>ervidor "sclavo: Tambn denomnado >ecundario. A ncar obtene os datos de domno a
travs de un Servdor Maestro (o prmaro), reazando un proceso denomnado trans&erencia de
8ona.
Un gran nmero de probemas de operacn de servdores DNS se atrbuyen a as pobres opcones
de servdores secundaros para as zona de DNS. De acuerdo a 'FC *+9*, e DNS requere que al
menos tres servidores e2istan para todos os domnos deegados (o zonas).
Una de as prncpaes razones para tener al menos tres servidores para cada zona, es permtr
que a nformacn de a zona msma est dsponbe sempre, y de forma confabe, haca os
Clientes D)>, a travs de Internet cuando un servdor DNS de dcha zona fae, est fuera de
servco, y/o est nacanzabe.
Contar con mtpes servdores tambn facta a propagacin de a zona y me|oran a efcenca
de sstema en genera a brndar opcones a os Clientes D)> s acaso encontraran dfcutades
para reazar una consuta en un >ervidor D)>. En otras paabras: tener mtpes servdores para
una zona permte contar con redundanciaF y respaldoF del servicio.
574
Con mtpes servdores, por o genera uno acta como >ervidor :aestro o <rimario y os
dems como >ervidores "sclavos o >ecundarios. Correctamente confgurados, y una vez
creados os datos para una zona, es nnecesaro coparos a cada >ervidor "sclavo o
>ecundario, pues ste se encargar de transferr os datos de manera automtca cada vez que
sea necesaro.
Los >ervidores D)> responden dos tpos de consutas:
Consultas %terativas Mno recursivasN: E cente hace una consuta a >ervidor D)>, y ste e
responde con a me|or respuesta que pueda darse basada sobre su cach, o en as zonas ocaes. S
es mposbe dar una respuesta, a consuta se reenva haca otro Servdor DNS reptndose este
proceso hasta encontrar a >ervidor D)> que tene a [ona de Autoridad capaz de resover a
consuta.
Consultas 'ecursivas: E >ervidor D)> asume toda a carga de proporconar una respuesta
competa para a consuta reazada por e Cliente D)>. E >ervidor D)> desarroa entonces
Consultas %terativas separadas haca otros >ervidores D)> (en ugar de hacero e Cliente
D)>) para obtener a respuesta soctada.
9O.*.4.3. [onas de Autoridad.
Permten a >ervidor :aestro o <rimario cargar a nformacn de una zona. Cada [ona de
Autoridad abarca a menos un domno, y, posbemente, sus sub-domnos, s estos tmos son
mposbes de deegar a otras zonas de autordad.
La nformacn de cada [ona de Autoridad es amacenada de forma oca en un archvo en e
>ervidor D)>. Este archvo puede ncur varos tpos de regstros:
575
@ipo de 'egistro. Descripcin.
A (Address)
Regstro de dreccn que resueve un nombre de un anftrn haca una
dreccn %<v4 de 32 bts.
AAAA
Regstro de dreccn que resueve un nombre de un anftrn haca una
dreccn %<v6 de 128 bts.
C)A:" (Canonca )ame)
Regstro de nombre cannco que hace que un nombre sea aas de otro. Los
domnos con aas obtenen os sub-domnos, y regstros DNS de domno
orgna.
:D (:a E2changer)
Regstro de servdor de correo que srve para defnr una sta de servdores de
correo para un domno, as como a prordad entre stos.
<@' (<onter)
Regstro de apuntador que resueve dreccones %<v4 haca os nombres
anftrones. Es decr, hace o contraro a regstro A. Se utza en zonas de
'esolucin %nversa.
)> ()ame >erver)
Regstro de servdor de nombres, que srve para defnr una sta de servdores
de nombres con autordad para un domno.
>0A (>tart o& Authorty)
Regstro de nco de autordad, encargado de especfcar e >ervidor D)>
Maestro (o Prmaro) que proporconar a nformacn con autordad acerca
de un domno de Internet, dreccn de correo eectrnco de admnstrador,
nmero de sere de domno, y parmetros de tempo para a zona.
>'G (>ervce)
Regstros de servcos, encargados de especfcar nformacn acerca de
servcos dsponbes a travs de domno. Protocoos como >%< (>esson
%ntaton <rotoco) y D:<< (E2tensbe :essagng and <resence <rotoco)
sueen requerr regstros >'G en a zona para proporconar nformacn a os
centes.
@D@ (@e2t)
Regstros de texto, encargados de permtr a admnstrador nsertar texto
arbtraramente en un regstro DNS. Este tpo de regstro es muy utzado por
os servdores de stas negras D)>B (D)>-based Backhoe st) para a
ftracn de Spam. Otro e|empo de uso sera e caso de as VPN, donde suee
requerrse un regstro @D@, para defnr una frma dgta que ser utzada por
os centes.
Las zonas que se pueden resover son:
[onas de 'eenvo.
Devueven direcciones %< para as bsquedas hechas para nombres FBD) (Fuy Buafed
Doman )ame).
En e caso de domnos pbcos, a responsabdad de que exsta una [ona de Autoridad
para cada [ona de 'eenvo, corresponde a a autordad msma de domno, es decr, y por
o genera, quen est regstrado como autordad de domno tras consutar una base de
datos bE0%>. Ouenes compran domnos a travs de un )%C (por e|empo: www.nc.mx),
son quenes deben hacerse cargo de as [onas de 'eenvo, ya sea a travs de su propo
>ervidor D)>, o ben a travs de os >ervidores D)> de su %><.
Savo que se trate de un domno para uso en una red oca, todo domno debe ser prmero
tramtado con un )%C, como requsto para tener derecho ega a utzaro, y poder
propagaro a travs de Internet.
[onas de 'esolucin %nversa.
576
Devueven nombres FBD) (Fuy Buafed Doman )ame) para as bsquedas hechas para
direcciones %<.
En e caso de segmentos de red pbcos, a responsabdad de que exsta una [ona de
Autoridad para cada [ona de 'esolucin %nversa, corresponde a a autordad msma de
segmento, es decr, y, por o genera, quen est regstrado como autordad de segmento
tras consutar una base de datos bE0%>.
Los grandes %><, y, en agunos casos, agunas empresas, son quenes se hacen cargo de as
[onas de 'esolucin %nversa.
9O.*.5. Eerramientas de !1s#ueda y consulta.
9O.*.5.+. :andato $ost.
E mandato $ost es una herramenta smpe para hacer bsquedas en >ervidores D)>. Es
utzada para convertr nombres en dreccones IP y vceversa.
De modo predefndo, reaza as bsquedas en os >ervidores D)> defndos en e archvo
=etc=resolv.con&, pudendo defnrse de manera opcona e >ervidor D)> a consutar.
host @alcancelibre@org
Lo anteror reaza una bsqueda en os >ervidores D)> defndos en e archvo =etc=resolv.con&
de sstema, devovendo como resutado una dreccn IP.
host @alcancelibre@org 5@5@5@5
Lo anteror reaza una bsqueda en os >ervidor D)> en a dreccn IP 8.8.8.8, devovendo una
dreccn IP como resutado.
9O.*.5.*. :andato dig.
E mandato dig (doman informaton groper) es una herramenta fexbe para reazar consutas en
>ervidores D)>. Reaza bsquedas, y muestra as respuestas que son regresadas por os
servdores que fueron consutados. Debdo a su fexbdad, y cardad en a sada, es que a
mayora de os admnstradores utzan dig para dagnostcar probemas de DNS.
De modo predefndo, reaza as bsquedas en os >ervidores D)> defndos en e archvo
=etc=resolv.con&, pudendo defnrse de manera opcona e >ervidor D)> a consutar. La sntaxs
bsca sera:
dig Xservidor dominio@tld 0(</
Donde servidor corresponde a nombre o dreccn IP de >ervidor D)> a consutar, nom!re
corresponde a nombre de regstro de recurso que se est buscando y @%<0 corresponde a tpo
de consuta requerdo (ANY, A, MX, SOA, NS, etc.)
E|empo:
dig X6$$@??@146@6$8 alcancelibre@org MX
577
Lo anteror reaza una bsqueda en e >ervidor D)> en a dreccn IP 200.33.146.209 para os
regstros :D para e domno alcancelibre.org.
dig alcancelibre@org NS
Lo anteror reaza una bsqueda en os >ervidores D)> defndos en e archvo =etc=resolv.con&
de sstema para os regstros )> para e domno alcancelibre.org.
dig X5@5@5@5 alcancelibre@org ,S
Lo anteror reaza una bsqueda en os >ervidor D)> en a dreccn IP 8.8.8.8 para os regstros
)> para e domno alcancelibre.org.
9O.*.5.3. :andato .P$ois MP$oisN.
E mandato .P$ois es una herramenta de consuta a travs de servdores bE0%>. La sntaxs
bsca es:
Mhois dominio@tld
E|empo:
Mhois alcancelibre@org
Lo anteror regresa a nformacn correspondente a domno alcancelibre.org.
9O.3. :odi&icaciones necesarias en el muro corta&uegos.
S se va a confgurar un servdor DNS, y se utza un cortafuegos con potcas estrctas, como por
e|empo >$orePall, es necesaro abrr e puerto 53 (dns), por TCP y UDP.
sguente:
A4)0(/, S/>R)& %&S0 <R/0/ %&S0 S/>R)&
A </R0 </R0(S)1
4))&<0 all " tcp 9?
4))&<0 all " udp 9?
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
S se desea que os centes de una red de rea oca puedan hacer uso de servdores DNS en
Internet, es necesaro abrr a sada para e puerto 53 (dns), por TCP y UDP.
sguente:
578
A4)0(/, S/>R)& %&S0 <R/0/ %&S0 S/>R)&
A </R0 </R0(S)1
4))&<0 all " tcp 9?
4))&<0 all " udp 9?
4))&<0 loc net tcp 9?
4))&<0 loc net udp 9?
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
579
9+. Cmo con&igurar un servidor de nom!res de
dominio MD)>N
9+.+. %ntroduccin.
ttuado %ntroduccin al protocolo D)>.
9+.+.+. Acerca de Bind MBerLeley %nternet )ame DomainN.
B%)D (acrnmo de Berkeey %nternet )ame Doman) es una mpementacn de protocoo DNS y
provee una mpementacn bre de os prncpaes componentes de Sstema de Nombres de
Domno, os cuaes ncuyen:
Un servdor de sstema de nombres de domno (named).
Una bboteca resoutora de sstema de nombres de domno.
Herramentas para verfcar a operacn adecuada de servdor DNS (bnd-uts).
E Servdor DNS BIND utzado de manera ampa en Internet (99% de os servdores DNS)
proporconando una robusta y estabe soucn.
<a#uete. Descripcin.
!ind Incuye e >ervidor D)> (named), y herramentas para verfcar su funconamento.
!ind(li!s
Bbotecas compartdas, que conssten en rutnas para apcacones para utzarse cuando
se nteracte con >ervidores D)>.
!ind(c$root
Contene un rbo de archvos que puede ser utzado como una |aua croot para named
aadendo segurdad adcona a servco.
!ind(utils Coeccn de herramentas para consutar >ervidores D)>.
cac$ing(nameserver
Archvos de confguracn que harn que e >ervidor D)> acte como un cach para e
servdor de nombres. Este paquete desaparece en Cent0> 6 y 'ed Eath "nterprise
inu2 6, pues su contendo se ncorpor en e paquete prncpa de !ind.
580
S se utza Cent0> 6, o 'ed Eath "nterprise inu2 6, se puede nstaar Bind S.7 utzando o
sguente:
yum !y install bind bind!chroot bind!utils
S se utza Cent0> 5, o 'ed Eath "nterprise inu2 5, se puede nstaar Bind S.3.6 utzando
o sguente:
yum !y install bind bind!chroot bind!utils caching!nameserver
S se utza Cent0> 5, o 'ed Eath "nterprise inu2 5, puede nstaar, de manera opcona,
Bind S.7, e cua ncuye soporte para D)>>"C, utzando o sguente:
yum remove bind!libs bind!utils bind bind!chroot caching!nameserver
yum !y install bind87 bind87!chroot bind87!utils
En os sstemas operatvos menconados, e paquete !ind(c$root, de a versn 9.7, requere
generar a frma dgta de servdor, y mover manuamente os componentes de paquete !ind,
haca as rutas correspondentes dentro =var=named=c$root, y generar os enaces smbcos
necesaros. E|ecute o sguente:
rndc!con"gen !a !c /etc/rndc@key
chon named#named /etc/rndc@key
cd /var/named
"or " in named@K data dynamic slaves
do
mv F" chroot/var/named/
ln !s /var/named/chroot/var/named/F" /var/named/
done
cd /etc
"or " in named@K rndc@key
do
mv F" /var/named/chroot/etc/
ln !s /var/named/chroot/etc/F" /etc/
done
cd /root
9+.3.+. >"inu2 y el servicio named.
A medados de 2008, Common Vunerabtes and Exposures Lst, y US-CERT, reportaron que e
nvestgador Dan KaminsLy descubr que varas mpementacones de D)> (BIND 8 y 9 antes de
9.5.0-P1, 9.4.2-P1, y 9.3.5-P1; Mcrosoft DNS en todas as versones de Wndows 2000 SP4, XP SP2,
y SP3, as como Server 2003 SP1, y SP2).
581
La vunerabdad permte a atacantes remotos fasfcar trfco DNS a travs de certas tcncas de
contamnacn de cache contra servdores de resoucn recursva (es decr cuando se usa a
opcn allo(6recursion aberta a todo e mundo, como ocurre en os servdores DNS pbcos), y se
reacona a nsufcente aeatoredad de as ID de transaccn, y de os puertos de orgen. Es decr,
vunerabdad de entropa de nsufcenca de zcaos (soc'ets) de DNS (conocdo como D)>
%nsu&&icient >ocLet "ntropy Gulnera!ility). En otras paabras, un atacante puede contamnar e
cache de un servdor DNS y hacer que os centes se conecten haca dreccones fasas. Es
mportante acarar que esta es reamente una vunerabdad de protocoo DNS.
SELnux protege cas por competo a servco named contra a vunerabdad anterormente
descrta. Es por ta motvo que es mportante utzar SELnux.
A fn de que SELnux permta a servco named traba|ar con permsos de escrtura para zonas
maestras, es decr un esquema de servdor maestro con servdores escavos, o ben como servdor
DNS dnmco, utce e sguente mandato:
setsebool !< named.rite.master.Cones 1
Lo anteror apca para Cent0> 5 y 6, y 'ed Eat "nterprise inu2 5 y 6.
)ota.
So para Cent0> 5 y 'ed Eat "nterprise inu2 5: Para defnr que se desactve a proteccn de
SELnux para e servco named, hacendo que todo o anterormente descrto en esta seccn perda
sentdo, y que e servdor sea parcamente suscepti!le a la vulnera!ilidad descu!ierta por
KaminsLi, utce e sguente mandato:
setsebool !< named.disable.trans 1
S reaza e procedmento anteror, es mportante confgurar a funcn de consutas recursvas
excusvamente para redes en a que se confe penamente.
Esta potca, a gua que otras smares, fue emnada en Cent0> 6 y 'ed Eat "nterprise inu2 6.
Cuaquer archvo de zona que se vaya a utzar a travs de servco named, debe contar con os
contextos de SELnux de usuaro de sstema (systemQu), ro de ob|eto (o!.ectQr) y tpo zona de
servco named (namedQ8oneQt).
En e sguente e|empo se utza e mandato c$con para cambar os contextos de archvo
denomnado mi(dominio.8one, con e fn de defnr os contextos de SELnux que requere ste:
cd /var/named/chroot/var/named/data/
chcon !u system.u !r obMect.r !t named.Cone.t mi!dominio@Cone
Lo anteror soamente es necesaro s e archvo mi(dominio.8one fue creado fuera de drectoro
=var=named=c$root=var=named=data=, y fue movdo haca este tmo.
582
)ota.
S se utza Cent0> 5 o 'ed Eath "nterprise inu2 5 y se va a confgurar un DNS dnmco,
SELnux mpedr crear os archvos \..nl (journal, archvos de regstro por daro) correspondentes. Las
zonas de DNS dnmcas deben ser amacenadas en drectoros especfcos que soamente contengan
zonas dnmcas. Se debe crear e drectoro =var=named=c$root=var=named=dynamic para ta fn ,y
confgurar ste para qu pertenezca a usuaro, y grupo, named, y tenga permsos de ectura, escrtura
y e|ecucn para e usuaro y grupo named (770) y tenga os contextos de SELnux de usuaro de
sstema (systemQu), ro de ob|eto (o!.ectQr), y tpo cache de servco named (namedQcac$eQt), con
e fn de permtr escrtura en este drectoro.
cd /var/named/chroot/var/named/
mkdir dynamic/
chmod 77$ dynamic/
chon named#named dynamic/
chcon !u system.u !r obMect.r !t named.cache.t dynamic/
Este drectoro vene ncudo en a nstaacn estndar de Bind S.7 en Cent0> 6, o 'ed Eath
"nterprise inu2 6, por o cua es nnecesaro reazar e procedmento anteror con estos sstemas
operatvos.
9+.3.*. <reparativos.
Ideamente se deben defnr prmero os sguente datos:
1. Domno a resover.
2. Servdor de nombres prncpa (SOA). lste de!e ser un nom!re #ue ya est
plenamente resueltoF y debe ser un FBD) (Fuy Buafed Doman )ame).
3. Lsta de todos os servdores de nombres (NS) que se utzarn para efectos de
redundanca. lstos de!en ser nom!res #ue ya estn plenamente resueltos, y
deben ser adems FBD) (Fuy Buafed Doman )ame).
4. Cuenta de correo de admnstrador responsabe de esta zona. Dic$a cuenta de!e
e2istirF y de!e ser independiente de la misma 8ona #ue se est; tratando de
resolver.
5. A menos un servdor de correo (MX), con un regstro A, nunca C)A:".
6. IP predetermnada de domno.
7. Sub-domnos dentro de domno (www, ma, ftp, ns, etc.) y as dreccones IP que
estarn asocadas a estos.
Es mportante tener ben en caro que os puntos 2, 3, y 4, nvoucran datos que de!en e2istir
previamente, y estar penamente resuetos por otro servdor DNS; Lo anteror quere decr que
|ams se deben utzar datos que sean parte, o dependan, de msmo domno que se pretende
resover. De gua modo, e servdor donde se mpementar e D)> deber contar con un nombre
FBD), y que est preva, y penamente, resueto en otro DNS.
583
Como rega genera, se generar una zona de reenvo por cada domno sobre e cua se tenga
autordad pena y absouta y se generar una zona de resoucn nversa por cada red sobre a cua
se tenga pena y absouta autordad. Es decr, s se es e propetaro de domno
2cualquiercosa.com3, se deber generar e archvo de zona correspondente, con e fn de resover
dcho domno. Por cada red con dreccones IP prvadas, sobre a cua se tenga contro, y absouta
autordad, se deber generar un archvo de zona de resoucn nversa a fn de resover
nversamente as dreccones IP de dcha zona.
Reguarmente a resoucn nversa de as dreccones IP pbcas es responsabdad de os
proveedores de servco ya que son estos quenes tenen a autordad pena y absouta sobre
dchas dreccones IP.
Todos os archvos de zona deben pertenecer a usuaro named a fn de que e servco named
pueda acceder a estos o ben modfcar stos en e caso de tratarse de zonas escavas.
9+.3.*.+. Con&iguracin mnima para el arc$ivo =etc=named.con& en Cent0> 6F y
'ed Eath "nterprise inu2 6.
Edte e archvo =etc=named.con&:
vim /etc/named@con"
La confguracn mnma de este archvo, y a cua permtr utzar e servco para todo tpo de
uso, es a sguente:
584
options \
+or?#r-ers X
8.8.8.8Y
8.8.E.EY
ZY
+or?#r- +%rs$Y
-nsse&-en#!)e yesY
-nsse&-*#)%-#$%on yesY
-nsse&-)oo7#s%-e #.$oY
!%n-7eys-+%)e "8e$&8n#9e-.%s&-)*.7ey"Y
]V
)o%n X
&h#nne) -e+#.)$_-e!. X
+%)e "-#$#8n#9e-.r.n"Y
se*er%$y -yn#9%&Y
ZY
ZY
controls \
inet 167@$@$@1 allo \ 167@$@$@1V ] keys \ +rn-&-7ey+V ]V
]V
include +/etc/rndc@key+V
vie +local+ \
match!clients \
167@$@$@$/5V
1$@$@$@$/5V
176@16@$@$/16V
186@165@$@$/16V
]V
recursion yesV
:one "." FN X
$y'e h%n$Y
+%)e "n#9e-.&#"Y
ZY
]V
Lo anteror defne como opcones que e drectoro predetermnado ser =var=named (ruta reatva
a =var=named=c$root), defne un archvo donde se amacena a nformacn de cach en
=var=named=data=cac$eQdump.d!; un archvo de estadstcas en
=var=named=data=namedQstats.t2t, un archvo de estadstcas especfcas en o concernente a
uso de a memora en =var=named=data=namedQmemQstats.t2t; consutas recursvas permtdas
soamente a 127.0.0.1 y 192.168.1.0/24, se defnen como e.emplos de servdores DNS para
reenvar consutas a 9.9.9.9 y 9.9.4.4, que corresponden a os servdores DNS pbcos de
Googe, os cuaes puede reempla8ar por los servidores D)> del proveedor de acceso a
%nternet utili8ado); se defne que a prmera opcn a reazar una consuta ser reenvar a os
DNS que se acaban de defnr; se ncuyen os archvos de confguracn
=etc=named.r&c+S+*.8ones, que corresponde a as zonas de 'FC +S+*, y a frma dgta nca
que se gener automtcamente tras nstaar e paquete bnd; Se defne que os controes se
reazan soamente desde 127.0.0.1, haca 127.0.0.1, utzando a frma dgta nca; Se defne
que se utzar DNSSEC, utzando a frma dgta ocazada en e archvo
=etc=named.iscdlv.Ley.
585
Puede descargar un archvo panta, con todo o anteror, desde AcanceLbre.org, e|ecutando o
sguente:
cd /var/named/chroot/etc/
mv named@con" named@con"@original
get http#//@alcancelibre@org/linux/secrets/named@con"
restorecon named@con"
cd
Tome en consderacn que os cambos en Cent0> 6 y 'ed Eath "nterprise inu2 6 respecto
de Cent0> 5 y 'ed Eath "nterprise inu2 5, conssten en que se utza rndc(Ley en ugar de
rndcLey en a confguracn de a frma dgta, se aaden as neas correspondentes a a
confguracn de D)>>"C, se aade confguracn para e regstro en btcora y a zona de os
servdores raz va separada de archvo named.r&c+S+*.8ones. Cent0> 5 y 'ed Eath
"nterprise inu2 5 puede utzar exactamente a msma confguracn nstaando os paquetes
!indS7, !indS7(c$root, !indS7(li!s y !indS7(utils (desaparece e paquete cac$ing(
nameserver, cuyo contendo se ntegr a paquete !indS7).
Convene asegurarse que e archvo =etc=named.con& tenga os contextos correspondentes para
SELnux a fn de evtar potencaes probemas de segurdad.
chcon !u system.u !r obMect.r !t named.con".t /var/named/chroot/etc/named@con"
9+.3.3. Creacin de los arc$ivos de 8ona.
Los sguentes corresponderan a os contendos para os archvos de zona requerdos para a red
oca y por e NIC con e que se haya regstrado e domno. Cabe seaar que en as zonas de
reenvo sempre se especfca a menos un regstro >0A y un regstro )>. De manera opcona, y
en caso de que exsta un servco de correo eectrnco, aada a menos un regstro :D (Ma
Exchanger o ntercambador de correo). Soamente necestar susttur nombres y dreccones IP, y
quz aadr nuevos regstros para compementar su red oca.
9+.3.3.+. Con&iguracin mnima para =var=named=c$root=etc=named.con& en
Cent0> 5 y 'ed Eath "nterprise inu2 5.
La confguracn mnma de archvo =var=named=c$root=etc=named.con&, y que permtr
utzar e servco para todo tpo de uso, es a sguente:
586
options \
+or?#r-ers X
8.8.8.8Y
8.8.E.EY
ZY
+or?#r- +%rs$Y
]V
controls \
inet 167@$@$@1 allo \ 167@$@$@1V ] keys \ +rn-&7ey+V ]V
]V
vie +local+ \
match!clients \
167@$@$@$/5V
1$@$@$@$/5V
176@16@$@$/16V
186@165@$@$/16V
]V
recursion yesV
]V
Lo anteror defne como opcones que e drectoro predetermnado ser =var=named (ruta reatva
a =var=named=c$root), defne un archvo donde se amacena a nformacn de cach en
=var=named=data=cac$eQdump.d!; un archvo de estadstcas en
=var=named=data=namedQstats.t2t, un archvo de estadstcas especfcas en o concernente a
uso de a memora en =var=named=data=namedQmemQstats.t2t; consutas recursvas permtdas
soamente a 127.0.0.1, y 192.168.1.0/24; se defnen como e.emplos de servdores DNS para
reenvar consutas a 9.9.9.9, y 9.9.4.4, que corresponden a servdores DNS pbcos de Googe,
os cuaes puede reempla8ar por los servidores D)> del proveedor de acceso a %nternet
utili8ado; se defne que a prmera opcn a reazar una consuta ser reenvar a os DNS que se
acaban de defnr; se ncuyen os archvos de confguracn =etc=named.r&c+S+*.8ones, que
corresponde a as zonas de 'FC +S+*, y a frma dgta nca que se gener automtcamente
tras nstaar e paquete bnd; Se defne tambn que os controes se reazan soamente desde
127.0.0.1, haca 127.0.0.1, utzando a frma dgta nca.
Convene asegurarse que e archvo =var=named=c$root=etc=named.con& tenga os contextos
correspondentes para SELnux a fn de evtar potencaes probemas de segurdad.
chcon !u system.u !r obMect.r !t named.con".t /var/named/chroot/etc/named@con"
587
9+.3.3.*. ".emplo de [ona de reenvo red local
=var=named=c$root=var=named=data=red(local.8one.
F001 564$$
X (, S/4 dns@red!local@ alguien@gmail@com@ (
6$$8$81$$1V nbmero de serie
655$$ V tiempo de re"resco
76$$ V tiempo entre reintentos de consulta
6$45$$ V tiempo tras el cual expira la Cona
564$$ V tiempo total de vida
)
X (, ,S dns@red!local@net@
X (, -X 1$ mail
X (, 0X0 +v*sp"1 a mx !all+
X (, 4 186@165@1@1
intranet (, 4 186@165@1@1
maJuina6 (, 4 186@165@1@6
maJuina? (, 4 186@165@1@?
maJuina4 (, 4 186@165@1@4
(, 4 186@165@1@1
mail (, 4 186@165@1@1
"tp (, ),4-& intranet
dns (, ),4-& intranet
9+.3.3.3. [ona de resolucin inversa red local
=var=named=c$root=var=named=data=+.+69.+S*.in(addr.arpa.8one
F001 564$$
X (, S/4 dns@red!local@ alguien@gmail@com@ (
6$$8$81$$1 V nbmero de serie
)
X (, ,S dns@red!local@
1 (, <0R intranet@red!local@
6 (, <0R maJuina6@red!local@
? (, <0R maJuina?@red!local@
4 (, <0R maJuina4@red!local@
9+.3.3.4. [ona de reenvo del dominio
=var=named=c$root=var=named=data=dominio.com.8one
Suponendo que hpottcamente se es a autordad para e domno Idominio.comJ, se puede
crear una [ona de 'eenvo con un contendo smar a sguente:
588
F001 564$$
X (, S/4 +,-n.-o9%n%o.$)-. alguien@gmail@com@ (
6$$8$81$$1V nbmero de serie
)
X (, ,S +,-n.-o9%n%o.$)-.
X (, -X 1$ mail
X (, 0X0 +v*sp"1 a mx !all+
X (, 4 6$1@161@1@666
servidor (, 4 6$1@161@1@666
(, 4 6$1@161@1@666
mail (, 4 6$1@161@1@666
"tp (, ),4-& servidor
dns (, ),4-& servidor
9+.3.3.5. [ona de resolucin inversa del dominio
=var=named=c$root=var=named=data=+.+6+.*O+.in(addr.arpa.8one
Suponendo que hpottcamente se es a autordad para e segmento de red *O+.+6+.+.O=*4
(reguarmente o debe de hacer e proveedor de servco de acceso haca Internet), se puede crear
una [ona de 'esolucin %nversa con un contendo smar a sguente:
F001 564$$
X (, S/4 +,-n.-o9%n%o.$)-. alguien@gmail@com@ (
6$$8$81$$1 V nbmero de serie
)
X (, ,S +,-n.-o9%n%o.$)-.
1 (, <0R servidor@dominio@com@
6 (, <0R maJuina6@dominio@com@
? (, <0R maJuina?@dominio@com@
4 (, <0R maJuina4@dominio@com@
Cada vez que haga agn cambo en agn archvo de zona, deber cambar e nmero de sere a
fn de que tomen efecto os cambos de nmedato cuando se rence e servco named, ya que de
otro modo tendra que rencar e equpo, ago poco convenente.
Las zonas de resoucn nversa que nvoucran dreccones IP pbcas son responsabdad de os
ISP (proveedores de servco de acceso haca Internet). Crear una zona de resoucn nversa sn
ser a autordad de dcha zona tene efecto so para quen use e servdor DNS recn confgurado
como nco DNS.
589
9+.3.3.6. Con&iguracin de par;metros en el arc$ivo =etc=named.con&
options \
+or?#r-ers X
8.8.8.8Y
8.8.E.EY
ZY
+or?#r- +%rs$Y
dnssec!enable yesV
]V
logging \
channel de"ault.debug \
"ile +data/named@run+V
severity dynamicV
]V
]V
controls \
inet 167@$@$@1 allo \ 167@$@$@1V ] keys \ +rndc!key+V ]V
]V
vie +local+ \
match!clients \
167@$@$@$/5V
1$@$@$@$/5V
176@16@$@$/16V
186@165@$@$/16V
]V
recursion yesV
Cone +@+ (, \
type hintV
"ile +named@ca+V
]V
:one "re--)o&#)" X
$y'e 9#s$erY
+%)e "-#$#8re--)o&#).:one"Y
#))o?-.'-#$e X noneY ZY
]V
:one "4.438.4<2.%n-#--r.#r'#" X
$y'e 9#s$erY
+%)e "-#$#84.438.4<2.%n-#--r.#r'#.:one"Y
#))o?-.'-#$e X noneY ZY
]V
]V
590
9+.3.4. >eguridad adicional en D)> para uso p1!lico.
Ouenes hayan utzado en recentes fechas os servcos de DNS Report, habrn notado que e
dagnstco en nea devueve ahora un error que, en resumen, ndca que e servdor puede ser
susceptbe de sufrr/partcpar en un ataque DDo> (Dstrbuted Dena of >ervce o denegacn de
servco dstrbudo).
Un DDo> (Dstrbuted Dena of >ervce) es una ampacn de ataque Do>, se efecta con a
nstaacn de varos agentes remotos en muchas computadoras que pueden estar ocazadas en
dferentes puntos de mundo. E atacante consgue coordnar esos agentes para as, de forma
masva, ampfcar e voumen de saturacn de nformacn (flood), pudendo darse casos de un
ataque de centos o mares de computadoras drgdo a una mquna o red ob|etvo. Esta tcnca
se ha reveado como una de as ms efcaces y sencas a a hora de coapsar servdores, a
tecnooga dstrbuda ha do hacendo ms sofstcada hasta e punto de otorgar poder de causar
daos seros a personas con escaso conocmento tcnco.
La faa reportada por a herramenta en nea de DNS Report, para un servdor DNS que permte
consutas recursvas, ndcar ago como o sguente:
2,AA1A) 1ne or more of your nameservers reports tat it is an open &?$ server. Tis usually means tat anyone in te (orld can query it for
domains it is not autoritative for @it is possible tat te &?$ server advertises tat it does recursive loo'ups (en it does not, but tat
souldnGt appenC. Tis can cause an e4cessive load on your &?$ server. Alos, it is strongly discouraged to ave a &?$ server be bot
autoritative for your domain and be recursive @even if it is not openC, due to te potential for cace poisoning @(it no recursion, tere is no
cace, and it is impossible to poison itC. Alos, te bad guys could use your &?$ server as part of an attac', by forging teir 0F address3
Sgnfca que e servdor DNS puede permtr a cuaquera reazar consutas recursvas. S se trata
de un DNS que se desea pueda ser consutado por cuaquera, como puede ser e caso de DNS de
un ISP, esto es norma y esperado. S se trata de un servdor que so debe consutar a red oca, o
ben que se utza para propagar domnos ao|ados de manera oca, s es convenente tomar
meddas a respecto.
Soucn a probema es modfcar e archvo named.con&, donde se aade en a seccn de vsta
oca (vew "oca") a opcn recursion yesf y una o ms neas que defnan a a red o as redes
que tendrn permtdo reazar todo tpo de consutas.
591
options \
"orarders \186@165@$@1V ]V
"orard "irstV
dnssec!enable yesV
]V
logging \
severity dynamicV
]V
]V
controls \
]V
vie +local+ \
match!clients \
167@$@$@$/5V
1$@$@$@$/5V
176@16@$@$/16V
186@165@$@$/16V
]V
recursion yesV
Cone +@+ (, \
type hintV
"ile +named@ca+V
]V
]V
Lo anteror hace que so se puedan reazar consutas recursvas en e DNS desde 127.0.0.0/8,
10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16, ya sea para un nombre de domno ao|ado de manera
oca y otros domnos resuetos en otros servdores (e|empo: www.yahoo.com, www.googe.com,
www.acancebre.org, etc). E resto de mundo so podr reazar consutas sobre os domnos
ao|ados de manera oca y que estn confgurado para permtro.
En a sguente confguracn de e|empo, se pretende ograr o sguente:
Red Loca: cuaquer tpo de consuta haca domnos externos y ocaes (es decr, www.yahoo.com,
www.googe.com, acancebre.org, adems de *ido*inio.co*).
Resto de mundo: so puede hacer consutas para a zona de *ido*inio.co*
De este modo se mpde que haya consutas recursvas y con esto mpedr a posbdad de
sufrr/partcpar de un ataque DDoS.
