Post on 03-Jan-2016
SERVIDOR DEBIAN
El diagrama de una red Integral
Este manual tiene en mente la integracioacuten de un servidor en un red Integral tiacutepica y cerrada El acceso a Internet se hace a traveacutes de un routermodem ADSL con un firewall
El gateway
Un gateway es un dispositivo que posibilita el acceso a Internet a partir de una red interna o intranet Este dispositivo tambieacuten filtra o impide los accesos externos a la red interna formando asiacute una barrera de seguridad (firewall) entre la red interna y la internet
El routerfirewall requiere una direccioacuten IP estaacutetica para que pueda ser faacutecilmente accesible desde los restantes dispositivos de la red
En este ejemplo el nombre routerfirewall seraacute gatewayhomelan y el enderezo IP seraacute 19216811
El servidor
El servidor Debian al estar integrado a la red interna estaacute protegido de accesos indiscriminados e indeseados que provengan de la internet
El servidor tambieacuten requiere una direccioacuten IP estaacutetica de modo que pueda ser faacutecilmente accesible para los dispositivos restantes de la red Entre otras tareas el servidor podraacute atribuir de forma automaacutetica las direcciones IP a los clientes asiacute como indicar el acceso a Internet a traveacutes del gateway
En este ejemplo el nombre del servidor es serverhomelan y la direccioacuten IP es 1921681100
Los clientes
Los clientes seraacuten todos los dispositivos ligados a la red interna Su configuracioacuten seraacute gestionada por los varios servicios que ofrezca el servidor El acceso al exterior es hecho exclusivamente a traveacutes del gateway lo que resulta en un ambiente seguro y protegido de eventuales accesos externos mal intencionados
Direccioacuten IP estaacutetica
Objetivo
La instalacioacuten de Debian configura automaacuteticamente la red para obtener una direccioacuten dinaacutemica viacutea DHCP Sin embargo para que el sistema esteacute configurado como servidor eacuteste debe tener una direccioacuten IP estaacutetica
Nuestro objetivo es configurar la interfaz de red eth0 con una direccioacuten IP estaacutetica 1921681100 Tambieacuten es necesario indicar la direccioacuten del dispositivo de acceso a Internet el gateway (19216811) En una configuracioacuten casera este seraacute la direccioacuten estaacutetica del router ADSL
Configuracioacuten
La configuracioacuten de las interfaces de red estaacute guardada en el archivo etcnetworkinterfaces
This file describes the network interfaces available on your system and how to activate them For more information see interfaces(5)
The loopback network interfaceauto loiface lo inet loopback
The primary network interface allow-hotplug eth0 iface eth0 inet dhcp
Static IP addressauto eth0iface eth0 inet static address 1921681100 netmask 2552552550 network 19216810 broadcast 1921681255 gateway 19216811
nameserver 20048225130
Tambieacuten es necesario indicar la direccioacuten del servidor DNS En esta configuracioacuten el servidor DNS funciona en el routermodem ADSL por lo que el paraacutemetro para nameserver debe tener el valor 19216811 en el archivoetcresolvconf
domain localdomainsearch localdomainnameserver 19216811
Ahora debe reiniciarse la interfaz de red para activar la nueva configuracioacuten
rootserver~ ifdown eth0rootserver~ ifup eth0
Verificacioacuten
El comando ifconfig suministra informacioacuten detallada sobre la configuracioacuten de las interfaces de red La configuracioacuten de la interfaz eth0 debe exhibir los paraacutemetros previamente definidos
rootserver~ ifconfigeth0 Link encapEthernet HWaddr 080027844cb2 inet addr1921681100 Bcast1921681255 Mask2552552550 inet6 addr fe80a0027fffe844cb264 ScopeLink UP BROADCAST RUNNING MULTICAST MTU1500 Metric1 RX packets32 errors0 dropped0 overruns0 frame0 TX packets68 errors0 dropped0 overruns0 carrier0 collisions0 txqueuelen1000 RX bytes5657 (55 KiB) TX bytes9091 (88 KiB)
lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost UP LOOPBACK RUNNING MTU16436 Metric1
RX packets0 errors0 dropped0 overruns0 frame0 TX packets0 errors0 dropped0 overruns0 carrier0 collisions0 txqueuelen0 RX bytes0 (00 B) TX bytes0 (00 B)
Tambieacuten debe ser posible contactar a servidores en la Internet
rootserver~ ping -c3 wwwdebianorgPING wwwdebianorg (20612197) 56(84) bytes of data64 bytes from bellinidebianorg (20612197) icmp_seq=1 ttl=43 time=188 ms64 bytes from bellinidebianorg (20612197) icmp_seq=2 ttl=43 time=190 ms64 bytes from bellinidebianorg (20612197) icmp_seq=3 ttl=43 time=185 ms
--- wwwdebianorg ping statistics ---3 packets transmitted 3 received 0 packet loss time 2005msrtt minavgmaxmdev = 1858081882171901081793 ms
Nombre del sistema
Objectivo
Despueacutes de la instalacioacuten del sistema su nombre puede ser alterado
Configuracioacuten
El nombre del sistema o hostname estaacute guardado en el archivo etchostname Este archivo debe contar soacutelo con el nombre del sistema y no con el nombre completo del dominio
server
El nombre debe ser atribuido al sistema a partir del archivo recieacuten creado
rootserver~ hostname -F etchostname
Finalmente el nombre del servidor debe ser asociado a un nombre completo de dominio y a una direccioacuten IP en el archivo etchosts
127001 localhost1921681100 serverhomelan server
The following lines are desirable for IPv6 capable hosts1 localhost ip6-localhost ip6-loopbackfe000 ip6-localnetff000 ip6-mcastprefixff021 ip6-allnodesff022 ip6-allrouters
Verificacioacutenrootserver~ hostname --shortserverrootserver~ hostname --domainhomelanrootserver~ hostname --fqdnserverhomelanrootserver~ hostname --ip-address1921681100
SoftwareGestor de paquetes aptitude
Uno de los puntos fuertes de la distribucioacuten Debian es su gestor de paquetes apt y su interfaz aptitude La gestioacuten de las actualizaciones y las instalaciones de software se realiza con la ayuda de este poderoso y amigable gestor de paquetes Con aptitude es posible por ejemplo actualizar todo un sistema con apenas un par de comandos
NotaLas versiones maacutes antiguas de Debian utilizaban el gestor de paquetes apt Las versiones actuales de Debian utilizan el gestor aptitude que aunque sea un front-end del apt tiene ventajas notorias como el hecho de mantener un registro (log) de las acciones efectuadas lo que permite remover paquetes de una forma maacutes lsquolimpiarsquo Para mayor comodidad a continuacioacuten encontraraacute una lista con los comandos de aptitude y sus equivalentes en apt Pero se advierte que en esta guiacutea preferimos la utilizacioacuten de aptitude
Guiacutea raacutepida del aptitude
Actualizacioacuten de la lista de paquetesaptitude update
Actualiza la lista de paquetes existente en los repositorios Este debe ser el primer mando a ejecutar cuando se pretende gestionar paquetes (es equivalente a apt-get update)
Instalacioacuten de paquetesaptitude install ltpaquetegt
Instala un paquete de software y todos los paquetes de que depende Es posible instalar varios paquetes a la vez usando esta sintaxis aptitude install paquete1 paquete2 paquete3 (es equivalente a apt-get install ltpaquetegt)
aptitude reinstall ltpaquetegtRe-instala un paquete sustituyendo los archivos Bastante uacutetil cuando se quiere reponer archivos que hayan sido alterados (es equivalente a apt-get install mdashreinstall ltpaquetegt)
Actualizacioacuten de sistemaaptitude safe-upgrade
Instala todas a actualizaciones disponibles procediendo agrave instalacioacuten de paquetes para satisfacer todas las dependencias (Equivalente a apt-get -u upgrade)
aptitude full-upgradeInstala todas las actualizaciones disponibles procediendo a la instalacioacuten o eliminacioacuten de paquetes para satisfacer todas las dependencias (es equivalente a apt-get -u dist-upgrade)
Desinstalacioacuten y eliminacioacuten de paquetesaptitude remove ltpaquetegt
Desinstala un paquete pero mantiene los archivos de instalacioacuten del paquete Es posible desinstalar varios paquetes a la vez usando la sintaxis apt-get remove paquete1 paquete2 paquete3 (es equivalente a apt-get remove ltpacotegt)
aptitude purge ltpaquetegtElimina por completo un paquete incluyendo los ficheros de instalacioacuten (es equivalente a apt-get remove mdashpurge ltpaquetegt)
Buacutesqueda de paquetesaptitude search ltcriteacuteriogt
Busca en la lista de paquetes y muestra las coincidencias de criterio (es equivalente a apt-cache search ltcriteacuteriogt)
Informaciones sobre paquetesaptitude show ltpaquetegt
Muestra informaciones acerca de los paquetes (es equivalente a apt-cache show ltpaquetegt)
Limpiar la cache de paquetesaptitude clean
Elimina todos los archivos de paquetes existentes en cache (es equivalente a apt-cache clean)
aptitude autocleanElimina los archivos de paquetes de versiones pasadas existentes en cache pero mantiene los paquetes de versiones actualizados (es equivalente a apt-cache autoclean)
Por seguridad actualizar con frecuencia
Es imprescindible que el servidor esteacute siempre al diacutea con sus actualizaciones La comunidad debian estaacute actualizando constantemente el software para corregir bugs y fallos de seguridad Un sistema no actualizado es una invitacioacuten abierta para los hackers y los crackers La mejor fuente para buscar software actualizado es internet Se deben escoger
criteriosamente las fuentes de software o repositoacuterios y proceder con actualizaciones frecuentes
Es tambieacuten importante seguir de cerca todas las informaciones referentes a bugs (conflictos o problemas que producen algunos paquetes) y fallos de seguridad asiacute como estar atentos a cuaacutel es la mejor manera de corregir esto La distribucioacuten edita listas con los anuncios de seguridad y con sus respectivas correcciones en la paacutegina de la distribucioacuten o si prefiere en las listas de distribucioacuten
Actualizaciones
Objetivo
Para garantizar que el sistema tenga las versiones de software y correcciones de seguridad maacutes recientes las actualizaciones deben ser hechas con regularidad La actualizacioacuten del software se hace en dos etapas primero se actualiza lista de software disponible en los repositorios y segundo se instalan las eventuales actualizaciones Ambas operaciones son hechas utilizando el comando aptitude con diferentes opciones
Actualizacioacuten de los repositorios
La actualizacioacuten de la lista de software disponible en los repositorios es muy faacutecil
rootserver~ aptitude updateGet1 httpftpptdebianorg squeeze Releasegpg [835 B]Ign httpftpptdebianorgdebian squeezemain Translation-enIgn httpftpptdebianorgdebian squeezemain Translation-en_USGet2 httpftpptdebianorg squeeze Release [899 kB]Get3 httpsecuritydebianorg squeezeupdates Releasegpg [835 B]Get4 httpftpptdebianorg squeezemain amd64 PackagesDiffIndex [2038 B]Ign httpsecuritydebianorg squeezeupdatesmain Translation-enIgn httpsecuritydebianorg squeezeupdatesmain Translation-en_USGet5 httpsecuritydebianorg squeezeupdates Release [446 kB]Get6 httpftpptdebianorg squeezemain amd64 2010-10-22-025649pdiff [101 kB]Get7 httpftpptdebianorg squeezemain amd64 2010-10-22-025649pdiff [101 kB]Get8 httpftpptdebianorg squeezemain amd64 2010-10-22-025649pdiff [101 kB]Get9 httpsecuritydebianorg squeezeupdatesmain amd64 Packages [563 kB]Get10 httpftpptdebianorg squeezemain amd64 2010-10-22-152442pdiff [8117 B]Get11 httpftpptdebianorg squeezemain amd64 2010-10-22-152442pdiff [8117 B]Get12 httpftpptdebianorg squeezemain amd64 2010-10-22-152442pdiff [8117 B]Fetched 215 kB in 3s (710 kBs)
Current status 5 updates [+5]
En este ejemplo se encuentran disponibles 5 actualizaciones para el software instalado
Instalacioacuten de las actualizaciones
La instalacioacuten de las actualizaciones es tambieacuten muy faacutecil
rootserver~ aptitude safe-upgradeThe following packages will be upgraded libc-bin libc6 locales tasksel tasksel-data5 packages upgraded 0 newly installed 0 to remove and 0 not upgradedNeed to get 9776 kB of archives After unpacking 176 kB will be freedDo you want to continue [Yn] yGet1 httpftpptdebianorgdebian squeezemain tasksel-data all 284 [105 kB]Get2 httpftpptdebianorgdebian squeezemain tasksel all 284 [872 kB]Get3 httpsecuritydebianorg squeezeupdatesmain libc-bin amd64 2112-6+squeeze1 [745 kB]Get4 httpsecuritydebianorg squeezeupdatesmain libc6 amd64 2112-6+squeeze1 [4143 kB]Get5 httpsecuritydebianorg squeezeupdatesmain locales all 2112-6+squeeze1 [4697 kB]Fetched 9776 kB in 20s (480 kBs)Preconfiguring packages (Reading database 16181 files and directories currently installed)Preparing to replace libc-bin 2112-6 (using libc-bin_2112-6+squeeze1_amd64deb) Unpacking replacement libc-bin Processing triggers for man-db Setting up libc-bin (2112-6+squeeze1) (Reading database 16181 files and directories currently installed)Preparing to replace libc6 2112-6 (using libc6_2112-6+squeeze1_amd64deb) Unpacking replacement libc6 Setting up libc6 (2112-6+squeeze1) (Reading database 16181 files and directories currently installed)Preparing to replace tasksel-data 282 (using tasksel-data_284_alldeb) Unpacking replacement tasksel-data Preparing to replace tasksel 282 (using archivestasksel_284_alldeb) Unpacking replacement tasksel Preparing to replace locales 2112-6 (using locales_2112-6+squeeze1_alldeb) Unpacking replacement locales Processing triggers for man-db Setting up locales (2112-6+squeeze1) Generating locales (this might take a while) en_USUTF-8 doneGeneration completeSetting up tasksel-data (284) Setting up tasksel (284)
Current status 0 updates [-5]
En este ejemplo se actualizaron 5 paquetes Ahora tenemos el sistema al diacutea con sus actualizaciones
NOTAEs muy importante actualizar el sistema con frecuencia De esta forma se puede garantizar que el sistema siempre tenga las correcciones maacutes recientes a los bugs que puedan aparecer y las actualizaciones de seguridad que se requieran
Repositorios
Objetivo
Ademaacutes del repositorio de software principal de Debian o main configurado durante la instalacioacuten existen otros repositorios que por diversas razones no son incluidos durante la instalacioacuten Sin embargo estos pueden ser incluidos en cualquier momento
Lista de repositorios
Para facilitar la instalacioacuten de algunos paquetes de software se deben antildeadir algunos repositorios a la lista existente expresamente los repositorios contrib y non-free
Tambieacuten como no vamos a compilar paquetes a partir de las fuentes se sugiere desactiva o comentar sus referencias (deb-src) Desactivar o comentar una liacutenea consiste en escribir el signo al principio de la liacutenea que se quiera intervenir como se ve en el ejemplo
La lista de repositorios se encuentra en el archivo de configuracioacuten etcaptsourceslist
deb cdrom[Debian GNULinux 600 _Squeeze_ - Official amd64 NETINST Binary-1 20110205-1431] squeeze main
deb cdrom[Debian GNULinux 600 _Squeeze_ - Official amd64 NETINST Binary-1 20110205-1431] squeeze main
deb httpftpptdebianorgdebian squeeze main contrib non-freedeb-src httpftpptdebianorgdebian squeeze main
deb httpsecuritydebianorg squeezeupdates main contrib non-freedeb-src httpsecuritydebianorg squeezeupdates main
deb httpftpptdebianorgdebian squeeze-updates main contrib non-freedeb-src httpftpptdebianorgdebian squeeze-updates main
Aqui otroa repositorios oficiales
Repositorios oficiales
deb httpftpfrdebianorgdebian squeeze main contrib non-freedeb-src httpftpfrdebianorgdebian squeeze main contrib non-free
Line commented out by installer because it failed to verify
Skypedeb httpdownloadskypecomlinuxreposdebian stable non-free
Repositorios de seguridaddeb httpsecuritydebianorg squeezeupdates main contrib Line commented out by installer because it failed to verifydeb-src httpsecuritydebianorg squeezeupdates main contrib
Repositorios multimediadeb httpwwwdebian-multimediaorg squeeze main non-freedeb-src httpwwwdebian-multimediaorg squeeze main non-free
Line commented out by installer because it failed to verifydeb volatiledebianorg squeeze-updates main contrib Line commented out by installer because it failed to verifydeb-src volatiledebianorg squeeze-updates main contrib
Actualizar la lista local de paquetes con los nuevos repositorios
rootserver~ aptitude updateHit httpftpptdebianorg squeeze ReleasegpgIgn httpftpptdebianorgdebian squeezecontrib Translation-enIgn httpftpptdebianorgdebian squeezecontrib Translation-en_USIgn httpftpptdebianorgdebian squeezemain Translation-enIgn httpftpptdebianorgdebian squeezemain Translation-en_USIgn httpftpptdebianorgdebian squeezenon-free Translation-enIgn httpftpptdebianorgdebian squeezenon-free Translation-en_USHit httpftpptdebianorg squeeze-updates ReleasegpgIgn httpftpptdebianorgdebian squeeze-updatescontrib Translation-enIgn httpftpptdebianorgdebian squeeze-updatescontrib Translation-en_USIgn httpftpptdebianorgdebian squeeze-updatesmain Translation-enIgn httpftpptdebianorgdebian squeeze-updatesmain Translation-en_USIgn httpftpptdebianorgdebian squeeze-updatesnon-free Translation-enIgn httpftpptdebianorgdebian squeeze-updatesnon-free Translation-en_USHit httpftpptdebianorg squeeze ReleaseHit httpftpptdebianorg squeeze-updates ReleaseHit httpsecuritydebianorg squeezeupdates ReleasegpgIgn httpsecuritydebianorg squeezeupdatescontrib Translation-enIgn httpsecuritydebianorg squeezeupdatescontrib Translation-en_USIgn httpsecuritydebianorg squeezeupdatesmain Translation-enIgn httpsecuritydebianorg squeezeupdatesmain Translation-en_USIgn httpsecuritydebianorg squeezeupdatesnon-free Translation-enIgn httpsecuritydebianorg squeezeupdatesnon-free Translation-en_USHit httpftpptdebianorg squeezemain amd64 PackagesHit httpsecuritydebianorg squeezeupdates Release
Get1 httpftpptdebianorg squeezecontrib amd64 Packages [641 kB]Hit httpsecuritydebianorg squeezeupdatesmain amd64 PackagesGet2 httpftpptdebianorg squeezenon-free amd64 Packages [124 kB]Get3 httpsecuritydebianorg squeezeupdatescontrib amd64 Packages [20 B]Get4 httpsecuritydebianorg squeezeupdatesnon-free amd64 Packages [20 B]Hit httpftpptdebianorg squeeze-updatesmain amd64 PackagesGet5 httpftpptdebianorg squeeze-updatescontrib amd64 Packages [20 B]Get6 httpftpptdebianorg squeeze-updatesnon-free amd64 Packages [20 B]Fetched 188 kB in 0s (252 kBs)
Current status 566 new [+566]
Utilizando un proxy
En algunos casos es necesario acceder a la internet a traveacutes de un proxy En aptitude puede ser configurado para usar el proxy El aptitude puede ser configurado para usar el proxy Para esto existen dos meacutetodos posibles
Definir una variable de ambiente http_proxy o ftp_poxy que tenga como valor a la
URL del servidor proxy aptitude tendraacute en cuenta esta variable cuando se conecte a
Internet
rootserver~ export http_proxy=httpproxyexamplecom3128
Incluir las definiciones del proxy en la configuracioacuten de aptitude Para indicar el
proxy a utilizar deberaacute editar o crear el archivo etcaptaptconf
AcquirehttpProxy httpproxyexamplecom3128
El formato de la URL de un proxy es http[[user][pass]]xxxxxxxxxxxx[port] donde
userpassnombre del usuario y contrasentildea si el proxy requiere autenticacioacuten yo autorizacioacuten
xxxxxxxxxxxxdireccioacuten o nombre del servidor proxy
portpuerto de conexioacuten al servicio deproxy
Notificacioacuten de actualizaciones apticron
Objetivo
Para garantizar que un sistema pueda ser actualizado lo mejor es estar informado de las actualizaciones disponibles Apticron es un programa que se ejecuta diariamente de forma
automaacutetica verifica las actualizaciones disponibles para nuestro sistema y luego informa al administrador por e-mail
NOTAEl paquete apticron depende de la instalacioacuten de un agente de transporte de e-mail o MTA (Mail Transfer Agent) Por tanto es necesario instalar primero un Servidor SMTP antes de proceder a la instalacioacuten de apticron
Instalacioacutenrootserver~ aptitude install apticron
Resultado
Siempre que haya una actualizacioacuten disponible para nuestro sistema seraacute enviado un e-mail al administrador del sistema
Date Wed 16 Feb 2011 190548 +0000To roothomelanSubject 2 Debian package update(s) for serverhomelan From roothomelan (root)
apticron report [Wed 16 Feb 2011 190547 +0000]========================================================================
apticron has detected that some packages need upgrading on
serverhomelan [ 1921681100 ]
The following packages are currently pending an upgrade
login 14142+svn3283-2+squeeze1 passwd 14142+svn3283-2+squeeze1
========================================================================
Package Details
Reading changelogs--- Changes for shadow (login passwd) ---shadow (14142+svn3283-2+squeeze1) stable-security urgency=high
The Tomanoix release debianpatches300_CVE-2011-0721 Fix insufficient input sanitation leading to possible user or group creation in NIS environments
-- Nicolas FRANCOIS (Nekral) ltnicolasfrancoiscentraliensnetgt Sun 13 Feb 2011 220228 +0100
========================================================================
You can perform the upgrade by issuing the command
aptitude full-upgrade
as root on serverhomelan
--apticron
El administrador podraacute entonces actualizar sus sistema con el comando aptitude full-upgrade
Acceso RemotoEn principio no debe accederse fiacutesicamente a un servidor a no ser por razones excepcionales (como la actualizacioacuten o la reparacioacuten de hardware por ejemplo) La mejor manera de gestionar un servidor es remotamente Sin embargo este acceso deber ser hecho de una manera segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo ssh
La regla general indica que no se debe acceder fiacutesicamente a un servidor a no ser por razones excepcionales La mejor manera de gestionar un servidor es con un acceso remoto Pero el acceso remoto debe ser hecho de forma segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo SSH
Es la solucioacuten para garantizar conexiones remotas seguras ssh es un protocolo de comunicaciones que encripta los datos intercambiados haciendo virtualmente imposible la violacioacuten de la privacidad de la comunicacioacuten El acroacutenimo ssh viene del ingleacutes Secure SHell
El protocolo ssh es muy versaacutetil cuenta con un software cliente que posibilita el acceso a la liacutenea de comandos la transferencia de archivos y la creacioacuten de tuacuteneles seguros con soportes de comunicaciones para otros protocolos
Clientes SSH
Los clientes ssh se dividen en dos grupos
Terminal SSHEs un emulador de terminal que permite acceder de forma remota a la liacutenea de comandos utilizando el protocolo SSH
Cliente SFTPSe trata de un cliente para transferencia de archivos que utiliza el Protocolo de Transferencia Segura de Archivos Su sigla indica en ingleacutes (Secure File Transfer Protocol (SFTP))
Clientes Linuxopenssh-client
este software ofrece utilidades para acceso remoto (cliente ssh) copia de seguridad de archivos (scp) y transferencia segura de archivos (sftp) entre otras
FileZillaCliente SFTP
Clientes WindowsPuTTY
Terminal SSHWinSCP
Cliente SFTPFileZilla
Cliente SFTP
Servidor ssh
Instalacioacutenrootserver~ aptitude install openssh-server openssh-client
Configuracioacuten
Todas las configuraciones del servidor ssh se encuentran en el archivo etcsshsshd_config
Para configurar el servidor debe indicarse las direcciones donde el servicio debe responder En este caso seraacuten conexiones ligadas a la direccioacuten 1921681100 a traveacutes del puerto 22 y utilizando la versioacuten 2 del protocolo ssh
Package generated configuration file See the sshd_config(5) manpage for details
What ports IPs and protocols we listen forPort 22 Use these options to restrict which interfacesprotocols sshd will bind toListenAddress ListenAddress 0000ListenAddress 1921681100Protocol 2
[]
Por seguridad se debe desactivar el login como root en esta configuracioacuten para adquirir los privilegios del root se debe hacer un login usuario normal y despueacutes adquirir los privilegios de root De este modo prevenimos que el password del root sea objeto de un ataque
[]
AuthenticationLoginGraceTime 120PermitRootLogin no
StrictModes yes
[]
Tambieacuten se debe verificar que no sean permitidos los logins con contrasentildeas vaciacuteas
[]
To enable empty passwords change to yes (NOT RECOMMENDED)PermitEmptyPasswords no
[]
Reiniciar el servicio
rootserver~ etcinitdssh restart
Verificacioacuten
Clientes Linux
Debe ser posible establecer una conexioacuten ssh a la direccioacuten 1921681100
La primera vez que la conexioacuten se efectuacutee eacutesta debe ser confirmada porque el servidor no estaacute registrado en la lista de los sistemas conocidos por el cliente
fribeirolaptop~$ ssh 1921681100The authenticity of host 1921681100 (1921681100) cant be establishedRSA key fingerprint is ee16b0c91befb464e18680f4369f0803Are you sure you want to continue connecting (yesno) yesWarning Permanently added 1921681100 (RSA) to the list of known hostsfribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable law
fribeiroserver~$ logoutConnection to 1921681100 closedfribeirolaptop~$
Las conexiones con el login root no seraacuten aceptadas
fribeirolaptop~$ ssh -l root 1921681100root1921681100s passwordPermission denied please try againroot1921681100s passwordPermission denied please try again
root1921681100s passwordPermission denied (publickeypassword)
Clientes Windows
El acceso a partir de clientes Windows es posible con un programa emulador del terminal que soporte ssh como Putty
Obtener privilegios de root
Como el login como root estaacute desactivado la manera de obtener privilegios de root en una conexioacuten ssh es a traveacutes de un usuario comuacuten que escala privilegios con el comando su
fribeirolaptop~$ ssh 1921681100fribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable lawLast login Wed Oct 27 110121 2010 from laptophomelanfribeiroserver~$ su - rootPasswordrootserver~
Referencias
Debian Reference 69 The remote access server and utility (SSH)
(
httpwwwdebianorgdocmanualsreferencech06enhtml_the_remote_access_se
rver_and_utility_ssh)
OpenSSH (httpwwwopensshcom)
Reloj del sistemaEn un servidor es fundamental asegurarse de que el reloj del sistema funcione correctamente No soacutelo porque varios servicios dependan del reloj sino tambieacuten porque el reloj puede ser utilizado para sincronizar y poner en punto a los demaacutes equipos
Fecha hora y huso horario
Objetivo
Poner en punto el reloj y la fecha del sistema
Configuracioacuten
Fuso horario
Es imperativo configurar adecuadamente el huso horario correspondiente al servidor La informacioacuten sobre el huso horario se encuentra en el archivo etctimezoney puede ser consultada con el comando cat
rootserver~ cat etctimezoneEuropeLisbon
Para configurar el huso horario se utiliza el comando dpkg-reconfigure tzdata y se escoge la zona correcta en el menuacute interactivo
rootserver~ dpkg-reconfigure tzdata
Un diaacutelogo permite seleccionar la regioacuten geograacutefica
En seguida puede sentildealarse la regioacuten o el paiacutes donde el servidor se encuentra fiacutesicamente localizado
Luego el resultado queda registrado asiacute
Current default time zone EuropeLisbonLocal time is now Wed Oct 27 115426 WEST 2010Universal Time is now Wed Oct 27 105426 UTC 2010
Fecha yhora
El comando date muestra la fecha actual del sistema
rootserver~ dateWed Oct 27 120057 WEST 2010
El comando date tambieacuten permite poner en punto la hora del sistema manualmente Para esto se utiliza la sintaxis reducida ldquodate MMDDhhmmrdquo
rootserver~ date 10271201Wed Oct 27 120100 WEST 2010
Protocolo NTP
El protocolo NTP (Network Time Protocol) se utiliza para mantener en punto el reloj del sistema sincronizaacutendolo a partir de una red de servidores NTP a traveacutes de Internet
Objetivo
Utilizar la red de servidores NTP para poner en punto el reloj de sistema
Instalacioacutenrootserver~ aptitude install ntpdate ntp-doc
Utilizacioacuten
En primer lugar se debe verificar que el huso horario del sistema esteacute definido de forma correcta
Despueacutes se puede poner en punto el reloj del sistema teniendo como referencia uno de los servidores NTP
rootserver~ ntpdate -u poolntporg28 Oct 120917 ntpdate[2493] adjust time server 1941179136 offset -0030742 sec
Servidor NTP
Objetivo