592
options \
"orarders \186@165@$@1V ]V
"orard "irstV
dnssec!enable yesV
]V
logging \
severity dynamicV
]V
]V
controls \
]V
vie +publico+ \
match!clients \ anyV ]V
recursion noV
Cone +@+ (, \
type hintV
"ile +named@ca+V
]V
Cone +midominio.com+ \
type masterV
"ile +data/midominio.com@Cone+V
allo!update \ noneV ]V
allo!trans"er \ 6$$@76@159@696V 6$$@76@159@691V ]V
]V
]V
vie +local+ \
match!clients \
167@$@$@$/5V
1$@$@$@$/5V
176@16@$@$/16V
186@165@$@$/16V
]V
recursion yesV
Cone +@+ (, \
type hintV
"ile +named@ca+V
]V
Cone +miredlocal+ \
type masterV
"ile +data/miredlocal@Cone+V
allo!trans"er \ 186@165@$@6V ]V
]V
]V
593
Un DDo> (Dstrbuted Dena of >ervce) es una ampacn de ataque Do>, se efecta con a
nstaacn de varos agentes remotos en muchas computadoras que pueden estar ocazadas en
dferentes puntos de mundo. E atacante consgue coordnar esos agentes para as, de forma
masva, ampfcar e voumen de saturacn de nformacn (food), pudendo darse casos de un
ataque de centos o mares de computadoras drgdo a una mquna o red ob|etvo. Esta tcnca
se ha reveado como una de as ms efcaces y sencas a a hora de coapsar servdores, a
tecnooga dstrbuda ha do hacendo ms sofstcada hasta e punto de otorgar poder de causar
daos seros a personas con escaso conocmento tcnco.
La faa reportada por a herramenta en nea de DNS Report, para un servdor DNS que permte
consutas recursvas, ndcar ago como o sguente:
2,AA1A) 1ne or more of your nameservers reports tat it is an open &?$ server. Tis usually means tat anyone in te (orld can query it for
domains it is not autoritative for @it is possible tat te &?$ server advertises tat it does recursive loo'ups (en it does not, but tat
souldnGt appenC. Tis can cause an e4cessive load on your &?$ server. Alos, it is strongly discouraged to ave a &?$ server be bot
autoritative for your domain and be recursive @even if it is not openC, due to te potential for cace poisoning @(it no recursion, tere is no
cace, and it is impossible to poison itC. Alos, te bad guys could use your &?$ server as part of an attac', by forging teir 0F address3
Sgnfca que e servdor DNS puede permtr a cuaquera reazar consutas recursvas. S se trata
de un DNS que se desea pueda ser consutado por cuaquera, como puede ser e caso de DNS de
un ISP, esto es norma y esperado. S se trata de un servdor que so debe consutar a red oca, o
ben que se utza para propagar domnos ao|ados de manera oca, s es convenente tomar
meddas a respecto.
Soucn a probema es modfcar e archvo named.con&, donde se aade en a seccn de vsta
oca (vew "oca") a opcn recursion yesf y una o ms neas que defnan a red o as redes que
tendrn permtdo reazar todo tpo de consutas.
594
options \
"orarders \ 186@165@7$@1V ]V
"orard "irstV
dnssec!enable yesV
]V
logging \
severity dynamicV
]V
]V
controls \
]V
vie +local+ \
match!clients \
167@$@$@$/5V
1$@$@$@$/5V
176@16@$@$/16V
186@165@$@$/16V
]V
recursion yesV
Cone +@+ (, \
type hintV
"ile +named@ca+V
]V
]V
Lo anteror hace que so se puedan reazar todo tpo de consutas en e DNS desde 127.0.0.0/8,
10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16, ya sea para un nombre de domno ao|ado de manera
oca y otros domnos resuetos en otros servdores (e|empo: (((.yaoo.com, (((.google.com,
(((.alcancelibre.org, etc). E resto de mundo so podr reazar consutas sobre os domnos
ao|ados de mane|a oca y que estn confgurado para permtro.
En a sguente confguracn de e|empo, se pretende ograr o sguente:
Red Loca: cuaquer tpo de consuta haca domnos externos y ocaes (es decr,
www.yahoo.com, www.googe.com, acancebre.org, adems de *ido*inio.co*).
Resto de mundo: so puede hacer consutas para a zona de *ido*inio.co*
De este modo se mpde que haya consutas recursvas y con esto mpedr a posbdad de
sufrr/partcpar de un ataque DDoS.
595
options \
"orarders \186@165@$@1V ]V
"orard "irstV
dnssec!enable yesV
]V
logging \
severity dynamicV
]V
]V
controls \
]V
vie +publico+ \
recursion noV
Cone +@+ (, \
type hintV
"ile +named@ca+V
]V
Cone +midominio.com+ \
type masterV
"ile +data/midominio.com@Cone+V
allo!trans"er \ 6$4@1?@648@79V 6$5@75@68@79V 81@185@66@79V ]V
]V
]V
vie +local+ \
match!clients \
167@$@$@$/5V
1$@$@$@$/5V
176@16@$@$/16V
186@165@$@$/16V
]V
recursion yesV
Cone +@+ (, \
type hintV
"ile +named@ca+V
]V
Cone +miredlocal+ \
type masterV
"ile +data/miredlocal@Cone+V
allo!trans"er \ 186@165@$@6V ]V
]V
]V
596
9+.3.5. >eguridad adicional en D)> para uso e2clusivo en red local.
S se va a tratar de un servdor de nombres de domno para uso excusvo en red oca, y se
queren evtar probemas de segurdad de dferente ndoe, puede utzarse e parmetro alloP(
#uery, e cua servr para especfcar que so certas dreccones podrn reazar consutas a
servdor de nombres de domno. Se pueden especfcar drectamente dreccones IP, redes
competas o stas de contro de acceso que debern defnrse antes de cuaquer otra cosa en e
archvo =etc=named.con&.
597
9+.3.5.+. Arc$ivo =etc=named.con&
options \
directory +/var/named/+V
"orarders \
5@5@5@5V
5@5@4@4V
]V
"orard "irstV
dnssec!enable yesV
]V
logging \
severity dynamicV
]V
]V
controls \
]V
vie +local+ \
match!clients \
167@$@$@$/5V
1$@$@$@$/5V
176@16@$@$/16V
186@165@$@$/16V
]V
recursion yesV
Cone +@+ (, \
type hintV
"ile +named@ca+V
]V
Cone +red!local+ \
type masterV
"ile +data/red!local@Cone+V
]V
Cone +1@165@186@in!addr@arpa+ \
type masterV
"ile +data/1@165@186@in!addr@arpa@Cone+V
]V
]V
598
9+.3.6. as 8onas esclavas.
Las zonas escavas se referen a aqueas hospedadas en servdores de nombres de domno
secundaros y que hacen as funcones de redundar as zonas maestras en os servdores de
nombres de domno prmaros. E contendo de archvo de zona es e msmo que en servdor
prmaro. La dferenca est en a seccn de texto utzada en named.con&, donde as zonas se
defnen como escavas y defnen os servdores donde est hospedada a zona maestra.
9+.3.6.+. Arc$ivo named.con& >ervidor D)> secundario.
vie +publico+ \
recursion noV
Cone +@+ (, \
type hintV
"ile +named@ca+V
]V
Cone +dominio@com+ \
$y'e s)#*eY
"ile +dominio@com@Cone+V
9#s$ers X 4<2.438.4.25EY ZY
]V
]V
vie +local+ \
match!clients \
167@$@$@$/5V
1$@$@$@$/5V
176@16@$@$/16V
186@165@$@$/16V
]V
recursion yesV
Cone +@+ (, \
type hintV
"ile +named@ca+V
]V
Cone +red!local+ \
$y'e s)#*eY
9#s$ers X 4<2.438.4.25EY ZY
]V
$y'e s)#*eY
9#s$ers X 4<2.438.4.25EY ZY
]V
]V
Adconamente, s desea ncrementar segurdad y desea especfcar en el >ervidor D)>
<rimario que servdores tendrn permtdo ser servdores de nombres de domno secundaro, es
decr, hacer transferencas, puede utzar e parmetro alloP(trans&er de sguente modo:
599
9+.3.6.*. Arc$ivo named.con& >ervidor D)> <rimario.
vie +publico+ \
recursion noV
Cone +@+ (, \
type hintV
"ile +named@ca+V
]V
Cone +dominio@com+ \
type masterV
"ile +dominio@com@Cone+V
#))o?-$r#ns+er X
2//.33.4E3.24=Y
2//.33.4E3.2/<Y
ZY
]V
]V
vie +local+ \
match!clients \
167@$@$@$/5V
1$@$@$@$/5V
176@16@$@$/16V
186@165@$@$/16V
]V
recursion yesV
Cone +@+ (, \
type hintV
"ile +named@ca+V
]V
Cone +red!local+ \
type masterV
#))o?-$r#ns+er X
4<2.438.4.45Y
4<2.438.4.43Y
ZY
]V
type masterV
#))o?-$r#ns+er X
4<2.438.4.45Y
4<2.438.4.43Y
ZY
]V
]V
9+.3.7. >eguridad adicional para trans&erencias de 8ona.
Cuando se gestonan domnos a travs de redes pbcas, es mportante consderar que s se
tenen esquemas de servdores maestros y esclavos, sempre ser ms convenente utzar una
clave ci&rada en ugar de una dreccn IP, debdo a que esta tma puede ser fasfcada ba|o
certas crcunstancas.
600
Comnmente se defnen as dreccones IP desde as cuaes se permtr transferencas de zonas,
utzando una confguracn en e archvo =var=named=c$root=etc=named.con& como a
e|empfcada a contnuacn, donde os servdores escavos corresponden a os servdores con
dreccones IP 192.168.1.11 y 192.168.1.12:
Cone +mi!dominio@org+ \
type masterV
"ile +data/mi!dominio@org@Cone+V
allo!update \ noneV ]#
allo!trans"er \ 186@165@1@11V 186@165@1@16V ]V
]V
Lo anteror permte a transferenca de zona para os servdores con dreccones IP 192.168.1.11 y
192.168.1.12, os cuaes utzan a sguente confguracn en e archvo
=var=named=c$root=etc=named.con&, e|empfcada a contnuacn, donde e servdor prmaro
(zonas maestras) corresponde a servdor con dreccn IP 192.168.1.1:
type slaveV
masters \ 186@165@1@1V ]V
]V
E nconvenente de esquema anteror es que es fc fasfcar as dreccones IP. A fn de evtar
que esto ocurra, e mtodo recomendado ser utzar una cave cfrada que ser vadada en ugar
de a dreccn IP. La ave se crea con e mandato dnssec(Leygen, especfcando un agortmo,
que puede ser '>A:D5 o '>A, D>A, DE (Dffe Eeman) o E:AC(:D5, e tamao de a ave en
octetos (bts), e tpo de a ave, que puede ser ZONE, HOST, ENTITY o USER y e nombre especfco
para a cave cfrada. DSA y RSA se utzan para D)> >eguro (D)>>"C), en tanto que E:AC(
:D5 se utza para @>%? (@ransfer >%?nature o transferenca de frma). Lo ms comn es utzar
@>%?. En e sguente e|empo, se generar en e drectoro de traba|o actua a cave mi(
dominio.org, utzando =dev=random como fuente de datos aeatoros, un agortmo E:AC(:D5
tpo E0>@ de 128 octetos (bts):
dnssec!keygen !r /dev/random !a 2-4)!-%9 !b 165 !n 2/S0 mi!dominio@org
Lo anteror devueve una sada smar a a sguente:
Hmi!dominio@org@N197N?6?66
A msmo tempo se generaran dos archvos en e drectoro =var=named=c$root=var=named=, que
corresponderan a Kmi(dominio.org.H+57H3*3**.Ley y Kmi(dominio.org.
H+57H3*3**.private. Kmi(dominio.org.H+57H3*3**.Ley deber tener un contendo como e
sguente, e cua corresponde a regstro que se aade dentro de archvo de zona:
mi!dominio@org@ (, H&; 916 ? 197 ,<u,uxvG4Mtd?mriuyg05l**
Kmi(dominio.org.H+57H3*3**.private deber tener un contendo como e sguente:
<rivate!key!"ormat# v1@6
4lgorithm# 197 (2-4).-%9)
Hey# ,<u,uxvG4Mtd?mriuyg05l**
601
En ambos casos, )<u)u2v[A.td3mriuyg@9BRR corresponde a a cave cfrada. Ambos deben
tener a msma cave.
Los dos archvos so deben tener atrbutos de ectura para e usuaro named.
chmod 4$$ Hmi!dominio@org@N197N?6?66@K
chon named@named Hmi!dominio@org@N197N?6?66@K
A fn de poder ser utzados, ambos archvos deben ser movdos haca e drectoro
=var=named=c$root=var=named=data=.
mv Hmi!dominio@org@N197N?6?66@K /var/named/chroot/var/named/data/
A contnuacn, restaure os atrbutos predetermnados para estos archvos utzando e mandato
restorecon, de sguente modo:
restorecon !R /var/named/chroot/var/named/data/
En e servdor prmaro (zonas maestras), se aade a sguente confguracn en e archvo
=var=named=c$root=etc=named.con&:
key mi!dominio@org \
algorithm 2-4)!-%9V
secret +,<u,uxvG4Mtd?mriuyg05l**+V
]V
type masterV
allo!trans"er \ key mi!dominio@orgV ]V
]V
Los servdores escavos utzaran a sguente confguracn en e archvo
=var=named=c$root=etc=named.con&, en donde se defne a cave y que sta ser utzada para
reazar conexones haca e servdor prmaro (zonas maestras) (192.168.1.1, en e e|empo):
7ey 9%--o9%n%o.or X
#)or%$h9 IMAC-MD5Y
se&re$ "NA.N.C*KAH$-39r%.yT8[=="Y
ZY
ser*er 4<2.438.4.4 X
7eys X 9%--o9%n%o.orY ZY
ZY
type slaveV
masters \ 186@165@1@1V ]V
]V
602
9+.3.7.+. Compro!aciones.
Tanto en e servdor prmaro (zonas maestras) como en os servdores escavos, utce e mandato
tail para ver a sada de archvo =var=log=messages, pero so aqueo que contenga a cadena
de caracteres named:
tail !" /var/log/messages Zgrep named
A rencar e servco named en servdor prmaro (zonas maestras), se debe mostrar una sada
smar a a sguente cuando un servdor escavo reaza una transferenca:
Sep 1$ $1#97#4$ servidor namedD6$46E# listening on (<v4 inter"ace eth$B 186@165@1@64A9?
Sep 1$ $1#97#4$ servidor namedD6$46E# command channel listening on 167@$@$@1A89?
Sep 1$ $1#97#4$ servidor namedD6$46E# Cone $@in!addr@arpa/(,# loaded serial 46
Sep 1$ $1#97#4$ servidor namedD6$46E# Cone $@$@167@in!addr@arpa/(,# loaded serial 1887$667$$
Sep 1$ $1#97#4$ servidor namedD6$46E# Cone 699@in!addr@arpa/(,# loaded serial 46
Sep 1$ $1#97#4$ servidor namedD6$46E# Cone
$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@ip6@arpa/(,# loaded serial 1887$667$$
Sep 1$ $1#97#4$ servidor namedD6$46E# Cone localdomain/(,# loaded serial 46
Sep 1$ $1#97#4$ servidor namedD6$46E# Cone localhost/(,# loaded serial 46
Sep 1$ $1#97#4$ servidor namedD6$46E# Cone mi!dominio@org/(,# loaded serial 6$$8$81$$1
Sep 1$ $1#97#4$ servidor named# (niciaciRn de named succeeded
Sep 1$ $1#97#4$ servidor namedD6$46E# running
Sep 1$ $1#97#4$ servidor namedD6$46E# Cone mi!dominio@org/(,# sending noti"ies (serial 6$$8$81$$1)
Se' 4/ /4D5<DE< ser*%-or n#9e-"3/E2(D &)%en$ 4<2.438.4.44T3284=D $r#ns+er o+ B9%--o9%n%o.or8FNBD
AXFR s$#r$e-
A rencar e servco named en os servdores escavos, se debe mostrar una sada smar a a
sguente:
Sep 1$ $1#95#19 servidor namedD9$5$E# listening on (<v4 inter"ace eth$B 186@165@1@69?A9?
Sep 1$ $1#95#19 servidor namedD9$5$E# command channel listening on 167@$@$@1A89?
Sep 1$ $1#95#19 servidor namedD9$5$E# Cone $@in!addr@arpa/(,# loaded serial 46
Sep 1$ $1#95#19 servidor namedD9$5$E# Cone $@$@167@in!addr@arpa/(,# loaded serial 1887$667$$
Sep 1$ $1#95#19 servidor namedD9$5$E# Cone 699@in!addr@arpa/(,# loaded serial 46
Sep 1$ $1#95#19 servidor namedD9$5$E# Cone
$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@$@ip6@arpa/(,# loaded serial 1887$667$$
Sep 1$ $1#95#19 servidor namedD9$5$E# Cone localdomain/(,# loaded serial 46
Sep 1$ $1#95#19 servidor namedD9$5$E# Cone localhost/(,# loaded serial 46
Sep 1$ $1#95#19 servidor namedD9$5$E# running
Sep 1$ $1#95#19 servidor named# (niciaciRn de named succeeded
Se' 4/ /4D58D45 ser*%-or n#9e-"5/8/(D :one 9%--o9%n%o.or8FND $r#ns+erre- ser%#) 2//</<4//4
Se' 4/ /4D58D45 ser*%-or n#9e-"5/8/(D $r#ns+er o+ B9%--o9%n%o.or8FNB +ro9 4<2.438.4.4T53D en- o+
$r#ns+er
Se' 4/ /4D58D45 ser*%-or n#9e-"5/8/(D :one 9%--o9%n%o.or8FND sen-%n no$%+%es 1ser%#) 2//</<4//45
9+.3.9. 'einiciar servicio y depuracin de con&iguracin.
A termnar de edtar todos os archvos nvoucrados, so bastar rencar e servdor de nombres
de domno.
S queremos que e servdor de nombres de domno quede aaddo entre os servcos en e
arranque de sstema, deberemos reazar o sguente a fn de habtar named |unto con e
arranque de sstema:
chkcon"ig named on
Reace prueba de depuracn y verfque que a zona haya cargado con nmero de sere:
603
tail !5$ /var/log/messages Zgrep named
Lo anteror, s est funconando correctamente, debera devover ago parecdo a o mostrado a
contnuacn:
Sep 1$ $6#19#19 servidor namedD?$615E# starting :(,% 8@6@6 !u named
Sep 1$ $6#19#19 servidor namedD?$615E# using 1 )<>
Sep 1$ $6#19#19 servidor named# (niciaciRn de named succeeded
Sep 1$ $6#19#19 servidor namedD?$666E# loading con"iguration "rom U/etc/named@con"U
Sep 1$ $6#19#19 servidor namedD?$666E# no (<v6 inter"aces "ound
Sep 1$ $6#19#19 servidor namedD?$666E# listening on (<v4 inter"ace loB 167@$@$@1A9?
Sep 1$ $6#19#19 servidor namedD?$666E# listening on (<v4 inter"ace eth$B 186@165@1@1A9?
Sep 1$ $6#19#19 servidor namedD?$666E# command channel listening on 167@$@$@1A89?
Sep 1$ $6#19#16 servidor namedD?$666E# Cone $@$@167@in!addr@arpa/(,# )o#-e- ser%#) 3
Sep 1$ $6#19#16 servidor namedD?$666E# Cone 1@165@186@in!addr@arpa/(,# )o#-e- ser%#) 2//</<4//4
Sep 1$ $6#19#16 servidor namedD?$666E# Cone localhost/(,# )o#-e- ser%#) 4
Sep 1$ $6#19#16 servidor namedD?$666E# Cone mi!dominio@com@mx/(,# )o#-e- ser%#) 2//</<4//4
Sep 1$ $6#19#16 servidor namedD?$666E# running
Sep 1$ $6#19#16 servidor namedD?$666E# Cone 1@165@186@in!addr@arpa/(,# sending noti"ies (serial
6$$8$81$$1)
Sep 1$ $6#19#16 servidor namedD?$666E# Cone mi!dominio@com@mx/(,# sending noti"ies (serial
6$$8$81$$1)
604
9*. Con&iguracin de >#uid- <ar;metros
!;sicos.
9*.+. %ntroduccin.
9*.+.+. Bu es >ervidor %ntermediario M<ro2yN?
E trmno en nges I<ro2yJ tene un sgnfcado muy genera y a msmo tempo ambguo,
aunque nvarabemente se consdera un snnmo de concepto de I%ntermediarioJ. Se suee
traducr, en e sentdo estrcto, como delegado o apoderado (e que tene e que poder sobre
otro).
Un >ervidor %ntermediario se defne como una computadora o dspostvo que ofrece un servco
de red que consste en permtr a os centes reazar conexones de red ndrectas haca otros
servcos de red. Durante e proceso ocurre o sguente:
1. Cente se conecta haca un >ervidor <ro2y.
2. Cente socta una conexn, archvo u otro recurso dsponbe en un servdor dstnto.
3. Servdor Intermedaro proporcona e recurso ya sea conectndose haca e servdor
especfcado o srvendo ste desde un cach.
4. En agunos casos e >ervidor %ntermediario puede aterar a soctud de cente o
ben a respuesta de servdor para dversos propstos.
Los >ervidores <ro2y generamente se hacen traba|ar smutneamente como muro cortafuegos
operando en e )ivel de 'ed, actuando como ftro de paquetes, como en e caso de ipta!les, o
ben operando en e )ivel de Aplicacin, controando dversos servcos, como es e caso de @C<
brapper. Dependendo de contexto, e muro cortafuegos tambn se conoce como B<D o Border
<rotecton Devce o smpemente &iltro de pa#uetes.
Una apcacn comn de os >ervidores <ro2y es funconar como cach de contendo de Red
(prncpamente HTTP), proporconando en a proxmdad de os centes un cach de pgnas y
archvos dsponbes a travs de a Red en servdores HTTP remotos, permtendo a os centes de
a red oca acceder haca stos de forma ms rpda y confabe.
Cuando se recbe una petcn para un recurso de Red especfcado en un ,' (,nform 'esource
ocator) e >ervidor %ntermediario busca e resutado de ,' dentro de cach. S ste es
encontrado, e >ervidor %ntermediario responde a cente proporconado nmedatamente e
contendo soctado. S e contendo soctado no estuvera dsponbe en e cach, e >ervidor
%ntermediario o traer desde servdor remoto, entregndoo a cente que o soct y
guardando una copa en e cach. E contendo en e cach es emnado uego a travs de un
agortmo de expracn de acuerdo a a antgedad, tamao e hstora de respuestas a
solicitudes (hts) (e|empos: ',, F,DA y ?D>F).
605
Los >ervidores <ro2y para contendo de Red (Web Proxes) tambn pueden actuar como ftros
de contendo servdo, apcando potcas de censura de acuerdo a crteros arbtraros.
9*.+.*. Acerca de >#uid.
>#uid es un >ervidor %ntermediario de ato desempeo que se ha vendo desarroando desde
hace varos aos y es hoy en da un muy popuar y ampamente utzado entre os sstemas
operatvos como GNU/Lnux y dervados de Unx. Es muy confabe, robusto y verst y se
dstrbuye ba|o os trmnos de a Lcenca Pbca Genera GNU (?),=?<). Sendo equpamento
gco li!re, est dsponbe e cdgo fuente para quen as o requera.
Entre otras cosas, >#uid puede funconar como >ervidor %ntermediario y cac$ de contenido
de 'ed para os protocoos E@@<, F@<, ?0<E"' y bA%>, Proxy de >>, cach transparente,
bbC<, aceeracn E@@<, cach de consutas DNS y otras muchas ms como ftracn de
contendo y contro de acceso por IP y por usuaro.
>#uid consste de un programa prncpa como servdor, un programa para bsqueda en
servdores D)>, programas opconaes para reescrbr soctudes y reazar autentcacn y
agunas herramentas para admnstracn y y herramentas para centes. A ncar >#uid da
orgen a un nmero confgurabe (5, de modo predefndo a travs de parmetro dnsQc$ildren)
de procesos de bsqueda en servdores D)>, cada uno de os cuaes reaza una bsqueda nca
en servdores D)>, reducendo a cantdad de tempo de espera para as bsquedas en servdores
D)>.
)ota.
>#uid no de!e ser utili8ado como >ervidor %ntermediario M<ro2yN para protocoos como >:@<,
<0<3, @")"@, >>E, %'C, etc. S se requere ntermedar para cual#uier protocolo distinto a E@@<,
E@@<>, F@<, ?0<E"' y bA%> se requerr mpementar obgatoramente un enmascaramento de IP
o )A@ ()etwork Address @ransaton) o ben hacer uso de un servdor >0CK> como Dante
(http://www.net.no/dante/).
URL: http://www.squd-cache.org/
9*.+.*.+. Algoritmos de cac$ utili8ados por >#uid.
A travs de un parmetro (cac$eQreplacementQpolicy) >#uid ncuye soporte para os sguentes
agortmos para e cach:
',
Acrnmo de east 'ecenty ,sed, que traduce como :enos 'ecientemente ,tili8ado.
En este agortmo os ob|etos que no han sdo acceddos en mucho tempo son emnados
prmero, mantenendo sempre en e cach a os ob|etos ms recentemente soctados.
lsta poltica es la utili8ada por >#uid de modo prede&inido.
F,DA
Acrnmo de east Frequenty ,sed wth Dynamc Agng, que se traduce como :enos
Frecuentemente ,tili8ado con "nve.ecimiento Din;mico. En este agortmo os
ob|etos ms soctados permanecen en e cach sn mportar su tamao optmzando a
e&iciencia (ht rate) por octetos (Bytes) a expensas de a efcenca msma, de modo que
un ob|eto grande que se socte con mayor frecuenca mpedr que se pueda hacer cach
de ob|etos pequeos que se socten con menor frecuenca.
?D>F
Acrnmo de ?reedyDua >ze Frequency, que se traduce como Frecuencia de tamao
,reed/0ual (codicioso dual), que es e agortmo sobre e cua se basa ?D>F. Optmza a
e&iciencia (ht rate) por ob|eto mantenendo en e cach os ob|etos pequeos ms
frecuentemente soctados de modo que hay me|ores posbdades de ograr respuesta a
una solicitud (ht). Tene una efcenca por octetos (Bytes) menor que e agortmo
F,DA debdo a que descarta de cach ob|etos grandes que sean soctado con
frecuenca.
606
9*.*. "#uipamiento lgico necesario.
Para poder evar a cabo os procedmentos descrtos en este y otros documentos reaconados,
usted necestar tener nstaado a menos o sguente:
A menos squd-2.5.STABLE6
@odos os parches de segurdad dsponbes para a versn de sstema operatvo que
est utzando.
Un muro cortafuegos confgurado con system(con&ig(securitylevel, Firestarter, o
>$orePall.
Debe tomarse en consderacn que, de ser posbe, se debe utzar siempre as versones
estabes ms recentes de todo equpamento gco que vaya a ser nstaado para reazar os
procedmentos descrtos en este manua, a fn de contar con os parches de segurdad necesaros.
)inguna versin de >#uid anterior a la *.5.>@AB"6 se considera como apropiada debdo
a faas de segurdad de gran mportanca.
>#uid no se nstaa de manera predetermnada a menos que especfque o contraro durante a
nstaacn de sstema operatvo, sn embargo vene ncudo en cas todas as dstrbucones
actuaes. E procedmento de nstaacn es exactamente e msmo que con cuaquer otro
equpamento gco.
9*.*.+. %nstalacin a travs de yum.
S cuenta con un sstema con CentOS o Whte Box Enterprse Lnux 3 o versones posterores,
e|ecute o sguente y se nstaar todo o necesaro |unto con sus dependencas:
yum !y install sJuid
9*.3. >"inu2 y el servicio s#uid.
A fn de que SELnux permta a servco s#uid que os centes se conecten desde cuaquer
dreccn IP, e|ecutar o sguente.
setsebool !< sJuid.connect.any 1
)ota.
En Cent0> 5 y 'ed Eat "nterprise inu2 5, se pude utzar una potca adcona. Para que SELnux
permta a servco s#uid funconar normamente, hacendo que todo o anterormente descrto en esta
seccn perda sentdo, utce e sguente mandato:
setsebool !< sJuid.disable.trans 1
9*.4. Antes de continuar.
Evte de|ar espacios vacos en ugares ndebdos. E sguente e|empo muestra a manera
ncorrecta de habtar un parmetro.
Ma
A /pciRn %n&orre&$#9en$e habilitada@
h$$'_'or$ 5$5$
607
E sguente e|empo muestra a manera correcta de habtar un parmetro.
Ben
A /pciRn &orre&$#9en$e habilitada@
h$$'_'or$ 5$5$
9*.5. Con&iguracin !;sica.
>#uid utza e archvo de confguracn ocazado en =etc=s#uid=s#uid.con&, y podr traba|ar
sobre este utzando su edtor de texto smpe preferdo. Exsten un gran nmero de parmetros,
de os cuaes recomendamos confgurar os sguentes:
A menos una ista de Control de Acceso
A menos una 'egla de Control de Acceso
http_port
cache_dr
error_drectory
E resto de os parmetros, menconados en este documento, son opconaes.
9*.5.+. Controles de acceso.
Es necesaro estabecer istas de Control de Acceso que defnan una red o ben certas
mqunas en partcuar. A cada sta se e asgnar una 'egla de Control de Acceso que
permtr o denegar e acceso a >#uid. Procedamos a entender como defnr unas y otras.
9*.5.+.+. istas de control de acceso.
De modo predetermnado en Cent0> 6, y 'ed Eat "nterprise inu2 6, Squd habta e acceso
a todas as redes ocaes, defndas en e RFC1918. Es decr, permte e acceso a 10.0.0.0/8,
172.16.0.0/12, 192.168.0.0/16, fc00::/7, y fe80::/10.
A &xample rule alloing access "rom your local netorks@
A 4dapt to list your (internal) (< netorks "rom here brosing
A should be alloed
acl localnet src 1$@$@$@$/5 A R=)1815 possible internal netork
acl localnet src 176@16@$@$/16 A R=)1815 possible internal netork
acl localnet src 186@165@$@$/16 A R=)1815 possible internal netork
acl localnet src "c$$##/7 A R=) 418? local private netork range
acl localnet src "e5$##/1$ A R=) 4681 link!local (directly plugged) machines
Deshabte todo o anteror, coocando una amoada (# a nco de cada nea.
A &xample rule alloing access "rom your local netorks@
A 4dapt to list your (internal) (< netorks "rom here brosing
A should be alloed
A acl localnet src 1$@$@$@$/5 A R=)1815 possible internal netork
A acl localnet src 176@16@$@$/16 A R=)1815 possible internal netork
A acl localnet src 186@165@$@$/16 A R=)1815 possible internal netork
A acl localnet src "c$$##/7 A R=) 418? local private netork range
A acl localnet src "e5$##/1$ A R=) 4681 link!local (directly plugged) machines
Reguarmente una sta de contro de acceso se estabece con a sguente sntaxs:
608
acl Dnombre de la listaE src Dlo Jue compone a la listaE
S se desea estabecer una sta de contro de acceso que abarque a toda a red oca, basta defnr
a IP correspondente a a red y a mscara de a sub-red. Por e|empo, s se tene una red donde as
mqunas tenen dreccones IP 192.168.70.n con mscara de sub-red de 24 bt, podemos utzar
o sguente:
acl localnet src 186@165@7$@$/64
Tambn puede defnrse una ista de Control de Acceso especfcando un archvo ocazado en
cuaquer parte de dsco duro, y a cua contene una sta de dreccones IP. E|empo:
acl permitidos src +/etc/sJuid/listas/permitidos+
E archvo =etc=s#uid=listas=permitidos tendra un contendo smuar a sguente:
186@165@7$@1
186@165@7$@6
186@165@7$@?
186@165@7$@19
186@165@7$@16
186@165@7$@6$
186@165@7$@4$
Lo anteror estara defnendo que a ista de Control de Acceso denomnada permitidos
estara compuesta por as dreccones IP ncudas en e archvo =etc=s#uid=listas=permitidos.
9*.5.+.*. 'eglas de Control de Acceso.
Estas defnen s se permte o no e acceso haca >#uid. Se apcan a as istas de Control de
Acceso. Deben coocarse en a seccn de regas de contro de acceso defndas por e
admnstrador, es decr, a partr de donde se ocaza a sguente eyenda:
A
A (,S&R0 ;/>R /3, R>1&(S) 2&R& 0/ 411/3 4))&SS =R/- ;/>R )1(&,0S
A
La sntaxs bsca de una rega de contro de acceso es a sguente:
http.access Ddeny o alloE Dlista de control de accesoE
En e sguente e|empo se consdera una rega que estabece acceso permtdo a >#uid a a ista
de Control de Acceso denomnada permitidos:
http.access allo permitidos
Tambn pueden defnrse regas vandose de a expresn `, a cua sgnfca no. Pueden
defnrse, por e|empo, dos stas de contro de acceso, una denomnada lista+ y otra denomnada
lista*, en a msma rega de contro de acceso, en donde se asgna una expresn a una de estas.
La sguente estabece que se permte e acceso a >#uid a o que comprenda lista+ excepto
aqueo que comprenda lista*:
609
http.access allo lista1 hlista6
Este tpo de regas son tes cuando se tene un gran grupo de IP dentro de un rango de red a que
se debe permitir acceso, y otro grupo dentro de a msma red a que se debe denegar e acceso.
9*.5.*. Aplicando istas y 'eglas de control de acceso.
Una vez comprenddo e funconamento de a Lstas y as Rega de Contro de Acceso,
procederemos a determnar cuaes utzar para nuestra confguracn.
9*.5.*.+. Caso +.
Consderando como e|empo que se dspone de una red 192.168.70.0/24, s se desea defnr toda
a red oca, utzaremos a sguente nea en a seccn de istas de Control de Acceso:
acl localnet src 186@165@7$@$/64
Habendo hecho o anteror, a seccn de stas de contro de acceso debe quedar ms o menos de
sguente modo:
istas de Control de Acceso- de&inicin de una red local completa
A
A Recommended minimum con"iguration#
acl all src $@$@$@$/$
acl manager proto cache.obMect
acl localhost src 167@$@$@1/5
#&) )o&#)ne$ sr& 4<2.438.=/./82E
A contnuacn procedemos a apcar a rega de contro de acceso:
http.access allo localnet
Habendo hecho o anteror, a zona de regas de contro de acceso debera quedar de modo smar
a sguente:
'eglas de control de acceso- Acceso a una ista de Control de Acceso.
A
A (,S&R0 ;/>R /3, R>1&(S) 2&R& 0/ 411/3 4))&SS =R/- ;/>R )1(&,0S
A
http.access allo localhost
h$$'_#&&ess #))o? )o&#)ne$
http.access deny all
La rega $ttpQaccess alloP localnet permte e acceso a >#uid a a ista de Control de
Acceso denomnada localnet, a cua est conformada por 192.168.70.0/24. Esto sgnfca que
cuaquer mquna desde 192.168.70.1 hasta 192.168.70.254 podr acceder a >#uid.