El protocolo NTP se usa para mantener en punto el reloj del sistema Esto es posible gracias a su sincronizacioacuten con otros servidores NTP viacutea internet
Instalacioacutenrootserver~ aptitude install ntp ntp-doc
Configuracioacuten
Verificar la configuracioacuten del fuso horario y de la fecha y hora del sistema
Verificacioacuten
El comando ntpq -p permite verificar cuaacuteles son los servidores NTP a los que estamos conectados Los + e - indican respectivamente conexiones exitosas sincronizaciones en curso y servidores poco confiablesEsto puede demorar algunos minutos hasta que aparezca la lista y hasta 30 minutos para que ocurra la primera correccioacuten
rootserver~ ntpq -p remote refid st t when poll reach delay offset jitter==============================================================================+ns4lerfjhaxco 1986022240 2 u 20 64 1 157121 -20776 20808-ns1vibiteu 195131153 3 u 19 64 1 80428 25345 908168681878cus 1924324418 2 u 18 64 1 144241 -3047 3650+nagiosrack911 128138188172 2 u 17 64 1 159292 -4013 9109
El servidor NTP estaacute listo para ser utilizado
Utilizacioacuten
Para poner en punto la hora y fecha de un sistema cliente es suficiente con usar el comando ntpdate (ver Protocolo NTP) indicando la direccioacutenate del servidor
rootlaptop~ ntpdate -u 1921681100 4 Feb 223801 ntpdate[15071] adjust time server 1921681100 offset -0027193 sec
Servidor de Intranet
Una vez terminada la configuracioacuten de base del servidor es hora de expandir su funcionalidad para que pueda proveer un conjunto de servicios para la red interna
DNS
DNS es la sigla inglesa de Domain Name System (Sistema de Nombres de Dominios) Este sistema correlaciona el nombre de una paacutegina electroacutenica con una direccioacuten IP y viceversa Por ejemplo gracias al DNS sabemos que el servidor ldquowwwdebianorgrdquo tiene la direccioacuten IP ldquo21312923218rdquo y viceversa
El protocolo DNS
Sistema de Nombres de Dominios
Siempre que se utiliza un nombre para designar a un servidor como sucede con wwwdebianorg eacuteste debe traducirse en la forma de una direccioacuten IP uacutenica del mismo servidor Este proceso se conoce como resolucioacuten y es efectuado gracias al Domain Name System (DNS) (o en espantildeol Sistema de Nombres de Dominios)
Este sistema estaacute constituido por una red global de servidores organizados en un aacuterbol donde cada servidor contiene una tabla de asociaciones entre los nombres de los servidores y sus respectivas direcciones IP
Coacutemo funciona el DNS
Supongamos que se pretende contactar el servidor wwwgooglecom El sistema iniciaraacute una serie de contactos entre otros sistemas diversos para encontrar cuaacutel es la direccioacuten asociada a la direccioacuten pretendida
Una versioacuten muy simplificada seriacutea la siguiente posiblemente el sistema tendraacute que contactar a su servidor de DNS que a su vez contactaraacute los servidores DNS de tope para indagar acerca del dominio ldquogoogleconrdquo y enseguida contactar el servidor DNS de google para saber la direccioacuten IP de wwwgooglecom
Aunque cada investigacioacuten o resolucioacuten tarda soacutelo milisegundos la visualizacioacuten de una paacutegina web en un browser puede resultar bastante penalizada por este proceso Especialmente cuando es posible que varios elementos de la paacutegina esteacuten alojados en diversos servidores cuyas direcciones deban ser resueltas individualmente
Cache DNS
Objetivo
Aunque las direcciones Internet tengan nombres ldquolegiblesrdquo (wwwgooglecom) eacutestos deben ser traducidos a la direccioacuten IP (21312923218) del respectivo servidor Esa conversioacuten es efectuada realizando una buacutesqueda en el DNS (Domain Name System)
Una cache DNS guardia localmente los resultados de esa buacutesqueda para utilizacioacuten futura evitando la repeticioacuten de buacutesquedas y aumentando draacutesticamente la velocidad de respuesta
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La configuracioacuten generada durante la instalacioacuten es perfectamente funcional no requiere modificaciones Sin embargo vamos personalizar la instalacioacuten en 2 aspectos principales vamos a definir a cuaacuteles servidores consultaraacute el nuestro para pedir ayuda en la resolucioacuten de nombres si no es posible hacer esto localmente (forwarders) y vamos a fortalecer algunos aspectos de seguridad
Como forwarders podemos optar por varias hipoacutetesis una es utilizar los servidores DNS de nuestro proveedor de acceso a Internet
Otra posibilidad muy interesante es utilizar uno de los diversos servicios puacuteblicos de DNS disponibles en la actualidad como
OpenDNS (httpwwwopendnscom)
Google Public DNS (httpcodegooglecomspeedpublic-dns)
Estos servicios prometen suministrar no soacutelo resoluciones maacutes raacutepidas sino tambieacuten diversos servicios adicionales de seguridad como filtros de direcciones maliciosos y otros maacutes
En este caso utilizaremos los servidores OpenDNS (httpwwwopendnscom) Para tener otra opcioacuten tambieacuten se antildeadiraacute el del router ADSL
Por seguridad soacutelo seraacuten recibidas conexiones por la interfaz local o por la destinada a la red interna (listen-on 127001 1921681100 ) Asiacute mismo soacutelo seraacuten contestados los pedidos de resolucioacuten que partan del propio puesto o de la red interna (allow-query 127001 1921681024 ) Todos los otros pedidos seraacuten ignorados para evitar eventuales utilizaciones abusivas de nuestro servidor DNS por parte de terceros
La configuracioacuten estaacute guardada en el archivo etcbindnamedconfoptions
options directory varcachebind
If there is a firewall between you and nameservers you want to talk to you may need to fix the firewall to allow multiple ports to talk See httpwwwkbcertorgvulsid800113
If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all-0s placeholder
forwarders OpenDNS servers 20867222222 20867220220
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
En este ejemplo el nombre routerfirewall seraacute gatewayhomelan y el enderezo IP seraacute 19216811
El servidor
El servidor Debian al estar integrado a la red interna estaacute protegido de accesos indiscriminados e indeseados que provengan de la internet
El servidor tambieacuten requiere una direccioacuten IP estaacutetica de modo que pueda ser faacutecilmente accesible para los dispositivos restantes de la red Entre otras tareas el servidor podraacute atribuir de forma automaacutetica las direcciones IP a los clientes asiacute como indicar el acceso a Internet a traveacutes del gateway
En este ejemplo el nombre del servidor es serverhomelan y la direccioacuten IP es 1921681100
Los clientes
Los clientes seraacuten todos los dispositivos ligados a la red interna Su configuracioacuten seraacute gestionada por los varios servicios que ofrezca el servidor El acceso al exterior es hecho exclusivamente a traveacutes del gateway lo que resulta en un ambiente seguro y protegido de eventuales accesos externos mal intencionados
Direccioacuten IP estaacutetica
Objetivo
La instalacioacuten de Debian configura automaacuteticamente la red para obtener una direccioacuten dinaacutemica viacutea DHCP Sin embargo para que el sistema esteacute configurado como servidor eacuteste debe tener una direccioacuten IP estaacutetica
Nuestro objetivo es configurar la interfaz de red eth0 con una direccioacuten IP estaacutetica 1921681100 Tambieacuten es necesario indicar la direccioacuten del dispositivo de acceso a Internet el gateway (19216811) En una configuracioacuten casera este seraacute la direccioacuten estaacutetica del router ADSL
Configuracioacuten
La configuracioacuten de las interfaces de red estaacute guardada en el archivo etcnetworkinterfaces
This file describes the network interfaces available on your system and how to activate them For more information see interfaces(5)
The loopback network interfaceauto loiface lo inet loopback
The primary network interface allow-hotplug eth0 iface eth0 inet dhcp
Static IP addressauto eth0iface eth0 inet static address 1921681100 netmask 2552552550 network 19216810 broadcast 1921681255 gateway 19216811
nameserver 20048225130
Tambieacuten es necesario indicar la direccioacuten del servidor DNS En esta configuracioacuten el servidor DNS funciona en el routermodem ADSL por lo que el paraacutemetro para nameserver debe tener el valor 19216811 en el archivoetcresolvconf
domain localdomainsearch localdomainnameserver 19216811
Ahora debe reiniciarse la interfaz de red para activar la nueva configuracioacuten
rootserver~ ifdown eth0rootserver~ ifup eth0
Verificacioacuten
El comando ifconfig suministra informacioacuten detallada sobre la configuracioacuten de las interfaces de red La configuracioacuten de la interfaz eth0 debe exhibir los paraacutemetros previamente definidos
rootserver~ ifconfigeth0 Link encapEthernet HWaddr 080027844cb2 inet addr1921681100 Bcast1921681255 Mask2552552550 inet6 addr fe80a0027fffe844cb264 ScopeLink UP BROADCAST RUNNING MULTICAST MTU1500 Metric1 RX packets32 errors0 dropped0 overruns0 frame0 TX packets68 errors0 dropped0 overruns0 carrier0 collisions0 txqueuelen1000 RX bytes5657 (55 KiB) TX bytes9091 (88 KiB)
lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost UP LOOPBACK RUNNING MTU16436 Metric1
RX packets0 errors0 dropped0 overruns0 frame0 TX packets0 errors0 dropped0 overruns0 carrier0 collisions0 txqueuelen0 RX bytes0 (00 B) TX bytes0 (00 B)
Tambieacuten debe ser posible contactar a servidores en la Internet
rootserver~ ping -c3 wwwdebianorgPING wwwdebianorg (20612197) 56(84) bytes of data64 bytes from bellinidebianorg (20612197) icmp_seq=1 ttl=43 time=188 ms64 bytes from bellinidebianorg (20612197) icmp_seq=2 ttl=43 time=190 ms64 bytes from bellinidebianorg (20612197) icmp_seq=3 ttl=43 time=185 ms
--- wwwdebianorg ping statistics ---3 packets transmitted 3 received 0 packet loss time 2005msrtt minavgmaxmdev = 1858081882171901081793 ms
Nombre del sistema
Objectivo
Despueacutes de la instalacioacuten del sistema su nombre puede ser alterado
Configuracioacuten
El nombre del sistema o hostname estaacute guardado en el archivo etchostname Este archivo debe contar soacutelo con el nombre del sistema y no con el nombre completo del dominio
server
El nombre debe ser atribuido al sistema a partir del archivo recieacuten creado
rootserver~ hostname -F etchostname
Finalmente el nombre del servidor debe ser asociado a un nombre completo de dominio y a una direccioacuten IP en el archivo etchosts
127001 localhost1921681100 serverhomelan server
The following lines are desirable for IPv6 capable hosts1 localhost ip6-localhost ip6-loopbackfe000 ip6-localnetff000 ip6-mcastprefixff021 ip6-allnodesff022 ip6-allrouters
Verificacioacutenrootserver~ hostname --shortserverrootserver~ hostname --domainhomelanrootserver~ hostname --fqdnserverhomelanrootserver~ hostname --ip-address1921681100
SoftwareGestor de paquetes aptitude
Uno de los puntos fuertes de la distribucioacuten Debian es su gestor de paquetes apt y su interfaz aptitude La gestioacuten de las actualizaciones y las instalaciones de software se realiza con la ayuda de este poderoso y amigable gestor de paquetes Con aptitude es posible por ejemplo actualizar todo un sistema con apenas un par de comandos
NotaLas versiones maacutes antiguas de Debian utilizaban el gestor de paquetes apt Las versiones actuales de Debian utilizan el gestor aptitude que aunque sea un front-end del apt tiene ventajas notorias como el hecho de mantener un registro (log) de las acciones efectuadas lo que permite remover paquetes de una forma maacutes lsquolimpiarsquo Para mayor comodidad a continuacioacuten encontraraacute una lista con los comandos de aptitude y sus equivalentes en apt Pero se advierte que en esta guiacutea preferimos la utilizacioacuten de aptitude
Guiacutea raacutepida del aptitude
Actualizacioacuten de la lista de paquetesaptitude update
Actualiza la lista de paquetes existente en los repositorios Este debe ser el primer mando a ejecutar cuando se pretende gestionar paquetes (es equivalente a apt-get update)
Instalacioacuten de paquetesaptitude install ltpaquetegt
Instala un paquete de software y todos los paquetes de que depende Es posible instalar varios paquetes a la vez usando esta sintaxis aptitude install paquete1 paquete2 paquete3 (es equivalente a apt-get install ltpaquetegt)
aptitude reinstall ltpaquetegtRe-instala un paquete sustituyendo los archivos Bastante uacutetil cuando se quiere reponer archivos que hayan sido alterados (es equivalente a apt-get install mdashreinstall ltpaquetegt)
Actualizacioacuten de sistemaaptitude safe-upgrade
Instala todas a actualizaciones disponibles procediendo agrave instalacioacuten de paquetes para satisfacer todas las dependencias (Equivalente a apt-get -u upgrade)
aptitude full-upgradeInstala todas las actualizaciones disponibles procediendo a la instalacioacuten o eliminacioacuten de paquetes para satisfacer todas las dependencias (es equivalente a apt-get -u dist-upgrade)
Desinstalacioacuten y eliminacioacuten de paquetesaptitude remove ltpaquetegt
Desinstala un paquete pero mantiene los archivos de instalacioacuten del paquete Es posible desinstalar varios paquetes a la vez usando la sintaxis apt-get remove paquete1 paquete2 paquete3 (es equivalente a apt-get remove ltpacotegt)
aptitude purge ltpaquetegtElimina por completo un paquete incluyendo los ficheros de instalacioacuten (es equivalente a apt-get remove mdashpurge ltpaquetegt)
Buacutesqueda de paquetesaptitude search ltcriteacuteriogt
Busca en la lista de paquetes y muestra las coincidencias de criterio (es equivalente a apt-cache search ltcriteacuteriogt)
Informaciones sobre paquetesaptitude show ltpaquetegt
Muestra informaciones acerca de los paquetes (es equivalente a apt-cache show ltpaquetegt)
Limpiar la cache de paquetesaptitude clean
Elimina todos los archivos de paquetes existentes en cache (es equivalente a apt-cache clean)
aptitude autocleanElimina los archivos de paquetes de versiones pasadas existentes en cache pero mantiene los paquetes de versiones actualizados (es equivalente a apt-cache autoclean)
Por seguridad actualizar con frecuencia
Es imprescindible que el servidor esteacute siempre al diacutea con sus actualizaciones La comunidad debian estaacute actualizando constantemente el software para corregir bugs y fallos de seguridad Un sistema no actualizado es una invitacioacuten abierta para los hackers y los crackers La mejor fuente para buscar software actualizado es internet Se deben escoger
criteriosamente las fuentes de software o repositoacuterios y proceder con actualizaciones frecuentes
Es tambieacuten importante seguir de cerca todas las informaciones referentes a bugs (conflictos o problemas que producen algunos paquetes) y fallos de seguridad asiacute como estar atentos a cuaacutel es la mejor manera de corregir esto La distribucioacuten edita listas con los anuncios de seguridad y con sus respectivas correcciones en la paacutegina de la distribucioacuten o si prefiere en las listas de distribucioacuten
Actualizaciones
Objetivo
Para garantizar que el sistema tenga las versiones de software y correcciones de seguridad maacutes recientes las actualizaciones deben ser hechas con regularidad La actualizacioacuten del software se hace en dos etapas primero se actualiza lista de software disponible en los repositorios y segundo se instalan las eventuales actualizaciones Ambas operaciones son hechas utilizando el comando aptitude con diferentes opciones
Actualizacioacuten de los repositorios
La actualizacioacuten de la lista de software disponible en los repositorios es muy faacutecil
rootserver~ aptitude updateGet1 httpftpptdebianorg squeeze Releasegpg [835 B]Ign httpftpptdebianorgdebian squeezemain Translation-enIgn httpftpptdebianorgdebian squeezemain Translation-en_USGet2 httpftpptdebianorg squeeze Release [899 kB]Get3 httpsecuritydebianorg squeezeupdates Releasegpg [835 B]Get4 httpftpptdebianorg squeezemain amd64 PackagesDiffIndex [2038 B]Ign httpsecuritydebianorg squeezeupdatesmain Translation-enIgn httpsecuritydebianorg squeezeupdatesmain Translation-en_USGet5 httpsecuritydebianorg squeezeupdates Release [446 kB]Get6 httpftpptdebianorg squeezemain amd64 2010-10-22-025649pdiff [101 kB]Get7 httpftpptdebianorg squeezemain amd64 2010-10-22-025649pdiff [101 kB]Get8 httpftpptdebianorg squeezemain amd64 2010-10-22-025649pdiff [101 kB]Get9 httpsecuritydebianorg squeezeupdatesmain amd64 Packages [563 kB]Get10 httpftpptdebianorg squeezemain amd64 2010-10-22-152442pdiff [8117 B]Get11 httpftpptdebianorg squeezemain amd64 2010-10-22-152442pdiff [8117 B]Get12 httpftpptdebianorg squeezemain amd64 2010-10-22-152442pdiff [8117 B]Fetched 215 kB in 3s (710 kBs)
Current status 5 updates [+5]
En este ejemplo se encuentran disponibles 5 actualizaciones para el software instalado
Instalacioacuten de las actualizaciones
La instalacioacuten de las actualizaciones es tambieacuten muy faacutecil
rootserver~ aptitude safe-upgradeThe following packages will be upgraded libc-bin libc6 locales tasksel tasksel-data5 packages upgraded 0 newly installed 0 to remove and 0 not upgradedNeed to get 9776 kB of archives After unpacking 176 kB will be freedDo you want to continue [Yn] yGet1 httpftpptdebianorgdebian squeezemain tasksel-data all 284 [105 kB]Get2 httpftpptdebianorgdebian squeezemain tasksel all 284 [872 kB]Get3 httpsecuritydebianorg squeezeupdatesmain libc-bin amd64 2112-6+squeeze1 [745 kB]Get4 httpsecuritydebianorg squeezeupdatesmain libc6 amd64 2112-6+squeeze1 [4143 kB]Get5 httpsecuritydebianorg squeezeupdatesmain locales all 2112-6+squeeze1 [4697 kB]Fetched 9776 kB in 20s (480 kBs)Preconfiguring packages (Reading database 16181 files and directories currently installed)Preparing to replace libc-bin 2112-6 (using libc-bin_2112-6+squeeze1_amd64deb) Unpacking replacement libc-bin Processing triggers for man-db Setting up libc-bin (2112-6+squeeze1) (Reading database 16181 files and directories currently installed)Preparing to replace libc6 2112-6 (using libc6_2112-6+squeeze1_amd64deb) Unpacking replacement libc6 Setting up libc6 (2112-6+squeeze1) (Reading database 16181 files and directories currently installed)Preparing to replace tasksel-data 282 (using tasksel-data_284_alldeb) Unpacking replacement tasksel-data Preparing to replace tasksel 282 (using archivestasksel_284_alldeb) Unpacking replacement tasksel Preparing to replace locales 2112-6 (using locales_2112-6+squeeze1_alldeb) Unpacking replacement locales Processing triggers for man-db Setting up locales (2112-6+squeeze1) Generating locales (this might take a while) en_USUTF-8 doneGeneration completeSetting up tasksel-data (284) Setting up tasksel (284)
Current status 0 updates [-5]
En este ejemplo se actualizaron 5 paquetes Ahora tenemos el sistema al diacutea con sus actualizaciones
NOTAEs muy importante actualizar el sistema con frecuencia De esta forma se puede garantizar que el sistema siempre tenga las correcciones maacutes recientes a los bugs que puedan aparecer y las actualizaciones de seguridad que se requieran
Repositorios
Objetivo
Ademaacutes del repositorio de software principal de Debian o main configurado durante la instalacioacuten existen otros repositorios que por diversas razones no son incluidos durante la instalacioacuten Sin embargo estos pueden ser incluidos en cualquier momento
Lista de repositorios
Para facilitar la instalacioacuten de algunos paquetes de software se deben antildeadir algunos repositorios a la lista existente expresamente los repositorios contrib y non-free
Tambieacuten como no vamos a compilar paquetes a partir de las fuentes se sugiere desactiva o comentar sus referencias (deb-src) Desactivar o comentar una liacutenea consiste en escribir el signo al principio de la liacutenea que se quiera intervenir como se ve en el ejemplo
La lista de repositorios se encuentra en el archivo de configuracioacuten etcaptsourceslist
deb cdrom[Debian GNULinux 600 _Squeeze_ - Official amd64 NETINST Binary-1 20110205-1431] squeeze main
deb cdrom[Debian GNULinux 600 _Squeeze_ - Official amd64 NETINST Binary-1 20110205-1431] squeeze main
deb httpftpptdebianorgdebian squeeze main contrib non-freedeb-src httpftpptdebianorgdebian squeeze main
deb httpsecuritydebianorg squeezeupdates main contrib non-freedeb-src httpsecuritydebianorg squeezeupdates main
deb httpftpptdebianorgdebian squeeze-updates main contrib non-freedeb-src httpftpptdebianorgdebian squeeze-updates main
Aqui otroa repositorios oficiales
Repositorios oficiales
deb httpftpfrdebianorgdebian squeeze main contrib non-freedeb-src httpftpfrdebianorgdebian squeeze main contrib non-free
Line commented out by installer because it failed to verify
Skypedeb httpdownloadskypecomlinuxreposdebian stable non-free
Repositorios de seguridaddeb httpsecuritydebianorg squeezeupdates main contrib Line commented out by installer because it failed to verifydeb-src httpsecuritydebianorg squeezeupdates main contrib
Repositorios multimediadeb httpwwwdebian-multimediaorg squeeze main non-freedeb-src httpwwwdebian-multimediaorg squeeze main non-free
Line commented out by installer because it failed to verifydeb volatiledebianorg squeeze-updates main contrib Line commented out by installer because it failed to verifydeb-src volatiledebianorg squeeze-updates main contrib
Actualizar la lista local de paquetes con los nuevos repositorios
rootserver~ aptitude updateHit httpftpptdebianorg squeeze ReleasegpgIgn httpftpptdebianorgdebian squeezecontrib Translation-enIgn httpftpptdebianorgdebian squeezecontrib Translation-en_USIgn httpftpptdebianorgdebian squeezemain Translation-enIgn httpftpptdebianorgdebian squeezemain Translation-en_USIgn httpftpptdebianorgdebian squeezenon-free Translation-enIgn httpftpptdebianorgdebian squeezenon-free Translation-en_USHit httpftpptdebianorg squeeze-updates ReleasegpgIgn httpftpptdebianorgdebian squeeze-updatescontrib Translation-enIgn httpftpptdebianorgdebian squeeze-updatescontrib Translation-en_USIgn httpftpptdebianorgdebian squeeze-updatesmain Translation-enIgn httpftpptdebianorgdebian squeeze-updatesmain Translation-en_USIgn httpftpptdebianorgdebian squeeze-updatesnon-free Translation-enIgn httpftpptdebianorgdebian squeeze-updatesnon-free Translation-en_USHit httpftpptdebianorg squeeze ReleaseHit httpftpptdebianorg squeeze-updates ReleaseHit httpsecuritydebianorg squeezeupdates ReleasegpgIgn httpsecuritydebianorg squeezeupdatescontrib Translation-enIgn httpsecuritydebianorg squeezeupdatescontrib Translation-en_USIgn httpsecuritydebianorg squeezeupdatesmain Translation-enIgn httpsecuritydebianorg squeezeupdatesmain Translation-en_USIgn httpsecuritydebianorg squeezeupdatesnon-free Translation-enIgn httpsecuritydebianorg squeezeupdatesnon-free Translation-en_USHit httpftpptdebianorg squeezemain amd64 PackagesHit httpsecuritydebianorg squeezeupdates Release
Get1 httpftpptdebianorg squeezecontrib amd64 Packages [641 kB]Hit httpsecuritydebianorg squeezeupdatesmain amd64 PackagesGet2 httpftpptdebianorg squeezenon-free amd64 Packages [124 kB]Get3 httpsecuritydebianorg squeezeupdatescontrib amd64 Packages [20 B]Get4 httpsecuritydebianorg squeezeupdatesnon-free amd64 Packages [20 B]Hit httpftpptdebianorg squeeze-updatesmain amd64 PackagesGet5 httpftpptdebianorg squeeze-updatescontrib amd64 Packages [20 B]Get6 httpftpptdebianorg squeeze-updatesnon-free amd64 Packages [20 B]Fetched 188 kB in 0s (252 kBs)
Current status 566 new [+566]
Utilizando un proxy
En algunos casos es necesario acceder a la internet a traveacutes de un proxy En aptitude puede ser configurado para usar el proxy El aptitude puede ser configurado para usar el proxy Para esto existen dos meacutetodos posibles
Definir una variable de ambiente http_proxy o ftp_poxy que tenga como valor a la
URL del servidor proxy aptitude tendraacute en cuenta esta variable cuando se conecte a
Internet
rootserver~ export http_proxy=httpproxyexamplecom3128
Incluir las definiciones del proxy en la configuracioacuten de aptitude Para indicar el
proxy a utilizar deberaacute editar o crear el archivo etcaptaptconf
AcquirehttpProxy httpproxyexamplecom3128
El formato de la URL de un proxy es http[[user][pass]]xxxxxxxxxxxx[port] donde
userpassnombre del usuario y contrasentildea si el proxy requiere autenticacioacuten yo autorizacioacuten
xxxxxxxxxxxxdireccioacuten o nombre del servidor proxy
portpuerto de conexioacuten al servicio deproxy
Notificacioacuten de actualizaciones apticron
Objetivo
Para garantizar que un sistema pueda ser actualizado lo mejor es estar informado de las actualizaciones disponibles Apticron es un programa que se ejecuta diariamente de forma
automaacutetica verifica las actualizaciones disponibles para nuestro sistema y luego informa al administrador por e-mail
NOTAEl paquete apticron depende de la instalacioacuten de un agente de transporte de e-mail o MTA (Mail Transfer Agent) Por tanto es necesario instalar primero un Servidor SMTP antes de proceder a la instalacioacuten de apticron
Instalacioacutenrootserver~ aptitude install apticron
Resultado
Siempre que haya una actualizacioacuten disponible para nuestro sistema seraacute enviado un e-mail al administrador del sistema
Date Wed 16 Feb 2011 190548 +0000To roothomelanSubject 2 Debian package update(s) for serverhomelan From roothomelan (root)
apticron report [Wed 16 Feb 2011 190547 +0000]========================================================================
apticron has detected that some packages need upgrading on
serverhomelan [ 1921681100 ]
The following packages are currently pending an upgrade
login 14142+svn3283-2+squeeze1 passwd 14142+svn3283-2+squeeze1
========================================================================
Package Details
Reading changelogs--- Changes for shadow (login passwd) ---shadow (14142+svn3283-2+squeeze1) stable-security urgency=high
The Tomanoix release debianpatches300_CVE-2011-0721 Fix insufficient input sanitation leading to possible user or group creation in NIS environments
-- Nicolas FRANCOIS (Nekral) ltnicolasfrancoiscentraliensnetgt Sun 13 Feb 2011 220228 +0100
========================================================================
You can perform the upgrade by issuing the command
aptitude full-upgrade
as root on serverhomelan
--apticron
El administrador podraacute entonces actualizar sus sistema con el comando aptitude full-upgrade
Acceso RemotoEn principio no debe accederse fiacutesicamente a un servidor a no ser por razones excepcionales (como la actualizacioacuten o la reparacioacuten de hardware por ejemplo) La mejor manera de gestionar un servidor es remotamente Sin embargo este acceso deber ser hecho de una manera segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo ssh
La regla general indica que no se debe acceder fiacutesicamente a un servidor a no ser por razones excepcionales La mejor manera de gestionar un servidor es con un acceso remoto Pero el acceso remoto debe ser hecho de forma segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo SSH
Es la solucioacuten para garantizar conexiones remotas seguras ssh es un protocolo de comunicaciones que encripta los datos intercambiados haciendo virtualmente imposible la violacioacuten de la privacidad de la comunicacioacuten El acroacutenimo ssh viene del ingleacutes Secure SHell
El protocolo ssh es muy versaacutetil cuenta con un software cliente que posibilita el acceso a la liacutenea de comandos la transferencia de archivos y la creacioacuten de tuacuteneles seguros con soportes de comunicaciones para otros protocolos
Clientes SSH
Los clientes ssh se dividen en dos grupos
Terminal SSHEs un emulador de terminal que permite acceder de forma remota a la liacutenea de comandos utilizando el protocolo SSH
Cliente SFTPSe trata de un cliente para transferencia de archivos que utiliza el Protocolo de Transferencia Segura de Archivos Su sigla indica en ingleacutes (Secure File Transfer Protocol (SFTP))
Clientes Linuxopenssh-client
este software ofrece utilidades para acceso remoto (cliente ssh) copia de seguridad de archivos (scp) y transferencia segura de archivos (sftp) entre otras
FileZillaCliente SFTP
Clientes WindowsPuTTY
Terminal SSHWinSCP
Cliente SFTPFileZilla
Cliente SFTP
Servidor ssh