610
9*.5.*.*. Caso *.
S so se desea permtr e acceso a >#uid a certas dreccones IP de a red oca, deberemos
crear un archvo que contenga dcha sta. Genere e archvo =etc=s#uid=listas=localnet, dentro
de cua se ncurn so aqueas dreccones IP que desea confrmen a Lsta de Contro de
acceso. E|empo:
186@165@7$@1
186@165@7$@6
186@165@7$@?
186@165@7$@19
186@165@7$@16
186@165@7$@6$
186@165@7$@4$
Denomnaremos a esta sta de contro de acceso como localnet:
acl localnet src +/etc/sJuid/listas/localnet+
Habendo hecho o anteror, a seccn de stas de contro de acceso debe quedar ms o menos de
sguente modo:
istas de Control de Acceso- de&inicin de una red local completa
A
acl localhost src 167@$@$@1/699@699@699@699
#&) )o&#)ne$ sr& "8e$&8s,.%-8)%s$#s8)o&#)ne$"
A contnuacn procedemos a apcar a rega de contro de acceso:
a sguente:
'eglas de control de acceso- Acceso a una ista de Control de Acceso.
A
A (,S&R0 ;/>R /3, R>1&(S) 2&R& 0/ 411/3 4))&SS =R/- ;/>R )1(&,0S
A
h$$'_#&&ess #))o? )o&#)ne$
La rega $ttpQaccess alloP localnet permte e acceso a >#uid a a ista de Control de
Acceso denomnada localnet, a cua est conformada por as dreccones IP especfcadas en e
archvo =etc=s#uid=listas=localnet. Esto sgnfca que cuaquer mquna no ncuda en
=etc=s#uid=listas=localnet no tendr acceso a >#uid.
611
9*.5.3. <ar;metro cac$eQmgr.
Este parmetro es de carcter nformatvo. De modo predefndo, s ago ocurre con e cach, como
por e|empo que muera e procesos, se envar un mensa|e de avso a a cuenta Pe!master de
servdor. Puede especfcarse una dstnta s acaso se consdera convenente.
cache.mgr MosepereCXmidominio@net
9*.5.4. <ar;metro $ttpQport.
Este parmetro es utzado para ndcar e puerto a travs de cua escuchar petcones Squd. EL
vaor predetermnado es 3128, es decr, Squd escuchar petcones a travs de puerto 3128/tcp.
http.port ?165
E puerto estndar desgnado para servdores de cach de Internet (webcache) es e puerto 8080.
http.port 5$5$
E parmetro permte estabecer tambn s se quere utzar una dreccn IP en partcuar. Esto
aade mayor segurdad a servco, pues s se tene dos tar|etas de red, una con una dreccn IP
pbca, y otra con una dreccn IP prvada, se puede estabecer que Squd soo permta
conexones desde a dreccn IP prvada.
http.port 186@165@5$@1#5$5$
S se necesta confgurar un servdor proxy en modo transparente, soo es necesaro aadr a
opcn intercept, msma que desde a versn 3.1 de Squd reempaza a a opcn transparent.
http.port 186@165@5$@1#5$5$ %n$er&e'$
)ota.
Para confgurar un servdor proxy en modo transparente en CentOS 5, y Red Hat EnterprseLnux 5, y
versones anterores, utce a opcn transparente:
http.port 186@165@5$@1#5$5$ $r#ns'#ren$
9*.5.5. <ar;metro cac$eQdir.
Este parmetro se utza para estabecer que tamao se desea que utce Squd para
amacenamento de cach en e dsco duro. De modo predefndo Squd utzar un cach de 100
MB, dvddo en |erarquas de 16 drectoros subordnados, hasta 256 nvees cada uno:
cache.dir u"s /var/spool/sJuid 1$$ 16 696
Se puede ncrementar e tamao de cach hasta donde o desee e admnstrador. Mentras ms
grande sea e cach, ms ob|etos se amacenarn en ste y por o tanto se consumr menos e
ancho de banda. La sguente nea estabece un cach de 2 GB:
cache.dir u"s /var/spool/sJuid 2/E8 16 696
612
9*.5.6. <ar;metro cac$eQmem.
E parmetro cac$eQmem estabece a cantdad dea de memora para o sguente:
Ob|etos en trnsto.
Ob|etos frecuentemente utzados (.ot).
Ob|etos negatvamente amacenados en e cach.
Los datos de estos ob|etos se amacenan en boques de 4 Kb. E parmetro cac$eQmem especfca
un mte mxmo en e tamao tota de boques acomodados, donde os ob|etos en trnsto tenen
mayor prordad. Sn embargo os ob|etos frecuentemente utzados (.ot), y aqueos
negatvamente amacenados en e cach, podrn utzar a memora sn utzar hasta que esta sea
requerda. De ser necesaro, s un ob|eto en trnsto es mayor a a cantdad de memora
especfcada, >#uid exceder o que sea necesaro para satsfacer a petcn.
De modo predetermnado, desde a versn 3.1 de Squd, se estabecen 256 MB, que es ms que
sufcente para e 99% de as necesdades. S se dspone de cantdad sufcente de RAM en e
servdor (a menos 2 GB RAM), puede especfcarse una cantdad mayor, o ben, s se dspone de
una cantdad menor de RAM en e servdor (menos de 1 GB RAM), puede especfcar una cantdad
menor.
cache.mem 916 -:
)ota.
En CentOS 5, y Red Hat EnterprseLnux 5, y versones anterores, e vaor predetermnado de
cac$eQmem son 8 Mb, por o cua puede ncrementar este vaor hasta donde se consdere pertnente.
cache.mem 32 MB
9*.5.7. <ar;metro cac$eQpeer- cac$es padres y $ermanos.
E parmetro cache_peer se utza para especfcar otros >ervidores <ro2y con cach en una
|erarqua como padres o como $ermanos. Es decr, defnr s hay un >ervidor %ntermediario
adeante o en paraeo. La sntaxs bsca es a sguente:
cache.peer servidor tipo http.port icp.port opciones
".emplo- S su cach va a estar traba|ando detrs de otro servdor cache, es decr un cach padre,
y consderando que e cach padre tene una IP 192.168.70.1, escuchando petcones E@@< en e
puerto 8080 y petcones ICP en puerto 3130 Mpuerto utili8ado de modo prede&inido por
>#uidN ,especfcando que no se amacenen en cach os ob|etos que ya estn presentes en e
cach de >ervidor %ntermediario padre, utce a sguente nea:
cache.peer 186@165@7$@1 parent 5$5$ ?1?$ proxy!only
Cuando se traba|a en redes muy grandes donde exsten varos Servdores Intermedaros (Proxy)
hacendo cach de contendo de Internet, es una buena dea hacer traba|ar todos os cach entre
s. Confgurar caches vecnos como si!ling (hermanos) tene como benefco e que se consutarn
estos caches ocazados en a red oca antes de acceder haca Internet y consumr ancho de
banda para acceder haca un ob|eto que ya podra estar presente en otro cach vecno.
613
".emplo- S su cach va a estar traba|ando en paraeo |unto con otros caches, es decr caches
hermanos, y consderando os caches tenen IP 10.1.0.1, 10.2.0.1 y 10.3.0.1, todos escuchando
petcones E@@< en e puerto 8080 y petcones ICP en puerto 3130, especfcando que no se
amacenen en cach os ob|etos que ya estn presentes en os caches hermanos, utce as
sguentes neas:
cache.peer 1$@1@$@1 sibling 5$5$ ?1?$ proxy!only
cache.peer 1$@?@$@1 sibling 5$5$ ?1?$ proxy!only
Pueden hacerse combnacones que de manera ta que se podran tener caches padres y hermanos
traba|ando en con|unto en una red oca. E|empo:
cache.peer 1$@$@$@1 parent 5$5$ ?1?$ proxy!only
cache.peer 1$@?@$@1 sibling 5$5$ ?1?$ proxy!only
En os casos anterores, a resoucn de nombres se hace de manera oca. S se desea hacer que
a resoucn de nombres se reace en e servdor padre, se puede utzar ago smar a o
sguente:
cache.peer 1$@$@$@1 parent 5$5$ ?1?$ no!Juery no!digest de"ault
9*.6. "sta!leciendo el idioma de los mensa.es mostrados por
de >#uid $acia el usuario.
>#uid ncuye traduccn a dstntos domas de as dstntas pgnas de error e nformatvas que
son despegadas en un momento dado durante su operacn. Dchas traduccones se pueden
encontrar en =usr=s$are=s#uid=errors=. Para poder hacer uso de as pgnas de error traducdas a
espao, so es necesaro cambar e vaor de parmetro errorQdirectory de
=usr=s$are=s#uid=errors=en, a =usr=s$are=s#uid=errors=es.
error.directory /usr/share/sJuid/errors/es
)ota.
En CentOS 5, y Red Hat Enterprse >Lnux 5, y versones anterores, e vaor predetermnado de
parmetro errorQdirectory es =usr=s$are=s#uid=errors="nglis$, y debe ser cambado por e vaor
=usr=s$are=s#uid=errors=>panis$:
error.directory /usr/share/sJuid/errors/Spanish
9*.7. %niciandoF reiniciando y aadiendo el servicio al
arran#ue del sistema.
Una vez termnada a confguracn, e|ecute e sguente mandato para ncar por prmera vez
>#uid:
service sJuid start
614
S necesta vover a cargar a confguracn para probar cambos reazados, sn detener e servco,
e|ecute o sguente:
service sJuid restart
S necesta rencar para probar cambos hechos en a confguracn, consderando que este
proceso puede egar a demorar agunos mnutos, e|ecute o sguente:
S desea que >#uid nce de manera automtca a prxma vez que nce e sstema, e|ecute o
sguente:
chkcon"ig sJuid on
Lo anteror habtar a >#uid en todos os nvees de e|ecucn.
9*.9. Depuracin de errores
Cuaquer error a nco de >#uid so sgnfca que hubo errores de sntaxs, errores de dedo o
ben se estn ctando ncorrectamente as rutas haca os archvos de as istas de Control de
Acceso.
Puede reazar dagnstco de probemas ndcndoe a >#uid que vueva a eer confguracn, o
cua devover os errores que exstan en e archvo =etc=s#uid=s#uid.con&.
service sJuid re)o#-
Cuando se trata de errores graves que no permten ncar e servco, puede examnarse e
contendo de archvo =var=log=s#uid=s#uid.out con e mandato less, more o cuaquer otro vsor
de texto:
tail !5$ /var/log/sJuid/sJuid@out
9*.S. A.ustes para el muro corta(&uegos.
S se tene poca experenca con guones de cortafuegos a travs de ptabes, sugermos utzar
Firestarter. ste permte confgurar fcmente tanto e enmascaramento de IP como e muro
corta-fuegos. S se tene un poco ms de experenca, recomendamos utzar >$orePall para e
msmo fn puesto que se trata de una herramenta ms robusta y competa.
Firestarter: http://www.fs-securty.com/
Shorewa: http://www.shorewa.net/
615
'e(direccionamiento de peticiones a travs de ipta!les.
En un momento dado se requerr tener sada transparente haca Internet para certos servcos,
pero a msmo tempo se necestar re-drecconar petcones haca servco E@@< para pasar a
travs de e puerto donde escucha petcones >#uid, como proxy transparente, es decr e puerto
8000/tcp, de modo que no haya sada aguna haca aguna haca servdores E@@< en e exteror
sn que sta pase antes por >#uid. No se puede hacer >ervidor %ntermediario Transparente
para os protocoos E@@<>, F@<, ?0<E"' n bA%>, por o que dchos protocoos tendrn que ser
ftrados a travs de )A@.
E re-drecconamento se hace a travs de ipta!les. Consderando para este e|empo que a red
oca se accede a travs de una nterfaz eth0, e sguente esquema e|empfca un re-
drecconamento:
iptables !t nat !4 <R&R/>0(,I !i eth$ !p tcp !!dport 5$ !M R&%(R&)0 !!to!port 5$$$
Lo anteror re#uiere un guin de corta&uegos &uncional en un sistema con dos inter&aces
de red. Se encarga de que cuaquer petcn haca e puerto 80 (servco HTTP) hecha desde a
red oca haca e exteror, se re-drecconar haca e puerto 8000 de servdor.
Utzando Firestarter, a rega anterormente descrta se aade en e archvo
=etc=&irestarter=user(post.
9*.S.+. 'e(direccionamiento de peticiones a travs de la opcin
'"D%'"C@ en >$orePall.
La accn '"D%'"C@ en >$orePall permte redrgr petcones haca protocoo E@@< para
haceras pasar a travs de >#uid. En e sguente e|empo as petcones hechas desde a zona que
corresponde a a red oca sern redrgdas haca e puerto 8000 de cortafuegos, en donde est
confgurado >#uid confgurado como >ervidor <ro2y (Proxy) transparente.
R&%(R&)0 loc 5$$$ tcp 5$
9*.S.+.+. "2clusin de sitios.
En e caso de stos que se quera excur de ser utzados con Squd, es decr, stos probemtcos,
se puede confgurar en Shorewa que e acceso sea drecto, con una confguracn smar a a de
sguente e|empo, donde se excuye de pasar por Squd as petcones drgdas a as redes
201.144.108.0/24 (IMSS.gob.mx), y 200.33.74.0/24 (SAT.gob.mx), y se abre e paso drecto desde
a red oca haca esta red:
R&%(R&)0 loc 5$$$ tcp 5$ ! h6$1@144@1$5@$/64B6$$@??@74@$/64
4))&<0 loc net#6$1@144@1$5@$/64 all
4))&<0 loc net#6$$@??@74@$/64 all
616
93. Con&iguracin de >#uid- Acceso por
autenticacin
93.+. %ntroduccin.
Es muy t e poder estabecer un sstema de autentcacn para poder acceder haca Internet,
pues esto permte controar quenes s y quenes no accedern a Internet sn mportar desde que
mquna de a red oca o hagan. Sera de modo ta que tendremos un dobe contro, prmero por
dreccn IP y segundo por nombre de usuaro y cave de acceso.
Este documento consdera que se ha edo prevamente, a detae, y en su totadad e documento
ttuado Confguracn de Squd: Servdor Proxy, y que ha confgurado extosamente Squd como
servdor proxy.
Para poder evar a cabo os procedmentos descrtos en este manua y documentos reaconados,
se necestar tener nstaado a menos o sguente:
squd-2.5.STABLE3
httpd-2.0.x (Apache) (opcona)
opendap-servers-2.2.x (opcona)
"ligiendo el mdulo de autenticacin.
Este manua consdera poder autentcar a travs de un archvo de texto smpe con caves de
acceso creadas con htpasswd, o ben a travs de un servdor LDAP (una soucn ms robusta).
93.*.+. Autenticacin a travs del mdulo DA<.
Consderando que se ha confgurado extosamente OpenLDAP como servdor de autentcacn, so
se necesta defnr e drectoro (o subdrectoro) y e servdor LDAP a utzar.
La sntaxs utzada para squd_dap_auth es a sguente:
sJuid.ldap.auth !b +%irectorio!a!utiliCar+ servidor!ldap!a!utiliCar
E|empo:
617
sJuid.ldap.auth !b +ou*<eopleBdc*dominioBdc*tld+ 167@$@$@1
Edte e archvo /etc/squd/squd.conf:
vim /etc/sJuid/sJuid@con"
Aada a sguente confguracn, msma que consdera que squidKldapKaut se ocaza en
*usr*lib*squid*ncsaKaut:
auth.param basic program /usr/lib/sJuid/sJuid.ldap.auth !b +ou*<eopleBdc*dominioBdc*tld+ 167@$@$@1
Lo anteror conecta a drectoro dc=su-red-oca,dc=td en e servdor LDAP en 127.0.0.1.
93.*.*. Autenticacin a travs del mdulo )C>A
Squd puede utzar e mduo ncsaKaut, de a NCSA (Natona Center for Supercomputng
Appcatons), y que ya vene ncudo como parte de paquete prncpa de Squd en a mayora de
as dstrbucones actuaes. Este mduo provee una autentcacn muy senca a travs de un
archvo de texto smpe cuyas caves de acceso fueron creadas con htpasswd.
93.*.*.+. Creacin del arc$ivo de claves de acceso.
Se requerr a creacn preva de un archvo que contendr os nombres de usuaros y sus
correspondentes caves de acceso (cfradas). E archvo puede ocazarse en cuaquer ugar de
sstema, con a nca condcn que sea aseqube para e usuaro squid.
Debe procederse a crear un archvo *etc*squid*claves:
touch /etc/sJuid/claves
Savo que vaya a utzarse un gun a trav de servdor web para admnstrar as caves de
acceso, como medda de segurdad, este archvo debe hacerse ebe y escrbbe so para e
usuaro squid:
chmod 6$$ /etc/sJuid/claves
chon sJuid#sJuid /etc/sJuid/claves
A contnuacn deberemos dar de ata as cuentas que sean necesaras, utzando e mandato
tpass(d 6mismo que viene incluido en el paquete ttpd6H.8.46. E|empo:
htpassd /etc/sJuid/claves MosepereC
Lo anteror soctar tecear una nueva cave de acceso para e usuaro joseperez y confrmar
teceando ta de nuevo. Repta con e resto de as cuentas que requera dar de ata.
Todas as cuentas que se den de ata de este modo son ndependentes a as ya exstentes en e
sstema. A dar de ata una cuenta o cambar una cave de acceso o estar hacendo
"DC,>%GA:")@" para e acceso a servdor Proxy. Las cuentas son ndependentes a as que se
tengan exstentes en e sstema como seran sell, correo y Samba.
618
Lo sguente ser especfcar que programa de autentcacn se utzar. Locace a seccn que
corresponde a a etqueta autKparam basic program. De modo predetermnado, esta opcn est
desactvada, y carece de vaores. Consderando que ncsaKaut se ocaza en
*usr*lib*squid*ncsaKaut, procederemos a aadr e sguente parmetro:
auth.param basic program /usr/lib/sJuid/ncsa.auth /etc/sJuid/claves
*usr*lib*squid*ncsaKaut corresponde a a ocazacn de e programa para autentcar y
*etc*squid*claves a archvo que contene as cuentas y sus caves de acceso.
93.3. istas y reglas de control de acceso.
E sguente paso corresponde a a defncn de una %ista de #ontrol de Acceso. Especfcaremos
una denomnada pass(d a cua se confgurar para utzar obgatoramente a autentcacn para
poder acceder a Squd. Debe ocazarse a seccn de %istas de #ontrol de Acceso y aadrse a
sguente nea:
acl passord proxy.auth R&l>(R&%
Habendo hecho o anteror, deberemos tener en a seccn de %istas de #ontrol de Acceso ago
smar a o sguente:
Lstas de Contro de Accesos: autentcacn.
A
acl localnet src 186@165@1@$/64
#&) '#ss?or- 'roCy_#.$h RE[UFRED
Se procede entonces a modfcar a rega de contro de accesos que ya tenamos para permtr e
acceso a Internet. Donde antes tenamos o sguente:
Le aadmos pass(d, a defncn de a %ista de #ontrol de Acceso que requere utzar cave de
acceso, a nuestra rega actua, de modo que quede como mostramos a contnuacn:
http.access allo localnet passord
a sguente:
Regas de contro de acceso: Acceso por cave de acceso.
619
A
A (,S&R0 ;/>R /3, R>1&(S) 2&R& 0/ allo 4))&SS =R/- ;/>R )1(&,0S
A
h$$'_#&&ess #))o? )o&#)ne$ '#ss?or-
93.3.+. Finali8ando procedimiento.
Fnamente, so bastar recargar a confguracn de Squd para que tomen efecto os cambos, y
se puedan reazar pruebas.
service sJuid reload
620
94. Con&iguracin de >#uid- 'estriccin de
acceso a >itios de %nternet.
94.+. %ntroduccin.
Denegar e acceso a certos Stos de Red permte hacer un uso ms racona de ancho de banda
con e que se dspone. E funconamento es verdaderamente smpe, y consste en denegar e
acceso a nombres de domno o dreccones de Internet que contengan patrones en comn.
servdor proxy.
94.*. 'estriccin por e2presiones regulares.
Se debe crear un archvo donde se defnr a sta de expresones reguares.
vim /etc/sJuid/listas/expreg!denegadas
Esta sta puede contener cuaquer expresn reguar que se consdere sea usuamente utzadas
en as dreccones de certos stos.
adult
celebri
mp?
otrositioindeseable@com
playstation
porn
sex
sitioindeseable@com
taringa
torrent
areC
ii
Esta sta, a cua deber ser competada con todas as paabras (muchas de ests son paabras
obscenas en dstntos domas) y dreccones de Internet que e admnstrador consdere
pertnentes, a guardaremos como *etc*squid*listas*e4preg6denegadas.
621
Aada una sta de contro, denomnada expreg-denegadas, de acceso tpo ur_regex (expresones
reguares de URL), que defna a a sta en e archvo /etc/squd/stas/expreg-denegadas:
acl expreg!denegadas url.regex +/etc/sJuid/listas/expreg!denegadas+
Habendo hecho o anteror, deberemos tener en a seccn de %istas de #ontrol de Acceso ago
smar a o sguente:
A
#&) eC're--ene#-#s .r)_reeC "8e$&8s,.%-8)%s$#s8eC're--ene#-#s"
A contnuacn especfcaremos modfcaremos una Aegla de #ontrol de Acceso exstente
agregando con un smboo de W que se denegar e acceso a a %ista de #ontrol de Acceso
denomnada e4preg6denegadas:
http.access allo localnet hexpreg!denegadas
La rega anteror permte e acceso a a %ista de #ontrol de Acceso denomnada localnet, pero e
nega e acceso a todo o que concda con o especfcado en a %ista de #ontrol de Acceso
denomnada e4preg6denegadas.
E|empo apcado a una Aegla de #ontrol de Acceso combnando e mtodo de autentcacn
expcado en e documento Confguracn de Squd: Acceso por Autentcacn:
Regas de contro de acceso: denegacn de stos.
A
A
h$$'_#&&ess #))o? )o&#)ne$ '#ss?or- ceC're--ene#-#s
94.3. 'estriccin por e2presiones regulares.
Para restrngr e acceso por domnos, se crea un archvo con sta con domnos.
vim /etc/sJuid/listas/dominios!denegados
Los nombres pueden ser nombres de domno especfcos:
@"acebook@com
@titter@com
plus@google@com
622
O ben puede defnrse todo e domno competo, ncuyendo sub-domnos:
@"acebook@com
@titter@com
)ota.
S defne .domno.com, es nnecesaro defnr www.domno.com, o ma.domno.com, o
ftp.domno.com, etc., pues todos son subdomnos de .domno.com:
O ben se pueden defnr domnos de nve superor genrcos, o geogrfcos.
@co@Mp
@com@cn
@im
@tv
@xxx
O ben una combnacn de todo o anteror.
@co@Mp
@com@cn
@"acebook@com
plus@gogle@com
@tv
@titter@com@im
@xxx
Edte e archvo /etc/squd/squd.conf.
Aada una sta de contro, denomnada domnos-denegados, de acceso tpo dstdoman (domnos
de destno), que defna a a sta en e archvo /etc/squd/stas/domnos-denegados.
acl dominios!denegados dstdomain +/etc/sJuid/listas/dominios!denegados+
Aada una rega de contro de acceso que denegue e acceso a stos que estn ncudos en a
sta de domnos.
http.access allo localnet hexpreg!denegadas hdominios!denegados
94.3.+. <ermitiendo acceso a sitios inocentes incidentalmente
!lo#ueados.
S por e|empo, e ncur una expresn reguar en partcuar, en a sta de expresones reguares
denegadas, afecta ncdentamente e acceso a un sto de Internet en partcuar, tambn puede
generarse una sta de domnos que sern excudos de as restrccones.
Utce e edtor de texto para crear e archvo /etc/squd/domnos-nocentes.
vim /etc/sJuid/dominios!inocentes
623
E contendo puede ser una sta de domnos, o ben domnos de nve superor, que se consdere
deban ser acceddos por a red oca en cuaquer momento, y sn restrccones.
@alcancelibre@org
@edu
@edu@mx
@eluniversal@com@mx
@gob@mx
@gov
@milenio@com
@org
@org@mx
@unam@mx
@google@com
@google@com@mx
Este archvo ser defndo en una %ista de #ontrol de Acceso de msmo modo en que se hzo
anterormente con e archvo que contene domnos y paabras denegadas.
acl dominios!inocentes dstdomain +/etc/sJuid/dominios!inocentes+
Para hacer uso de e archvo, so bastar utzar a expresn ` en a msma nea utzada para a
Aegla de #ontrol de Acceso estabecda para denegar e msmo.
http.access allo all dominios!inocentes
La rega anteror especfca que se permtr e bre acceso, en todo momento, a os domnos
ncudos en a sta de contro de acceso denomnada dominios6inocentes.
94.3.*. Finali8ando procedimiento.
624
acceso a contenido por e2tensin.
95.+. %ntroduccin.
Denegar e acceso a certos tpos de extensones de archvo permte hacer un uso ms racona de
ancho de banda con e que se dspone. E funconamento es verdaderamente smpe, y consste en
denegar e acceso a certos tpos de extensones que concdan con o estabecdo en una %ista de
#ontrol de Acceso.
servdor proxy.
95.*. De&iniendo elementos de la ista de Control de Acceso.
Lo prmero ser generar una sta a cua contendr dreccones de Internet y paabras usuamente
utzadas en nombres de certos domnos. E|empos:
625
O@aviF
O@mp4F
O@mp?F
O@mp4F
O@mpgF
O@mpegF
O@movF
O@raF
O@ramF
O@rmF
O@rpmF
O@vobF
O@maF
O@mvF
O@avF
O@docF
O@xlsF
O@mbdF
O@pptF
O@ppsF
O@aceF
O@batF
O@exeF
O@lnkF
O@pi"F
O@scrF
O@sysF
O@CipF
O@rarF
Esta sta, a cua deber ser competada con todas as extensones de archvo que e admnstrador
consdere pertnentes, a guardaremos como *etc*squid*listas*e4tensiones.
Se debe defnr una %ista de #ontrol de Acceso que a su vez defna a archvo
*etc*squid*listas*e4tensiones. Esta sta a denomnaremos como Je4tensionesJ. De modo ta, a
nea correspondente quedara de sguente modo:
acl extensiones urlpath.regex +/etc/sJuid/listas/extensiones+
Habendo hecho o anteror, se debe aadr en a seccn de %istas de #ontrol de Acceso ago
smar a o sguente:
A
acl expregs url.regex +/etc/sJuid/listas/expregs+
#&) eC$ens%ones .r)'#$h_reeC "8e$&8s,.%-8)%s$#s8eC$ens%ones"
626
A contnuacn especfcaremos modfcaremos una Aegla de #ontrol de Acceso exstente
agregando con un smboo de W que se denegar e acceso a a %ista de #ontrol de Acceso
denomnada e4tensiones:
http.access allo localnet hextensiones
La rega anteror permte e acceso a a %ista de #ontrol de Acceso denomnada localnet, pero e
nega e acceso a todo o que concda con o especfcado en a %ista de #ontrol de Acceso
denomnada e4tensiones.
E|empo apcado a una Aegla de #ontrol de Acceso combnando e mtodo de autentcacn
expcado en e documento Cmo confgurar Squd: Acceso por Autentcacn y e de denegacn
haca Sto de Red expcado en e documento Cmo confgurar Squd: Restrccn de acceso a Sto
de Red:
Regas de contro de acceso: denegacn de extensones.
A
A
h$$'_#&&ess #))o? )o&#)ne$ '#ss?or- ceC'res ceC$ens%ones
95.*.+. Finali8ando procedimiento.
627
acceso por $orarios.
96.+. %ntroduccin.
Denegar e acceso a certos en certos horaros permte hacer un uso ms racona de ancho de
banda con e que se dspone. E funconamento es verdaderamente smpe, y consste en denegar
e acceso en horaros y das de a semana.
servdor proxy.
La sntaxs para crear %istas de control de acceso que defnan horaros, es a sguente:
acl Dnombre del horarioE time Ddeas de la semanaE hh#mm!hh#mm
Los das de a semana se defnen con etras, as cuaes corresponden a a prmera etra de nombre
en ng, de modo que se utzarn de sguente modo:
> - Domngo
: - Lunes
@ - Martes
b - Mrcoes
E - |ueves
F - Vernes
A - Sbado
E|empo:
acl semana time -032= $8#$$!61#$$
628
Esta rega defne a a sta semana, a cua comprende un horaro de 09:00 a 21:00 horas desde e
Lunes hasta e Vernes.
Este tpo de stas se apcan en as Aeglas de #ontrol de Acceso con una mecnca smar a a
sguente: se permte o denega e acceso en e horaro defndo en a %ista de #ontrol de Acceso
denomnada I para as entdades defndas en a %ista de #ontrol de Acceso denomnada X. Lo
anteror expresado en una Aegla de #ontrol de Acceso, quedara de sguente modo:
http.access Dallo Z denyE Dnombre del horarioE Dlista de entidadesE
E|empo: Se quere estabecer que os membros de a %ista de #ontrol de Acceso denomnada
localnet tengan permtdo acceder haca Internet en un horaro que denomnaremos como
matutino, y que comprende de unes a vernes de 09:00 a 15:00 horas.
La defncn para e horaro correspondera a:
acl matutino time -032= $8#$$!19#$$
La defncn de a Aegla de #ontrol de Acceso sera:
http.access allo matutino localnet
Lo anteror, en resumen, sgnfca que quenes conformen localnet podrn acceder a Internet de
Lunes a Vernes de 09:00-15:00 horas.
96.*.+. :;s e.emplos.
96.*.+.+. 'estringiendo el tipo de contenido.
es posbe denegar acceso a certo tpo de contendo de acuerdo a su extensn. Se requere una
%ista de #ontrol de Acceso, y una Aegla de #ontrol de Acceso
S se necesta una sta denomnada e4tensiones que defna a todos os archvos con extensn
.mp3, utzaramos o sguente:
acl extensiones urlpath.regex O@mp?F
S queremos denegar e acceso a todo contendo con extensn .mp3, a rega quedara de
sguente modo:
http.access allo localnet hextensiones
96.*.+.*. Com!inando reglas de tiempo y contenido.
S por e|empo queremos restrngr parcamente e acceso a certo tpo de contendo a certos
horaros, pueden combnarse dstntos tpos de regas.
629
acl matutino time -032= $8#$$!19#$$
acl extensiones urlpath.regex @mp?F
http.access allo matutino localnet hextensiones
La Aegla de #ontrol de Acceso anteror especfca acceso permitido, en e horaro defndo como
matutino, a quenes ntegran a %ista de #ontrol de Acceso denomnada localnet, para acceder
haca todo tpo de contendo, e2cepto a os contendos que concdan con os defndos en a %ista
de #ontrol de Acceso denomnada e4tensiones.
96.*.*. Finali8ando procedimiento.
630
97. Cmo con&igurar s#uid con soporte para
direcciones :AC.
97.+. %ntroduccin.
97.+.+. Acerca de >#uid.
>#uid es un >ervidor %ntermediario (Fro4y) de ato desempeo que se ha vendo desarroando
desde hace varos aos y es hoy en da un muy popuar y ampamente utzado entre os sstemas
operatvos como GNU/Lnux y dervados de Unx. Es muy confabe, robusto y verst y se
dstrbuye ba|o os trmnos de a Lcenca Pbca Genera GNU (?),=?<). Sendo equpamento
gco li!re, est dsponbe e cdgo fuente para quen as o requera. de modo predetermnado
no est ncudo e soporte para stas de contro de acceso basadas sobre dreccones :AC (:eda
Access Contro).
A partr de CentOS 5.6 y Red Hat Enterprse Lnux 5.6, e paquete de Squd ya ncuye soporte para
dreccones MAC. Soo es necesaro e|ecutar o sguente:
yum !y install sJuid
97.3. <rocedimientos
Este documento consdera que se ha edo a detae e documento #/mo configurar $quid)
Farmetros bsicos para servidor de intermediaci/n @Fro4yC. Se requere se hayan confgurado a
menos os sguentes parmetros:
$ttpQport, e|empo: http.port 5$5$ transparent
cac$eQdir, e|empo: cache.dir u"s /var/spool/sJuid 1$64 16 696
errorQdirectory, e|empo: error.directory /usr/share/sJuid/errors/Spanish
Se requere adems determnar os vaores as sguentes varabes que debern ser reempazadas
por datos reaes:
631
Las dreccones :AC especfcadas en os e|empos.
as dreccones :AC de todos os equpos de a A) se pueden obtener, s se est
reazando as operacones desde un servdor que srve de puerta de enace, utzando e
mandato arp con a opcn -n, es decr: arp (n.
Aternatvamente, a dreccn :AC desde una estacn traba|o con Wndows se puede
obtener a dreccn :AC utzando e mandato ipcon&ig con a opcn /all: ipcon"ig /all
Aternatvamente, a dreccn :AC desde una estacn traba|o con Lnux se puede obtener
a dreccn :AC utzando e mandato i&con&ig.
Arc$ivo =etc=s#uid=listas=macsredlocal.
Crear un archvo denomnado /etc=s#uid=listas=macsredlocal
vi /etc/sJuid/listas/macsredlocal
Donde e contendo ser una sta de dreccones :AC a a cua se apcarn regas de contro de
acceso. E|empo:
$$#$1#5$#41#8)#54
$$#$5#41#54#15#4%
$$#16#&?#8%#)%#77
$$#$4#79#44#6%#41
$$#18#%6#6:#41#49
$$#1?#1$#5%#44#&&
$$#18#61#14#8:#$%
97.3.+. Arc$ivo =etc=s#uid=s#uid.con&
Se edta e archvo /etc=s#uid=s#uid.con&:
vi /etc/sJuid/sJuid@con"
En ste se debe confgurar a sta de contro de acceso con un nombre que a dentfque y
dference caramente de as dems stas, asgnado e tpo de sta como arp. En e sguente
e|empo, se crea a sta de contro de acceso denomnada macsredlocal de tpo arp y cuyos
eementos que a conforman estn en e archvo /etc=s#uid=listas=macsredlocal:
acl macsredlocal arp +/etc/sJuid/listas/macsredlocal+
Se crea una rega de contro de acceso que permta a os membros de a sta de contro de acceso
hacer ago. En e sguente e|empo se defne que est permtdo e acceso a a sta macsredlocal:
http.access allo macsredlocal
S se creo aguna sta para mtar e acceso haca paabras y otra para extensones, como se
descrbe en os documentos #/mo configurar $quid) Aestricci/n de acceso a $itios de Aed y
#/mo configurar $quid) Aestricci/n de acceso a contenido por e4tensi/n, a rega de contro de
acceso podra quedar de a sguente manera:
632
http.access allo macsredlocal hporno hextensiones
S adems se creo aguna sta para mtar os horaros de acceso, como se descrbe en e
documento #/mo configurar $quid) Aestricci/n de acceso por orarios, a rega de contro de
acceso podra quedar de a sguente manera:
http.access allo matutino macsredlocal hporno hextensiones
Cuaquer otra forma de utzar a sta de contro de acceso con dreccones :AC depender de a
magnacn de admnstrador.
97.4. %niciarF detener y reiniciar el servicio s#uid.
Para e|ecutar por prmera vez e servco s#uid con as confguracones creadas, utce:
service sJuid start
Para detener e servco s#uid utce:
service sJuid stop
Para hacer que e servco de s#uid est actvo con e sguente nco de sstema, en todos os
chkcon"ig sJuid on
633
99. Cmo instalar y con&igurar la $erramienta
de reportes >arg.
99.+. %ntroduccin.
>arg (>qud Anayss 'eport Generator) es a ms competa y fc de utzar herramenta para a
generacn de reportes a partr de as btcoras de >#uid. Permte ver con detae a actvda de
todos os equpos y/o usuaros dentro de a red de rea oca, regstrada en a btcora de Squd.
URL: http://sarg.sourceforge.net/.
Este documento fue dseado para ser puesto en prctca excusvamente en Cent0> 5, "lasti2
+.5, 'ed Eat "nterprise inu2 5 y b$ite!o2 "nterprise inu2 5 o sstemas operatvos
smares, basados sobre 'ed Eat "nterprise inu2 5.
Ingrese a sstema como e usuaro root.
Proceda a confgurar e depsto YUM de Acance Lbre que ncuye e paquete modfcado de squd
con soporte para dreccones MAC:
cd !
Proceda a nstaar sarg utzando e sguente mandato.
yum !y install sarg httpd
Confgure e soporte a espao para Sarg.
Edte con vm e archvo =etc=sarg=sarg.con&:
vim /etc/sarg/sarg@con"
Puse a teca %nsert.
634
Locace a cadena de texto language "nglis$.
A Russian.koi5
A Russian.>=0!5
A Russian.indos1691
A Serbian
A Slovak
A Spanish
A 0urkish
A
)#n.#e En)%sh
A 04I# access.log "ile
A 3here is the access@log "ile
A sarg !l "ile
A
Aaccess.log /usr/local/sJuid/var/logs/access@log
access.log /var/log/sJuid/access@log
Reempace a cadena de texto con language >panis$.
A Russian.koi5
A Russian.>=0!5
A Russian.indos1691
A Serbian
A Slovak
A Spanish
A 0urkish
A
)#n.#e S'#n%sh
A 04I# access.log "ile
A 3here is the access@log "ile
A sarg !l "ile
A
Aaccess.log /usr/local/sJuid/var/logs/access@log
access.log /var/log/sJuid/access@log
teca = (")@"').
Edte con vm e archvo =etc=$ttpd=con&.d=sarg.con&:
vim /etc/httpd/con"@d/sarg@con"
Puse a teca %nsert.
Locace a nea alloP &rom +*7.O.O.+, a cua defne que soo se puede acceder haca e
drectoro =sarg= desde +*7.O.O.+ (es decr, soo puede ser acceddo como ttp)**:HU.8.8.:*sarg*).
4lias /sarg /var//sarg
a%irectory /var//sargL
%irectory(ndex index@html
order denyBallo
deny "rom all
#))o? +ro9 42=././.4
635
a/%irectoryL
Defna que tambn se puede acceder a drectoro =sarg= desde +S*.+69.+*3.O=*4,
reempazando por alloP &rom +*7.O.O.+ +S*.+69.+*3.O=*4.
order denyBallo
deny "rom all
#))o? +ro9 42=././.4 4<2.438.423./82E
a/%irectoryL
Defna que e acceso haca e drectoro =sarg= (que en adeante podr ser acceddo como
ttp)**pro1/.red&local.net*sarg* o ben ttp)**%23.%45.%36.%36*sarg*) se permtr soo a
usuaros autorzados que autentcarn a travs de archvo =var=PPP=claves(sarg.
order denyBallo
deny "rom all
allo "rom 167@$@$@1 4<2.438.423./82E
A.$hN#9e "So)o .s.#r%os #.$or%:#-os."
A.$hTy'e B#s%&
re,.%re *#)%--.ser
A.$hUserF%)e 8*#r8???8&)#*es-s#r
a/%irectoryL
teca = (")@"').
Genere con e mandato touc$ e archvo =var=PPP=claves(sarg:
touch /var//claves!sarg
Utce e mandato c$mod para defnr que e archvo =var=PPP=claves(sarg soo tendr permsos
de ectura y escrtura para a case de usuaro:
chmod $6$$ /var//claves!sarg
Utce e mandato c$oPn para defnr que e archvo =var=PPP=claves(sarg pertenece a usuaro
apache y grupo apache:
chon apache#apache /var//claves!sarg
Utce e mandato $tpassPd sobre e archvo =var=PPP=claves(sarg para crear e usuaro vrtua
administrador y asgnar a ste una cave de acceso que soo deber conocer e admnstrador de
servdor:
htpassd /var//claves!sarg administrador
636
Ince (o smpemente rence, s es necesaro) e servco $ttpd.
service httpd start
S e servco $ttpd nca normamente, proceda con e sguente paso. S hay faas o errores,
regrese en os pasos que sean necesaros y corr|a os posbes errores antes de contnuar.
S e servco $ttpd nc sn errores, utce e mandato c$Lcon&ig para que e servco $ttpd
nce automtcamente a prxma vez que arranque e sstema.
chkcon"ig httpd on
Permta a a red de rea oca generar actvdad en e servdor durante agunos mnutos y e|ecute
e mandato sarg.
sarg
Podr ver en reporte generado manuamente en a dreccn ttp)**pro1/.red&
local.net*sarg*1?,6$.1T* o ben ttp)**%23.%45.%36.%36*sarg*1?,6$.1T*.
Podr ver un reporte generado automtcamente todos os das en a dreccn ttp)**pro1/.red&
local.net*sarg*daily* o ben ttp)**%23.%45.%36.%36*sarg*daily*.
Los reportes de amacenarn en =var=PPP=sarg=, y pueden mpcar una cantdad consderabe de
datos. Perdcamente ngrese a os subdrectoros en e nteror de ste, prncpamente e
subdrectoro daily y emne os reportes antguos o que sean de poca utdad, a fn de evtar se
agote e espaco en dsco duro.
637
9S. Apndice- istas y reglas de control de
acceso para >#uid
9S.O.+. 'eglas aplicadas
A 1ista Jue de"ine mftodo de autenticaciRn#
A 1istas de control de acceso por de"ecto#
acl all src $@$@$@$/$@$@$@$
acl localhost src 167@$@$@1/699@699@699@699
A 1istas Jue de"inen conMuntos de maJuinas
acl redlocal src +/etc/sJuid/redlocal+
acl privilegiados src +/etc/sJuid/privilegiados+
acl restringidos src +/etc/sJuid/restringidos+
acl administrador src 186@165@1@694
A 1istas Jue de"inen palabras contenidas en un >R1
acl porno url.regex +/etc/sJuid/porno+
A )ontenido#
A
A sex
A porn
A girl
A celebrit
A extasis
A drug
A playboy
A hustler
A 1ista de sitios inocentes Jue accidentealmente sean bloJueados
acl noporno url.regex +/etc/sJuid/noporno+
A )ontenido#
A
A missingheart
A irelessexcite
A msexchange
A msexcel
A "reeton
A geek!girls
A adulteducation
A 1istas Jue de"inen tipos de extensiones
A %e"ine una lista estricta de extensiones prohibidas
acl multimedia urlpath.regex +/etc/sJuid/multimedia+
638
A )ontenido#
A
A O@mp?F
A O@aviF
A O@movF
A O@mpgF
A O@batF
A O@pi"F
A O@sysF
A O@lnkF
A O@scrF
A O@exeF
A %e"ine una lista moderada de extensiones prohibidas
acl peligrosos urlpath.regex +/etc/sJuid/peligrosos+
A )ontenido#
A
A O@batF
A O@pi"F
A O@sysF
A O@lnkF
A O@scrF
A O@exeF
A %e"ine una sola extensiRn
acl realmedia urlpath.regex O@rmF
A Reglas de control de acceso
A Regla por de"ecto#
A &Memplos de reglas de control de acceso
http.access allo restringidos passord hporno hmultimedia
http.access allo redlocal passord hporno hpeligrosos
http.access allo privilegiados passord hpeligrosos
http.access allo administrador
http.access allo noporno all
A Regla por de"ecto#
639
SO. Cmo con&igurar un muro corta&uegos con
>$orePall y tres inter&aces de red
SO.+. %ntroduccin.
SO.+.+. Acerca de >$orePall.
>$orePall (Shorene Frewa) es una robusta y extensbe $erramienta de alto nivel para la
con&iguracin de muros corta&uego. >$orePall soo necesta se e proporconen agunos datos
en agunos archvos de texto smpe y ste crear as regas de cortafuegos correspondentes a
travs de ipta!les. >$orePall puede permtr utzar un sstema como muro cortafuegos
dedcado, sstema de mtpes funcones como puerta de enlaceF dispositivo de
encaminamiento y servidor.
URL: http://www.shorewa.net/
SO.+.*. Acerca de %pta!les y )et&ilter.
)et&ilter es un con|unto de gancos (EooLs, es decr, tcncas de programacn que se empean
para crear cadenas de procedmentos como mane|ador) dentro de nceo de GNU/Lnux y que son
utzados para nterceptar y manpuar paquetes de red. E componente me|or conocdo es e
cortafuegos, e cua reaza procesos de ftracn de paquetes. Los gancos son tambn utzados
por un componente que se encarga de )A@ (acrnmo de )etwork Address @ransaton o
Traduccn de dreccn de red). Estos componentes son cargados como mduos de nceo.
%pta!les es e nombre de a herramenta de espaco de usuaro (,ser >pace, es decr, rea de
memora donde todas as apcacones, en modo de usuaro, pueden ser ntercambadas haca
memora vrtua cuando sea necesaro) a travs de a cua os admnstradores crean regas para
cada ftrado de paquetes y mduos de )A@. %pta!les es a herramenta estndar de todas as
dstrbucones modernas de GNU/Lnux.
URL: http://www.netfter.org/
SO.+.3. Acerca de %proute.
%proute es una coeccn de herramentas (fcfg, p, rtmon y tc) para GNU/Lnux que se utzan
para controar e estabecmento de a red @C<=%<, as como tambn e contro de trfco. Aunque
i&con&ig sgue sendo a herramenta de confguracn de red estndar en as dstrbucones de
GNU/Lnux, iproute tende a sustturo a proveer soporte para a mayora de as tecnoogas
modernas de red (ncuyendo IP versones 4 y 6), permtendo a os admnstradores confgurar os
parmetros de red y e contro de trfco.
640
URL: http://nux-net.osd.org/ndex.php/Iproute2
SO.+.4. 'e#uisitos.
Un sstema GNU/Lnux con todos os parches de segurdad correspondentes nstaados.
>$orePall 3.O.9 o versiones posteriores.
Tres nterfaces de red:
Interfaz para acceso haca Internet.
Interfaz para acceso haca una D:[, tras a cua se podrn coocar servdores.
Interfaz para acceso haca a A) (acrnmo de oca Area )etwork o Area de
Red Loca).
SO.*. Conceptos re#ueridos.
SO.*.+. Bu es una 8ona desmilitari8ada?
Una zona desmtarzada (D:[), es parte de una red que no est dentro de a red nterna (A))
pero tampoco est drectamente conectada haca Internet. Podra resumrse como una red que se
ocaza entre dos redes. En trmnos ms tcncos se refere a un rea dentro de cortafuegos
donde os sstemas que a componen tenen acceso haca as redes nterna y externa, sn embargo
no tenen acceso competo haca a red nterna y tampoco acceso competamente aberto haca a
red externa. Los cortafuegos y dspostvos de encamnamento (routers) protegen esta zona con
funconadades de ftrado de trfco de red.
Dagrama de una Zona Desmtarzada.
Imagen de domno pbco tomada de Wkpeda y modfcada con e Gmp.
641
SO.*.*. Bue es una 'ed <rivada?
Una 'ed <rivada es aquea que utza dreccones IP estabecdas en e RFC 1918. Es decr,
dreccones IP reservadas para 'edes <rivadas dentro de os rangos 10.0.0.0/8 (desde 10.0.0.0
hasta 10.255.255.255), 172.16.0.0/12 (desde 172.16.0.0 hasta 172.31.255.255) y 192.168.0.0/16
(desde 192.168.0.0 hasta 192.168.255.255).
SO.*.3. Bu es un )A@?
)A@ (acrnmo de )etwork Address @ransaton o Traduccn de dreccn de red), tambn
conocdo como enmascaramento de IP, es una tcnca medante a cua as dreccones de orgen
y/o destno de paquetes IP son reescrtas mentras pasan a travs de un dspostvo de
encamnamento (router) o muro cortafuegos. Se utza para permtr a mtpes anftrones en
una 'ed <rivada con dreccones IP para 'ed <rivada para acceder haca una Internet utzando
una soa dreccn IP pbca.
SO.*.4. Bu es un D)A@?
D)A@, (acrnmo de Destnaton )etwork Address @ransaton o traduccn de dreccn de red de
destno) es una tcnca medante a cua se hace pbco un servco desde una 'ed <rivada. Es
decr permte redrgr puertos haca dreccones IP de 'ed <rivada. E uso de esta tcnca puede
permtr a un usuaro en Internet acanzar un puerto en una 'ed <rivada (dentro de una A))
desde e exteror a travs de un encamnados (router) o muro cortafuegos donde ha sdo habtado
un )A@.
SO.3. "#uipamiento lgico necesario.
ptabes: Controa e cdgo de nceo de GNU/Lnux para ftracn de paquetes de red.
proute: Con|unto de utdades dseadas para utzar as capacdades avanzadas de
gestn de redes de nceo de GNU/Lnux.
shorewa: Shorene Frewa.
Shorewa puede descargarse en formato RPM desde http://www.shorewa.net/.
S dspone de un servdor con Cent0> 5 y 6 o 'ed Eath "nterprise inu2 5 o 6, puede utzar
e e amacn YUM de Alcance i!re para servdores en produccn, descargando e archvo
$ttp-==PPP.alcanceli!re.org=al=server=A(>erver.repo dentro de
drectoro /etc=yum.repos.d=:
cd
Este archvo, que se guarda como /etc=yum.repos.d=A(>erver.repo, debe tener e sguente
contendo:
D41!ServerE
gpgcheck*1
642
La nstaacn a travs de mandato yum requere utzar o sguente:
yum !y install shoreall
SO.4. <rocedimientos.
SO.4.+. Con&iguracin de >"inu2.
Con as versones ms recentes de con|unto de potcas de SELnux, Shorewa es ncapaz de
ncar debdo a que SEnux mpde a ste e|ecutar componentes ocazados en /usr=. E sguente
procedmento detaa cmo crear una potca en SELnux que permta a Shorewa operar de
manera norma.
SO.4.+.+. <rocedimiento para crear poltica.
Crear e drectoro /usr=s$are=selinu2=pacLages=s$orePall:
mkdir /usr/share/selinux/packages/shoreall
Cambarse a drectoro /usr=s$are=selinu2=pacLages=s$orePall:
cd /usr/share/selinux/packages/shoreall
$ttp-==PPP.alcanceli!re.org=linu2=secrets=s$orePall.te:
get http#//@alcancelibre@org/linux/secrets/shoreall@te
Edtar e archvo s$orePall.te:
vim shore?#)).$e
Verfcar que e archvo s$orePall.te tenga e sguente contendo:
module shoreall 1@$V
reJuire \
type shoreall.tV
type usr.tV
class "ile \ execute execute.no.trans ]V
]
A************* shoreall.t **************
allo shoreall.t usr.t#"ile \ execute execute.no.trans ]V
Crear e archvo de mduo s$orePall.mod a partr de archvo s$orePall.te:
checkmodule !- !m !o shoreall@mod shoreall@te
Crear e archvo de potca s$orePall.pp a partr de archvo s$orePall.mod
643
semodule.package !o shoreall@pp !m shoreall@mod
semodule !i /usr/share/selinux/packages/shoreall/shoreall@pp
SO.4.*. Arc$ivo de con&iguracin =etc=s$orePall=s$orePall.con&
En ste se defnen, prncpamente, dos parmetros. >@A'@,<Q")AB"D y CA:<:>>.
>@A'@,<Q")AB"D se utza para actvar Shorewa. De modo predefndo est desactvado, soo
se necesta cambar )o por Xes.
S04R0><.&,4:1&%*;es
CA:<:>> se utza en conexones tpo PPP (PPTP o PPPoE) y srve para mtar e :>> (acrnmo
de :axmum >egment >ze que sgnfca Mxmo Tamao de Segmento). Cambando e vaor )o
por Xes, Shorewa cacuar e :>> ms apropado para a conexn. S se es osado, puede
tambn especfcarse un nmero en paquetes SYN. La recomendacn es estabecer Xes s se
cuenta con un enace tpo PPP.
)14-<-SS*;es
SO.4.3. Arc$ivo de con&iguracin =etc=s$orePall=8ones
Este archvo se utza para defnr as zonas que se admnstrarn con Shorewa y e tpo de zona
(frewa, pv4 o psec). La zona &P est presente en e archvo /etc=s$orePall.con& como
confguracn predefnda. En e sguente e|empo se regstrarn as zonas de Internet (net), Red
Loca (oc) y Zona Desmtarzada (dmz):
AG/,& %(S<14; /<0(/,S
" "ireall
net ipv4
loc ipv4
dmC ipv4
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
SO.4.4. Arc$ivo de con&iguracin =etc=s$orePall=inter&aces
En ste se estabecen cuaes sern as nterfaces para as tres dferentes zonas. Se estabecen as
nterfaces que corresponden a a Internet, Zona Desmtarzada D:[ y Red Loca. En e sguente
e|empo, se cuenta con una nterfaz ppp0 para acceder haca Internet, una nterfaz eth0 para
acceder haca a A) y una nterfaz eth1 para acceder haca a D:[, y en todas se socta se
cacue automtcamente a dreccn de transmsn (Broadcast):
AG/,& (,0&R=4)& :R/4%)4S0 /<0(/,S I40&34;
net ppp$ detect
loc eth$ detect
dmC eth1 detect
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
644
En e sguente e|empo, se cuenta con una nterfaz et$O para acceder haca Internet, una nterfaz
eth1 para acceder haca a A) y una nterfaz et$* para acceder haca a D:[, y en todas se
socta se cacue automtcamente a dreccn de transmsn (Broadcast):
AG/,& (,0&R=4)& :R/4%)4S0 /<0(/,S I40&34;
net eth$ detect
loc eth1 detect
dmC eth6 detect
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
Hay una cuarta zona mpcta que corresponde a cortafuegos msmo y que se denomna &P.
S acaso hubera un servco de DEC<, sea como cente, como servdor o como ntermedaro, en
aguna de as nterfaces, se debe aadr a opcn d$cp para permtr a comuncacn requerda
para este servco. En e sguente e|empo e anftrn donde opera e muro cortafuegos obtene su
dreccn IP, para a nterfaz ppp0, a travs de servco DEC< de %><; en este msmo anftrn
opera smutneamente un servdor DEC<, e cua es utzado en a red de rea oca para asgnar
dreccones IP; por todo o anteror se debe actvar a opcn DEC< para as nterfaces pppO y
et$+, que correspondentemente son utzadas por a zona de Internet y a red de rea oca, pero
no es necesaro hacero para a nterfaz et$* que es utzada para a zona de a D:[:
AG/,& (,0&R=4)& :R/4%)4S0 /<0(/,S I40&34;
net ppp$ detect -h&'
loc eth1 detect -h&'
dmC eth6 detect
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
SO.4.5. Arc$ivo de con&iguracin =etc=s$orePall=policy
En este archvo se estabece como se acceder desde una zona haca otra y haca a zona de
Internet.
AS/>R)& %&S0 </1(); 1/I 1(-(0#:>RS0
loc net 4))&<0
dmC net 4))&<0
" net 4))&<0
net all %R/< in"o
all all R&^&)0 in"o
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
Lo anteror hace o sguente:
1. La zona de a red oca puede acceder haca a zona de Internet.
2. La zona de a DMZ puede acceder haca a zona de Internet.
3. E cortafuegos msmo puede acceder haca a zona de Internet.
4. Se mpden conexones desde Internet haca e resto de as zonas.
5. Se estabece una potca de rechazar conexones para todo o que se haya omtdo.
Todo o anteror permte e paso entre as dversas zonas haca Internet, lo cual no es desea!le s
se quere mantener una potca estrcta de segurdad. La recomendacn es cerrar todo haca todo
e r abrendo e trfco de acuerdo a como se vaya requrendo. Es decr, utzar ago como o
sguente:
645
AS/>R)& %&S0 </1(); 1/I 1(-(0#:>RS0
net all %R/< in"o
all all R&^&)0 in"o
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
Lo anteror boquea todo e trfco desde donde sea a donde sea. S es necesaro reazar pruebas
de dagnstco desde e cortafuegos haca Internet para probar conectvdad y acceso haca
dversos protocoos, se puede utzar o sguente:
AS/>R)& %&S0 </1(); 1/I 1(-(0#:>RS0
" net 4))&<0
net all %R/< in"o
all all R&^&)0 in"o
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
Lo anteror permte a propo cortafuegos acceder haca a zona de Internet. Esta sera a potca
ms rea|ada que se pudera recomendar para mantener un nve de segurdad aceptabe.
SO.4.6. Arc$ivo de con&iguracin =etc=s$orePall=mas#
Se utza para defnr que a travs de que nterfaz o nterfaces se habtar enmascaramento, o
)A@, y para que nterfaz o nterfaces o redes se apcar dcho enmascaramento. En e sguente
e|empo, se reazar enmascaramento a travs de a nterfaz ppp0 para as redes que acceden
desde as nterfaces eth0 y eth1:
A(,0&R=4)& S>:,&0 4%%R&SS <R/0/ </R0(S) (<S&)
ppp$ eth$
ppp$ eth1
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
En e sguente e|empo, se reazar enmascaramento a travs de a nterfaz eth0 para as redes
192.168.0.0/24 y 192.168.1.0/24:
A(,0&R=4)& S>:,&0 4%%R&SS <R/0/ </R0(S) (<S&)
eth$ 186@165@$@$/64
eth$ 186@165@1@$/64
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
Tambn es posbe hacer )A@ soamente haca una IP en partcuar y para un soo protocoo en
partcuar. En e sguente e|empo se hace )A@ a travs de a nterfaz ppp0 para a dreccn
192.168.3.25 que accede desde a nterfaz eth1 y soo se e permtr hacer )A@ de os protocoos
smtp y pop3. Los nombres de os servcos se asgnan de acuerdo a como estn stados en e
archvo /etc=services.
A(,0&R=4)& S>:,&0 4%%R&SS <R/0/ </R0(S) (<S&)
ppp$ eth1 186@165@?@69 tcp 69B11$
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
SO.4.7. Arc$ivo de con&iguracin =etc=s$orePall=rules
Todos os puertos estn cerrados de modo predefndo, y es en este archvo donde se habtan os
puertos necesaros. Hay dversas funcones que pueden reazarse.
646
SO.4.7.+. ACC"<@
La accn ACCEPT se hace para especfcar s se permten conexones desde o haca una(s) zona (s)
un protocoo(s) y puerto(s) en partcuar. En e sguente e|empo se permten conexones desde
Internet haca e puerto 80 (www), 25 (smtp) y 110 (pop3). Los nombres de os servcos se asgnan
de acuerdo a como estn stados en e archvo /etc=services.
A4)0(/, S/>R)& %&S0 <R/0/ %&S0
A </R0
4))&<0 net " tcp 5$B69B11$
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
SO.4.7.*. '"D%'"C@
La accn REDIRECT permte redrgr petcones haca un puerto en partcuar. Muy t cuando se
queren redrgr petcones para E@@< (puerto 80) y se quere que estas pasen a travs de un
>ervidor %ntermediario (Proxy) como Squd. En e sguente e|empo as petcones hechas desde
a red oca y desde a D:[ sern redrgdas haca e puerto 8080 de cortafuegos, en donde hay
un >ervidor %ntermediario (Proxy) confgurado de modo transparente.
A4)0(/, S/>R)& %&S0 <R/0/ %&S0
A </R0
R&%(R&)0 loc 5$5$ tcp 5$
R&%(R&)0 dmC 5$5$ tcp 5$
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
SO.4.7.3. D)A@
La accn D)A@ se utza para reenvar petcones desde un puerto de cortafuegos haca una IP y
puerto en partcuar tanto en a red oca como en a D:[. Cabe destacar que para que e D)A@
funcon se necesta que:
Est habtado e reenvo de paquetes en /etc=syscon&ig=sysctl.c&g
y /etc=s$orePall=s$orePall.con&
Los equpos haca os que se est hacendo D)A@ utcen como puerta de enace a cortafuegos
desde sus correspondentes zonas.
En e sguente e|empo, se hace D)A@ desde a zona de Internet para E@@< (puerto 80), >:@<
(puerto 25) y <0<3 (puerto 110) por TCP y D)> (puerto 53) por @C< y ,D< haca a IP
10.10.10.28 ocazada en a zona de a Red Loca.
A4)0(/, S/>R)& %&S0 <R/0/ %&S0
A </R0
%,40 net dmC#1$@1$@1$@65 tcp 5$B69B11$B9?
%,40 net dmC#1$@1$@1$@65 udp 9?
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
SO.4.7.4. ".emplos diversos de reglas.
En e sguente e|empo se permte a a zona de Red Loca e acceso haca e puerto 22 (SSH) de
cuaquer equpo dentro de a D:[:
647
A4)0(/, S/>R)& %&S0 <R/0/ %&S0
A </R0
4))&<0 loc dmC tcp 66
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
En e sguente e|empo se permte soo a a dreccn 192.168.2.34 de zona de Red Loca e acceso
haca e puerto 22 (SSH) de cuaquer equpo dentro de a D:[:
A4)0(/, S/>R)& %&S0 <R/0/ %&S0
A </R0
4))&<0 loc#186@165@6@?4 dmC tcp 66
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
En e sguente e|empo se permte soo a a dreccn 192.168.2.34 de zona de Red Loca e acceso
haca e puerto 22 (ssh) de a dreccn 10.10.10.5 que est dentro de a D:[:
A4)0(/, S/>R)& %&S0 <R/0/ %&S0
A </R0
4))&<0 loc#186@165@6@?4 dmC#1$@1$@1$@9 tcp 66
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
En e sguente e|empo se hace D)A@ desde a zona de Internet para os servcos de E@@<
(puerto 80), >:@< (puerto 25) y <0<3 (puerto 110) por @C< y D)> (puerto 53) por @C< y ,D<
haca dversos servdores ocazados D:[:
A4)0(/, S/>R)& %&S0 <R/0/ %&S0
A </R0
%,40 net dmC#1$@1$@1$@1 tcp 5$
%,40 net dmC#1$@1$@1$@6 tcp 69B11$
%,40 net dmC#1$@1$@1$@? tcp 9?
%,40 net dmC#1$@1$@1$@? udp 9?
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
En e sguente e|empo se hace D)A@ desde a zona de a Red Loca para os servcos de E@@<
(puerto 80), >:@< (puerto 25), <0<3 (puerto 110) y D)> (puerto 53) haca dversos servdores
ocazados D:[:
648
A4)0(/, S/>R)& %&S0 <R/0/ %&S0
A </R0
%,40 loc dmC#1$@1$@1$@1 tcp 5$
%,40 loc dmC#1$@1$@1$@6 tcp 69B11$
%,40 loc dmC#1$@1$@1$@? tcp 9?
%,40 loc dmC#1$@1$@1$@? udp 9?
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
En e sguente e|empo se hace D)A@ desde a zona de Internet para os servcos de E@@<
(puerto 80), >:@< (puerto 25), <0<3 (puerto 110) y D)> (puerto 53) haca dversos servdores
ocazados D:[ y mtar a taza de conexones a dez por segundo con rfagas de hasta cnco
conexones para cada servco:
A4)0(/, S/>R)& %&S0 <R/0/ %&S0 S/>R)& /R(I(,41 R40&
A </R0 </R0(S) %&S0 1(-(0
%,40 net dmC#1$@1$@1$@1 tcp 5$ ! !
1$/sec#9
%,40 net dmC#1$@1$@1$@6 tcp 69B11$ ! !
1$/sec#9
%,40 net dmC#1$@1$@1$@? tcp 9? ! !
1$/sec#9
%,40 net dmC#1$@1$@1$@? udp 9? ! !
1$/sec#9
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
En e sguente e|empo as petcones hechas desde a red oca (A)) sern redrgdas haca e
puerto 8080 de cortafuegos, en donde hay un >ervidor %ntermediario (Proxy) confgurado de
modo transparente, mtando a taza de conexones a veinte por segundo con rfagas de hasta
cnco conexones. Esto es muy t para evtar ataques de Do> (acrnmo de Dena of >ervce que
se traduce como Denegacn de Servco) desde a red oca (A)).
A4)0(/, S/>R)& %&S0 <R/0/ %&S0 S/>R)& /R(I(,41 R40&
A </R0 </R0(S) %&S0 1(-(0
R&%(R&0 loc 5$5$ tcp 5$ ! ! 6$/sec#9
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
SO.5. %niciar el corta&uegos y aadirlo a los servicios de
arran#ue del sistema
Para e|ecutar por prmera vez e servco, utce:
service shoreall start
Para hacer que os cambos hechos a a confguracn surtan efecto, utce:
Para detener e cortafuegos, utce:
service shoreall stop
649
Cabe seaar que detener e cortafuegos tambn detene todo trfco de red, ncuyendo e trfco
provenente desde a A). S se desea restaurar e trfco de red, sn a proteccn de un
cortafuegos, ser necesaro tambn utzar e gun de ipta!les.
Lo ms convenente, en caso de ser necesaro detener e cortafuegos, es defnr que dreccones IP
o redes podrn contnuar accedendo cuando e cortafuegos es detendo, o cuando ste se
encuentra en proceso de renco. Esto se defne en e archvo /etc=s$orePall=routestopped,
defnendo a nterfaz, a travs de a cua se permtr a comuncacn, y a dreccn IP o red, en
un formato de sta separada por comas, de os anftrones que podrn acceder a cortafuegos.
E|empo:
A(,0&R=4)& 2/S0(S) /<0(/,S
eth$ 186@165@1@$/64
eth$ 186@165@6@?$B186@165@6@?1
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
Para aadr Shorewa a arranque de sstema, utce:
chkcon"ig shoreall on
650
S+. Cmo con&igurar un servidor de 0penG<).
S+.+. %ntroduccin.
S+.+.+. Acerca de 0penG<).
0penG<) es una soucn de conectvdad basada sobre equpamento gco (soft(are):
SSL(Secure Sockets Layer) VPN (Vrtua Prvate Network, o red vrtua prvada), OpenVPN ofrece
conectvdad punto-a-punto con vadacn, |errquca de usuaros y host conectados
remotamente, resuta una muy buena opcn en tecnoogas W-F (redes nambrcas EEI 802.11)
y soporta una ampa confguracn, entre stas e baanceo de cargas, entre otras muchas cosas
ms.
URL: http://openvpn.net
S+.+.*. Breve e2plicacin de lo #ue se lograr; con este documento.
Este documento descrbe a confguracn de una G<) tpo %ntranet.
Este tpo de redes es creado entre una ofcna centra (servdor) y una o varas ofcnas remotas
(centes). E acceso vene de exteror. Se utza este tpo de VPN cuando se necesta enazar a os
stos que son parte de una compaa, en nuestro caso ser compuesto por un servdor Centra que
conectar a muchos centes VPN entre s.
La nformacn y apcacones a as que tendrn acceso os drectvos mves en e VPN, no sern
as msmas que aqueas en donde pueden acceder os usuaros que efectan actvdades de
mantenmento y soporte, esto como un e|empo de o que se podr reazar con esta
confguracn.
Ademas de que podr conectarse a travs de @erminal >erver (en el ca#o de cliente# (inu1) a
termnaes Wndows de a red VPN as como de Centes Wndows a computadoras con e msmo
sstema operatvo (medante RDP).
)ota %mportante: Enfocado a esta confguracn .. Una vez que os centes (7indow#/(inu1) se
conecten a a red VPN quedarn automtcamente sn conexn a Internet, o cua NO podrn
acceder a a red munda. Esto puede ser modfcabe en e servdor VPN.
651
Servdor de Pasarea OpenVPN con centes (Wndows/Lnux) remotos
E servdor VPN $ace de pasarela para que todos os centes (Wndows/Lnux) puedan estar
comunicados a travs de tne OpenVPN, estos a conectarse por medo de Internet a tne
automtcamente quedan sin lineaa a red munda quedando como una red local, esto caro esta
a travs de a VPN.
Cada cente se encuentra en ugares dferentes (cudad/estado/pas) con dferentes tpos de
segmento de red, a estar conectados medante e tne VPN se crea un red vrtua y se asgna un
nuevo segmento de red proporconada por e servdor prncpa en este caso con segmento (por
e|empo 10.10.0.0/255.255.255.0no 192.168.37.0/255.255.255.0).
S+.*. %nstalacin del e#uipamiento lgico necesario.
Fedora 9 en adeante ncuye e paquete openvpn en sus depstos Yum, por o que soo es
necesaro nstaaro desde a termna a travs de mandato yum. E sguente procedmento soo
es necesaro para Cent0> 5.
S+.*.+. %nstalacin en Cent0> 5.
Como e usuaro root, desde una termna, crear e archvo =etc=yum.repos.d=A(>erver.repo,
utzando cuaquer edtor de texto. En e sguente e|empo se utza vi.
vi /etc/yum@repos@d/41!Server@repo
652
Aadr a este nuevo arc$ivo e sguente contendo:
D41!ServerE
gpgcheck*1
Importar a frma dgta de Alcance i!re e|ecutando o sguente desde a termna:
Luego de mportar a frma dgta de Acance Lbre, nstaar e equpamento gco (soft(are)
necesaro con e mandato yum. Se requeren os paquetes RPM de OpenVPN, Shorewa y vm-
enhanced (a versn me|orada de V):
yum !y install openvpn shoreall vim!enhanced
S+.3. <rocedimientos.
S fuera necesaro, cambarse a usuaro root utzando e sguente mandato:
su !l
A fn de poder utzar nmedatamente a versn me|orada de Gi (nstaado con e paquete vim(
en$anced), e|ecutar desde a termna o sguente:
alias vi*+vim+
Cambarse a drectoro, desde a termna, e|ecutar o sguente para cambarse a drectoro
=etc=openvpn:
cd /etc/openvpn/
)0@A- Todos os procedmentos necesaros para confgurar un servdor con 0penG<) se reazan
sn sar de =etc=openvpn=. Por favor, evite cam!iar de directorio hasta haber fnazado os
procedmentos descrtos en este documento.