Instalacioacutenrootserver~ aptitude install openssh-server openssh-client
Configuracioacuten
Todas las configuraciones del servidor ssh se encuentran en el archivo etcsshsshd_config
Para configurar el servidor debe indicarse las direcciones donde el servicio debe responder En este caso seraacuten conexiones ligadas a la direccioacuten 1921681100 a traveacutes del puerto 22 y utilizando la versioacuten 2 del protocolo ssh
Package generated configuration file See the sshd_config(5) manpage for details
What ports IPs and protocols we listen forPort 22 Use these options to restrict which interfacesprotocols sshd will bind toListenAddress ListenAddress 0000ListenAddress 1921681100Protocol 2
[]
Por seguridad se debe desactivar el login como root en esta configuracioacuten para adquirir los privilegios del root se debe hacer un login usuario normal y despueacutes adquirir los privilegios de root De este modo prevenimos que el password del root sea objeto de un ataque
[]
AuthenticationLoginGraceTime 120PermitRootLogin no
StrictModes yes
[]
Tambieacuten se debe verificar que no sean permitidos los logins con contrasentildeas vaciacuteas
[]
To enable empty passwords change to yes (NOT RECOMMENDED)PermitEmptyPasswords no
[]
Reiniciar el servicio
rootserver~ etcinitdssh restart
Verificacioacuten
Clientes Linux
Debe ser posible establecer una conexioacuten ssh a la direccioacuten 1921681100
La primera vez que la conexioacuten se efectuacutee eacutesta debe ser confirmada porque el servidor no estaacute registrado en la lista de los sistemas conocidos por el cliente
fribeirolaptop~$ ssh 1921681100The authenticity of host 1921681100 (1921681100) cant be establishedRSA key fingerprint is ee16b0c91befb464e18680f4369f0803Are you sure you want to continue connecting (yesno) yesWarning Permanently added 1921681100 (RSA) to the list of known hostsfribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable law
fribeiroserver~$ logoutConnection to 1921681100 closedfribeirolaptop~$
Las conexiones con el login root no seraacuten aceptadas
fribeirolaptop~$ ssh -l root 1921681100root1921681100s passwordPermission denied please try againroot1921681100s passwordPermission denied please try again
root1921681100s passwordPermission denied (publickeypassword)
Clientes Windows
El acceso a partir de clientes Windows es posible con un programa emulador del terminal que soporte ssh como Putty
Obtener privilegios de root
Como el login como root estaacute desactivado la manera de obtener privilegios de root en una conexioacuten ssh es a traveacutes de un usuario comuacuten que escala privilegios con el comando su
fribeirolaptop~$ ssh 1921681100fribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable lawLast login Wed Oct 27 110121 2010 from laptophomelanfribeiroserver~$ su - rootPasswordrootserver~
Referencias
Debian Reference 69 The remote access server and utility (SSH)
(
httpwwwdebianorgdocmanualsreferencech06enhtml_the_remote_access_se
rver_and_utility_ssh)
OpenSSH (httpwwwopensshcom)
Reloj del sistemaEn un servidor es fundamental asegurarse de que el reloj del sistema funcione correctamente No soacutelo porque varios servicios dependan del reloj sino tambieacuten porque el reloj puede ser utilizado para sincronizar y poner en punto a los demaacutes equipos
Fecha hora y huso horario
Objetivo
Poner en punto el reloj y la fecha del sistema
Configuracioacuten
Fuso horario
Es imperativo configurar adecuadamente el huso horario correspondiente al servidor La informacioacuten sobre el huso horario se encuentra en el archivo etctimezoney puede ser consultada con el comando cat
rootserver~ cat etctimezoneEuropeLisbon
Para configurar el huso horario se utiliza el comando dpkg-reconfigure tzdata y se escoge la zona correcta en el menuacute interactivo
rootserver~ dpkg-reconfigure tzdata
Un diaacutelogo permite seleccionar la regioacuten geograacutefica
En seguida puede sentildealarse la regioacuten o el paiacutes donde el servidor se encuentra fiacutesicamente localizado
Luego el resultado queda registrado asiacute
Current default time zone EuropeLisbonLocal time is now Wed Oct 27 115426 WEST 2010Universal Time is now Wed Oct 27 105426 UTC 2010
Fecha yhora
El comando date muestra la fecha actual del sistema
rootserver~ dateWed Oct 27 120057 WEST 2010
El comando date tambieacuten permite poner en punto la hora del sistema manualmente Para esto se utiliza la sintaxis reducida ldquodate MMDDhhmmrdquo
rootserver~ date 10271201Wed Oct 27 120100 WEST 2010
Protocolo NTP
El protocolo NTP (Network Time Protocol) se utiliza para mantener en punto el reloj del sistema sincronizaacutendolo a partir de una red de servidores NTP a traveacutes de Internet
Objetivo
Utilizar la red de servidores NTP para poner en punto el reloj de sistema
Instalacioacutenrootserver~ aptitude install ntpdate ntp-doc
Utilizacioacuten
En primer lugar se debe verificar que el huso horario del sistema esteacute definido de forma correcta
Despueacutes se puede poner en punto el reloj del sistema teniendo como referencia uno de los servidores NTP
rootserver~ ntpdate -u poolntporg28 Oct 120917 ntpdate[2493] adjust time server 1941179136 offset -0030742 sec
Servidor NTP
Objetivo
El protocolo NTP se usa para mantener en punto el reloj del sistema Esto es posible gracias a su sincronizacioacuten con otros servidores NTP viacutea internet
Instalacioacutenrootserver~ aptitude install ntp ntp-doc
Configuracioacuten
Verificar la configuracioacuten del fuso horario y de la fecha y hora del sistema
Verificacioacuten
El comando ntpq -p permite verificar cuaacuteles son los servidores NTP a los que estamos conectados Los + e - indican respectivamente conexiones exitosas sincronizaciones en curso y servidores poco confiablesEsto puede demorar algunos minutos hasta que aparezca la lista y hasta 30 minutos para que ocurra la primera correccioacuten
rootserver~ ntpq -p remote refid st t when poll reach delay offset jitter==============================================================================+ns4lerfjhaxco 1986022240 2 u 20 64 1 157121 -20776 20808-ns1vibiteu 195131153 3 u 19 64 1 80428 25345 908168681878cus 1924324418 2 u 18 64 1 144241 -3047 3650+nagiosrack911 128138188172 2 u 17 64 1 159292 -4013 9109
El servidor NTP estaacute listo para ser utilizado
Utilizacioacuten
Para poner en punto la hora y fecha de un sistema cliente es suficiente con usar el comando ntpdate (ver Protocolo NTP) indicando la direccioacutenate del servidor
rootlaptop~ ntpdate -u 1921681100 4 Feb 223801 ntpdate[15071] adjust time server 1921681100 offset -0027193 sec
Servidor de Intranet
Una vez terminada la configuracioacuten de base del servidor es hora de expandir su funcionalidad para que pueda proveer un conjunto de servicios para la red interna
DNS
DNS es la sigla inglesa de Domain Name System (Sistema de Nombres de Dominios) Este sistema correlaciona el nombre de una paacutegina electroacutenica con una direccioacuten IP y viceversa Por ejemplo gracias al DNS sabemos que el servidor ldquowwwdebianorgrdquo tiene la direccioacuten IP ldquo21312923218rdquo y viceversa
El protocolo DNS
Sistema de Nombres de Dominios
Siempre que se utiliza un nombre para designar a un servidor como sucede con wwwdebianorg eacuteste debe traducirse en la forma de una direccioacuten IP uacutenica del mismo servidor Este proceso se conoce como resolucioacuten y es efectuado gracias al Domain Name System (DNS) (o en espantildeol Sistema de Nombres de Dominios)
Este sistema estaacute constituido por una red global de servidores organizados en un aacuterbol donde cada servidor contiene una tabla de asociaciones entre los nombres de los servidores y sus respectivas direcciones IP
Coacutemo funciona el DNS
Supongamos que se pretende contactar el servidor wwwgooglecom El sistema iniciaraacute una serie de contactos entre otros sistemas diversos para encontrar cuaacutel es la direccioacuten asociada a la direccioacuten pretendida
Una versioacuten muy simplificada seriacutea la siguiente posiblemente el sistema tendraacute que contactar a su servidor de DNS que a su vez contactaraacute los servidores DNS de tope para indagar acerca del dominio ldquogoogleconrdquo y enseguida contactar el servidor DNS de google para saber la direccioacuten IP de wwwgooglecom
Aunque cada investigacioacuten o resolucioacuten tarda soacutelo milisegundos la visualizacioacuten de una paacutegina web en un browser puede resultar bastante penalizada por este proceso Especialmente cuando es posible que varios elementos de la paacutegina esteacuten alojados en diversos servidores cuyas direcciones deban ser resueltas individualmente
Cache DNS
Objetivo
Aunque las direcciones Internet tengan nombres ldquolegiblesrdquo (wwwgooglecom) eacutestos deben ser traducidos a la direccioacuten IP (21312923218) del respectivo servidor Esa conversioacuten es efectuada realizando una buacutesqueda en el DNS (Domain Name System)
Una cache DNS guardia localmente los resultados de esa buacutesqueda para utilizacioacuten futura evitando la repeticioacuten de buacutesquedas y aumentando draacutesticamente la velocidad de respuesta
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La configuracioacuten generada durante la instalacioacuten es perfectamente funcional no requiere modificaciones Sin embargo vamos personalizar la instalacioacuten en 2 aspectos principales vamos a definir a cuaacuteles servidores consultaraacute el nuestro para pedir ayuda en la resolucioacuten de nombres si no es posible hacer esto localmente (forwarders) y vamos a fortalecer algunos aspectos de seguridad
Como forwarders podemos optar por varias hipoacutetesis una es utilizar los servidores DNS de nuestro proveedor de acceso a Internet
Otra posibilidad muy interesante es utilizar uno de los diversos servicios puacuteblicos de DNS disponibles en la actualidad como
OpenDNS (httpwwwopendnscom)
Google Public DNS (httpcodegooglecomspeedpublic-dns)
Estos servicios prometen suministrar no soacutelo resoluciones maacutes raacutepidas sino tambieacuten diversos servicios adicionales de seguridad como filtros de direcciones maliciosos y otros maacutes
En este caso utilizaremos los servidores OpenDNS (httpwwwopendnscom) Para tener otra opcioacuten tambieacuten se antildeadiraacute el del router ADSL
Por seguridad soacutelo seraacuten recibidas conexiones por la interfaz local o por la destinada a la red interna (listen-on 127001 1921681100 ) Asiacute mismo soacutelo seraacuten contestados los pedidos de resolucioacuten que partan del propio puesto o de la red interna (allow-query 127001 1921681024 ) Todos los otros pedidos seraacuten ignorados para evitar eventuales utilizaciones abusivas de nuestro servidor DNS por parte de terceros
La configuracioacuten estaacute guardada en el archivo etcbindnamedconfoptions
options directory varcachebind
If there is a firewall between you and nameservers you want to talk to you may need to fix the firewall to allow multiple ports to talk See httpwwwkbcertorgvulsid800113
If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all-0s placeholder
forwarders OpenDNS servers 20867222222 20867220220
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
The primary network interface allow-hotplug eth0 iface eth0 inet dhcp
Static IP addressauto eth0iface eth0 inet static address 1921681100 netmask 2552552550 network 19216810 broadcast 1921681255 gateway 19216811
nameserver 20048225130
Tambieacuten es necesario indicar la direccioacuten del servidor DNS En esta configuracioacuten el servidor DNS funciona en el routermodem ADSL por lo que el paraacutemetro para nameserver debe tener el valor 19216811 en el archivoetcresolvconf
domain localdomainsearch localdomainnameserver 19216811
Ahora debe reiniciarse la interfaz de red para activar la nueva configuracioacuten
rootserver~ ifdown eth0rootserver~ ifup eth0
Verificacioacuten
El comando ifconfig suministra informacioacuten detallada sobre la configuracioacuten de las interfaces de red La configuracioacuten de la interfaz eth0 debe exhibir los paraacutemetros previamente definidos
rootserver~ ifconfigeth0 Link encapEthernet HWaddr 080027844cb2 inet addr1921681100 Bcast1921681255 Mask2552552550 inet6 addr fe80a0027fffe844cb264 ScopeLink UP BROADCAST RUNNING MULTICAST MTU1500 Metric1 RX packets32 errors0 dropped0 overruns0 frame0 TX packets68 errors0 dropped0 overruns0 carrier0 collisions0 txqueuelen1000 RX bytes5657 (55 KiB) TX bytes9091 (88 KiB)
lo Link encapLocal Loopback inet addr127001 Mask255000 inet6 addr 1128 ScopeHost UP LOOPBACK RUNNING MTU16436 Metric1
RX packets0 errors0 dropped0 overruns0 frame0 TX packets0 errors0 dropped0 overruns0 carrier0 collisions0 txqueuelen0 RX bytes0 (00 B) TX bytes0 (00 B)
Tambieacuten debe ser posible contactar a servidores en la Internet
rootserver~ ping -c3 wwwdebianorgPING wwwdebianorg (20612197) 56(84) bytes of data64 bytes from bellinidebianorg (20612197) icmp_seq=1 ttl=43 time=188 ms64 bytes from bellinidebianorg (20612197) icmp_seq=2 ttl=43 time=190 ms64 bytes from bellinidebianorg (20612197) icmp_seq=3 ttl=43 time=185 ms
--- wwwdebianorg ping statistics ---3 packets transmitted 3 received 0 packet loss time 2005msrtt minavgmaxmdev = 1858081882171901081793 ms
Nombre del sistema
Objectivo
Despueacutes de la instalacioacuten del sistema su nombre puede ser alterado
Configuracioacuten
El nombre del sistema o hostname estaacute guardado en el archivo etchostname Este archivo debe contar soacutelo con el nombre del sistema y no con el nombre completo del dominio
server
El nombre debe ser atribuido al sistema a partir del archivo recieacuten creado
rootserver~ hostname -F etchostname
Finalmente el nombre del servidor debe ser asociado a un nombre completo de dominio y a una direccioacuten IP en el archivo etchosts
127001 localhost1921681100 serverhomelan server
The following lines are desirable for IPv6 capable hosts1 localhost ip6-localhost ip6-loopbackfe000 ip6-localnetff000 ip6-mcastprefixff021 ip6-allnodesff022 ip6-allrouters
Verificacioacutenrootserver~ hostname --shortserverrootserver~ hostname --domainhomelanrootserver~ hostname --fqdnserverhomelanrootserver~ hostname --ip-address1921681100