A fn de factar os procedmentos, se coparn dentro de drectoro =etc=openvpn= os archvos
openssl.cn&, P$ic$opensslcn&, pLitool y vars, que se ocazan en =etc=openvpn=easy(
rsa=*.O=:
cp /usr/share/openvpn/easy!rsa/6@$/openssl@cn" @/
cp /usr/share/openvpn/easy!rsa/6@$/hichopensslcn" @/
cp /usr/share/openvpn/easy!rsa/6@$/pkitool @/
cp /usr/share/openvpn/easy!rsa/6@$/vars @/
Utzar e edtor de texto y abrr e archvo =etc=openvpn=vars:
vi /etc/openvpn/vars
653
De este archvo, soamente edtar as tmas neas, que corresponden a o sguente:
export H&;.)/>,0R;*+>S+
export H&;.<R/'(,)&*+)4+
export H&;.)(0;*+San=rancisco+
export H&;./RI*+=ort!=unston+
export H&;.&-4(1*+meXmyhost@mydomain+
Reempazar por vaores reaes, como os de sguente e|empo:
export H&;.)/>,0R;*+-X+
export H&;.<R/'(,)&*+%=+
export H&;.)(0;*+-exico+
export H&;./RI*+servidor@mi!dominio@com+
export H&;.&-4(1*+"ulanitoXmi!dominio@com+
Se requere e|ecutar de sguente modo e archvo =etc=openvpn=vars a fn de que carguen as
varabes de entorno que se acaban de confgurar.
source /etc/openvpn/@/vars
Cada vez que se vayan a generar nuevos certfcados, debe e|ecutarse e mandato anteror a fn de
que carguen as varabes de entorno defndas.
Se e|ecuta e archvo =usr=s$are=openvpn=easy(rsa=*.O=clean(all a fn de mpar cuaquer frma
dgta que accdentamente estuvera presente.
sh /usr/share/openvpn/easy!rsa/6@$/clean!all
Lo anteror reaza un rm (&r (emnacn recursva) sobre e drectoro =etc=openvpn=Leys, por o
que se emnarn todas os certfcados y frmas dgtaes que huberan exstdo con anterordad.
A fn de crear e certfcado de servdor, se crea un certfcado:
sh /usr/share/openvpn/easy!rsa/6@$/build!ca
Se crea e archvo dh1024.pem, e cua contendr os parmetros de protocoo Dffe-Eeman, de
1024 bts:
sh /usr/share/openvpn/easy!rsa/6@$/build!dh
E protocoo Dffe-Eeman permte e ntercambo secreto de caves entre dos partes que sn que
stas hayan tendo contacto prevo, utzando un cana nseguro, y de manera annma (sn
autentcar). Se empea generamente como medo para acordar caves smtrcas que sern
empeadas para e cfrado de una sesn, como es e caso de una conexn VPN.
Para generar a frma dgta, se utzan e sguente mandato:
sh /usr/share/openvpn/easy!rsa/6@$/build!key!server server
654
Fnamente se crean os certfcados para os centes. En e sguente3 e|empo se crean os
certfcados para cliente+, cliente*, cliente3, cliente4, cliente5, y cliente6:
sh /usr/share/openvpn/easy!rsa/6@$/build!key cliente1
sh /usr/share/openvpn/easy!rsa/6@$/build!key cliente?
A fn de utzar os certfcados y que se confgure e sstema, se crea con e edtor de texto e
archvo =etc=openvpn=servidorvpn(udp(++S4.con&, donde servidorvpn se reempaza por e
nombre de anftrn de sstema:
vi /etc/openvpn/servidorvpn!udp!1184@con"
Para a G<) se recomenda utzar una red prvada que sea poco usua, a fn de poder permtr a
os centes conectarse sn confctos de red. Un e|empo de una red poco utzada sera
192.168.37.0/255.255.255.0, o cua permtr conectarse a a G<) a 253 centes. Tomando en
cuenta o anteror, e contendo de archvo =etc=openvpn=servidorvpn(udp(++S4.con&, debe ser
e sguente:
port 1184
proto udp
dev tun
A!!!! Seccion de llaves !!!!!
ca keys/ca@crt
cert keys/server@crt
key keys/server@key
dh keys/dh1$64@pem
A!!!!!!!!!!!!!!!!!!!!!!!!!!!!
server 186@165@?7@$ 699@699@699@$
i"con"ig!pool!persist ipp@txt
keepalive 1$ 16$
comp!lCo
persist!key
persist!tun
status openvpn!status!servidorvpn!udp!1184@log
verb ?
Descrpcn de os parmetros anterores:
8ort: Especfca e puerto que ser utzado para que os centes vpn puedan conectarse a servdor.
8roto: tpo de protocoo que se empear en a conexn a travs de VPN
de9: Tpo de nterfaz de conexn vrtua que se utzar e servdor openvpn.
ca: Especfca a ubcacn exacta de archvo de Autordad Certfcadora |.ca|.
cert: Especfca a ubcacn de archvo |.crt| creado para e servdor.
)e/: Especfca a ubcacn de a ave |.key| creada para e servdor openvpn.
dh: Ruta exacta de archvo |.pem| e cua contene e formato de Dffe Heman (requrerdo para
((tls(serversoamente).
#er9er: Se asgna e rango IP vrtua que se utzar en a red de tne VPN.
:conig&pool&per#i#t: Archvo en donde quedarn regstrado as dreccones IP de os centes que se
encuentran conectados a servdor OpenVPN.
655
;eepali9e %$ %3$ : Enva os paquetes que se mane|an por a red una vez cada 10 segundos; y
asuma que e acopamento es aba|o s nnguna respuesta ocurre por 120 segundos.
co*p&lzo: Especfca os datos que recorren e tne vpn ser compactados durante a trasferenca de
estos paquetes.
per#i#t&)e/: Esta opcn soucona e probema por aves que perssten a travs de os rea|ustes
SIGUSR1, as que no necestan ser reedos.
8er#i#t&tun: Permte que no se cerre y re-abre os dspostvos TAP/TUN a correr os guones up/down
#tatu#: archvo donde se amacenar os eventos y datos sobre a conexn de servdor |.og|
9erb: Nve de nformacn (defaut=1). Cada nve demuestra todo e Info de os nvees anterores. Se
recomenda e nve 3 s usted desea un buen resumen de qu est sucedendo.
O ((No muestra una sada excepto errores fataes. + to 4 mRango de uso norma. 5 ((Sada 'y
bcaracteres en a consoa par os paquetes de ectura y escrtura, mayscuas es usada por paquetes
TCP/UDP mnscuas es usada para paquetes TUN/TAP.
S >"inu2 est actvo, es necesaro que e drectoro =etc=openvpn y sus contendos, tengan os
contextos apropados de esta mpementacn de segurdad
(system_u:ob|ect_r:openvpnQetcQrPQt para ipp.t2t y openvpn(status(servidorvpn(udp(
++S4.log y system_u:ob|ect_r:openvpnQetcQt para e resto de contendo de drectoro).
Se utza uego e mandato restorecon sobre e drectoro =etc=openvpn a fn de asgnar os
contextos adecuados.
restorecon !R /etc/openvpn/
Se crean os archvos ipp.t2t y openvpn(status(servidorvpn(udp(++S4.log:
cd /etc/openvpn/
touch ipp@txt
touch openvpn!status!servidorvpn!udp!1184@log
S se tene actvo SELnux, estos tmos dos archvos requeren se es asgne contexto de ectura y
escrtura (openvpnQetcQrPQt).
cd /etc/openvpn/
chcon !u system.u ipp@txt
chcon !u system.u openvpn!status!servidorvpn!udp!1184@log
chcon !r obMect.r ipp@txt
chcon !r obMect.r openvpn!status!servidorvpn!udp!1184@log
chcon !t openvpn.etc.r.t ipp@txt
chcon !t openvpn.etc.r.t openvpn!status!servidorvpn!udp!1184@log
Los anteror camba os contextos a usuaro de sstema (systemQu), ro de ob|eto (o!.ectQr) y tpo
confguracn de OpenVPN de ectura y escrtura (openvpnQetcQrPQt).
Para ncar e servco, se utza e mandato service de sguente modo:
service openvpn start
Para que e servco de OpenVPN est actvo en e sguente nco de sstema, se utza e mandato
c$Lcon&ig de a sguente forma:
656
chkcon"ig openvpn on
S+.3.+. Con&iguracin de muro corta&uegos con >$orePall.
E sguente procedmento consdera que se ha confgurado un muro cortafuegos apropadamente,
de acuerdo a as ndcacones descrtas en e documento ttuado Cmo con&igurar un muro
corta&uegos con >$orePall y tres inter&aces de red.
Independentemente de contendo, en e archvo =etc=s$orePall=8ones, se aade a zona rem
con e tpo ipv4, antes de a tma nea.
T O'en;AN ----
re9 %'*E
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
Independentemente de contendo, en e archvo =etc=s$orePall=inter&aces, se aade a zona
rem asocada a a nterfaz tunO, con a opcn detect, para detectar automtcamente e nmero
de dreccn %< de dfusn (broadcast) y a opcn d$cp. Tambn debe defnrse antes de a
tma nea de archvo.
T O'en;AN ----
re9 $.n/ -e$e&$ -h&'
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
Independentemente de contendo, en e archvo =etc=s$orePall=policy, se aade a potca
deseada para permtr e acceso de os membros de a G<) haca as zonas que se consderen
apropadas. En e sguente e|empo, se defne una potca que permte e acceso de as conexones
orgnadas desde a zona rem haca e cortafuegos, a red pbca y a red oca. Todo debe
defnrse antes de a tma nea de archvo.
" all 4))&<0
loc all 4))&<0
T O'en;'n ----
re9 +? ACCEAT
re9 ne$ ACCEAT
re9 )o& ACCEAT
T ------------
net all %R/< in"o
all all R&^&)0 in"o
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
Independentemente de contendo, en e archvo =etc=s$orePall=rules, se debe abrr en e
cortafuegos e puerto 1194 por UDP, para todas as zonas desde as cuaes se pretenda conectar
centes a a G<).
4))&<0 net " udp 1184
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
Fnamente, se edta e archvo =etc=s$orePall=tunnels a fn de defnr e tne SSL que ser
utzado para e servdor de G<) y que permta conectarse desde cuaquer ubcacn.
A0;<& G/,& I40&34; I40&34;
A G/,&
657
openvpnserver#1184 rem $@$@$@$/$
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
En ugar de O.O.O.O=O, se puede especfcar una dreccn IP o ben una red desde a cua se quera
estabecer as conexones G<).
Para apcar os cambos, es necesaro rencar s$orePall con e mandato service, de sguente
modo:
S+.3.*. Con&iguracin de clientes bindoPs.
S+.3.*.+. A travs de 0penG<) ?,%.
Instaar 0penG<) ?,% desde http://openvpn.se/. Se requere nstaar a versn de desarroo
+.O.3 de 0penG<) ?,%, compatbe con OpenVPN 2.1.x. E cente es esta!le, sempre que se
verfque que funcone adecuadamente a confguracn utzada antes de poner en marcha en un
entorno productvo.
Crear e archvo cliente+(udp(++S4.ovpn, con e sguente contendo, donde es mportante que
as rutas defndas sean as correctas, y as dagonaes nvertdas sean dobes:
658
client
dev tun
proto udp
remote dominio!o!ip@del@servidor@vpn 1184
"loat
resolv!retry in"inite
nobind
persist!key
persist!tun
A!!!!!! S&))(/, %& 114'&S !!!!!!!!
ca +)#OO4rchivos de <rogramaOO/pen'<,OOcon"igOOca@crt+
cert +)#OO4rchivos de <rogramaOO/pen'<,OOcon"igOOcliente1@crt+
key +)#OO4rchivos de <rogramaOO/pen'<,OOcon"igOOcliente1@key+
ns!cert!type server
A!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
comp!lCo
verb ?
Descrpcn de os parmetros anterores:
client: Especfca e tpo de confguracn, en este caso tpo cente OpenVPN.
8ort: Especfca e puerto que ser utzado para que os centes VPN puedan conectarse a servdor.
8roto: tpo de protocoo que se empear en a conexn a travs de VPN
de9: Tpo de nterfaz de conexn vrtua que se utzar e servdor openvpn.
remote: Host remoto o dreccn IP en e cente, e cua especfca a servdor OpenVPN.
E cente OpenVPN puede tratar de conectar a servdor con $ost-port en e orden especfcado de as
opcones de a opcn ((remote.
&loat: Este e dce a OpenVPN aceptar os paquetes autentcados de cuaquer dreccn, no soamente
a dreccn cu fue especfcado en a opcn ((remote.
resolv(retry: S a resoucn de nombre de anftrn (ostname) faa para (( remote, a resoucn
antes de faar hace una re-comprobacn de n segundos.
no!ind: No agrega bnd a a dreccn oca y a puerto.
ca: Especfca a ubcacn exacta de archvo de Autordad Certfcadora |.ca|.
cert: Especfca a ubcacn de archvo |.crt| creado para e servdor.
)e/: Especfca a ubcacn de a ave |.key| creada para e servdor OpenVPN.
re*ote: Especfca e domno o IP de servdor as como e puerto que escuchara as petcones para
servco VPN.
co*p&lzo: Especfca os datos que recorren e tne VPN ser compactados durante a trasferenca de
estos paquetes.
per#i#t&)e/: Esta opcn soucona e probema por aves que perssten a travs de os rea|ustes
SIGUSR1, as que no necestan ser reedos.
8er#i#t&tun: Permte que no se cerre y re-abre os dspostvos TAP/TUN a correr os guones up/down
9erb: Nve de nformacn (defaut=1). Cada nve demuestra toda a Informacn de os nvees
anterores. Se recomenda e nve 3 s usted desea un buen resumen de qu est sucedendo.
O ((No muestra una sada excepto errores fataes. + to 4 mRango de uso norma. 5 ((Sada 'y
bcaracteres en a consoa par os paquetes de ectura y escrtura, mayscuas es usada por paquetes
TCP/UDP mnscuas es usada para paquetes TUN/TAP.
659
E cente necestar que os archvos ca.crt, cliente+.crt, cliente+.Ley y cliente+(udp(
++S4.ovpn estn presentes en e drectoro /C-eArc$ivos de <rogramae0penG<)econ&ige/.
Estos archvos fueron creados, a travs de un procedmento descrto en este documento, dentro
de drectoro =etc=openvpn=Leys= de servdor.
S se quere que os centes de a G<) se puedan conectar a a red oca, es mportante consderar
as mpcacones de segurdad que esto coneva s aguno de os certfcados es robado, o ben e
cente se ve comprometdo en su segurdad por una ntrusn, vrus, troyano o gusano. Es
preferbe que a red de a G<) sea ndependente a a red oca y cuaquer otra red, unendo os
servdores y centes a a G<), ndependentemente de s stos estn en a red oca o una red
pbca.
S es mperatvo hacer que os centes de a G<) se conecten a a red oca, a red desde a cua se
conectan os centes debe ser dferente a a red utzada en a red oca. Por e|empo: s a red oca
detrs de servdor de G<) es 192.168.0.0/255.255.255.0, 10.0.0.0/255.0.0.0 o
172.16.0.0/255.255.0.0, os centes que se conecten a a G<) detrs de un modem ADSL o Cabe
e ntenten estabecer conexones con a red oca, muy seguramente tendrn confctos de red.
Para permtr a os centes de a G<) poder estabecer conexones haca a red oca, se aaden as
sguentes neas en e archvo de confguracn de OpenVPN para os centes, y que defnen a
ruta para a red oca y un servdor DNS que debe estar presente y confgurado para permtr
consultas recursivas a a red de a G<):
route 186@165@$@$ 699@699@699@$
dhcp!option %,S 186@165@$@1
Opconamente, tambn se puede defnr un servdor Wns.
dhcp!option 3(,S 186@165@66@1
E|empo, consderando que a red oca es +S*.+69.*6.O=*55.*55.*55.O:
client
dev tun
proto udp
"loat
nobind
persist!key
persist!tun
ro.$e 4<2.438.23./ 255.255.255./
-h&'-o'$%on DNS 4<2.438.23.4
-h&'-o'$%on VFNS 4<2.438.23.4
A!!!!!! S&))(/, %& 114'&S !!!!!!!!
ca +)#OO4rchivos de <rogramaOO/pen'<,OOcon"igOOca@crt+
cert +)#OO4rchivos de <rogramaOO/pen'<,OOcon"igOOcliente1@crt+
key +)#OO4rchivos de <rogramaOO/pen'<,OOcon"igOOcliente1@key+
ns!cert!type server
A!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
comp!lCo
verb ?
660
S+.3.3. Clientes ?),=inu2.
S+.3.3.+. A travs del servicio openvpn.
Este es e mtodo que funconar en prctcamente todas as dstrbucones de de GNU/Lnux
basadas sobre 'ed Eat, Cent0> y Fedora. Se requere nstaar e paquete openvpn:
yum !y install openvpn
Para Cent0> 5, se requere haber confgurado prevamente e depsto de A >erver, descrto
con anterordad en este msmo documento.
Para os centes con GNU/Lnux utzando e servco openvpn, bscamente se utza e msmo
archvo para 0penG<) ?,% para Wndows, pero defnendo rutas en e sstema de archvos de
GNU/Lnux. E|empo:
client
dev tun
proto udp
"loat
nobind
persist!key
persist!tun
A!!!!!! S&))(/, %& 114'&S !!!!!!!!
ca /etc/openvpn/keys/ca@crt
cert /etc/openvpn/keys/cliente1@crt
key /etc/openvpn/keys/cliente1@key
ns!cert!type server
A!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
comp!lCo
verb ?
Este archvo se guarda como =etc=openvpn=cliente+(udp(++S4.ovpn. Requere que os
certfcados defndos en a confguracn estn en as rutas especfcadas dentro de drectoro
=etc=openvpn=Leys=.
Para ncar a conexn haca a G<), smpemente se nca e servco openvpn:
service openvpn start
Para que a conexn se estabezca automtcamente cada vez que se nce e sstema, se utza e
mandado c$Lcon&ig de a sguente manera:
chkcon"ig openvpn on
S+.3.3.*. A travs de )etPorL:anager.
)etPorL:anager es una mpementacn que permte a os usuaros confgurar nterfaces de red
de todos os tpos, sn necesdad de contar con prvegos de admnstracn en e sstema. Es a
forma ms fexbe, senca y prctca de conectarse a una red G<).
661
Se requere que os centes Lnux tengan nstaado e paquete )etPorL:anager(openvpn,
msmo que debe estar ncudo en os depstos Yum de Fedora S en adeante y dstrbucones
recentes de GNU/Lnux. Cent0> 5 carece de soporte para utzar )etPorL:anager(openvpn,
por o que soo podr conectarse a a G<) a travs de mtodo anteror, con e servco openvpn.
Para nstaar a travs de mandato yum en dstrbucones basadas sobre Fedora S en adeante, se
hace de a sguente manera:
yum !y install ,etork-anager!openvpn
Se puede rencar e sstema para que tengan efectos os cambos, o smpemente rencar e
servco )etPorL:anager:
service ,etork-anager restart
Lo anteror cerrar y vover a estabecer as conexones de red exstentes.
A gua que e mtodo anteror, para os centes con GNU/Lnux con NetworkManager,
bscamente se utza e msmo archvo para 0penG<) ?,% para Wndows, pero defnendo rutas
en e sstema de archvos de GNU/Lnux. E|empo:
client
dev tun
proto udp
"loat
nobind
persist!key
persist!tun
A!!!!!! S&))(/, %& 114'&S !!!!!!!!
ca /etc/openvpn/keys/ca@crt
cert /etc/openvpn/keys/cliente1@crt
key /etc/openvpn/keys/cliente1@key
ns!cert!type server
A!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
comp!lCo
verb ?
Este archvo se puede utzar con a nterfaz grfca de )etPorL:anager. Soo hay que hacer cc
sobre e cono en e nrea de noti&icacin de pane de GNOME y uego hacer cc en Con&igurar
G<).
662
En a ventana que abre a contnuacn, hay un botn que permte mportar e archvo de
confguracn.
S os certfcados y frma dgta son coocados en a ruta =etc=openvpn=Leys= con SELnux actvo,
stos funconarn adecuadamente. S os certfcados y frma dgta son amacenados dentro de
drectoro de nco de usuaros, es necesaro estabecer a potca openvpnQena!leQ$omedirs
con vaor + (que equvae a on, o actva):
setsebool !< openvpn.enable.homedirs 1
Personamente recomendo crear una confguracn nueva desde a nterfaz de )etPorL:anager.
Desde a ventana de redes VPN de a nterfaz de )etPorL:anager, hacer cc en Aadir.
663
Aparecer un dogo donde se debe seecconar que se trata de una G<) con 0penG<).
En a sguente ventana de dogo, se defne e nombre de a conexn, dreccn IP o nombre de
servdor donde est nstaado OpenVPN, y os certfcados a utzar. S se sgueron os
procedmentos de ese documento, se de.a en !lanco e campo Contrasea de clave privada.
664
Luego, se hace cc en Avan8ado para especfcar que se utzar compresn [0.
Para evtar confctos de conectvdad, se hace cc en a pestaa A.ustes %<G4, y se defne un
servdor DNS que permta a cente navegar a travs de Internet y dentro de a red de a G<).
665
Se hace cc en 'utas para abrr otra ventana de dogo y se seecconan as casas de as
opcones %gnorar las rutas o!tenidas autom;ticamente y ,sar esta cone2in solo para los
recursos de su red. Opconamente se pueden aadr as rutas esttcas para tener conectvdad
con a red oca detrs de servdor de G<), tomando en cuenta que a red oca desde a cua se
est conectado e cente debe ser dferente a a de a red oca detrs de servdor de G<), a fn de
evtar confctos de red.
666
Fnamente se hace cc en apcar. Para conectarse a a red G<), soo basta hacer cc sobre e
cono de )etPorL:anager en e nrea de noti&icacin de pane de GNOME y seecconar a red
G<) recn confgurada.
S+.4. Bi!iliogra&a.
Este documento se basa sobre os manuaes ttuados VPN en servdor Lnux y centes
Wndows/Lnux con OpenVPN + Shorewa |Parte 1| y VPN en servdor Lnux y centes
Wndows/Lnux con OpenVPN + Shorewa |Parte 2|, por billiam pe8 Jimne8, pubcados en
Alcance i!re, cumpendo cabamente con os trmnos de a cenca Creative Commons
Reconocmento-NoComerca-CompartrIgua 2.1.
667
S*. Cmo con&igurar >):<.
S*.+. %ntroduccin.
S*.+.+. Acerca de >):<.
>):< (>mpe )etwork :anagement <rotoco o Protocoo Smpe de admnstracn de red) es
uno protocoos de con|unto defndo por a Fuerza de Traba|o en Ingenera de Internet (%"@F o
%nternet "ngneerng @ask Force), casfcada en e nve de apcacn de modeo TCP/IP, y que
est dseado para factar e ntercambo de nformacn entre dspostvos de red y es
ampamente utzado en a admnstracn de redes para supervsar e desempeo, a saud y e
benestar de una red, equpo de computo y otros dspostvos.
URL: http://toos.etf.org/htm/rfc1157.
S*.+.*. Acerca de )et(>):<.
)et(>):<, e equpamento go utzado en este documento, es un con|unto de apcacones
utzados para mpementar SNMP v1, SNMP v2c y SNMP v3 utzando IPv4 y/o IPv6. E proyecto
fue ncado como un con|unto de herramentas SNMP por Steve Wadbusser en a C:, (Carnege
:eon ,nversty), Pttsburgh, Pennsyvana, EE.UU., en 1992. Tras ser abandonado, fue retomado
por Wes Hardaker en a ,CDavis (,nversty of Caforna, Davis), renombrado como ,CD(>):<
y me|orado para cubrr as necesdades de Departamento de Ingenera Ectrca de dcha
nsttucn. Tras de|ar a unversdad, Hardaker contnu e proyecto, cambando e nombre de ste
a )et(>):<.
URL: http://net-snmp.sourceforge.net/
S*.*. "#uipamiento lgico necesario.
S*.*.+. %nstalacin a travs de yum.
S utza Cent0> 4 y 5, 'ed Eat "nterprise inu2 5 o b$ite Bo2 "nterprise inu2 4 y 5, soo
se necesta reazar o sguente para nstaar o actuazar e equpamento gco necesaro:
yum !y install net!snmp net!snmp!utils
668
S*.*.*. %nstalacin a travs de up*date.
up6date !i net!snmp net!snmp!utils
S*.3. <rocedimientos
reaes:
192.168.1.0/24: Dreccn de red y mscara de subred en bts que correspondan a os de a
red oca a a que se pertenece.
C4v3-d3-Acc3s0: Cuaquer cave de acceso o sufcentemente buena.
m064.acancebre.org: Nombre de anftrn de sstema donde se est confgurando e
servco.
fuano@agun-domno.net: Cuenta de correo de admnstrador de servdor.
192.168.1.254: Dreccn IP de servdor.
Arc$ivo de con&iguracin =etc=snmp=snmpd.con&.
E archvo =etc=snmp=snmpd.con& que se nstaa |unto con e paquete, y puede resutar para
agunos una verdadera maraa de comentaros y opcones de todo tpo. Lo ms recomendabe
ser crear un archvo nuevo y mpo de contendo para poder partr de ago ms smpe y
funcona.
cd /etc/snmp
mv snmpd@con" snmpd@con"!/1%
touch snmpd@con"
S*.3.+.+. istas de control de acceso.
Se deben crear as stas de contro de acceso (AC o Access Contro st) correspondentes en e
archvo =etc=snmp=snmpd.con&, as cuaes servrn para defnr o que tendr acceso haca e
servco snmpd. A una de estas stas se e otorgar permso de acceso de ectura y escrtura, para
o que sea necesaro en reacn con admnstracn, y a a otra de soo ectura. Por razones de
segurdad soo a nterfaz 127.0.0.1 estar en a sta de ectura escrtura. Se otorgar permso de
acceso de soo ectura a una red o ben a una dreccn IP en a otra sta de contro de acceso.
Consderando o anteror, se podran agregar un par de neas como as sguentes:
com6sec local 167@$@$@1/?6 )l4v?!d?!4cc?s$
com6sec miredlocal 186@165@1@$/64 )l4v?!d?!4cc?s$
669
En o anteror a prmera nea sgnfca que habr una sta de contro de acceso denomnada
2local3 y que corresponder soo a +*7.O.O.+=3*, asgnando #lNvM6dM6AccMs8 como cave de
acceso. La segunda nea hace o msmo pero defnendo a a red +S*.+69.+.O=*4. Se puede
defnr o que uno guste mentras no sea a cave de root, esto debdo a que dcha cave se
transmte a travs de a red en forma de texto smpe (es decr, sn cfrar).
S*.3.+.*. De&inicin de grupos.
Se crean a menos dos grupos: :y'b?roup y :y'0?roup. E prmero ser un grupo a que se
asgnarn ms adeante permsos de lectura escritura y e segundo ser un grupo a que
posterormente se asgnarn permsos de solo lectura. Por cada grupo se asgnan tres neas que
especfcan e tpo de acceso que se permtr en un momento dado a un grupo en partcuar. Es
decr, :y'b?roup se asoca a local y :y'0?roup a miredlocal.
ASe asigna local al grupo de )e&$.r# es&r%$.r#
group -yR3Iroup v1 local
group -yR3Iroup v6c local
group -yR3Iroup usm local
ASe asigna miredlocal al grupo de so)o )e&$.r#
group -yR/Iroup v1 miredlocal
group -yR/Iroup v6c miredlocal
group -yR/Iroup usm miredlocal
S*.3.+.3. 'amas permitidas.
Se especfcan as ramas que se van a permtr ver a travs de servco. Lo ms comn, para, por
e|empo, utzarse con :'@?, es o sguente:
AA name incl/excl subtree mask(optional)
vie all included @1 5$
S*.3.+.4. Asignacin de permisos a los grupos.
Se debe especfcar que permsos tendrn os dos grupos, :y'0?roup y :y'b?roup. Son de
especa nters as tmas coumnas.
AA group context sec@model sec@level pre"ix read rite noti"
access -yR/Iroup ++ any noauth exact all none none
access -yR3Iroup ++ any noauth exact all all all
S*.3.+.5. <ar;metros de car;cter in&ormativo.
Se defnen dos parmetros de carcter nformatvo para que cuando utcen apcacones cente
como :'@? se ncuya ago de nformacn acerca de que sstema se est accedendo.
syslocation Servidor 1inux en S>!S&R'(%/R@algun!dominio@net
syscontact 4dministrador ("ulanoXalgun!dominio@net)
670
S*.3.*. ,n e.emplo &uncional de con&iguracin.
E e|empo que mostramos a contnuacn se utza en todas os equpos que posee e autor en
casa y en a ofcna. Soo hay que reempazar e vaor redlocal por o que uno consdere apropado
y reempazar e vaor +S*.+69.+.O=*4 por e vaor de la red o a dreccn IP desde donde se
requera acceder con un cente snmp, como :'@?.
A 1istas de control de acceso (4)1)
AA sec@name source community (alias clave de acceso)
com6sec local 167@$@$@1/?6 )l4v?!d?!4cc?s$
com6sec miredlocal 186@165@1@$/64 )l4v?!d?!4cc?s$
ASe asigna 4)1 al grupo de lectura escritura
group -yR3Iroup v1 local
group -yR3Iroup v6c local
group -yR3Iroup usm local
ASe asigna 4)1 al grupo de solo lectura
group -yR/Iroup v1 miredlocal
group -yR/Iroup v6c miredlocal
group -yR/Iroup usm miredlocal
A Ramas -(: Jue se permiten ver
AA name incl/excl subtree mask(optional)
vie all included @1 5$
A &stablece permisos de lectura y escritura
AA group context sec@model sec@level pre"ix read rite noti"
access -yR3Iroup ++ any noauth exact all all all
A (n"ormaciRn de )ontacto del Sistema
syslocation Servidor 1inux en m$64@alcancelibre@org
syscontact 4dministrador ("ulanoXalgun!dominio@net)
S es necesaro aadr ms equpos para que accedan a servco snmpd, soo hay que hacer o
sguente:
Agregar una ACL con un nombre nco. E|empo:
com6sec 9%&.e*# 186@165@1@691 )l4v?!d?!4cc?s$
Agregar un |uego regas que asgnen a grupo, en este caso micueva, con o sguente:
group o$ror.'o v1 local
group o$ror.'o v6c local
group o$ror.'o usm local
Agregar una nea donde se estabece que permsos tendr e grupo otrogrupo. En este e|empo,
va a ser de soo ectura:
S*.3.3. %niciarF detener y reiniciar el servicio snmpd.
Para e|ecutar por prmera vez e servco snmpd, utce:
671
service snmpd start
service snmpd restart
Para detener e servco snmpd utce:
service snmpd stop
S*.3.4. Agregar el servicio snmpd al arran#ue del sistema.
Para hacer que e servco de snmpd est actvo con e sguente nco de sstema, en todos os
chkcon"ig snmpd on
S*.4. Compro!aciones.
Consderando, como e.emplo, que sea sgn como cave de acceso Cl4v3(d3(Acc3sO en un
sstema cuya dreccn IP es +S*.+69.+.*54, para probar s a confguracn funcona, soo hay
que e|ecutar os dos sguente mandatos a fn verfcar que devuevan nformacn acerca de
sstema consutado.
snmpalk !v 1 4<2.438.4.25E !c C)E*3--3-A&&3s/ system
snmpalk !v 1 4<2.438.4.25E !c C)E*3--3-A&&3s/ inter"aces
S*.5. :odi&icaciones necesarias en el muro corta&uegos.
os puerto 161 y 162 por UDP (>):< y >):<@'A<, respectvamente).
Las regas para e archvo =etc=s$orePall=rules de >$orePall en un sstema con una zona (net),
correspondera a o sguente:
A4)0(/, S/>R)& %&S0 <R/0/ %&S0 S/>R)&
A </R0 </R0(S)1
4))&<0 net " udp 161B166
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
Las regas para e archvo =etc=s$orePall=rules de >$orePall en un sstema con dos zonas (net y
loc), donde soo se va a permtr e acceso a servco snmpd desde a red oca, correspondera a
o sguente:
A4)0(/, S/>R)& %&S0 <R/0/ %&S0 S/>R)&
A </R0 </R0(S)1
4))&<0 loc " udp 161B166
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
672
S3. Cmo con&igurar :'@?.
S3.+. %ntroduccin.
S3.+.+. Acerca de :'@?.
:'@? (:ut 'outer @raffc ?rapher) es una herramenta, escrta en C y Per por Tobas Oetker y
Dave Rand, que se utza para supervsar a carga de trfco de nterfaces de red. :'@? genera
os resutados en archvos HTML con grfcos, que proveen una representacn vsua de este
trfco.
:'@? utza >):< (>mpe )etwork :anagement <rotoco o Protocoo Smpe de admnstracn
de red) para recoectar os datos de trfco de un determnado dspostvo (dspostvos
encamnamento o servdores), por tanto es requsto contar con a menos un sstema a supervsar
con >):< funconando, y con dcho servco correctamente confgurado.
S3.*. "#uipamiento lgico necesario.
S3.*.+. %nstalacin a travs de yum.
yum !y install mrtg
S3.*.*. %nstalacin a travs de up*date.
up6date !i mrtg
S3.3. <rocedimientos
reaes:
C4v3-d3-Acc3s0: Cuaquer cave de acceso o sufcentemente buena.
192.168.1.1: Dreccn IP de servdor.
673
192.168.1.2, 192.168.1.3, 192.168.1.4: Dreccones IP de otros servdores que estn
confgurados con SNMP y se quera supervsa con MRTG.
Accedendo a sstema como e usuaro root, se debe generar e drectoro de traba|o de MRTG de
sguente modo:
mkdir !p /var//mrtg/miredlocal
Debe respadarse e archvo de confguracn predetermnado, con e fn de poder restauraro en e
futuro s fuese necesaro:
cp /etc/mrtg/mrtg@c"g /etc/mrtg/mrtg@c"g!/1%
Para generar el arc$ivo de confguracn para supervsar una soa dreccn IP, utilice el
siguiente mandato, donde Cl4v3(d3(Acc3sO es a cave de acceso defnda en a confguracn
de >):< de sstema nvoucrado:
c"gmaker O
!!global +orkdir# /var//mrtg/miredlocal+ O
!!global +/ptionsD.E# bitsBgroright+ O
!!output /etc/mrtg/mrtg@c"g O
C)E*3--3-A&&3s/X186@165@1@1
Para generar el arc$ivo de confguracn para supervsar varas dreccones IP, utilice el
siguiente mandato, donde Cl4v3(d3(Acc3sO es a cave de acceso s esta fue defnda as en a
confguracn de >):< de todos os sstemas nvoucrados:
c"gmaker O
!!global +orkdir# /var//mrtg/miredlocal+ O
!!global +/ptionsD.E# bitsBgroright+ O
!!output /etc/mrtg/mrtg@c"g O
!!community*C)E*3--3-A&&3s/ O
186@165@1@1 O
186@165@1@6 O
186@165@1@? O
186@165@1@4
S3.4. Compro!aciones
E paquete de :'@? ncuye un gun para crond, e cua se nstaa en a ruta =etc=cron.d=mrtg,
de modo que ste e|ecute :'@?, de forma autom;tica, cada 5 mnutos. S se quere comprobar
a confguracn soo es necesaro esperar agunos mnutos y consutar os resutados. S se quere
generar un reporte a momento, utce e mandato mrtg de sguente modo:
env 14,I*) mrtg /etc/mrtg/mrtg@c"g
Se debe rencar e servco $ttpd (Apache) a fn de cargar a confguracn necesara y
especfcada en e archvo =etc=$ttpd=con&.d=mrtg.con&, a que permtr acceder haca os
reportes de :'@? a travs de nterfaz por protocoo $ttp.
674
Se pueden observaros resutados con cuaquer navegador grfco examnando e drectoro
=var=PPP=mrtg=miredlocal de dsco duro, o ben accedendo a travs de haca
ttp)**:HU.8.8.:*mrtg*miredlocal*%23.%45.%.%KH.tml, consderando, como e.emplo, que se
desea observar e reporte de e sstema con a dreccn IP 192.168.1.1.
675
S4. Cmo con&igurar Freeradius con :y>B en
Cent0> 5.
S4.+. %ntroduccin.
S4.+.+. Acerca de 'AD%,>.
'AD%,> ('emote Authentcaton Da-%n ,ser >ervce) es un protocoo de autentcacn,
autorzacn y mane|o de cuentas de usuaro orgnamente desarroado por Lvngston Enterprses
y pubcado en 1997 como os RFC 2058 y 2059. Es utzado para admnstrar e acceso remoto y a
movdad IP, como ocurre en servcos de acceso por modem, DSL, servcos nambrcos 802.11 o
servcos de Go%< (Goce over %< o Voz sobre IP). Este protocoo traba|a a travs de puerto 1812
por UDP.
La autentcacn gestonada por este protocoo se reaza a travs de ngreso de un nombre de
usuaro y una cave de acceso. Esta nformacn es procesada por un dspostvo )A> ()etwork
Access >erver) a travs de <<< (<ont-to-<ont <rotoco o Protocoo Punto-a-Punto) sendo
posterormente vadada por un servdor 'AD%,> a travs de protocoo correspondente
vandose de dversos esquemas de autentcacn, como <A< (<assword Authentcaton <rotoco
o Protocoo de Autentcacn de Cave de acceso), CEA< (Chaenge-Eandshake Authentcaton
<rotoco) o "A< ("xtensbe Authentcaton <rotoco), y permtendo e acceso a sstema.
URL: http://toos.etf.org/htm/rfc2058 y http://toos.etf.org/htm/rfc2059
S4.+.*. Acerca de Freeradius.
Freeradius, proyecto ncado en 1999 por Aan DeKok y Mque van Smoorenburg (quen coabor
anterormente en e desarroo de Cstron RADIUS), es una aternatva bre haca otros servdores
RADIUS, sendo uno de os ms competos y verstes gracas a a varedad de mduos que e
componenen. Puede operar tanto en sstemas con recursos mtados as como sstemas
atendendo mones de usuaros.
Freeradius nc como un proyecto de servdor RADIUS que permtera una mayor coaboracn
de a comundad y que pudera cubrr as necesdades que otros servdores RADIUS no podan.
Actuamente ncuye soporte para LDAP, SOL y otras bases de datos, as como EAP, EAP-TTLS y
PEAP. Actuamente ncuye soporte para todos os protocoos comunes de autentcacn y bases de
datos.
URL: http://www.freeradus.org/
676
S4.+.3. Acerca de Daloradius.
Daloradius es una avanzada apcacn HTTP que srve de sstema de admnstracn para
RADIUS, y est dseada para ser utzada para admnstrar otspots (puntos calientes, es decr
zona de cobertura W-F, en e que un punto de acceso o varos proveen servcos de red a travs
de un Proveedor de Servcos de Internet Inambrco o WISP) y uso genera para a autentcacn
de Proveedores de Acceso a Internet (ISP). Incuye gestn de usuaros, reportes grfcos,
contabdad, motor de cobranza e ntegracn con GoogeMaps para Geoocazacn.
URL: http://daoradus.com/.
S4.*. <rocedimientos.
Instae os paquetes necesaros:
yum !y install "reeradius6 "reeradius6!mysJl "reeradius6!utils
yum !y install mysJl mysJl!server
Generar os certfcados predetermnados e|ecutando e mandato radiusd con a opcn (D:
radiusd !X
Lo anteror ncar e servco radiusd e ncar a generacn de os certfcados. Cuando e
dogo o pda, defnr os datos de pas, estado, nombre de anftrn y cuenta de correo de
admnstrador. A concur pusar C@'(C para termnar e servco y contnuar confguracn.
Ince e servco MySOL:
service mysJld start
Aada e servco MySOL a arranque de sstema:
service mysJld on
Asgne cave de acceso a usuaro root de MySOL:
mysJladmin !uroot passord U16?JeU
Genere una nueva base de datos denomnada radius:
mysJladmin !uroot !p16?Je create radius
Acceda a ntrprete de mandatos de MySOL:
mysJl !uroot !p16?Je
Desgne e usuaro y cava de acceso para acceder a a base de datos recn creada:
677
IR4,0 all /, radius@K 0/ radiusXlocalhost (%&,0(=(&% :; U16?JeUV
Saga de MySOL:
exitV
Utzando e usuaro radius, o e que haya desgnado para utzar a base de datos recn creada,
puebe a base de datos que acaba de crear con os esquemas ncudos con Freeradus:
mysJl !uradius !p16?Je radius a /etc/raddb/sJl/mysJl/cui@sJl
mysJl !uradius !p16?Je radius a /etc/raddb/sJl/mysJl/ippool@sJl
mysJl !uradius !p16?Je radius a /etc/raddb/sJl/mysJl/nas@sJl
mysJl !uradius !p16?Je radius a /etc/raddb/sJl/mysJl/schema@sJl
mysJl !uradius !p16?Je radius a /etc/raddb/sJl/mysJl/imax@sJl
Edte e archvo =etc=radd!=radiusd.con&:
vim /etc/raddb/radiusd@con"
Descomente a nea que dce Z%)C,D" s#l.con&, o cua se ocaza aproxmadamente arededor
de a nea 801:
F(,)1>%& sJl@con"
Edte e archvo =etc=radd!=s#l.con&:
vim /etc/raddb/sJl@con"
Defnr os vaores para acceder a a base de datos, o cua se ocaza aproxmadamente arededor
de a nea 35:
A )onnection in"o#
server * +localhost+
Aport * ??$6
login * +radius+
passord * +16?Je+
Descomente e parmetro readclients con vaor yes, o cua se ocaza aproxmadamente
arededor de a nea 100:
readclients * yes
Edte e archvo =etc=radd!=sites(ena!led=de&ault:
vim /etc/raddb/sites!enabled/de"ault
Descomente en a seccn aut$ori8e, o cua se ocaza aproxmadamente arededor de a nea
159:
678
sJl
Descomentar en a seccn accounting, o cua se ocaza aproxmadamente arededor de a nea
365:
sJl
Reegrese a smboo de sstema y acceda a MySOL para dar de ata un usuaro para probar:
mysJl !uradius !p16?Je radius
Desde e smboo de sstema de MySOL, e|ecute o sguente para dar de ata un usuaro de
pruebas (&ulano) con una cave de acceso (+*3#Pe en e e|empo):
(,S&R0 (,0/ radcheck (usernameB attributeB value) '41>&S (U"ulanoUB U<assordUB
U16?JeU)V
Lo anteror equvae a aadr &ulano Clearte2t(<assPord -R /+*3#Pe/ en e archvo
=etc=radd!=users.
Verfque que e usuaro se do de ata correctamente:
select K "rom radcheck here username*U"ulanoUV
Debe regresar ago smar a os sguente:
N!!!!N!!!!!!!!!!N!!!!!!!!!!!N!!!!N!!!!!!!!N
Z id Z username Z attribute Z op Z value Z
N!!!!N!!!!!!!!!!N!!!!!!!!!!!N!!!!N!!!!!!!!N
Z 6 Z "ulano Z <assord Z ** Z 16?Je Z
N!!!!N!!!!!!!!!!N!!!!!!!!!!!N!!!!N!!!!!!!!N
1 ro in set ($@$$ sec)
Saga de mysq:
exitV
Ince e servco radiusd:
service radiusd start
Aada e servco radiusd a os servcos de arranque de sstema:
chkcon"ig radiusd on
Verfque que e servco puede autentcar a travs de MySOL:
radtest "ulano 16?Je localhost 1516 testing16?
679
Lo anteror debe devover ago smar como o sguente:
Sending 4ccess!ReJuest o" id 666 to 167@$@$@1 port 1516
>ser!,ame * +"ulano+
>ser!<assord * +16?Je+
,4S!(<!4ddress * 167@$@$@1
,4S!<ort * 1516
rad.recv# 4ccess!4ccept packet "rom host 167@$@$@1 port 1516B id*666B length*6$
A partr de este punto, soo podr autentcar usuaros de manera oca. Para poder conectar e
punto de acceso haca e servdor Freeradus, vueva a conectarse MySOL:
mysJl !uradius !p16?Je radius
E|ecute o sguente, defnendo a dreccn IP de punto de acceso, nombre corto, tpo de NAS
(ot$er, cisco, livingston, computon, ma24O22, multitec$, natserver, pat$ras, patton,
portslave, tc o usr$iper). S utza un pnto de acceso casero, defna e tpo ot$er.
(,S&R0 (,0/ nas (nasnameB shortnameB typeB secret) '41>&S (U4<2.438./.4UB UM%-
R.$e#-orUB Uo$herUB U423,?eU)V
Para verfcar, e|ecute desde e smboo de sstema de MySOL o sguente:
select K "rom nas here shortname*U-i!RuteadorUV
Lo anteror debe regresar ago smar a o sguente::
N!!!!N!!!!!!!!!!!!!!!N!!!!!!!!!!!N!!!!!!!N!!!!!!!N!!!!!!!!N!!!!!!!!!!!N!!!!!!!!!!!!!!!N
Z id Z nasname Z shortname Z type Z ports Z secret Z community Z description Z
N!!!!N!!!!!!!!!!!!!!!N!!!!!!!!!!!N!!!!!!!N!!!!!!!N!!!!!!!!N!!!!!!!!!!!N!!!!!!!!!!!!!!!N
Z ? Z 186@165@$@1 Z 3R094I Z other Z ,>11 Z 16?Je Z ,>11 Z R4%(>S )lient Z
N!!!!N!!!!!!!!!!!!!!!N!!!!!!!!!!!N!!!!!!!N!!!!!!!N!!!!!!!!N!!!!!!!!!!!N!!!!!!!!!!!!!!!N
1 ro in set ($@$$ sec)
Lo anteror equvae a edtar e archvo =etc=radd!=clients.con& y aadr a dreccn IP de punto
de acceso, una cave de acceso, nombre corto y tpo de NAS como ot$er.
client 4<2.438./.4 \
secret * &.#),.%er-&)#*e--e-#&&eso
shortname * VRT5EG
nastype * o$her
]
Para que surta efecto e cambo, hay que rencar e servco radiusd:
service radiusd restart
Para aadr otro punto de acceso, soo basta repetr as nea con os datos que correspondan:
(,S&R0 (,0/ nas (nasnameB shortnameB typeB secret) '41>&S (U4<2.438./.25EUB UO$ro-
R.$e#-orUB Uo$herUB U423,?eU)V
680
Para reazar pruebas de conectvdad remota, aada un equpo sguendo e procedmento
anteror, y desde este equpo e|ecute e mandato radtest (ncudo en e paquete &reeradius*(
utils, s se utza CentOS 5 o Red Hat Enterprse Lnux 5, o ben &reeradius(utils, s se utza una
versn recente de Fedora) de a sguente forma, donde 2.2.2.2 corresponde a a dreccn IP de
servdor Freeradus:
radtest "ulano 16?Je C.C.C.C 1516 16?Je
Lo anteror debera devover ago smar a o sguente.
Sending 4ccess!ReJuest o" id 669 to C.C.C.C port 1516
>ser!,ame * +"ulano+
>ser!<assord * +16?Je+
,4S!(<!4ddress * 167@$@$@1
,4S!<ort * 1516
rad.recv# 4ccess!4ccept packet "rom host C.C.C.C port 1516B id*669B length*6$
S4.*.+. %nstalar Daloradius para administracin a travs de E@@<.
Se requere nstaar Apache, PHP y sus gaduras para MySOL, a bboteca GD y Pear-DB:
yum !y install httpd php php!mysJl php!gd php!pear php!pear!%:
Ince e servco $ttpd:
service httpd start
Aada e servco $ttpd a os servcos de arranque de sstema:
chkcon"ig httpd on
Cambe a drectoro =var=PPP=:
cd /var/
Descargue desde sourceforge.net/pro|ects/daoradus e archvo correspondente a a versn ms
recente de Daoradus:
get http#//cdnetorks!us!
1@dl@source"orge@net/proMect/daloradius/daloradius/daloradius!$@8!5/daloradius!$@8!
5@tar@gC
Descomprma e archvo descargado:
tar Cxv" daloradius!$@8!5@tar@gC
Cambe os permsos de todo e contendo de drectoro recn descomprmdo para que
pertenezcan a usuaro y grupo apac$e:
chon !R apache#apache daloradius!$@8!5
681
Cambe a drectoro daloradius(O.S(9:
cd daloradius!$@8!5
cargue as tabas de Daloradius en a base de datos utzada por Freeradus.
mysJl !uradius !p16?Je a contrib/db/mysJl!daloradius@sJl
Edte e archvo li!rary=daloradius.con&.p$p:
vim library/daloradius@con"@php
Edte os vaores correspondentes a os necesaros para a conexn aa base de datos utzada por
Freeradus.
Fcon"ig'aluesDU)/,=(I.%:.2/S0UE * U167@$@$@1UV
Fcon"ig'aluesDU)/,=(I.%:.>S&RUE * UradiusUV
Fcon"ig'aluesDU)/,=(I.%:.<4SSUE * U16?JeUV
Fcon"ig'aluesDU)/,=(I.%:.,4-&UE * UradiusUV
Genere un nuevo archvo denomnado =etc=$ttpd=con&.d=daloradius.con&:
vim /etc/httpd/con"@d/daloradius@con"
Aada e sguente contendo, donde 2.2.2.2 (e|empo: 192.168.0.2) corresponde a a dreccn IP
de sstema desde e cua se reazar a admnstracn remota de Daloradius:
4lias /daloradius +/var//daloradius!$@8!5/+
/ptions ,one
order denyBallo
deny "rom all
allo "rom 167@$@$@1
allo "rom x@x@x@x
Acceda con cuaquer navegador moderno haca ttp)**direci/n6ip6servidor*radius*. Ingrese con e
usuaro Administrator y a cave de acceso radius. Desde esta nterfaz podr aadr y
admnstrar as cuentas de usuaros y admnstrar y aadr os puntos de acceso.
S4.3. Bi!liogra&a.
Settng Up A FreeRadus Based AAA Server Wth MySOL & Management Wth Daoradus.
Wkpeda.
682
S5. Cmo instalar Java +.6 en Cent0> 5.
S5.+. %ntroduccin.
De modo predetermnado, Cent0> 5 y 'ed Eath "nterprise inu2 5 ncuyen a versn 1.4.2 y
1.6.0 de 0penJDK, es a versn bre de a pataforma de desarroo |ava, que actuamente
pertenece a Orace, dstrbuda ba|o os trmnos de a cenca GNU/GPLv2. Sn embargo, agunos
desarroos, sobre todo apcacones comercaes para Apac$e @omcat, pueden requerr utzar
una versn dstnta de |ava. Este documento expca como nstaar JDK +.6.O, a mpementacn
|ava comerca y prvatva de 0racle, en Cent0> 5 y 'ed Eath "nterprise inu2 5.
S5.*. %nstalacin del e#uipamiento lgico necesario.
S5.*.+. %nstalacin a travs de yum.
S utza Cent0> 5 o Red Hat Enterprse Lnux 5, necesta reazar o sguente para nstaar o
actuazar os paquetes necesaros:
yum !y install rpm!build gcc gcc!cNN redhat!rpm!con"ig automake autocon"
yum !y install xorg!x11!"ont!utils chk"ontpath ttmk"dir
S5.3. <rocedimientos.
S5.3.+. Creacin de usuario para utili8ar rpm!uild.
Es poco convenente y representa un ato rego utzar rpmbud como root. Por o tanto es
recomendabe crear una cuenta de usuaro destnada excusvamente a utzar e mandato
rpm!uild.
su ! root
useradd rpmbuilduser
passd rpmbuilduser
S5.3.*. Creacin de estructura de directorios para rpm!uild.
A fn de poder traba|ar cmodamente, se crear como usuaro un con|uto de drectoros que sern
utzados para crear paquetera RPM.
su ! rpmbuilduser
mkdir !p Y/rpmbuild/\S/>R)&SBSR<-SBS<&)SBR<-SB0-<B:>(1%]
683
Utzando vi, o cuaquer otro edtor detexto, confgure e archvo Y=.rpmmacros con e sguente
contendo:
T.topdir /home/rpmbuilduser/rpmbuild
T.tmppath T\.topdir]/0-<
T.unpackaged."iles.terminate.build $
Tpackager -i nombre
Tdistribution -i distribuciRn o irea de trabaMo@
Tvendor -i empresa@
Descargar e archvo .ava(+.6.O(sun(+.6.O.+4(+.pp.nosrc.rpm, o ben una versn posteror a a
edcn de este documento, ocazado en $ttp-==mirrors.dotsrc.org=.pacLage=6.O=generic=non(
&ree=>'<:>=.
A contnuacn, se debe descargar |DK de Orace, Inc. desde
www.orace.com/technetwork/|ava/|avase/downoads/ndex.htm (|dk-6u14-nux es a versn ms
recente soportada por |akarta)
S utza una arqutrectura x86, debe hacer e|ecutabe e archvo descargado utzando e
sguente mandato:
chmod Nx Mdk!6u14!linux!i956@bin
Y mover ste tmo dentro de Y=rpm!uild=>0,'C">=
mv Mdk!6u14!linux!i956@bin Y/rpmbuild/S/>R)&S/
S utza una arqutrectura x86_64, debe hacer e|ecutabe e archvo descargado utzando e
sguente mandato:
chmod Nx Mdk!6u14!linux!x64@bin
Y mover ste tmo dentro de Y=rpm!uild=>0,'C">=
mv Mdk!6u14!linux!x64@bin Y/rpmbuild/S/>R)&S/
Reconstrur e paquete .ava(+.6.O(sun(+.6.O.+4(+.pp.nosrc.rpm para generar os paquetges de
|ava 1.6.
rpmbuild !!rebuild Mava!1@6@$!sun!1@6@$@14!1Mpp@nosrc@rpm
S utza una arqutectura x86, o anteror generar os sguentes paquetes dentro de drectoro
Y=rpm!uild='<:>=i596=:
|ava-1.6.0-sun-1.6.0.14-1|pp.586.rpm
|ava-1.6.0-sun-asa-1.6.0.14-1|pp.586.rpm
|ava-1.6.0-sun-demo-1.6.0.14-1|pp.586.rpm
|ava-1.6.0-sun-deve-1.6.0.14-1|pp.586.rpm
|ava-1.6.0-sun-fonts-1.6.0.14-1|pp.586.rpm
|ava-1.6.0-sun-|dbc-1.6.0.14-1|pp.586.rpm
|ava-1.6.0-sun-pugn-1.6.0.14-1|pp.586.rpm
684
|ava-1.6.0-sun-src-1.6.0.14-1|pp.586.rpm
Para nstaar, cambarse a drectoro Y=rpm!uild='<:>=i596= e nstaar soo a paquetera
requerda. E|empo:
cd Y/rpmbuild/R<-S/i956/
su
rpm !>vh Mava!1@6@$!sun!1@6@$@14!1Mpp@i956@rpm Mava!1@6@$!sun!alsa!1@6@$@14!
1Mpp@i956@rpm Mava!1@6@$!sun!"onts!1@6@$@14!1Mpp@i956@rpm Mava!1@6@$!sun!plugin!
1@6@$@14!1Mpp@i956@rpm
exit
S utza una arqutectura x86_64, o anteror generar os sguentes paquetes dentro de
drectoro Y=rpm!uild='<:>=296Q64=:
|ava-1.6.0-sun-1.6.0.14-1|pp.x86_64.rpm
|ava-1.6.0-sun-asa-1.6.0.14-1|pp.x86_64.rpm
|ava-1.6.0-sun-demo-1.6.0.14-1|pp.x86_64.rpm
|ava-1.6.0-sun-deve-1.6.0.14-1|pp.x86_64.rpm
|ava-1.6.0-sun-fonts-1.6.0.14-1|pp.x86_64.rpm
|ava-1.6.0-sun-|dbc-1.6.0.14-1|pp.x86_64.rpm
|ava-1.6.0-sun-pugn-1.6.0.14-1|pp.x86_64.rpm
|ava-1.6.0-sun-src-1.6.0.14-1|pp.x86_64.rpm
Para nstaar, cambarse a drectoro Y=rpm!uild='<:>=296Q64= e nstaar soo a paquetera
requerda. E|empo:
cd Y/rpmbuild/R<-S/x56.64/
su
rpm !>vh Mava!1@6@$!sun!1@6@$@14!1Mpp@x56.64@rpm Mava!1@6@$!sun!alsa!1@6@$@14!
1Mpp@x56.64@rpm Mava!1@6@$!sun!"onts!1@6@$@14!1Mpp@x56.64@rpm Mava!1@6@$!sun!plugin!
1@6@$@14!1Mpp@x56.64@rpm
exit
De modo predetermnado, e sstema utza a versn 1.4.2 de GNU.org.Se puede defnr desde a
termna que versn de |ava utzar a travs demandato alternatives con a opcn ((con&ig
.ava.
/usr/sbin/alternatives !!con"ig Mava
Lo anteror devueve una sada smar a a sguente:
2ay 6 programas Jue proporcionan UMavaU@
SelecciRn )omando
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
KN 1 /usr/lib/Mvm/Mre!1@4@6!gcM/bin/Mava
6 /usr/lib/Mvm/Mre!1@6@$!sun/bin/Mava
<resione (ntro para mantener la selecciRn actualDNEB o escriba el
nbmero de la selecciRn#
Seeccone a versn +.6 de de >un :icrosystems pusando a teca de nmero 2 y uego a
teca ")@"'.
685
Para verfcar que a versn de |ava 1.6 ha sdo nstaada correctamente, soo basta e|ecutar e
sguente mandato:
Mava !version
Para fnazar, s e sstema dspone de :o8illa Fire&o2, se puede confgurar e compemento |ava
(Pugn |ava) creando un enace smbco de =usr=li!=.vm=.ava(+.6.O(sun(
+.6.O.+4=.re=li!=\=li!.avapluginQ.ni.so dentro de =usr=li!=mo8illa=plugins= de a sguente
manera:
cd /usr/lib/moCilla/plugins/
ln !s /usr/lib/Mvm/Mava!1@6@$!sun!1@6@$@14/Mre/lib/K/libMavaplugin.Mni@so @/
686
S6. Cmo con&igurar esc;ner en red
condcones sguentes: a) Debe reconocer y ctar a autor orgna. !N )o puede utili8ar esta o!ra para &ines comerciales. c) S atera o
S6.+. %ntroduccin.
S6.+.+. Acerca de >A)".
>A)" (>canner Access )ow "asy) es un A<% (Appcaton <rogrammng %nterface o Interfaz de
Programacn de Apcacones) que proporcona un acceso estandarzado haca cuaquer
dspostvo de captura de mgenes.
Dfere de A<% @bA%), utzado en Mcrosoft Wndows y Mac OS, e cua gestona
smutneamente as nterfaz y as comuncacones con e dspostvo. >A)" est separado dos
partes: programas de cente y controadores de dspostvo. Un controador >A)" soo provee una
nterfaz con e sustento fsco y descrbe un determnado nmero opcones que cada dspostvo
puede utzar. Las opcones, a su vez, especfcan parmetros taes como a resoucn para
captura, tamao de rea a capturar, coores, brantes, contraste, etc. Una de as venta|as de esta
separacn es que es reatvamente fc de mpementar e servco en red, sn consderacones
partcuares tanto en os programas cente como controadores de dspostvos.
URL: http://www.sane-pro|ect.org/
S6.+.*. Acerca de Dsane.
Dsane es un programa cente para >A)". Utza a bboteca >A)" para reazar a comuncacn
con os dspostvos escner.
Dsane tene as sguentes capacdades con as mgenes adqurdas a travs de >A)":
Mostrar a magen capturada en un vsor.
Guardar una magen como archvo.
Hacer una fotocopa.
Crear un documento de mtpes pgnas.
Crear un fax.
Crear un mensa|e de correo eectrnco.
URL: http://www.xsane.org/
687
S6.*. "#uipamiento lgico necesario.
S6.*.+. %nstalacin del servicio saned.
S6.*.+.+. %nstalacin a travs de yum.
yum !y install sane!backends sane!"rontends xinetd
S6.*.+.*. %nstalacin a travs de up*date.
up6date !i sane!backends sane!"rontends xinetd
S6.*.*. %nstalacin del cliente Dsane.
S6.*.*.+. %nstalacin a travs de yum.
yum !y sane!backends sane!"rontends xsane!gimp xsane sane!"rontends
S6.*.*.*. %nstalacin a travs de up*date.
up6date !i sane!backends sane!"rontends xsane!gimp xsane sane!"rontends
S6.3. <rocedimientos
S6.3.+. Con&iguracin del servicio saned.
Se debe verfcar que en e archvo =etc=sane.d=dll.con& est habtada a nea correspondente a
controador para escner a travs de red, es decr net.
A enable the next line i" you ant to allo access through the netork#
net
Se aade en e archvo =etc=sane.d=saned.con& a sta de dreccones IP que tendrn permtdo
conectarse a servco saned para escner en red. En e sguente e|empo se permte e acceso a
as dreccones IP 192.168.1.254, 192.168.1.253, 192.168.1.252, 192.168.1.251 y 192.168.1.250:
A
688
A saned@con"
A
A 0he contents o" the saned@con" "ile is a list o" host
A names or (< addresses that are permitted by saned to
A use local S4,& devices in a netorked con"iguration@
A 0he hostname matching is not case!sensitive@
A
Ascan!client@somedomain@"irm
A186@165@$@1
186@165@1@694
186@165@1@69?
186@165@1@696
186@165@1@691
186@165@1@69$
Con a fnadad de que as dversas apcacones y servcos puedan proporconar una dentfcacn
para e servco, se edta e archvo =etc=services y se aade a sguente nea, donde 6566
corresponde a puerto correspondente a servco saned:
saned 6966/tcp saned A S4,& netork scanner daemon@
Debe crearse e archvo =etc=2inetd.d=saned con e sguente contendo, a fn de que e acceso a
servco sea gestonado sobre demanda a travs de e servco 2inetd:
service saned
\
socket.type * stream
server * /usr/sbin/saned
protocol * tcp
user * root
group * root
ait * no
disable * no
]
Una vez hecho todo o anteror, se especfca a actvacn de servco saned con e mandato
c$Lcon&ig, e cua a su vez notfcar a e servco 2inetd que nce automtcamente este a
recbr cuaquer petcn en e puerto 6566 de sstema:
chkcon"ig saned on
S todo ha do ben, se puede comprobar e funconamento de servco utzando e mandato
telnet drgdo haca e puerto 6566 de retorno de sstema.
telnet localhost 6966
Lo anteror debe devover ago como o sguente:
0rying 167@$@$@1@@@
)onnected to localhost@
Para sar de ntrprete de mandato telnet, soo se debe ngresar Juit y pusar a teca ENTER.
689
S6.3.*. Con&iguracin del cliente Dsane.
Se debe especfcar en e archvo =etc=sane.d=net.con& de os equpos cente con Dsane a
dreccn IP de servdor recn confgurado. En e sguente e|empo. se especfca que e servco
saned est en e sstema con dreccn IP 192.168.1.1:
A 0his is the net con"ig "ile@ &ach line names a host to attach to@
A (" you list +localhost+ then your backends can be accessed either
A directly or through the net backend@ Ioing through the net backend
A may be necessary to access devices that need special privileges@
186@165@1@1
Una vez hecho o anteror, a utzar Dsane en os centes, estos debern detectar
automtcamente e escner en e servdor 192.168.1.1. Es mportante recordar que soo se puede
acceder haca e escner con un soo cente por vez.
690
S7. Cmo con&igurar un servidor de respaldos
con BacLup<C.
S7.+. %ntroduccin.
BackupPC es un sstema de respados y restauracn para entornos Unx/Lnux y MS Wndows,
basado sobre Per y con una nterfaz HTTP potente y reatvamente senca para su admnstracn.
BackupPC funcona a travs de os protocoos SMB y SSH+rsync.
Resuta una soucn menos robusta que Bacula, pero defntvamente es mucho ms senca y
fc de admnstrar, confgurar y mantener.
La versn estabe ms recente de BacLup<C es a 3.1.0, y es a recomendada para sstemas en
produccn.
,'. http://backuppc.sourceforge.net/.
S7.*. %nstalacin del e#uipamiento lgico necesario.
Fedora 9 en adeante ncuye e paquete BacLup<C en sus depstos YUM, por o que soo es
necesaro nstaaro desde a termna a travs de mandato yum. E sguente procedmento soo
es necesaro para Cent0> 5 y 'ed Eat "nterprise inu2 5, para 32bt o 64bt.
S7.*.+. %nstalacin en Cent0> 5.
Como e usuaro root, desde una termna, crear e archvo /etc=yum.repos.d=A(>erver.repo,
utzando cuaquer edtor de texto. En e sguente e|empo se utza vi.
vi /etc/yum@repos@d/41!Server@repo
Aadr a este nuevo arc$ivo e sguente contendo:
D41!ServerE
gpgcheck*1
Importar a frma dgta de Alcance i!re e|ecutando o sguente desde a termna:
691
Instaar e equpamento gco (soft(are) necesaro, que consste en os paquetes RPM de
BackupPC, Apache, mod_per y samba-cent:
yum !y install :ackup<) httpd mod.perl samba!client
Lo anteror crear automtcamente e usuaro !acLuppc e nstaar os archvos necesaros con
os permsos correspondentes.
S7.3. <rocedimientos.
S7.3.+. Con&iguracin de Apac$e.
S es a prmera vez que se nca e servco $ttpd (Apache), ncar ste y agregaro a os servcos
de arranque de sstema:
/sbin/service httpd start
/sbin/chkcon"ig httpd on
S e servco $ttpd ya estaba funconado antes de os procedmentos descrtos en este
documento, rencar ste:
/sbin/service httpd restart
La nstaacn de e paquete BacLup<C ncuye e archvo /etc=$ttpd=con&.d=BacLup<C.con&.
Este vene confgurado para soo permtr conexones haca a herramenta de admnstracn de
BacLup<C desde a nterfaz de retorno de sstema (loopbac', 127.0.0.1). Convene edtar este
archvo y defnr que se permta e acceso a otros equpos a fn de permtr a admnstracn
remota de BacLup<C. aada |usto despus de alloP &rom +*7.O.O.+ a dreccn IP de equpo
desde e cua se reazar a admnstracn de BackupPC, o ben a red y mscara de subred (en
formato de bts) correspondente. En e sguente e|empo, se permtr e acceso desde cuaquer
equpo en 192.168.1.0/24:
a%irectory /usr/share/:ackup<)/sbin/L
A :ackup<) reJuires valid authentication in order "or the eb inter"ace to
A "unction properly@ /ne can vie the eb inter"ace ithout authentication
A though all "unctionality is disabled@
A
A htpassd !c /etc/:ackup<)/apache@users yourusername
A
order denyBallo
deny "rom all
allo "rom 167@$@$@1 186@165@1@$/64
4uth0ype :asic
4uth>ser=ile /etc/:ackup<)/apache@users
4uth,ame +:ackup<)
reJuire valid!user
a/%irectoryL
692
4lias /:ackup<)/images /usr/share/:ackup<)/html/
Script4lias /:ackup<) /usr/share/:ackup<)/sbin/:ackup<).4dmin
Recargue a confguracn en e servco $ttpd, a fn de que surtan efecto os cambos:
/sbin/service httpd reload
S7.3.*. Con&iguracin de BacLup<C.
Se deben asgnar os contextos correspondentes para SELnux a fn de que ste permta operar
normamente a BacLup<C:
chcon !R !t httpd.sys.content.t /etc/:ackup<)
chcon !R !t httpd.sys.script.r.t /etc/:ackup<)/pc
Antes de ncar e servco, es mportante crear un usuaro admnstrador para a nterfaz HTTP.
Utce e mandato $tpassPd para cerrar e archvo /etc/BackupPC/apache.users y crear un usuaro
vrtua que reazar as funcones de admnstrador. En e sguente e|empo, se crear e
archvo /etc=BacLup<C=apac$e.users y e usuaro denomnado administrador:
htpassd !c /etc/:ackup<)/apache@users administrador
Lo anteror devover un dogo para asgnar a cave de acceso para e usuaro denomnado
administrador, msma que deber confrmar para contnuar.
Utzando cuaquer edtor de texto, modfque e archvo /etc=BacLup<C=con&ig.pl:
vim /etc/:ackup<)/con"ig@pl
De este archvo soo es necesaro ocazar y modfcar os sguentes parmetros:
$Con&d>erverEostg: Se ocaza en a nea 44 de archvo /etc=BacLup<C=con&ig.pl.
Srve para defnr e nombre de anftrn (ostname) de sstema.
$Con&dCgiAdmin,sersg: Se ocaza en a nea 1918 de
archvo /etc=BacLup<C=con&ig.pl. Srve para defnr e usuaro admnstrador.
$Con&dCgi,'g: Se ocaza en a nea 1923 de archvo /etc=BacLup<C=con&ig.pl. Srve
para defnr e URL de a herramenta de admnstracn.