SoftwareGestor de paquetes aptitude
Uno de los puntos fuertes de la distribucioacuten Debian es su gestor de paquetes apt y su interfaz aptitude La gestioacuten de las actualizaciones y las instalaciones de software se realiza con la ayuda de este poderoso y amigable gestor de paquetes Con aptitude es posible por ejemplo actualizar todo un sistema con apenas un par de comandos
NotaLas versiones maacutes antiguas de Debian utilizaban el gestor de paquetes apt Las versiones actuales de Debian utilizan el gestor aptitude que aunque sea un front-end del apt tiene ventajas notorias como el hecho de mantener un registro (log) de las acciones efectuadas lo que permite remover paquetes de una forma maacutes lsquolimpiarsquo Para mayor comodidad a continuacioacuten encontraraacute una lista con los comandos de aptitude y sus equivalentes en apt Pero se advierte que en esta guiacutea preferimos la utilizacioacuten de aptitude
Guiacutea raacutepida del aptitude
Actualizacioacuten de la lista de paquetesaptitude update
Actualiza la lista de paquetes existente en los repositorios Este debe ser el primer mando a ejecutar cuando se pretende gestionar paquetes (es equivalente a apt-get update)
Instalacioacuten de paquetesaptitude install ltpaquetegt
Instala un paquete de software y todos los paquetes de que depende Es posible instalar varios paquetes a la vez usando esta sintaxis aptitude install paquete1 paquete2 paquete3 (es equivalente a apt-get install ltpaquetegt)
aptitude reinstall ltpaquetegtRe-instala un paquete sustituyendo los archivos Bastante uacutetil cuando se quiere reponer archivos que hayan sido alterados (es equivalente a apt-get install mdashreinstall ltpaquetegt)
Actualizacioacuten de sistemaaptitude safe-upgrade
Instala todas a actualizaciones disponibles procediendo agrave instalacioacuten de paquetes para satisfacer todas las dependencias (Equivalente a apt-get -u upgrade)
aptitude full-upgradeInstala todas las actualizaciones disponibles procediendo a la instalacioacuten o eliminacioacuten de paquetes para satisfacer todas las dependencias (es equivalente a apt-get -u dist-upgrade)
Desinstalacioacuten y eliminacioacuten de paquetesaptitude remove ltpaquetegt
Desinstala un paquete pero mantiene los archivos de instalacioacuten del paquete Es posible desinstalar varios paquetes a la vez usando la sintaxis apt-get remove paquete1 paquete2 paquete3 (es equivalente a apt-get remove ltpacotegt)
aptitude purge ltpaquetegtElimina por completo un paquete incluyendo los ficheros de instalacioacuten (es equivalente a apt-get remove mdashpurge ltpaquetegt)
Buacutesqueda de paquetesaptitude search ltcriteacuteriogt
Busca en la lista de paquetes y muestra las coincidencias de criterio (es equivalente a apt-cache search ltcriteacuteriogt)
Informaciones sobre paquetesaptitude show ltpaquetegt
Muestra informaciones acerca de los paquetes (es equivalente a apt-cache show ltpaquetegt)
Limpiar la cache de paquetesaptitude clean
Elimina todos los archivos de paquetes existentes en cache (es equivalente a apt-cache clean)
aptitude autocleanElimina los archivos de paquetes de versiones pasadas existentes en cache pero mantiene los paquetes de versiones actualizados (es equivalente a apt-cache autoclean)
Por seguridad actualizar con frecuencia
Es imprescindible que el servidor esteacute siempre al diacutea con sus actualizaciones La comunidad debian estaacute actualizando constantemente el software para corregir bugs y fallos de seguridad Un sistema no actualizado es una invitacioacuten abierta para los hackers y los crackers La mejor fuente para buscar software actualizado es internet Se deben escoger
criteriosamente las fuentes de software o repositoacuterios y proceder con actualizaciones frecuentes
Es tambieacuten importante seguir de cerca todas las informaciones referentes a bugs (conflictos o problemas que producen algunos paquetes) y fallos de seguridad asiacute como estar atentos a cuaacutel es la mejor manera de corregir esto La distribucioacuten edita listas con los anuncios de seguridad y con sus respectivas correcciones en la paacutegina de la distribucioacuten o si prefiere en las listas de distribucioacuten
Actualizaciones
Objetivo
Para garantizar que el sistema tenga las versiones de software y correcciones de seguridad maacutes recientes las actualizaciones deben ser hechas con regularidad La actualizacioacuten del software se hace en dos etapas primero se actualiza lista de software disponible en los repositorios y segundo se instalan las eventuales actualizaciones Ambas operaciones son hechas utilizando el comando aptitude con diferentes opciones
Actualizacioacuten de los repositorios
La actualizacioacuten de la lista de software disponible en los repositorios es muy faacutecil
rootserver~ aptitude updateGet1 httpftpptdebianorg squeeze Releasegpg [835 B]Ign httpftpptdebianorgdebian squeezemain Translation-enIgn httpftpptdebianorgdebian squeezemain Translation-en_USGet2 httpftpptdebianorg squeeze Release [899 kB]Get3 httpsecuritydebianorg squeezeupdates Releasegpg [835 B]Get4 httpftpptdebianorg squeezemain amd64 PackagesDiffIndex [2038 B]Ign httpsecuritydebianorg squeezeupdatesmain Translation-enIgn httpsecuritydebianorg squeezeupdatesmain Translation-en_USGet5 httpsecuritydebianorg squeezeupdates Release [446 kB]Get6 httpftpptdebianorg squeezemain amd64 2010-10-22-025649pdiff [101 kB]Get7 httpftpptdebianorg squeezemain amd64 2010-10-22-025649pdiff [101 kB]Get8 httpftpptdebianorg squeezemain amd64 2010-10-22-025649pdiff [101 kB]Get9 httpsecuritydebianorg squeezeupdatesmain amd64 Packages [563 kB]Get10 httpftpptdebianorg squeezemain amd64 2010-10-22-152442pdiff [8117 B]Get11 httpftpptdebianorg squeezemain amd64 2010-10-22-152442pdiff [8117 B]Get12 httpftpptdebianorg squeezemain amd64 2010-10-22-152442pdiff [8117 B]Fetched 215 kB in 3s (710 kBs)
Current status 5 updates [+5]
En este ejemplo se encuentran disponibles 5 actualizaciones para el software instalado
Instalacioacuten de las actualizaciones
La instalacioacuten de las actualizaciones es tambieacuten muy faacutecil
rootserver~ aptitude safe-upgradeThe following packages will be upgraded libc-bin libc6 locales tasksel tasksel-data5 packages upgraded 0 newly installed 0 to remove and 0 not upgradedNeed to get 9776 kB of archives After unpacking 176 kB will be freedDo you want to continue [Yn] yGet1 httpftpptdebianorgdebian squeezemain tasksel-data all 284 [105 kB]Get2 httpftpptdebianorgdebian squeezemain tasksel all 284 [872 kB]Get3 httpsecuritydebianorg squeezeupdatesmain libc-bin amd64 2112-6+squeeze1 [745 kB]Get4 httpsecuritydebianorg squeezeupdatesmain libc6 amd64 2112-6+squeeze1 [4143 kB]Get5 httpsecuritydebianorg squeezeupdatesmain locales all 2112-6+squeeze1 [4697 kB]Fetched 9776 kB in 20s (480 kBs)Preconfiguring packages (Reading database 16181 files and directories currently installed)Preparing to replace libc-bin 2112-6 (using libc-bin_2112-6+squeeze1_amd64deb) Unpacking replacement libc-bin Processing triggers for man-db Setting up libc-bin (2112-6+squeeze1) (Reading database 16181 files and directories currently installed)Preparing to replace libc6 2112-6 (using libc6_2112-6+squeeze1_amd64deb) Unpacking replacement libc6 Setting up libc6 (2112-6+squeeze1) (Reading database 16181 files and directories currently installed)Preparing to replace tasksel-data 282 (using tasksel-data_284_alldeb) Unpacking replacement tasksel-data Preparing to replace tasksel 282 (using archivestasksel_284_alldeb) Unpacking replacement tasksel Preparing to replace locales 2112-6 (using locales_2112-6+squeeze1_alldeb) Unpacking replacement locales Processing triggers for man-db Setting up locales (2112-6+squeeze1) Generating locales (this might take a while) en_USUTF-8 doneGeneration completeSetting up tasksel-data (284) Setting up tasksel (284)
Current status 0 updates [-5]
En este ejemplo se actualizaron 5 paquetes Ahora tenemos el sistema al diacutea con sus actualizaciones
NOTAEs muy importante actualizar el sistema con frecuencia De esta forma se puede garantizar que el sistema siempre tenga las correcciones maacutes recientes a los bugs que puedan aparecer y las actualizaciones de seguridad que se requieran
Repositorios
Objetivo
Ademaacutes del repositorio de software principal de Debian o main configurado durante la instalacioacuten existen otros repositorios que por diversas razones no son incluidos durante la instalacioacuten Sin embargo estos pueden ser incluidos en cualquier momento
Lista de repositorios
Para facilitar la instalacioacuten de algunos paquetes de software se deben antildeadir algunos repositorios a la lista existente expresamente los repositorios contrib y non-free
Tambieacuten como no vamos a compilar paquetes a partir de las fuentes se sugiere desactiva o comentar sus referencias (deb-src) Desactivar o comentar una liacutenea consiste en escribir el signo al principio de la liacutenea que se quiera intervenir como se ve en el ejemplo
La lista de repositorios se encuentra en el archivo de configuracioacuten etcaptsourceslist
deb cdrom[Debian GNULinux 600 _Squeeze_ - Official amd64 NETINST Binary-1 20110205-1431] squeeze main
deb cdrom[Debian GNULinux 600 _Squeeze_ - Official amd64 NETINST Binary-1 20110205-1431] squeeze main
deb httpftpptdebianorgdebian squeeze main contrib non-freedeb-src httpftpptdebianorgdebian squeeze main
deb httpsecuritydebianorg squeezeupdates main contrib non-freedeb-src httpsecuritydebianorg squeezeupdates main
deb httpftpptdebianorgdebian squeeze-updates main contrib non-freedeb-src httpftpptdebianorgdebian squeeze-updates main
Aqui otroa repositorios oficiales
Repositorios oficiales
deb httpftpfrdebianorgdebian squeeze main contrib non-freedeb-src httpftpfrdebianorgdebian squeeze main contrib non-free
Line commented out by installer because it failed to verify
Skypedeb httpdownloadskypecomlinuxreposdebian stable non-free
Repositorios de seguridaddeb httpsecuritydebianorg squeezeupdates main contrib Line commented out by installer because it failed to verifydeb-src httpsecuritydebianorg squeezeupdates main contrib
Repositorios multimediadeb httpwwwdebian-multimediaorg squeeze main non-freedeb-src httpwwwdebian-multimediaorg squeeze main non-free
Line commented out by installer because it failed to verifydeb volatiledebianorg squeeze-updates main contrib Line commented out by installer because it failed to verifydeb-src volatiledebianorg squeeze-updates main contrib
Actualizar la lista local de paquetes con los nuevos repositorios
rootserver~ aptitude updateHit httpftpptdebianorg squeeze ReleasegpgIgn httpftpptdebianorgdebian squeezecontrib Translation-enIgn httpftpptdebianorgdebian squeezecontrib Translation-en_USIgn httpftpptdebianorgdebian squeezemain Translation-enIgn httpftpptdebianorgdebian squeezemain Translation-en_USIgn httpftpptdebianorgdebian squeezenon-free Translation-enIgn httpftpptdebianorgdebian squeezenon-free Translation-en_USHit httpftpptdebianorg squeeze-updates ReleasegpgIgn httpftpptdebianorgdebian squeeze-updatescontrib Translation-enIgn httpftpptdebianorgdebian squeeze-updatescontrib Translation-en_USIgn httpftpptdebianorgdebian squeeze-updatesmain Translation-enIgn httpftpptdebianorgdebian squeeze-updatesmain Translation-en_USIgn httpftpptdebianorgdebian squeeze-updatesnon-free Translation-enIgn httpftpptdebianorgdebian squeeze-updatesnon-free Translation-en_USHit httpftpptdebianorg squeeze ReleaseHit httpftpptdebianorg squeeze-updates ReleaseHit httpsecuritydebianorg squeezeupdates ReleasegpgIgn httpsecuritydebianorg squeezeupdatescontrib Translation-enIgn httpsecuritydebianorg squeezeupdatescontrib Translation-en_USIgn httpsecuritydebianorg squeezeupdatesmain Translation-enIgn httpsecuritydebianorg squeezeupdatesmain Translation-en_USIgn httpsecuritydebianorg squeezeupdatesnon-free Translation-enIgn httpsecuritydebianorg squeezeupdatesnon-free Translation-en_USHit httpftpptdebianorg squeezemain amd64 PackagesHit httpsecuritydebianorg squeezeupdates Release
Get1 httpftpptdebianorg squeezecontrib amd64 Packages [641 kB]Hit httpsecuritydebianorg squeezeupdatesmain amd64 PackagesGet2 httpftpptdebianorg squeezenon-free amd64 Packages [124 kB]Get3 httpsecuritydebianorg squeezeupdatescontrib amd64 Packages [20 B]Get4 httpsecuritydebianorg squeezeupdatesnon-free amd64 Packages [20 B]Hit httpftpptdebianorg squeeze-updatesmain amd64 PackagesGet5 httpftpptdebianorg squeeze-updatescontrib amd64 Packages [20 B]Get6 httpftpptdebianorg squeeze-updatesnon-free amd64 Packages [20 B]Fetched 188 kB in 0s (252 kBs)
Current status 566 new [+566]
Utilizando un proxy
En algunos casos es necesario acceder a la internet a traveacutes de un proxy En aptitude puede ser configurado para usar el proxy El aptitude puede ser configurado para usar el proxy Para esto existen dos meacutetodos posibles
Definir una variable de ambiente http_proxy o ftp_poxy que tenga como valor a la
URL del servidor proxy aptitude tendraacute en cuenta esta variable cuando se conecte a
Internet
rootserver~ export http_proxy=httpproxyexamplecom3128
Incluir las definiciones del proxy en la configuracioacuten de aptitude Para indicar el
proxy a utilizar deberaacute editar o crear el archivo etcaptaptconf
AcquirehttpProxy httpproxyexamplecom3128
El formato de la URL de un proxy es http[[user][pass]]xxxxxxxxxxxx[port] donde
userpassnombre del usuario y contrasentildea si el proxy requiere autenticacioacuten yo autorizacioacuten
xxxxxxxxxxxxdireccioacuten o nombre del servidor proxy
portpuerto de conexioacuten al servicio deproxy
Notificacioacuten de actualizaciones apticron
Objetivo
Para garantizar que un sistema pueda ser actualizado lo mejor es estar informado de las actualizaciones disponibles Apticron es un programa que se ejecuta diariamente de forma
automaacutetica verifica las actualizaciones disponibles para nuestro sistema y luego informa al administrador por e-mail
NOTAEl paquete apticron depende de la instalacioacuten de un agente de transporte de e-mail o MTA (Mail Transfer Agent) Por tanto es necesario instalar primero un Servidor SMTP antes de proceder a la instalacioacuten de apticron
Instalacioacutenrootserver~ aptitude install apticron
Resultado
Siempre que haya una actualizacioacuten disponible para nuestro sistema seraacute enviado un e-mail al administrador del sistema
Date Wed 16 Feb 2011 190548 +0000To roothomelanSubject 2 Debian package update(s) for serverhomelan From roothomelan (root)
apticron report [Wed 16 Feb 2011 190547 +0000]========================================================================
apticron has detected that some packages need upgrading on
serverhomelan [ 1921681100 ]
The following packages are currently pending an upgrade
login 14142+svn3283-2+squeeze1 passwd 14142+svn3283-2+squeeze1
========================================================================
Package Details
Reading changelogs--- Changes for shadow (login passwd) ---shadow (14142+svn3283-2+squeeze1) stable-security urgency=high
The Tomanoix release debianpatches300_CVE-2011-0721 Fix insufficient input sanitation leading to possible user or group creation in NIS environments
-- Nicolas FRANCOIS (Nekral) ltnicolasfrancoiscentraliensnetgt Sun 13 Feb 2011 220228 +0100
========================================================================
You can perform the upgrade by issuing the command
aptitude full-upgrade
as root on serverhomelan
--apticron
El administrador podraacute entonces actualizar sus sistema con el comando aptitude full-upgrade
Acceso RemotoEn principio no debe accederse fiacutesicamente a un servidor a no ser por razones excepcionales (como la actualizacioacuten o la reparacioacuten de hardware por ejemplo) La mejor manera de gestionar un servidor es remotamente Sin embargo este acceso deber ser hecho de una manera segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo ssh
La regla general indica que no se debe acceder fiacutesicamente a un servidor a no ser por razones excepcionales La mejor manera de gestionar un servidor es con un acceso remoto Pero el acceso remoto debe ser hecho de forma segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo SSH
Es la solucioacuten para garantizar conexiones remotas seguras ssh es un protocolo de comunicaciones que encripta los datos intercambiados haciendo virtualmente imposible la violacioacuten de la privacidad de la comunicacioacuten El acroacutenimo ssh viene del ingleacutes Secure SHell
El protocolo ssh es muy versaacutetil cuenta con un software cliente que posibilita el acceso a la liacutenea de comandos la transferencia de archivos y la creacioacuten de tuacuteneles seguros con soportes de comunicaciones para otros protocolos
Clientes SSH
Los clientes ssh se dividen en dos grupos
Terminal SSHEs un emulador de terminal que permite acceder de forma remota a la liacutenea de comandos utilizando el protocolo SSH
Cliente SFTPSe trata de un cliente para transferencia de archivos que utiliza el Protocolo de Transferencia Segura de Archivos Su sigla indica en ingleacutes (Secure File Transfer Protocol (SFTP))
Clientes Linuxopenssh-client
este software ofrece utilidades para acceso remoto (cliente ssh) copia de seguridad de archivos (scp) y transferencia segura de archivos (sftp) entre otras
FileZillaCliente SFTP
Clientes WindowsPuTTY
Terminal SSHWinSCP
Cliente SFTPFileZilla
Cliente SFTP
Servidor ssh
Instalacioacutenrootserver~ aptitude install openssh-server openssh-client
Configuracioacuten
Todas las configuraciones del servidor ssh se encuentran en el archivo etcsshsshd_config
Para configurar el servidor debe indicarse las direcciones donde el servicio debe responder En este caso seraacuten conexiones ligadas a la direccioacuten 1921681100 a traveacutes del puerto 22 y utilizando la versioacuten 2 del protocolo ssh
Package generated configuration file See the sshd_config(5) manpage for details
What ports IPs and protocols we listen forPort 22 Use these options to restrict which interfacesprotocols sshd will bind toListenAddress ListenAddress 0000ListenAddress 1921681100Protocol 2
[]
Por seguridad se debe desactivar el login como root en esta configuracioacuten para adquirir los privilegios del root se debe hacer un login usuario normal y despueacutes adquirir los privilegios de root De este modo prevenimos que el password del root sea objeto de un ataque
[]
AuthenticationLoginGraceTime 120PermitRootLogin no
StrictModes yes
[]
Tambieacuten se debe verificar que no sean permitidos los logins con contrasentildeas vaciacuteas
[]
To enable empty passwords change to yes (NOT RECOMMENDED)PermitEmptyPasswords no
[]
Reiniciar el servicio
rootserver~ etcinitdssh restart
Verificacioacuten
Clientes Linux
Debe ser posible establecer una conexioacuten ssh a la direccioacuten 1921681100
La primera vez que la conexioacuten se efectuacutee eacutesta debe ser confirmada porque el servidor no estaacute registrado en la lista de los sistemas conocidos por el cliente
fribeirolaptop~$ ssh 1921681100The authenticity of host 1921681100 (1921681100) cant be establishedRSA key fingerprint is ee16b0c91befb464e18680f4369f0803Are you sure you want to continue connecting (yesno) yesWarning Permanently added 1921681100 (RSA) to the list of known hostsfribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable law
fribeiroserver~$ logoutConnection to 1921681100 closedfribeirolaptop~$
Las conexiones con el login root no seraacuten aceptadas
fribeirolaptop~$ ssh -l root 1921681100root1921681100s passwordPermission denied please try againroot1921681100s passwordPermission denied please try again
root1921681100s passwordPermission denied (publickeypassword)
Clientes Windows
El acceso a partir de clientes Windows es posible con un programa emulador del terminal que soporte ssh como Putty
Obtener privilegios de root
Como el login como root estaacute desactivado la manera de obtener privilegios de root en una conexioacuten ssh es a traveacutes de un usuario comuacuten que escala privilegios con el comando su
fribeirolaptop~$ ssh 1921681100fribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable lawLast login Wed Oct 27 110121 2010 from laptophomelanfribeiroserver~$ su - rootPasswordrootserver~
Referencias
Debian Reference 69 The remote access server and utility (SSH)
(
httpwwwdebianorgdocmanualsreferencech06enhtml_the_remote_access_se
rver_and_utility_ssh)
OpenSSH (httpwwwopensshcom)
Reloj del sistemaEn un servidor es fundamental asegurarse de que el reloj del sistema funcione correctamente No soacutelo porque varios servicios dependan del reloj sino tambieacuten porque el reloj puede ser utilizado para sincronizar y poner en punto a los demaacutes equipos
Fecha hora y huso horario
Objetivo
Poner en punto el reloj y la fecha del sistema
Configuracioacuten
Fuso horario
Es imperativo configurar adecuadamente el huso horario correspondiente al servidor La informacioacuten sobre el huso horario se encuentra en el archivo etctimezoney puede ser consultada con el comando cat
rootserver~ cat etctimezoneEuropeLisbon
Para configurar el huso horario se utiliza el comando dpkg-reconfigure tzdata y se escoge la zona correcta en el menuacute interactivo
rootserver~ dpkg-reconfigure tzdata
Un diaacutelogo permite seleccionar la regioacuten geograacutefica
En seguida puede sentildealarse la regioacuten o el paiacutes donde el servidor se encuentra fiacutesicamente localizado
Luego el resultado queda registrado asiacute
Current default time zone EuropeLisbonLocal time is now Wed Oct 27 115426 WEST 2010Universal Time is now Wed Oct 27 105426 UTC 2010
Fecha yhora
El comando date muestra la fecha actual del sistema
rootserver~ dateWed Oct 27 120057 WEST 2010
El comando date tambieacuten permite poner en punto la hora del sistema manualmente Para esto se utiliza la sintaxis reducida ldquodate MMDDhhmmrdquo
rootserver~ date 10271201Wed Oct 27 120100 WEST 2010
Protocolo NTP
El protocolo NTP (Network Time Protocol) se utiliza para mantener en punto el reloj del sistema sincronizaacutendolo a partir de una red de servidores NTP a traveacutes de Internet
Objetivo
Utilizar la red de servidores NTP para poner en punto el reloj de sistema
Instalacioacutenrootserver~ aptitude install ntpdate ntp-doc
Utilizacioacuten
En primer lugar se debe verificar que el huso horario del sistema esteacute definido de forma correcta
Despueacutes se puede poner en punto el reloj del sistema teniendo como referencia uno de los servidores NTP
rootserver~ ntpdate -u poolntporg28 Oct 120917 ntpdate[2493] adjust time server 1941179136 offset -0030742 sec
Servidor NTP
Objetivo
El protocolo NTP se usa para mantener en punto el reloj del sistema Esto es posible gracias a su sincronizacioacuten con otros servidores NTP viacutea internet
Instalacioacutenrootserver~ aptitude install ntp ntp-doc
Configuracioacuten
Verificar la configuracioacuten del fuso horario y de la fecha y hora del sistema
Verificacioacuten
El comando ntpq -p permite verificar cuaacuteles son los servidores NTP a los que estamos conectados Los + e - indican respectivamente conexiones exitosas sincronizaciones en curso y servidores poco confiablesEsto puede demorar algunos minutos hasta que aparezca la lista y hasta 30 minutos para que ocurra la primera correccioacuten
rootserver~ ntpq -p remote refid st t when poll reach delay offset jitter==============================================================================+ns4lerfjhaxco 1986022240 2 u 20 64 1 157121 -20776 20808-ns1vibiteu 195131153 3 u 19 64 1 80428 25345 908168681878cus 1924324418 2 u 18 64 1 144241 -3047 3650+nagiosrack911 128138188172 2 u 17 64 1 159292 -4013 9109
El servidor NTP estaacute listo para ser utilizado
Utilizacioacuten
Para poner en punto la hora y fecha de un sistema cliente es suficiente con usar el comando ntpdate (ver Protocolo NTP) indicando la direccioacutenate del servidor
rootlaptop~ ntpdate -u 1921681100 4 Feb 223801 ntpdate[15071] adjust time server 1921681100 offset -0027193 sec
Servidor de Intranet
Una vez terminada la configuracioacuten de base del servidor es hora de expandir su funcionalidad para que pueda proveer un conjunto de servicios para la red interna
DNS
DNS es la sigla inglesa de Domain Name System (Sistema de Nombres de Dominios) Este sistema correlaciona el nombre de una paacutegina electroacutenica con una direccioacuten IP y viceversa Por ejemplo gracias al DNS sabemos que el servidor ldquowwwdebianorgrdquo tiene la direccioacuten IP ldquo21312923218rdquo y viceversa
El protocolo DNS
Sistema de Nombres de Dominios
Siempre que se utiliza un nombre para designar a un servidor como sucede con wwwdebianorg eacuteste debe traducirse en la forma de una direccioacuten IP uacutenica del mismo servidor Este proceso se conoce como resolucioacuten y es efectuado gracias al Domain Name System (DNS) (o en espantildeol Sistema de Nombres de Dominios)
Este sistema estaacute constituido por una red global de servidores organizados en un aacuterbol donde cada servidor contiene una tabla de asociaciones entre los nombres de los servidores y sus respectivas direcciones IP
Coacutemo funciona el DNS
Supongamos que se pretende contactar el servidor wwwgooglecom El sistema iniciaraacute una serie de contactos entre otros sistemas diversos para encontrar cuaacutel es la direccioacuten asociada a la direccioacuten pretendida
Una versioacuten muy simplificada seriacutea la siguiente posiblemente el sistema tendraacute que contactar a su servidor de DNS que a su vez contactaraacute los servidores DNS de tope para indagar acerca del dominio ldquogoogleconrdquo y enseguida contactar el servidor DNS de google para saber la direccioacuten IP de wwwgooglecom
Aunque cada investigacioacuten o resolucioacuten tarda soacutelo milisegundos la visualizacioacuten de una paacutegina web en un browser puede resultar bastante penalizada por este proceso Especialmente cuando es posible que varios elementos de la paacutegina esteacuten alojados en diversos servidores cuyas direcciones deban ser resueltas individualmente
Cache DNS
Objetivo
Aunque las direcciones Internet tengan nombres ldquolegiblesrdquo (wwwgooglecom) eacutestos deben ser traducidos a la direccioacuten IP (21312923218) del respectivo servidor Esa conversioacuten es efectuada realizando una buacutesqueda en el DNS (Domain Name System)
Una cache DNS guardia localmente los resultados de esa buacutesqueda para utilizacioacuten futura evitando la repeticioacuten de buacutesquedas y aumentando draacutesticamente la velocidad de respuesta
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La configuracioacuten generada durante la instalacioacuten es perfectamente funcional no requiere modificaciones Sin embargo vamos personalizar la instalacioacuten en 2 aspectos principales vamos a definir a cuaacuteles servidores consultaraacute el nuestro para pedir ayuda en la resolucioacuten de nombres si no es posible hacer esto localmente (forwarders) y vamos a fortalecer algunos aspectos de seguridad
Como forwarders podemos optar por varias hipoacutetesis una es utilizar los servidores DNS de nuestro proveedor de acceso a Internet
Otra posibilidad muy interesante es utilizar uno de los diversos servicios puacuteblicos de DNS disponibles en la actualidad como
OpenDNS (httpwwwopendnscom)
Google Public DNS (httpcodegooglecomspeedpublic-dns)
Estos servicios prometen suministrar no soacutelo resoluciones maacutes raacutepidas sino tambieacuten diversos servicios adicionales de seguridad como filtros de direcciones maliciosos y otros maacutes
En este caso utilizaremos los servidores OpenDNS (httpwwwopendnscom) Para tener otra opcioacuten tambieacuten se antildeadiraacute el del router ADSL
Por seguridad soacutelo seraacuten recibidas conexiones por la interfaz local o por la destinada a la red interna (listen-on 127001 1921681100 ) Asiacute mismo soacutelo seraacuten contestados los pedidos de resolucioacuten que partan del propio puesto o de la red interna (allow-query 127001 1921681024 ) Todos los otros pedidos seraacuten ignorados para evitar eventuales utilizaciones abusivas de nuestro servidor DNS por parte de terceros
La configuracioacuten estaacute guardada en el archivo etcbindnamedconfoptions
options directory varcachebind