$Con&danguageg: Se ocaza en a nea 1934 de archvo /etc=BacLup<C=con&ig.pl.
Srve para defnr e doma a utzar en a nterfaz de a herramenta de admnstracn.
Consderando como e|empo que e servdor tene una dreccn IP 192.168.1.1, que hay un DNS en
a red oca que resueve esta dreccn IP con e nombre servidor.redlocal.net, y que se va a
utzar e doma espao para a nterfaz HTTP de a herramenta de admnstracn, estabezca os
sguentes vaores para os parmetros menconados arrba:
F)on"\Server2ost] * servidor@redlocal@net
F)on"\)gi4dmin>sers] * administrador
693
F)on"\)gi>R1] * http#//servidor@redlocal@net/:ackup<)
F)on"\1anguage] * es
S se carece en a red oca de un servdor DNS que resueva e nombre servidor.redlocal.net,
puede estabecerse e vaor de parmetro $Con&dCgi,'g como ttp)**direcci/n6ip6
servidor*Bac'upF#. En e sguente e|empo, consderando como e|empo que e servdor tene una
dreccn IP 192.168.1.1, se puede utzar o sguente:
F)on"\Server2ost] * servidor@redlocal@net
F)on"\)gi4dmin>sers] * administrador
F)on"\)gi>R1] * http#//186@165@1@1/:ackup<)
F)on"\1anguage] * es
Incar y agregar a os servcos de arranque de sstema a servco !acLuppc:
/sbin/service backuppc start
/sbin/chkcon"ig backuppc on
Ingresar con cuaquer navegador haca ttp)**servidor.redlocal.net*Bac'upF#, o ben
ttp)**:YH.:VT.:.:*Bac'upF#, y autentcar como e usuaro administrador. Hacer cc en "dit
$osts (Edtar anftrones) e ngresar agunas dreccones IP de equpos GNU/Lnux o Wndows a
respadar.
Aadendo anftrones para respadar en BackupPC.
S7.3.3. Con&iguracin de los sistemas ?),=inu2 a respaldar.
Desde a nterfaz de admnstracn de BacLup<C, edte a confguracn de anftrn remoto con
GNU/Lnux a respadar y confrme que se ha defndo como mtodo rsync. Defna tambn e
drectoro a respadar en e equpo remoto.
694
Confgurando anftrn GNU/Lnux para respadar en BackupPC.
Los respados se reazan a travs de e mandato rsync en combnacn con e mandato ss$. Para
poder reazar cuaquer operacn es necesaro generar una frma dgta (idQdsa.pu!), sin clave
de acceso, para e usuaro !acLuppc de servdor que hospeda BacLup<C, a cua se copa en a
cuenta de usuaro root de equpo remoto a respadar, en e archvo -/.ss$=aut$ori8edQLeys,
archvo que deber tener permsos de soo ectura para e usuaro propetaro.
Cambe a usuaro !acLuppc especfcando /!in=!as$ como ntrprete de mandatos.
su !s /bin/bash !l backuppc
Genere e drectoro -/.ss$, con permsos de acceso excusvos para e usuaro:
mkdr -m 0700 -/.ssh/
Genere a frma dgta utzando e sguente mandato:
ssh!keygen !t dsa
Cuando se socte una cave de acceso, smpemente pusar a teca ")@'A' (,?T,A) sn ngresar
dato aguno.
Un e|empo de a sada de o anteror sera como a sguente:
Ienerating public/private dsa key pair@
&nter "ile in hich to save the key (/home/usuario/@ssh/id.dsa)#
&nter passphrase (empty "or no passphrase)#
&nter same passphrase again#
;our identi"ication has been saved in /home/usuario/@ssh/id.dsa@
;our public key has been saved in /home/usuario/@ssh/id.dsa@pub@
0he key "ingerprint is#
6c#7?#?$#"e#96#61#a9#56#75#48#97#cd#?7#a"#?6#d" usuarioXcliente
695
Camba os permsos de todos os archvos recn creados a soo ectura y escrtura para root:
chmod 6$$ Y/@ssh/\id.dsaBid.dsa@pub]
Crear en a cuenta de usuaro root de equpo remoto a respadar e drectoro -/.ss$ y e archvo
-/.ss$=aut$ori8edQLeys, con premsos de soo ectura y escrtura para root.
ssh rootXeJuipo mkdir !m $7$$ Y/@ssh
ssh rootXeJuipo touch Y/@ssh/authoriCed.keys
ssh rootXeJuipo chmod 6$$ Y/@ssh/authoriCed.keys
Copar e contendo de -/.ss$=idQdsa.pu! dentro de archvo -/.ss$=aut$ori8edQLeys de a
cuenta de usuaro root de equpo a respadar:
cat Y/@ssh/id.dsa@pub Z ssh rootXeJuipo +cat LL Y/@ssh/authoriCed.keys+
A partr de este punto, soo bastar seecconar a equpo remoto a respadar desde a nterfaz de
admnstracn de BackupPC e ncar un prmer respado hacendo cc en e botn Comen8ar
copia de seguridad completa.
S7.3.4. Con&iguracin de los sistemas bindoPs a respaldar.
E mtodo ms smpe es reazar os respados de BacLup<C a travs de e protocoo SMB.
Ingresar a Wndows como admnstrador y confgurar e sstema para compartr carpetas e
mpresoras. A termnar, compartr a carpeta a respadar o ben e dsco duro competo (C-).
Desde a nterfaz de admnstracn de BacLup<C, edte a confguracn de anftrn remoto con
Wndows a respadar y defna como mtodo sm!. Defna tambn e nombre de recurso
compartdo a respadar en e equpo remoto y e nombre de usuaro y cave de acceso de
admnstrador de equpo Wndows remoto.
Confgurando anftrn Wndows para respadar en BackupPC.
696
A partr de este punto, soo bastar seecconar a equpo remoto a respadar desde a nterfaz de
admnstracn de BackupPC e ncar un prmer respado hacendo cc en e botn Comen8ar
copia de seguridad completa.
E procedmento resumdo de respado de carpeta compartda desde Wndows, sera e sguente.
Prmeramente, comparta desde Wndows cuaquer carpeta. Defna un usuaro y cave de acceso
para sta.
Acceda con cuaquer navegador haca ttp)**servidor*Bac'upF#* y acceda como e usuaro
admnstrador.
Desde "dit Eosts, aada a dreccn IP de equpo a respadar, y defna un usuaro. A termnar,
haga cc sobre e botn >ave que se ocaza en a parte superor de a pgna.
Especfque e protocoo SMB para reazar os respados. Defna e nombre de recurso compartdo
desde Wndows, defna e usuaro y cave de acceso. A termnar, haga cc sobre e botn >ave
que se ocaza en a parte superor de a pgna.
697
Puede defnr a frecuenca de os respados totaes y respados incrementales. De modo
predetermnado e vaor para os respados totaes es cada 7 das, y para os incrementales es cada
da. Se recomenda utzar un vaor geramente nferor a os das. Por e|empo, 6.97 se utza en
ugar de 7 das, y 0.97 se utza en ugar de 1 da. Esto se hace para me|orar a granuardad de
respado. A termnar, haga cc sobre e botn >ave que se ocaza en a parte superor de a
pgna
698
A termnar todo o anteror, puede ncar e prmer respado hacendo cc sobre e botn de
Comen8ar copia de seguridad completa. S ocurren errores, stos sern regstrados y se
mostrar un mensa|e en a pgna prncpa de equpo. Por o genera os errores ms comunes se
deben a nombre de usuaro ncorrecto, cave de acceso ncorrecta o nombre de recurso ncorrecto.
699
700
S9. Cmo con&igurar un racimo MclusterN de alta
disponi!ilidad con Eeart!eat en Cent0> 5.
S9.+. %ntroduccin.
Este documento descrbe os procedmentos de confguracn de un agrupamento (cluster) de
ata dsponbdad utzando Heartbeat.
Se asume que se dspone de dos equpos o mqunas vrtuaes, as cuaes sern os dos nodos de
agrupamento, y tene as sguentes caracterstcas:
)odo +:
Sstema operatvo: CentOS 5.4
Dreccn IP eth0: 192.168.1.101/255.255.255.0, conectado a a LAN o haca Internet, y con e nombre
de anftrn asocado a nombre.pubco.nodo2.com.
Dreccn IP eth1: 192.168.2.1/255.255.255.248, conectado con cabe cruzado o a un swtch o
concentrador dedcado excusvamente para os nodos de agrupamento, o ben nterfaz de Intranet en
VrtuaBox, y con e nombre de anftrn asocado a nombre.prvado.nodo1.com.
"l nom!re del an&itrin Mho#tna*eNF de&inido en el arc$ivo =etc=syscon&ig=netPorLF de!e ser
nom!re.privado.nodo+.com.
)odo *:
Sstema operatvo: CentOS 5.4
Dreccn IP eth0: 192.168.1.102/255.255.255.0, conectado a a LAN o haca Internet, y con e nombre
de anftrn asocado a nombre.pubco.nodo2.com.
Dreccn IP eth1: 192.168.2.2/255.255.255.248, conectado con cabe cruzado o ben haca un s(itc o
concentrador dedcado excusvamente para a comuncacn entre os nodos de agrupamento, o ben
nterfaz de Intranet en VrtuaBox, y con e nombre de anftrn asocado a nombre.prvado.nodo2.com.
"l nom!re del an&itrin Mho#tna*eNF de&inido en el arc$ivo =etc=syscon&ig=netPorLF de!e ser
nom!re.privado.nodo*.com.
Ambos nodos pueden ser dferentes en cuanto a arqutectura, capacdad y componentes.
Ambos nodos formarn un agrupamento (cluster) de ata dsponbdad que responder por a
dreccn IP 192.168.1.100/255.255.255.0, asocada a nombre nombre.pubco.custer.com.
S9.+.+. Acerca de Eeart!eat.
Heartbeat es un servco que provee servcos de nfraestructura de agrupamento (cluster) a
centes. Permte a os centes saber s uno de os nodos est presente o ausente, ntercambado
fcmente mensa|es entre stos. Est especfcamente dseado para funconar como
agrupamento de ata dsponbdad para cuaquer tpo de servco.
>itio de %nternet- http://www.nux-ha.org/
701
S9.*. <rocedimientos.
S9.*.+. >ervicios #ue de!en desactivarse.
En ambos nodos, s estuvesen presentes, deben estar desactivados os servcos ava$i(daemon
y ava$i(dnscon&d, as como cuaquer otro servco que ntente utzar a nterfaz eth1, msma
que debe estar competamente dedcada a as comuncacones de Heartbeat.
service avahi!daemon stop
service avahi!dnscon"d stop
chkcon"ig avahi!daemon o""
chkcon"ig avahi!dnscon"d o""
Es mportante tambn desactvar e cortafuegos predetermnando de sstema en ambos nodos,
debdo a que ste nterfere con a comuncacn entre os nodos de $eart!eat:
service ip6tables stop
chkcon"ig iptables o""
chkcon"ig ip6tables o""
E muro cortafuegos de ambos nodos puede ser fcmente gestonado a travs de >$orePall,
como se expca ms adeante.
S9.*.*. >"inu2 y Eeart!eat.
Lamentabemente, de modo predetermnado a mpementacn de SELnux ncuda en CentOS 5.x
carece de potcas que permtan funconar a servco $eart!eat, a menos que se generen
manuamente as necesaras o ben se ponga SELnux en modo permsvo o se desactve por
competo ste.
S9.*.*.+. Con&iguracin del sistema con >"inu2 activo.
Partcuarmente recomendo crear as potcas necesaras para SELnux. Es reatvamente smpe.
E sguente procedmento deber reazarse en ambos nodos.
Lo prmero es cambarse a drectoro =usr=s$are=selinu2=pacLages.
cd /usr/share/selinux/packages
Se crea un subdrectoro que ser denomnado $eart!eat:
mkdir heartbeat
Se camba a este nuevo subdrectoro:
cd heartbeat
Suponendo que se van a confgurar os servcos s$orePall (o ben ipta!les), $ttpd, named y
vs&tpd, descargue e archvo $eart!eat+.te desde Acance Lbre:
702
get !, http#//@alcancelibre@org/linux/secrets/heartbeat1@te
E edte e archvo $eart!eat+.te que se acaba de descargar:
vim heartbeat1@te
Y verfque que tenga e sguente contendo:
module heartbeat1 1@$V
reJuire \
type proc.tV
type urandom.device.tV
type "tpd.tV
type httpd.tV
type iptables.tV
type ndc.tV
type initrc.tV
type named.tV
class unix.stream.socket \ read rite ]V
class "ile readV
class chr."ile readV
]
A************* "tpd.t **************
allo "tpd.t initrc.t#unix.stream.socket \ read rite ]V
A************* httpd.t **************
allo httpd.t initrc.t#unix.stream.socket \ read rite ]V
A************* iptables.t **************
allo iptables.t initrc.t#unix.stream.socket \ read rite ]V
A************* named.t **************
allo named.t initrc.t#unix.stream.socket \ read rite ]V
A************* ndc.t **************
allo ndc.t initrc.t#unix.stream.socket \ read rite ]V
allo ndc.t proc.t#"ile readV
allo ndc.t urandom.device.t#chr."ile readV
Lo anteror, que fue obtendo de a sada de mandato dmesgjgrep auditjaudit*alloP (m
$eart!eat+]$eart!eat+.te en un sstema donde SELnux mpeda a Heartbeat ncar os
servcos anterormente menconados. En s, defne que se permte e modo de ectura y escrtura
cuando os servcos de drectoro =etc=init.d sean ncados por un zcao generado por
Eeart!eat.
A contnuacn, se genera un e archvo de mduo para SELnux ($eart!eat+.mod) utzando e
mandato c$ecLmodule de a sguente forma:
checkmodule !- !m !o heartbeat1@mod heartbeat1@te
Luego, se procede a empaquetar e archvo $eart!eat+.mod como e archvo $eart!eat+.pp:
semodule.package !o heartbeat1@pp !m heartbeat1@mod
703
Fnamente se vncua e archvo $eart!eat+.pp obtendo con as potcas actuaes de SELnux y
se cargan stas en e nceo en e|ecucn:
semodule !i /usr/share/selinux/packages/heartbeat/heartbeat1@pp
Una vez cargadas as nuevas potcas, se pueden emnar os archvos $eart!eat+.te y
$eart!eat+.mod, pues so ser necesaro que exsta e archvo bnaro $eart!eat+.pp.
Todo o anteror se puede repetr utili8ando otro nom!re de arc$ivo distinto para poder aadr
ms servcos. Es decr, s se van a aadr ms servcos par a ser gestonados por Heartbeat,
confgurar stos en e archvo =etc=$a.d=$aresources, como se descrbe ms adeante en este
msmo documento, rencar e servco y reazar e sguente procedmento:
cd /usr/share/selinux/packages/heartbeat/
dmesgZgrep auditZaudit6allo !m heartbeat6Lheartbeat6@te
checkmodule !- !m !o heartbeat6@mod heartbeat6@te
semodule.package !o heartbeat6@pp !m heartbeat6@mod
semodule !i /usr/share/selinux/packages/heartbeat/heartbeat6@pp
rm !" heartbeat6@te heartbeat6@mod
service heartbeat restart
S9.*.*.*. Con&iguracin del sistema con >"inu2 en modo permisivo.
S se desea, puede ponerse SELnux en modo permsvo en ambos nodos con e fn de evtarse
tener que reazar os procedmentos anterores. Edte e archvo =etc=syscon&ig=selinu2:
vim /etc/syscon"ig/selinux
Cambe >"%),DRen&orcing por >"%),DRpermissive, a fn de mantener funconado SELnux,
y preservar todos os contextos de ste en e sstema de archvos, pero sn nterferr con e
funconamento de Heartbeat:
A 0his "ile controls the state o" S&1inux on the system@
A S&1(,>X* can take one o" these three values#
A en"orcing ! S&1inux security policy is en"orced@
A permissive ! S&1inux prints arnings instead o" en"orcing@
A disabled ! S&1inux is "ully disabled@
SELFNUX='er9%ss%*e
A S&1(,>X0;<&* type o" policy in use@ <ossible values are#
A targeted ! /nly targeted netork daemons are protected@
A strict ! =ull S&1inux protection@
S&1(,>X0;<&*targeted
A S&01/)41%&=S* )heck local de"inition changes
S&01/)41%&=S*$
Rence e sstema en ambos nodos.
reboot
Reamente es poco recomendabe desactvar por competo SELnux, sendo que as potcas
necesaras puderan aparecer en aguna actuazacn de paquete selinu2(policy(targeted, o
ben pudera ser necesaro recurrr a a proteccn que brnda esta mpementacn en un futuro a
fn de evtar potencaes ncdentes de segurdad que normamente se evtaran utzando SELnux.
704
En versones recentes de Fedora, es posbe evtar os probemas con SELnux, de manera fc,
e|ecutando o sguente para permtr a $eart!eat traba|ar en modo sn confnar:
semanage "context !a !t uncon"ined.exec.semanaget /usr/lib/heartbeat/heartbeat
E contexto uncon&inedQe2ecQsemanaget es nexstente en CentOS 5 y Red Hat Enterprse Lnux
5.
S9.*.3. Con&iguracin del )odo +
Ingresar como root o ben cambar a usuaro root.
su !l
Edtar e archvo =etc=$osts:
vim /etc/hosts
Y defnr os nombres asocados a a dreccn IP pbca de agrupamento (cluster) y as
dreccones IP de as nterfaces eth0, as cuaes corresponden a as nterfaces pubcas de os
nodos:
A %o not remove the "olloing lineB or various programs
A that reJuire netork "unctionality ill "ail@
##1 localhost6@localdomain6 localhost6
4<2.438.4.4// no9!re.'.!)%&o.&).s$er.&o9
4<2.438.4.4/4 no9!re.'.!)%&o.no-o4.&o9
4<2.438.4.4/2 no9!re.'.!)%&o.no-o2.&o9
Para compementar o anteror, debe haber un DNS que se encargue de resover estos nombres
para a red oca y/o haca Internet.
Edtar e archvo =etc=$osts y defnr os nombres asocados a as dreccones IP de as nterfaces
eth1, as cuaes corresponden a as nterfaces prvadas de custer, a travs de a cua se
comuncan os nodos:
A %o not remove the "olloing lineB or various programs
A that reJuire netork "unctionality ill "ail@
##1 localhost6@localdomain6 localhost6
186@165@1@1$$ nombre@publico@cluster@com
186@165@1@1$1 nombre@publico@nodo1@com
186@165@1@1$6 nombre@publico@nodo6@com
4<2.438.2.4 no9!re.'r%*#-o.no-o4.&o9
4<2.438.2.2 no9!re.'r%*#-o.no-o2.&o9
Instaar os servcos que se van a gestonar a travs de agrupamento (cluster):
yum !y install httpd php vs"tpd get
Utzando un edtor de texto smpe, crear e archvo =var=PPP=$tml=inde2.p$p:
705
vim /var//html/index@php
Y aadr e sguente contendo:
ahtmlL
aheadL
atitleL&ste es el nodo 1a/titleL
a/headL
abodyL
ah1L&ste es el nodo 1a/h1L
apL&ste es el servidor principal Jue se presenta normalmente@a/pL
a/bodyL
a/htmlL
Crear e archvo =etc=$ttpd=con&.d=cluster.con& con e sguente contendo:
A %e"inir valores con el nombre pbblico y la direcciRn
A (< pbblica del cluster
,ame'irtual2ost 186@165@1@1$$#5$
a'irtual2ost 186@165@1@1$$#5$L
Server,ame nombre@publico@cluster@com
%ocumentRoot /var//html
&rror1og logs/cluster!error.log
)ustom1og logs/cluster!access.log combined
Server4dmin alguienXalgo@com
a/'irtual2ostL
Utce cuaquer edtor de texto sobre e archvo =etc=vs&tpd=vs&tpd.con&:
Y aadr a fna de ste o sguente:
"tpd.banner*:ienvenido al servicio =0< del ,odo 1@
Genere con e mandato touc$ e archvo =etc=vs&tpd=c$rootQlist:
Instae e depsto YUM de Alcance i!re que ncuye >$orePall:
get http#//@alcancelibre@org/al/server/41!Server@repo
Instae Shorewa:
Cambe a drectoro =etc=s$orePall:
cd /etc/shoreall
706
Edte con vm e archvo =etc=s$orePall=s$orePall.con& y cambe >@A'@,<Q")AB"DR)o por
>@A'@,<Q")AB"DRyes:
S04R0><.&,4:1&%*;es
A fn de que exsta una comuncacn sn restrccones entre ambos nodos cuando e cortafuegos
est detendo, defna e sguente contendo en e archvo =etc=s$orePall=routesstoped:
eth$ 186@165@1@1$6 critical
eth1 186@165@6@6 critical
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
Defna as zonas de mudo cortafuegos en e archvo =etc=s$orePall=8ones:
" "ireall
net ipv4
loc ipv4
A14S0 1(,& ! 4%% ;/>R &,0R(&S 4:/'& 02(S /,& ! %/ ,/0 R&-/'&
Defna que nterfaces de red corresponden a as zonas estabecdas en e archvo
=etc=s$orePall=inter&aces:
net eth$ detect dhcpBblacklist
loc eth1 detect
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
Defna as sguentes potcas en e archvo =etc=s$orePall=policy:
" all 4))&<0
loc " 4))&<0
loc net R&^&)0 in"o
net all %R/< in"o
A14S0 1(,& !! %/ ,/0 R&-/'&
Consderando que se estn confgurando os servcos s$orePall, vs&tpd y $ttpd, se
admnstrarn ambos servdores a travs de SSH, mtando os pings desde cuaquer zona a 5
conexones por segundo con rfagas de 2, defna as sguentes regas para e archvo
=etc=s$orePall=rules:
4))&<0 all " tcp 6$B61
4))&<0 all " tcp 5$B44?
4))&<0 all " tcp ??$6
4))&<0 all " tcp 66
4))&<0 all " icmp 5 ! ! 9/sec#6
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
Debdo a un error en e gun Vpre (pre-nstaacn) de os paquetes de $eart!eat que son
dstrbudos a travs de os depstos YUM de CentOS, es mportante crear prevamente e usuaro
y grupo que utzar $eart!eat, o de otro modo faar a nstaacn:
groupadd !g 486 haclient
useradd !- !g haclient !u 485 !d /var/lib/heartbeat/cores/hacluster hacluster
707
Instaar e paquete $eart!eat. Se nstaarn automtcamente como dependencas os paquetes
$eart!eat(stonit$ y $eart!eat(pils:
yum !y install heartbeat
Cambarse a drectoro =etc=$a.d
cd /etc/ha@d
Copar os archvos de e|empo para confguracn de $eart!eat.
cp /usr/share/doc/heartbeat!K/ha@c" @/ha@c"
cp /usr/share/doc/heartbeat!K/haresources @/haresources
cp /usr/share/doc/heartbeat!K/authkeys @/authkeys
Aadr a fna de archvo aut$Leys ago smar a o sguente:
A %e"ine el esJuema de autenticaciRn por S241 y una clave de acceso@
#.$h 2
2 sh#4 '/n3r-#,.4-.nE-&)#*3--3-#&&eso-s3.rE
Puede generar e contendo de archvo =etc=$a.d=aut$Leys, con un crptograma adecuado,
utzando e sguente gun:
( echo !ne +auth 6On6 sha1 +V O
dd i"*/dev/urandom bs*916 count*1 Z openssl md9 ) L /etc/ha@d/authkeys
Por motvos de segurdad, este archvo so debe tener permsos de ectura y escrtura para e
usuaro root. Cambar e permso de ste e|ecutando o sguente:
chmod 6$$ authkeys
Edtar e archvo $a.c&:
vim ha@c"
Aadr a fna de archvo $a.c& o sguente:
708
)o+%)e 8*#r8)o8h#-)o
)o+#&%)%$y )o&#)/
7ee'#)%*e 2
A 0iempo de espera para iniciar servicios si nodo principal deMa de
A responder@ <uede aMustarse a cualJuier tiempo raConable@ &Memplo# 1$ segundos@
-e#-$%9e 2/
%n%$-e#- </
A inter"aC de comunicaciRn ente nodos
!&#s$ e$h4
.-''or$ 3<E
#.$o_+#%)!#&7 on
A ,ombres de los nodos Jue participarin en el cluster@
A %eben ser di"erentes a los nombres de an"itriRn utiliCados para las (<
A pbblicas de la las inter"aces eth$@ SRlo son para uso interno@
A 1os nombres deben estar resueltos en el archivo /etc/hosts
A con direcciones (< privadas en las inter"aces eth1B la cuales corresponden a
A las inter"aces privadas del clusterB a travfs de la cual se comunican los
A nodos del cluster@
no-e no9!re.'r%*#-o.no-o4.&o9
no-e no9!re.'r%*#-o.no-o2.&o9
Edtar e archvo $aresources:
vim haresources
Aadr a fna de archvo $aresources o sguente, donde se defne e nombre de nodo 1,
dreccn IP que utzar Heartbeat para servr os recursos, mscara de subred en formato de bts,
nombre de nterfaz de red donde se crear a nterfaz vrtua, dreccn de dfusn de a red
(broadcast) y os servcos a controar:
A &n el eMemplo a continuaciRn#
A nombre@privado@nodo1@com * nombre de an"itriRn del nodo principal
A 186@165@1@1$$ * direcciRn (< pbblica del cluster
A 64 * miscara en "ormato de bits
A eth$ * inter"aC pbblica del cluster
A 186@165@1@1$1 * direcciRn (< del nodo principal a supervisar
A vs"tpd httpd * servicios a brindar a travfs del cluster
no9!re.'r%*#-o.no-o4.&o9 4<2.438.4.4//82E8e$h/84<2.438.4.255 shore?#)) *s+$'- h$$'-
Desactvar os servcos que se van a gestonar a travs de agrupamento (cluster):
chkcon"ig httpd o""
chkcon"ig vs"tpd o""
chcon"ig shoreall o""
Incar e servco $eart!eat:
service heartbeat start
Aadr e servco heartbeat a arranque de sstema:
chkcon"ig heartbeat on
Los servcos s$orePall, $ttpd y vs&tpd ncarn automtcamente poco despus de ncar e
servco $eart!eat.
709
S9.*.4. Con&iguracin del )odo *
Ingresar como root o ben cambar a usuaro root.
su !l
Instaar os servcos que se van a gestonar a travs de agrupamento (cluster):
yum !y install httpd php vs"tpd
Utzando un edtor de texto smpe, crear e archvo =var=PPP=$tml=inde2.p$p:
vim /var//html/index@php
Y aadr e sguente contendo:
ahtmlL aheadL atitleL&ste es el nodo 6a/titleL a/headL abodyL ah1L&ste es el nodo
6a/h1L apL&ste es el servidor secundario Jue se presenta cuando "alla o se apaga el
abLnodo 1a/bL@a/pL a/bodyL a/htmlL
A travs de SCP, copar desde e nodo + e archvo =etc=$ttpd=con&.d=cluster.con& dentro de
drectoro =etc=$ttpd=con&.d= oca:
scp !p 186@165@1@1$1#/etc/httpd/con"@d/cluster@con" /etc/httpd/con"@d/
Utce cuaquer edtor de texto sobre e archvo =etc=vs&tpd=vs&tpd.con&:
Y aadr a fna de ste o sguente:
"tpd.banner*:ienvenido al servicio =0< del ,odo 6@
Genere con e mandato touc$ e archvo =etc=vs&tpd=c$rootQlist:
Instae Shorewa:
Cambe a drectoro =etc=s$orePall:
cd /etc/shoreall
710
Edte con vm e archvo =etc=s$orePall=s$orePall.con& y cambe >@A'@,<Q")AB"DR)o por
>@A'@,<Q")AB"DRyes:
S04R0><.&,4:1&%*;es
A fn de que exsta una comuncacn sn restrccones entre ambos nodos cuando e cortafuegos
est detendo, defna e sguente contendo en e archvo =etc=s$orePall=routesstoped:
eth$ 186@165@1@1$1 critical
eth1 186@165@6@1 critical
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
Defna as zonas de mudo cortafuegos en e archvo =etc=s$orePall=8ones:
" "ireall
net ipv4
loc ipv4
A14S0 1(,& ! 4%% ;/>R &,0R(&S 4:/'& 02(S /,& ! %/ ,/0 R&-/'&
Defna que nterfaces de red corresponden a as zonas estabecdas en e archvo
=etc=s$orePall=inter&aces:
net eth$ detect dhcpBblacklist
loc eth1 detect
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
Defna as sguentes potcas en e archvo =etc=s$orePall=policy:
" all 4))&<0
loc " 4))&<0
loc net R&^&)0 in"o
net all %R/< in"o
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
Defna as sguentes regas para e archvo =etc=s$orePall=rules:
4))&<0 all " tcp 6$B61
4))&<0 all " tcp 5$B44?
4))&<0 all " tcp ??$6
4))&<0 all " tcp 66
4))&<0 all " icmp 5 ! ! 9/sec#6
A14S0 1(,& !! 4%% ;/>R &,0R(&S :&=/R& 02(S /,& !! %/ ,/0 R&-/'&
Crear e usuaro y grupo que utzar $eart!eat:
groupadd !g 486 haclient
useradd !- !g haclient !u 485 !d /var/lib/heartbeat/cores/hacluster hacluster
Instaar e paquete $eart!eat:
yum !y install heartbeat
A travs de SCP, copar desde e nodo + e archvo =etc=$osts para reempazar e archvo
=etc=$osts oca:
711
scp !p 186@165@1@1$1#/etc/hosts /etc/hosts
A travs de SCP, copar desde e nodo + e contendo competo de drectoro =etc=$a.d dentro de
=etc
scp !p 186@165@1@1$1#/etc/ha@d/K /etc/ha@d/
Desactvar os servcos que se van a gestonar a travs de agrupamento (cluster):
chkcon"ig httpd o""
chkcon"ig vs"tpd o""
chkcon"ig shoreall o""
Incar e servco $eart!eat:
service heartbeat start
Aadr e servco heartbeat a arranque de sstema:
chkcon"ig heartbeat on
Los servcos s$orePall, $ttpd y vs&tpd ncarn automtcamente so cuando $eart!eat
detecte que ha faado e nodo + o se ha perddo conectvdad con ste.
S9.*.5. Geri&icando el agrupamiento Mclu#terN.
La me|or forma de verfcar que todo funcona correctamente es acceder con e navegador haca
ttp)**nombre.publico.cluster.com* o ttp)**:YH.:VT.:.:88*, o ben acceder a travs de un cente
FTP haca nombre.publico.cluster.com o :YH.:VT.:.:88. Deber de responder e nodo +.
Apague e nodo + o detenga e servco $eart!eat en e nodo 1, espere 20 a 30 segundos e
ntente acceder haca as dreccones anterores. Deber de responder e nodo *. Vovendo a
encender e nodo + o ncando de nuevo e servco $eart!eat, espere 20 a 30 segundos e
ntente acceder nuevamente haca as dreccones. Deber de responder e nodo +.
S9.*.5.+. :antener sincroni8ados los directorios.
Es mportante resatar que as nterfaces eth1 de ambos nodos deben ser excudas para reazar
cuaquer actvdad. Deben ser utzadas excusvamente por e servco de $eart!eat. Utce as
nterfaces eth0 para reazar sncronzacn de datos.
En e caso de nodo *, se puede generar una tarea programada para que se e|ecute cada certo
tempo, utzando rsync y confgurando a cuenta de root de ambos nodos para utzar SSH sn
cave de acceso. En e sguente e|empo para entrada e archvo /etc/crontab, se sncronza cada
hora e =var=&tp=pu! de nodo *, a partr de drectoro =var=&tp=pu! de nodo +:
712
S2&11*/bin/bash
-4(10/*root
2/-&*/
A run!parts
$1 K K K K root run!parts /etc/cron@hourly
$6 4 K K K root run!parts /etc/cron@daily
66 4 K K $ root run!parts /etc/cron@eekly
46 4 1 K K root run!parts /etc/cron@monthly
// \ \ \ \ roo$ rsyn& -#*: d
--eC&).-e B\)oB --eC&).-e B\$9'8\B -e ssh ---e)e$e-#+$er d
roo$J4<2.438.4.4/4D8*#r8+$'8'.! 8*#r8+$'8'.!
En e caso de e nodo +, se asume que s este faa y es apagado, a ncar sncronza con e nodo
*, e cua estuvo traba|ando y funconando en ausenca de nodo +. Puede agregarse e sguente
e|empo a archvo =etc=rc.local, o que corresponde a a sncronzacn de datos de os drectoros
=var=&tp=pu! a partr de e nodo * haca e nodo + que se asume acaba de ncar:
Ah/bin/sh
A
A 0his script ill be executed Ka"terK all the other init scripts@
A ;ou can put your on initialiCation stu"" in here i" you donUt
A ant to do the "ull Sys ' style init stu""@
touch /var/lock/subsys/local
rsyn& -#*: d
--eC&).-e B\)oB --eC&).-e B\$9'8\B -e ssh ---e)e$e-#+$er d
roo$J4<2.438.4.4/2D8*#r8+$'8'.! 8*#r8+$'8'.!
713
SS. ,sando >martd para anticipar los desastres
de disco duro
SS.+. %ntroduccin
La mayora de as dstrbucones recentes ncuyen smartct y smartd (parte de smartmontoos
ncudo en e paquete kerne-uts), que son herramentas utzadas para supervsar a saud de os
dscos duros reazando pruebas para comprobar su buen funconamento. Mentras e dsco y a
tar|eta madre (soporte se actva en e BIOS) tengan capacdad para utzar S.M.A.R.T. (Sef-
Montorng, Anayss and Reportng Technoogy) es posbe antcpar as faas de un dsco duro.
Soo basta confgurar un archvo (/etc/smartd.conf) e ncar un servco (smartd).
SS.*. <rocedimientos
E archvo /etc/smartd@con" soo requere una nea de confguracn por cada dsco duro en e
sstema. E|empos:
/dev/hda !a !m alguienXdominio@com
/dev/sda !d scsi !a !m alguienXdominio@com
/dev/sdb !d scsi !a !m alguienXdominio@com
Lo anteror hace que se env un reporte competo y detaado de toda a nformacn S.M.A.R.T. y
as aertas pendentes. La opcn !a en dscos IDE equvae a:
/dev/hda !2 !i !c !4 !l error !l sel"test !l selective
Y en dscos SCSI equvae a:
/dev/sda !2 !i !4 !l error !l sel"test
Donde:
!I
Incuye en e reporte e estado de saud y aertas pendentes. S se quere envar reportes a un
tefono mv, esta sera a opcn nca a utzar.
!%
Incuye en e reporte e numero de modeo, nmero de sere, versn de Frmware e nformacn
adcona reaconada.
714
!&
Incuye en e reporte as capacdades S.M.A.R.T.
-A
Incuye en e reporte atrbutos S.M.A.R.T. especfcos de fabrcante de dsco.
!) error
Incuye en e reporte a btcora de errores de S.M.A.R.T.
!) se)+$es$
Incuye en e reporte a btcora de pruebas de S.M.A.R.T.
!) se)e&$%*e
Agunos dscos tpo ATA-7 (e|empo: Maxtor) ncuyen una btcora de pruebas seectvas.
!9
Cuenta de correo eectrnco a a cua se envarn reportes.
>i por e.emplo, soo nos nteresa recbr reportes de saud de /dev=$da, /dev=sda y /dev=sd!, en
una cuenta de correo eectrnco (que puede ser a que coresponda para recbr mensa|es en un
tefono mv), se utzaran o sguente en e archvo /etc=smartd.con&:
/dev/hda !2 !m alguienXdominio@com
/dev/sda !d scsi !2 !m alguienXdominio@com
/dev/sdb !d scsi !2 !m alguienXdominio@com
Hecho o anteror, soo se necesta agregar e servco a os servcos de arranque de sstema e
ncar (o rencar, segn e caso) smartd:
chkcon"ig smartd on
service smartd start
E servco se encarga de e|ecutar automtcamente en e tras fondo de sstema todas as pruebas
necesaras y soportadas por as undades de dsco duro presentes. E reporte se enva
automtcamente |unto con e mensa|e con e reporte de a btcora de sstema unos mnutos
despus de as 4:00 AM.
S se quere ver un reporte a momento, competo y detaado, suponendo que se trata de un dsco
duro en e IDE 1, basta e|ecutar:
smartctl !a /dev/hda
S se quere ver un reporte a momento que soo muestre e estado de saud de a undad,
suponendo que se trata de un dsco duro en e IDE 1, basta e|ecutar:
smartctl !2 /dev/hda
715
+OO. Cmo crear un disco con instalacin
personali8ada de Cent0> 5.
+OO.+. %nstalacin de e#uipamiento lgico necesario.
Se requere a herramenta mLiso&s para poder crear mgenes ISO, a herramenta system-confg-
kckstart para crear un archvo de confguracn con parmetros personazados para e programa
de nstaacn, y e mandato createrepo para regenerar e depsto yum en caso de que se
aadan paquetes nuevos o actuazados a a nstaacn.
yum !y install mkiso"s system!con"ig!kickstart createrepo
La herramenta system(con&ig(LicLstart esta ncuda en todas as versones de Cent0>,
Fedora y 'ed Eat "nterprise inu2, as como as dstrbucones de GNU/Lnux dervadas de
stas.
+OO.*. <rocedimientos.
+OO.*.+. Creacin de arc$ivo de con&iguracin de instalacin
personali8ada.
Se utza e programa system(con&ig(LicLstart, que consste en un programa que smua as
opcones de confguracn de programa de nstaacn de CentOS 5. A fnazar, se guarda un
archvo, que puede ser nombrado como Ls.c&g,y que ser utzado posterormente en este
documento.
S se carece de system(con&ig(LicLstart o ben sta tene un ma funconamento, o sguente
corresponde a una confguracn de e|empo que estabece a nstaacn desde la unidad lectora
de CD=DGD, nstaacn en doma espaol, con tecado con dsposcn "spaol, nterfaz et$O
confgurada por DEC<, cave de acceso para e usuaro root ser +*3#Pe, cortafuegos habtado
con e puerto 22 por TCP aberto, SELnux funconar en modo en&orcing, zona horara de a
ciudad de :2ico, nstaacn de grub en =dev=sda, y a nstaacn de os grupos de paquetes
Core (nceo y componentes bscos de sstema operatvo), Base(herramentas bscas de
sstema operatvo), "ditors (edtores de texto), Fonts (tpografas), ?)0:" DesLtop (escrtoro
de GNOME), ?rap$ical %nternet (programas grfcos para Internet), Java (soporte para |ava),
0&&ice (OpenOffce.org y otros programas para documentos), <rinting (soporte para mpresn),
>ound and Gideo (programas para sonodo y vdeo) y >panis$ >upport (soporte a espao):
A Hickstart "ile automatically generated by anaconda@
install
716
cdrom
lang es.&S@>0=!5
keyboard es
netork !!device eth$ !!bootproto dhcp
rootp !!iscrypted F1F=vs?o>9cF4""58rio<b1&m^7/@lt%$
"ireall !!enabled !!port*66#tcp
authcon"ig !!enableshado !!enablemd9
selinux !!en"orcing
timeCone !!utc 4merica/-exico.)ity
bootloader !!location*mbr !!driveorder*sda
A 0he "olloing is the partition in"ormation you reJuested
A ,ote that any partitions you deleted are not expressed
A here so unless you clear all partitions "irstB this is
A not guaranteed to ork
Aclearpart !!linux
Apart /boot !!"stype ext? !!siCe*6$$ !!onpart*sda1
Apart / !!"stype ext? !!siCe*1$64 !!ondisk*sda6 !!gro !!maxsiCe*99$$$
Apart sap !!ondisk*sda? !!siCe*6$45
Tpackages
Xbase
Xcore
Xeditors
X"onts
Xgnome!desktop
Xgraphical!internet
XMava
Xo""ice
Xprinting
Xsound!and!video
Xspanish!support
Lo anteror soo de|a a confguracn de partcones como nco procedmento a reazar durante
a nstaacn. Se recomenda de|ar de este modo a fn de evtar emnacn accdenta de
partcones exstentes en e dsco duro.
+OO.*.*. Creacin del directorio de tra!a.o y contenido del mismo.
E prmer paso consste en crear un drectoro de traba|o donde haya espaco sufcente, es decr
aproxmadamente 3.6 GB para e drectoro de traba|o y otros 3.6 GB para crear a nueva magen
de DVD. Por tanto, se requere un mnmo de 7.2 GB de espaco bre en dsco duro. En e sguente
e|empo se utza Y=centos5(personal:
mkdir Y/centos9!personal
Se nserta e DVD de CentOS 5 y se de|a que e sstema asgne e punto de monta|e dentro de
/meda/ o ben se monta manuamente. S se monta manuamente, se puede utzar e sguente
procedmento:
mkdir /media/centos9
mount /dev/cdrom /media/centos9
Se copa competo e contendo de DVD de CentOS 5 en e drectoro de traba|o defndo
prevamente:
cp !r /media/centos9/K Y/centos9!personal/
717
Tambn se debe copar tambn e archvo .discin&o que est en e DVD.
cp !r /media/centos9/@discin"o Y/centos9!personal/
Corregr e archvo .discin&o que se cop dentro de Y=centos5(personal=, con cuaquer edtor
de texto, y cambar =$ome=!uildcentos=C")@0>=5.*=en=i396=Cent0> por Cent0>=Cent0>
Copar e archvo Ls.c&g creado con system(con&ig(LicLstart dentro de drectoro de traba|o
Y=centos5(personal=:
cp /donde/este/ks@c"g Y/centos9!personal/
Edtar e archvo Y=centos5(personal=isolinu2=isolinu2.c&g y aadr e parmetro
LsRcdrom-=Ls.c&g a a defncn que se desee utzar por omsn. Por e|empo, se tene e
sguente contendo en sonux.cfg:
de"ault linux
prompt 1
timeout 6$$
display boot@msg
=1 boot@msg
=6 options@msg
=? general@msg
=4 param@msg
=9 rescue@msg
label linux
kernel vmlinuC
append initrd*initrd@img
label text
kernel vmlinuC
append initrd*initrd@img text
label ks
kernel vmlinuC
append ks initrd*initrd@img
label local
localboot 1
label memtest56
kernel memtest
append !
Soo se necesta aadr LsRcdrom-=Ls.c&g a a prmera nea de append, que corresponde a
arranque predetermnado de dsco de nstaacn.
de"ault linux
prompt 1
timeout 6$$
display boot@msg
=1 boot@msg
=6 options@msg
=? general@msg
=4 param@msg
=9 rescue@msg
label linux
kernel vmlinuC
#''en- %n%$r-=%n%$r-.%9 7s=&-ro9D87s.&+
label text
718
kernel vmlinuC
label ks
kernel vmlinuC
label local
localboot 1
label memtest56
kernel memtest
append !
Puede resutar ms convenente aadr una nueva de&inicin de arran#ue, a fn de que se de|e
ntacto e arranque por defecto, y aternatvamente se pueda cargar e archvo Ls.c&g a nvocar
desde e daogo de !oot- esta defncn.
de"ault linux
prompt 1
timeout 6$$
display boot@msg
=1 boot@msg
=6 options@msg
=? general@msg
=4 param@msg
=9 rescue@msg
label linux
kernel vmlinuC
append initrd*initrd@img
label text
kernel vmlinuC
label ks
kernel vmlinuC
label local
localboot 1
label memtest56
kernel memtest
append !
)#!e) 9%-#rr#n,.e
7erne) *9)%n.:
#''en- %n%$r-=%n%$r-.%9 7s=&-ro9D87s4.&+
Para utzar o anteror, a posterormente ncar e DVD de nstaacn personazado, en e dogo
de !oot- se ngresa:
boot# mi!arranJue
+OO.*.3. Aadir e#uipamiento lgico adicional.
S se desea aadr equpamento gco (soft(are) adcona, por e|empo as ms recentes
actuazacones, puede hacerse copando ste en e drectoro Y=centos5(personal=Cent0>, y
regenerando e depsto yum oca. A fn de respetar os grupos de paquetes y poder dsponer de
un archvo con as especfcacones de os grupos de paquetes, debe respadarse prmero e
archvo comps.2ml que est dentro de Y=centos5(personal=repodata.
mkdir !p Y/respaldos/
719
cp Y/centos9!personal/repodata/comps@xml Y/respaldos/
Este archvo puede ser modfcado con cuaquer edtor de texto para refe|ar os cambos de
paquetes nuevos que se quera ncur a a nstaacn.
Se aaden os paquetes adconaes o actuazados en Y=centos5(personal=Cent0>:
cp /donde/estfn/paJuetes/K@rpm Y/centos9!personal/)ent/S
A fn de evtar confctos con as frmas dgtaes y evtar tener que modfcar e programa de
nstaacn, soo se recomenda utzar paquetes RPM frmados por CentOS, es decr, os paquetes
RPM de as actuazacones de CentOS.
A fn de poder regenerar e depsto, se utza e mandato createrepo con a opcn (g para
ndcar a ruta de archvo comps.2ml que se respad prevamente, y a ruta de drectoro de
traba|o.
createrpo !g Y/respaldos/comps@xml Y/centos9!personal/
Lo anteror crea un nuevo drectoro Y=centos5(personal=repodata que ncur os sguentes
archvos:
comps.xm
fests.xm.gz
other.xm.gz
prmary.xm.gz
repomd.xm
S aguno de os anterores est ausente, se deben repetr e procedmento verfcando a sntaxs y
rutas utzadas con createrepo.
+OO.*.4. Creacin de la imagen %>0.
Una vez termnadas as modfcacones, se crea a magen ISO:
cd Y/centos9!personal/
mkiso"s !4 +)ent/S.9@6.=inal.<ersonal+ !o Y/mi!dvd!centos9@iso !b isolinux/isolinux@bin
!c isolinux/boot@cat !no!emul!boot !boot!load!siCe 4 !boot!in"o!table !R !^ !v !0
Y/centos9!personal
La magen ISO resutante en Y=mi(dvd(centos5.iso se puede grabar de nmedato desde
cuaquer herramenta grfca para este fn, como magen ISO, y |ams como archvo. Se puede
utzar K3!, DCDroast o ?)0:" @oaster.
S soo se dspone de una termna, a magen de DVD recn creada se puede grabar con
groPiso&s, de a sguente manera:
groiso"s !dvd!compat !G /dev/dvd*mi!dvd!centos9@iso
720
E programa de nstaacn utzado en CentOS 5 pudera faar debdo a as modfcacones hechas,
por o que es mportante reazar varas pruebas de nuevo dsco de nstaacn antes de utzaro
en agn sstema en produccn u otros fnes que nvoucren operacn crtca.
Es mportante recordar que s se va a comercazar o dstrbur esta magen ISO recn creada, se
deben respetar os derechos de autor, ogotpos y a marca de Cent0>. Las modfcacones
necesaras para e programa de nstaacn, que consste en reempazar as referencas de CentOS
y as mgenes de ogotpos, se detaarn en un documento que pubcaremos posterormente.
721
+O+. ".ercicios
+O+.+. ".ercicio )F>
+O+.+.+. %ntroduccin
Haga equpo con agn compaero de curso a fn de poder reazar e procedmento, pruebas y
depuracn entre s.
+O+.+.*. <rocedimientos
+O+.+.*.+. >ervidor
1. Como root genere e drectoro =var=n&s=pu!lico= y asgne a ste un permso 1777.
mkdir !p /var/n"s/publico
chmod 1777 /var/n"s/publico
2. Como root modi&i#ue =etc=e2ports y defna que se compartr =var=n&s=pu!lico a sstema de
compaero con e cua est hacendo equpo en modo de ectura y escrtura con el siguiente
contenido:
/var/n"s/publico 186@165@$@n(rBsync)
3. Como root inicie o reinicie e servco de nfs.
service n"s restart
+O+.+.*.*. Cliente
1. Como root genere e drectoro =mnt=pu!lico a fn de que posterormente sea utzado para
montar e voumen NFS de esta prctca.
2. Como root modfque =etc=&sta! y especfque que se montar e voumen =var=n&s=pu!lico= de
sstema de compaero con e que est hacendo equpo en e drectoro =mnt=pu!lico=,
utzando as opcones de montado no automtco (noauto), ectura y escrtura (rw), montado
con expracn (soft), contnuar en trasfondo de ser necesaro (bg), se pueda montar por e
usuaro (user) y permtr nterrumpr procesos (ntr).
186@165@$@n#/var/n"s/publico /mnt/publico n"s
noautoBrBso"tBbgBuserBintr $ $
3. Como usuaro (fuano) ntente montar e voumen NFS:
mount /mnt/publico
722
4. Como fuano cambe a drectoro =mnt=pu!lico= e ntente crear un archvo con cuaquer
contendo dentro de drectoro =mnt=pu!lico=.
cd /mnt/publico/
echo n2ola mundo+ L holamundo@txt
ls
723
+O+.*. ".ercicio >A:BA
Usted deber confgurar a travs de Samba un drectoro sobre e cua se quere permtr e ngreso
so a dos usuaros, |efe y contador, quenes pertenecen a grupo de contabdad. Dcho drectoro
deber contar con permsos de escrtura, de modo que tanto |efe como contador puedan traba|ar
en dcho drectoro con una apcacn admnstratva.
+O+.*.+. <rocedimientos
1. Defna que dreccn IP y mascara de subred tene e servdor utzando os sguentes
mandatos:
/sbin/i"con"ig eth$ Z grep inet Z cut !d # !" 6 Z cut !d O !" 1
/sbin/i"con"ig eth$ Z grep -as Z cut !d # !" 4
E prmer mandato donde aparece un \, debe haber dos espacios entre e y (& +, porque se
est especfcando una barra invertida como secuenca de escape para e espaco posteror.
Utzando man cut y man grep, expque que fue o que reazaron os dos mandatos
anterores en e reporte escrto de este e|ercco.
2. Instae samba, samba-cente y samba common de sguente modo:
yum !y install samba samba!client samba!common
3. Utzando como referenca e documento ttuado Cmo confgurar SAMBA., edte e archvo
=etc=sam!a=sm!.con& y confgure os sguentes parmetros de a seccn Tglo!alU donde
adems deber expcar en un reporte por escrito en pape qu es o que hace cada uno
de estos parmetros con os vaores que sern asgnados en e e|ercco:
orkgroup * cursolinux
hosts allo * 186@165@$@ 167@
inter"aces * loB eth$B 167@$@$@1/?6B 186@165@$@XXX/64
remote announce * 186@165@$@699/cursolinux
)0@A- 192.168.0.XXX se refere a a dreccn IP que posee e servdor y no teramente
192.168.0.XXX.
Saga de archvo.
4. Incar e servco recn confgurado.
service smb start
5. Aadr e servco sm! a arranque de sstema.
chkcon"ig smb on
6. Genere e nuevo drectoro =var=sam!a=conta!ilidad:
mkdir !p /var/samba/contabilidad
7. Confgure e drectoro para que SELnux permta utzaro como contendo que ser
compartdo a travs de Samba:
724
chcon !t samba.share.t /var/samba/contabilidad
8. Genere e grupo de traba|o:
groupadd contabilidad
9. Genere os usuaros |efe y contador de modo que no tengan acceso a ntrprete de
mandatos y tengan como grupo prmaro a contabdad. Asgne a stos contrasea
useradd !s /sbin/nologin !g contabilidad Me"e
useradd !s /sbin/nologin !g contabilidad contador
smbpassd !a Me"e
smbpassd !a contador
10.Asgne os permsos necesaros a =var=sam!a=conta!ilidad, de modo ta, que se permta
so a escrtura, ectura y e|ecucn a dcho drectoro a usuaro y a grupo contabdad, y
de modo que se preserven os permsos de contendo de dcho drectoro:
chmod 177$ /var/samba/contabilidad
chgrp contabilidad /var/samba/contabilidad
11.Modfque =etc=sam!a=sm!.con& y confgure o necesaro para compartr
=var=sam!a=conta!ilidad en modo ectura-escrtura con acceso soo para |efe y contador,
redundando os permsos que se asgnaron ocamente a dcho drectoro, y defnendo e
permso que deber tener por defecto todo archvo o documento nuevo en e nteror, a fn
de que soamente puedan ser edos y modfcados por |efe y contador:
DcontabilidadE
comment * )ontabilidad
path * /var/samba/contabilidad
ritable * yes
broseable * yes
public * no
printable * no
valid users * Me"e contador
directory mode * 177$
create mode * $66$
veto "iles * /K@mp?/K@ma/K@avi/K@mv/K@mpg/K@mpeg/K@mov/

725
12.Rence e servco de Samba:
service smb restart
13.Haga as pruebas pertnentes accedendo desde e admnstrador de archvos copando,
movendo o emnado ob|etos en e recurso que acaba de confgurar.
smbclient !, !1 167@$@$@1
smbclient //167@$@$@1/contabilidad !> Me"eT16?Je
14.Reace cuaquer tpo de transferenca utzando mget o mput desde e ntrprete smb. A
termnar, utce e2it para sar.
726
+O+.3. ".ercicio Apac$eC y G>F@<D
Usted deber smuar ser un proveedor de servco de hospeda|e y confgurar o sguente a travs
de apache y vsftpd:
Una sto de red vrtua denomnado PPP.mi(dominio.org asocado a a dreccn IP
192.168.+O.n., donde n corresponde a tmo octeto de su dreccn IP y en este
e|ercco ser un nmero entre e 1 y e 254.
E domno vrtua debe poder ser admnstrado a travs de una cuenta de usuaro
accedendo por medo de una conexn FTP.
E usuaro deber estar en|auado a travs de FTP y tener acceso a as btcoras
generadas por e anftrn vrtua, pero sn permtr a usuaro que pueda borrar
accdentamente e drectoro que contene a dchas btcoras.
+O+.3.+. <rocedimientos
1) Modfque e archvo =etc=$osts y proceda a resover de manera oca a dreccn IP y e nombre
que tendr e servdor en a red 192.168.10.0, aadendo o sguente, donde n corresponde a
tmo octeto de su dreccn IP:
186@165@1$@n ???@9%--o9%n%o.or 9#%).9%--o9%n%o.or 9%--o9%n%o.or
186@165@1$.n +$'.9%--o9%n%o.or -ns.9%--o9%n%o.or
2) Proceda a crear e archvo de confguracn de dspostvo vrtua en e archvo
=etc=syscon&ig=netPorL(scripts=i&c&g(et$O-+ con e sguente contendo:
%&'()&*e$h/D4
(<4%%R*186@165@1$@n
,&0-4SH*699@699@699@$
3) Rence e servco de red de sstema y compruebe que haya evantado a nterfaz vrtua
et$O-+ que acaba de confgurar:
i"con"ig e$h/D4
4) Genere e rbo de drectoros necesaro e|ecutando o sguente:
mkdir !m 1799 /var//mi!dominio
mkdir !m ?779 /var//mi!dominio/public.html
mkdir !m $799 /var//mi!dominio/\etcBlogsBmail]
5) Genera a cuenta de usuaro que ser utzada para admnstrar e anftrn vrtua:
useradd !s /sbin/nologin !d 8*#r8???89%--o9%n%o mi!dominio
usermod !c n4dministrador de mi!dominioo mi!dominio
passd mi!dominio
6) Confgure os permsos apropados a =var=PPP=mi(dominio y su contendo, e|ecutando o
sguente:
727
chon root#apache /var//mi!dominio
chon 9%--o9%n%o#apache /var//mi!dominio/public.html
chon 9%--o9%n%o#apache /var//mi!dominio/etc
chon mi!dominio#mi!dominio /var//mi!dominio/mail
chon mi!dominio#mi!dominio /var//mi!dominio/logs
chcon !t httpd.sys.content.t /var//mi!dominio/public.html
ln !s" @@/@@/@@/log/httpd/mi!dominio!error.log /var//mi!dominio/logs/error.log
ln !s" @@/@@/@@/log/httpd/mi!dominio!access.log /var//mi!dominio/logs/access.log
7) Confgure apache para poder acceder haca este sto de red vrtua hacendo uso de archvo
ocazado en a ruta =etc=$ttpd=con&.d=virtuales.con& con e sguente contendo:
,ame'irtual2ost 186@165@1$@n
a'irtual2ost 186@165@1$@nL
%ocumentRoot /var//mi!dominio/public.html
Server,ame @9%--o9%n%o.or
Server4lias 9%--o9%n%o.or
Server4dmin ebmasterX9%--o9%n%o.or
&rror1og logs/mi!dominio!error.log
)ustom1og logs/mi!dominio!access.log combined
a/'irtual2ostL
8) Rence apache y haga comprobacones y dagnstco s fuese necesaro.
+O+.3.*. Compro!aciones
Rence Apache y pruebe pubcar un documento HTML utzando cuaquer herramenta para
pubcacn de red, como puede ser Buefsh, Komposer, Dreamweaver, Frontpage o cuaquer
edtor HTML y pubcando a travs de FTP, hacendo uso de a cuenta FTP de mi(dominio. Vsuace
desde e navegador que prefera e anftrn vrtua que se confgur.
S desea hacer todo desde modo termna, utce e sguente procedmento.
1. Acceda a sstema como usuaro oca (&ulano) o ben traba|e desde su escrtoro.
2. Genere un documento HTML denomnado inde2.$tml utzando e edtor de texto que prefera
ahtmlL
aheadL
atitleL:ienvenido a ???.9%--o9%n%o.ora/titleL
a/headL
abodyL
ah1L:ienvenido a ???.9%--o9%n%o.ora/h1L
apLciexclV2ola mundoha/pL
a/bodyL
a/htmlL
3. Pubque como e usuaro mi(dominio e documento anteror a travs de FTP, ya sea con
File8illa (s e servdor requere utzar TLS) o ben utzando e mandato ftp (s prescnde de
TLS):
728
"tp +$'.9%--o9%n%o.or
)onnected to amdk6 (186@165@1@1)@
66$ :ienvenido al servidor =0< de 4lcance 1ibre@
,ame (+$'.9%--o9%n%o.or#"ulano)#9%--o9%n%o
??1 <lease speci"y the passord@
<assord#
6?$ 1ogin success"ul@ 2ave "un@
Remote system type is >,(X@
>sing binary mode to trans"er "iles@
"tpL&- '.!)%&_h$9)
"tpL'.$ %n-eC.h$9)
"tpL!ye
4. Fnamente vsuace a pgna PPP.mi(dominio.org prncpa utzando enks.
elinks http#//???.9%--o9%n%o.or/
729
+O+.4. ".ercicio- Cuotas de discoF Apac$eF G>F@<D y D)>
Usted deber smuar ser un proveedor de servco de hospeda|e y confgurar o sguente a travs
de apache, bnd y vsftpd:
Deber confgurar a zona de reenvo para e DNS que se har cargo de resover os sub-
domnos www, dns, ma, y ftp de domno que se e especfque.
Un sto de red vrtua denomnado PPP.su(nom!re.com con aas su(
nom!re.com asocado a a dreccn IP 192.168.*O.n, donde n corresponde a tmo
octeto de su dreccn IP y en este e|ercco ser un nmero entre e 1 y e 254.
E domno vrtua debe poder ser admnstrado a travs de una cuenta de usuaro
accedendo por medo de una conexn FTP.
E usuaro deber estar en|auado a travs de FTP y tener acceso a as btcoras
generadas por e anftrn vrtua, pero sn permtr que e usuaro pueda borrar
accdentamente e drectoro que contene a dchas btcoras.
E usuaro deber tener asgnada una cuota de dsco de 300 MB.
+O+.4.+. <rocedimientos
1) Aada e sguente contendo en e archvo =etc=$osts a resoucn oca de nombre de domno
de anftrn vrtua asocado a a dreccn IP defnda para e msmo, donde n corresponde a
tmo octeto de su dreccn IP:
186@165@6$@n ???.s.-no9!re.&o9 9#%).s.-no9!re.&o9 +$'.s.-no9!re.&o9
186@165@6$@n -ns.s.-no9!re.&o9 s.-no9!re.&o9
2) Proceda a crear e archvo de confguracn ocazado en a ruta =etc=syscon&ig=netPorL(
scripts=i&c&g(et$O-* para e dspostvo et$O-* utzando e sguente contendo, aadendo o
sguente, donde n corresponde a tmo octeto de su dreccn IP:
%&'()&*e$h/D2
(<4%%R*186@165@6$@n
,&0-4SH*699@699@699@$
3) Rence e servco de red de sstema y compruebe que haya evantado a nterfaz vrtua
et$O-* que acaba de confgurar:
i"con"ig e$h/D2
4) Dentro de drectoro =var=named=c$root=var=named, genere e archvo su(
nom!re.com.zone, que servr para resover a zona de reenvo para e domno su(
nom!re.com con os sub-domnos www, dns, ma, y ftp:
730
F001 564$$
X (, S/4 &.rso@#)&#n&e)%!re.or@ usuario@9#%).&o9@ (
2//</8/3/4 V nbmero de serie
655$$ V tiempo re"resco
76$$ V tiempo entre reintentos
6$45$$ V expiraciRn
)
X (, ,S &.rso@alcancelibre@org@
X (, -X 1$ mail
X (, 0X0 nv*sp"1 a mx !allo
X (, 4 186@165@6$@n
(, 4 186@165@6$@n
mail (, 4 186@165@6$@n
dns (, 4 186@165@6$@n
"tp (, 4 186@165@6$@n
5) Modfque =var=named=c$root=etc=named.con& y aada a zona correspondente:
Cone ns.-no9!re.&o9e \
type masterV
"ile ns.-no9!re.&o9.:oneeV
]V
6) Cambe a pertenenca de archvo de zona a usuaro named y os contextos de SELnux de
usuaro de sstema (systemQu), ro de ob|eto (o!.ectQr) y tpo zona de servco named
(namedQ8oneQt), e|ecutando o sguente:
cd/var/named/chroot/var/named/
chon named@named s.-no9!re.&o9@Cone
chcon !u system.u !r obMect.r !t named.Cone.t s.-no9!re.&o9@Cone
cd !
7) Rence e servco de servdor de nombres e|ecutando o sguente:
8) Reace prueba de depuracn y verfque que a zona haya cargado con nmero de sere:
tail !5$ /var/log/messages Zgrep named
9) Compruebe que e domno resueve correctamente:
host s.-no9!re.&o9 42=././.4
dig X42=././.4 s.-no9!re.&o9
dig X42=././.4 s.-no9!re.&o9 -X
10) S e domno resueve correctamente, proceda a colocar como D)> primario a su propo
servdor en e archvo =etc=resolv.con&, smpemente defnendo ste como e prmer regstro
nameserver de este archvo, |usto deba|o de os regstros searc$:
731
V <arte superior del archivo /etc/resolv@con"
search #)&#n&e)%!re.or
search s.-no9!re.&o9
n#9eser*er 42=././.4
11) Genere e rbo de drectoros necesaro para e anftrn vrtua a travs de Apache utzando
os sguentes mandatos:
mkdir !m 1799 /var//su!nombre
mkdir !m ?799 /var//su!nombre/public.html
mkdir !m $799 /var//su!nombre/\logsBetcBmail]
chcon !t httpd.sys.content.t /var//su!nombre/public.html
12) Genere a cuenta de usuaro que ser utzada para admnstrar e anftrn vrtua:
useradd !s /sbin/nologin !d /var//su!nombre su!nombre
usermod !c nSu ,ombre )ompletoo su!nombre
passd su!nombre
13) Confgure os permsos apropados a =var=PPP=su(nom!re y os drectoros en su nteror
utzando lo siguientes mandatos:
chon root#apache /var//su!nombre
chon s.-no9!re#apache /var//su!nombre/public.html
chon s.-no9!re#apache /var//su!nombre/etc
chon s.-no9!re#s.-no9!re /var//su!nombre/mail
chon s.-no9!re#s.-no9!re /var//su!nombre/logs
ln !s" @@/@@/@@/log/httpd/su!nombre!error.log /var//su!nombre/logs/error.log
14) Confgure Apache para poder acceder haca este sto de red vrtua hacendo uso de archvo
ocazado en a ruta =etc=$ttpd=con&.d=virtuales.con& con e sguente contendo:
,ame'irtual2ost 186@165@6$@n
a'irtual2ost 186@165@6$@nL
%ocumentRoot /var//su!nombre/public.html
Server,ame ???@s.-no9!re.&o9
Server4lias s.-no9!re.&o9
Server4dmin ebmasterXs.-no9!re.&o9
&rror1og logs/error.log
)ustom1og logs/access.log combined
a/'irtual2ostL
15) Rence e servco de httpd (apache) y haga as comprobacones, a depuracn y e
dagnstco s fuese as necesaro.:
16) Confgure os domnos vrtuaes para que Postfx pueda recbr correo para os msmos
aadendo su(nom!re.com en a archvo =etc=post&i2=virtual con e sguente contendo:
s.-no9!re.&o9 s.-no9!re.&o9
17) Genere a cuenta de correo vrtua denomnada webmaster@su(nom!re.com como aas de a
cuenta oca su-nombre, aadendo tambn a archvo =etc=post&i2=virtual o sguente:
732
ebmasterXs.-no9!re.&o9 su!nombre
18) A termnar, y a fn de que e usuaro vrtua sea reconocdo por e servco de Sendma, se
deber convertr e archvo =etc=post&i2=virtual en =etc=post&i2=virtual.d! e.ecutando o
sguente:
postmap /etc/post"ix/virtual
19)A fn de reescrbr como webmaster@su(nom!re.com a correo emtdo desde a cuenta oca
su(nom!re, modfcando e archvo =etc=post&i2=senderQcanonical de sguente modo:
su!nombre ebmasterXs.-no9!re.&o9
20) A termnar, y a fn de que e correo de usuaro rea se reescrba como a cuenta de correo de
usuaro vrtua, se deber convertr e archvo =etc=post&i2=senderQcanonical en
=etc=post&i2=senderQcanonical.d! e.ecutando o sguente:
postmap /etc/post"ix/sender.canonical
21) Rence e servco de postfx:
22) E|ecutando ed#uota su(nom!re, asgne una cuota de 300 MB (307200 kb) a usuaro su(
nom!re:
%isk Juotas "or user su!nombre (uid 9$5)#
/dev/hda6 $ $ $ $ $ $
/dev/hda? 64 $ 3/=2// 1$ $ $
+O+.4.*. Compro!aciones
Rence Apache y pruebe pubcar un documento HTML utzando cuaquer herramenta para
pubcacn de red, como puede ser Buefsh, Komposer, Dreamweaver, Frontpage o cuaquer
edtor HTML y pubcando a travs de FTP, hacendo uso de a cuenta FTP de su(nom!re en e URL
&tp-==su(nom!reasu(nom!re.com=pu!licQ$tml=
Vsuace desde e navegador e anftrn vrtua que se confgur.
Pruebe envar correo a a cuenta vrtua Pe!masterasu(nom!re.com y eer dcho correo a
travs de POP3 o IMAP desde a cuenta de su(nom!re.
S desea hacer todo desde modo termna, utce e sguente procedmento.
1. Acceda a sstema como usuaro oca (&ulano) o ben traba|e desde su escrtoro.
2. Genere un documento HTML denomnado inde2.$tml utzando e edtor de texto que prefera
733
ahtmlL
aheadL
atitleL:ienvenido a ???.s.-no9!re.&o9a/titleL
a/headL
abodyL
ah1L:ienvenido a ???.s.-no9!re.&o9a/h1L
apLciexclV2ola mundoha/pL
a/bodyL
a/htmlL
3. Pubque como e usuaro #u&no*bre e documento anteror utzando Feza, s e servdor
FTP requere utzar TLS, o ben utzando e mandato &tp, s e servdor FTP prescnde de
utzar TLS:
"tp +$'.s.-no9!re.&o9
)onnected to amdk6 (186@165@1@1)@
66$ :ienvenido al servidor =0< de 4lcance 1ibre@
,ame (+$'.s.-no9!re.&o9#"ulano)#s.-no9!re
??1 <lease speci"y the passord@
<assord#
6?$ 1ogin success"ul@ 2ave "un@
Remote system type is >,(X@
>sing binary mode to trans"er "iles@
"tpL&- '.!)%&_h$9)
"tpL'.$ %n-eC.h$9)
"tpL!ye
4. Fnamente, vsuace a pgna PPP.su(nom!re.com prncpa de utzando e navegador
enks.
e)%n7s h$$'D88???.s.-no9!re.&o9/
5. Utce mutt y enve un mensa|e a usuaro Pe!masterasu(nom!re.com.
echo n-ensaMe de prueba+ Z mutt !s n-ensaMe de prueba+ ?e!9#s$erJs.-
no9!re.&o9
6. Verfque a cuenta de correo de su(nom!re a travs de cual#uier cente de correo
eectrnco o ben e correo con nterfaz HTTP.
elinks http#//@su!nombre@com8?e!9#%)8
734
)otas
735
)otas
736
)otas
737
)otas
738

Configuracion Servidores Linux 20120520 MAYO

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Configuracion Servidores Linux 20120520 MAYO

Caricato da

Copyright:

Formati disponibili

Configuracin De Servidores Con GNU/Linux Configuracin De Servidores Con GNU/Linux

Edicin Edicin Mayo 2012 Mayo 2012

Potrebbero piacerti anche