If there is a firewall between you and nameservers you want to talk to you may need to fix the firewall to allow multiple ports to talk See httpwwwkbcertorgvulsid800113
If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all-0s placeholder
forwarders OpenDNS servers 20867222222 20867220220
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
RX packets0 errors0 dropped0 overruns0 frame0 TX packets0 errors0 dropped0 overruns0 carrier0 collisions0 txqueuelen0 RX bytes0 (00 B) TX bytes0 (00 B)
Tambieacuten debe ser posible contactar a servidores en la Internet
rootserver~ ping -c3 wwwdebianorgPING wwwdebianorg (20612197) 56(84) bytes of data64 bytes from bellinidebianorg (20612197) icmp_seq=1 ttl=43 time=188 ms64 bytes from bellinidebianorg (20612197) icmp_seq=2 ttl=43 time=190 ms64 bytes from bellinidebianorg (20612197) icmp_seq=3 ttl=43 time=185 ms
--- wwwdebianorg ping statistics ---3 packets transmitted 3 received 0 packet loss time 2005msrtt minavgmaxmdev = 1858081882171901081793 ms
Nombre del sistema
Objectivo
Despueacutes de la instalacioacuten del sistema su nombre puede ser alterado
Configuracioacuten
El nombre del sistema o hostname estaacute guardado en el archivo etchostname Este archivo debe contar soacutelo con el nombre del sistema y no con el nombre completo del dominio
server
El nombre debe ser atribuido al sistema a partir del archivo recieacuten creado
rootserver~ hostname -F etchostname
Finalmente el nombre del servidor debe ser asociado a un nombre completo de dominio y a una direccioacuten IP en el archivo etchosts
127001 localhost1921681100 serverhomelan server
The following lines are desirable for IPv6 capable hosts1 localhost ip6-localhost ip6-loopbackfe000 ip6-localnetff000 ip6-mcastprefixff021 ip6-allnodesff022 ip6-allrouters
Verificacioacutenrootserver~ hostname --shortserverrootserver~ hostname --domainhomelanrootserver~ hostname --fqdnserverhomelanrootserver~ hostname --ip-address1921681100
SoftwareGestor de paquetes aptitude
Uno de los puntos fuertes de la distribucioacuten Debian es su gestor de paquetes apt y su interfaz aptitude La gestioacuten de las actualizaciones y las instalaciones de software se realiza con la ayuda de este poderoso y amigable gestor de paquetes Con aptitude es posible por ejemplo actualizar todo un sistema con apenas un par de comandos
NotaLas versiones maacutes antiguas de Debian utilizaban el gestor de paquetes apt Las versiones actuales de Debian utilizan el gestor aptitude que aunque sea un front-end del apt tiene ventajas notorias como el hecho de mantener un registro (log) de las acciones efectuadas lo que permite remover paquetes de una forma maacutes lsquolimpiarsquo Para mayor comodidad a continuacioacuten encontraraacute una lista con los comandos de aptitude y sus equivalentes en apt Pero se advierte que en esta guiacutea preferimos la utilizacioacuten de aptitude
Guiacutea raacutepida del aptitude
Actualizacioacuten de la lista de paquetesaptitude update
Actualiza la lista de paquetes existente en los repositorios Este debe ser el primer mando a ejecutar cuando se pretende gestionar paquetes (es equivalente a apt-get update)
Instalacioacuten de paquetesaptitude install ltpaquetegt
Instala un paquete de software y todos los paquetes de que depende Es posible instalar varios paquetes a la vez usando esta sintaxis aptitude install paquete1 paquete2 paquete3 (es equivalente a apt-get install ltpaquetegt)
aptitude reinstall ltpaquetegtRe-instala un paquete sustituyendo los archivos Bastante uacutetil cuando se quiere reponer archivos que hayan sido alterados (es equivalente a apt-get install mdashreinstall ltpaquetegt)
Actualizacioacuten de sistemaaptitude safe-upgrade
Instala todas a actualizaciones disponibles procediendo agrave instalacioacuten de paquetes para satisfacer todas las dependencias (Equivalente a apt-get -u upgrade)
aptitude full-upgradeInstala todas las actualizaciones disponibles procediendo a la instalacioacuten o eliminacioacuten de paquetes para satisfacer todas las dependencias (es equivalente a apt-get -u dist-upgrade)
Desinstalacioacuten y eliminacioacuten de paquetesaptitude remove ltpaquetegt
Desinstala un paquete pero mantiene los archivos de instalacioacuten del paquete Es posible desinstalar varios paquetes a la vez usando la sintaxis apt-get remove paquete1 paquete2 paquete3 (es equivalente a apt-get remove ltpacotegt)
aptitude purge ltpaquetegtElimina por completo un paquete incluyendo los ficheros de instalacioacuten (es equivalente a apt-get remove mdashpurge ltpaquetegt)
Buacutesqueda de paquetesaptitude search ltcriteacuteriogt
Busca en la lista de paquetes y muestra las coincidencias de criterio (es equivalente a apt-cache search ltcriteacuteriogt)
Informaciones sobre paquetesaptitude show ltpaquetegt
Muestra informaciones acerca de los paquetes (es equivalente a apt-cache show ltpaquetegt)
Limpiar la cache de paquetesaptitude clean
Elimina todos los archivos de paquetes existentes en cache (es equivalente a apt-cache clean)
aptitude autocleanElimina los archivos de paquetes de versiones pasadas existentes en cache pero mantiene los paquetes de versiones actualizados (es equivalente a apt-cache autoclean)
Por seguridad actualizar con frecuencia
Es imprescindible que el servidor esteacute siempre al diacutea con sus actualizaciones La comunidad debian estaacute actualizando constantemente el software para corregir bugs y fallos de seguridad Un sistema no actualizado es una invitacioacuten abierta para los hackers y los crackers La mejor fuente para buscar software actualizado es internet Se deben escoger
criteriosamente las fuentes de software o repositoacuterios y proceder con actualizaciones frecuentes
Es tambieacuten importante seguir de cerca todas las informaciones referentes a bugs (conflictos o problemas que producen algunos paquetes) y fallos de seguridad asiacute como estar atentos a cuaacutel es la mejor manera de corregir esto La distribucioacuten edita listas con los anuncios de seguridad y con sus respectivas correcciones en la paacutegina de la distribucioacuten o si prefiere en las listas de distribucioacuten
Actualizaciones
Objetivo
Para garantizar que el sistema tenga las versiones de software y correcciones de seguridad maacutes recientes las actualizaciones deben ser hechas con regularidad La actualizacioacuten del software se hace en dos etapas primero se actualiza lista de software disponible en los repositorios y segundo se instalan las eventuales actualizaciones Ambas operaciones son hechas utilizando el comando aptitude con diferentes opciones
Actualizacioacuten de los repositorios
La actualizacioacuten de la lista de software disponible en los repositorios es muy faacutecil
rootserver~ aptitude updateGet1 httpftpptdebianorg squeeze Releasegpg [835 B]Ign httpftpptdebianorgdebian squeezemain Translation-enIgn httpftpptdebianorgdebian squeezemain Translation-en_USGet2 httpftpptdebianorg squeeze Release [899 kB]Get3 httpsecuritydebianorg squeezeupdates Releasegpg [835 B]Get4 httpftpptdebianorg squeezemain amd64 PackagesDiffIndex [2038 B]Ign httpsecuritydebianorg squeezeupdatesmain Translation-enIgn httpsecuritydebianorg squeezeupdatesmain Translation-en_USGet5 httpsecuritydebianorg squeezeupdates Release [446 kB]Get6 httpftpptdebianorg squeezemain amd64 2010-10-22-025649pdiff [101 kB]Get7 httpftpptdebianorg squeezemain amd64 2010-10-22-025649pdiff [101 kB]Get8 httpftpptdebianorg squeezemain amd64 2010-10-22-025649pdiff [101 kB]Get9 httpsecuritydebianorg squeezeupdatesmain amd64 Packages [563 kB]Get10 httpftpptdebianorg squeezemain amd64 2010-10-22-152442pdiff [8117 B]Get11 httpftpptdebianorg squeezemain amd64 2010-10-22-152442pdiff [8117 B]Get12 httpftpptdebianorg squeezemain amd64 2010-10-22-152442pdiff [8117 B]Fetched 215 kB in 3s (710 kBs)
Current status 5 updates [+5]
En este ejemplo se encuentran disponibles 5 actualizaciones para el software instalado
Instalacioacuten de las actualizaciones
La instalacioacuten de las actualizaciones es tambieacuten muy faacutecil
rootserver~ aptitude safe-upgradeThe following packages will be upgraded libc-bin libc6 locales tasksel tasksel-data5 packages upgraded 0 newly installed 0 to remove and 0 not upgradedNeed to get 9776 kB of archives After unpacking 176 kB will be freedDo you want to continue [Yn] yGet1 httpftpptdebianorgdebian squeezemain tasksel-data all 284 [105 kB]Get2 httpftpptdebianorgdebian squeezemain tasksel all 284 [872 kB]Get3 httpsecuritydebianorg squeezeupdatesmain libc-bin amd64 2112-6+squeeze1 [745 kB]Get4 httpsecuritydebianorg squeezeupdatesmain libc6 amd64 2112-6+squeeze1 [4143 kB]Get5 httpsecuritydebianorg squeezeupdatesmain locales all 2112-6+squeeze1 [4697 kB]Fetched 9776 kB in 20s (480 kBs)Preconfiguring packages (Reading database 16181 files and directories currently installed)Preparing to replace libc-bin 2112-6 (using libc-bin_2112-6+squeeze1_amd64deb) Unpacking replacement libc-bin Processing triggers for man-db Setting up libc-bin (2112-6+squeeze1) (Reading database 16181 files and directories currently installed)Preparing to replace libc6 2112-6 (using libc6_2112-6+squeeze1_amd64deb) Unpacking replacement libc6 Setting up libc6 (2112-6+squeeze1) (Reading database 16181 files and directories currently installed)Preparing to replace tasksel-data 282 (using tasksel-data_284_alldeb) Unpacking replacement tasksel-data Preparing to replace tasksel 282 (using archivestasksel_284_alldeb) Unpacking replacement tasksel Preparing to replace locales 2112-6 (using locales_2112-6+squeeze1_alldeb) Unpacking replacement locales Processing triggers for man-db Setting up locales (2112-6+squeeze1) Generating locales (this might take a while) en_USUTF-8 doneGeneration completeSetting up tasksel-data (284) Setting up tasksel (284)
Current status 0 updates [-5]
En este ejemplo se actualizaron 5 paquetes Ahora tenemos el sistema al diacutea con sus actualizaciones
NOTAEs muy importante actualizar el sistema con frecuencia De esta forma se puede garantizar que el sistema siempre tenga las correcciones maacutes recientes a los bugs que puedan aparecer y las actualizaciones de seguridad que se requieran
Repositorios
Objetivo
Ademaacutes del repositorio de software principal de Debian o main configurado durante la instalacioacuten existen otros repositorios que por diversas razones no son incluidos durante la instalacioacuten Sin embargo estos pueden ser incluidos en cualquier momento
Lista de repositorios
Para facilitar la instalacioacuten de algunos paquetes de software se deben antildeadir algunos repositorios a la lista existente expresamente los repositorios contrib y non-free
Tambieacuten como no vamos a compilar paquetes a partir de las fuentes se sugiere desactiva o comentar sus referencias (deb-src) Desactivar o comentar una liacutenea consiste en escribir el signo al principio de la liacutenea que se quiera intervenir como se ve en el ejemplo
La lista de repositorios se encuentra en el archivo de configuracioacuten etcaptsourceslist
deb cdrom[Debian GNULinux 600 _Squeeze_ - Official amd64 NETINST Binary-1 20110205-1431] squeeze main
deb cdrom[Debian GNULinux 600 _Squeeze_ - Official amd64 NETINST Binary-1 20110205-1431] squeeze main
deb httpftpptdebianorgdebian squeeze main contrib non-freedeb-src httpftpptdebianorgdebian squeeze main
deb httpsecuritydebianorg squeezeupdates main contrib non-freedeb-src httpsecuritydebianorg squeezeupdates main
deb httpftpptdebianorgdebian squeeze-updates main contrib non-freedeb-src httpftpptdebianorgdebian squeeze-updates main
Aqui otroa repositorios oficiales
Repositorios oficiales
deb httpftpfrdebianorgdebian squeeze main contrib non-freedeb-src httpftpfrdebianorgdebian squeeze main contrib non-free
Line commented out by installer because it failed to verify
Skypedeb httpdownloadskypecomlinuxreposdebian stable non-free
Repositorios de seguridaddeb httpsecuritydebianorg squeezeupdates main contrib Line commented out by installer because it failed to verifydeb-src httpsecuritydebianorg squeezeupdates main contrib
Repositorios multimediadeb httpwwwdebian-multimediaorg squeeze main non-freedeb-src httpwwwdebian-multimediaorg squeeze main non-free
Line commented out by installer because it failed to verifydeb volatiledebianorg squeeze-updates main contrib Line commented out by installer because it failed to verifydeb-src volatiledebianorg squeeze-updates main contrib
Actualizar la lista local de paquetes con los nuevos repositorios
rootserver~ aptitude updateHit httpftpptdebianorg squeeze ReleasegpgIgn httpftpptdebianorgdebian squeezecontrib Translation-enIgn httpftpptdebianorgdebian squeezecontrib Translation-en_USIgn httpftpptdebianorgdebian squeezemain Translation-enIgn httpftpptdebianorgdebian squeezemain Translation-en_USIgn httpftpptdebianorgdebian squeezenon-free Translation-enIgn httpftpptdebianorgdebian squeezenon-free Translation-en_USHit httpftpptdebianorg squeeze-updates ReleasegpgIgn httpftpptdebianorgdebian squeeze-updatescontrib Translation-enIgn httpftpptdebianorgdebian squeeze-updatescontrib Translation-en_USIgn httpftpptdebianorgdebian squeeze-updatesmain Translation-enIgn httpftpptdebianorgdebian squeeze-updatesmain Translation-en_USIgn httpftpptdebianorgdebian squeeze-updatesnon-free Translation-enIgn httpftpptdebianorgdebian squeeze-updatesnon-free Translation-en_USHit httpftpptdebianorg squeeze ReleaseHit httpftpptdebianorg squeeze-updates ReleaseHit httpsecuritydebianorg squeezeupdates ReleasegpgIgn httpsecuritydebianorg squeezeupdatescontrib Translation-enIgn httpsecuritydebianorg squeezeupdatescontrib Translation-en_USIgn httpsecuritydebianorg squeezeupdatesmain Translation-enIgn httpsecuritydebianorg squeezeupdatesmain Translation-en_USIgn httpsecuritydebianorg squeezeupdatesnon-free Translation-enIgn httpsecuritydebianorg squeezeupdatesnon-free Translation-en_USHit httpftpptdebianorg squeezemain amd64 PackagesHit httpsecuritydebianorg squeezeupdates Release
Get1 httpftpptdebianorg squeezecontrib amd64 Packages [641 kB]Hit httpsecuritydebianorg squeezeupdatesmain amd64 PackagesGet2 httpftpptdebianorg squeezenon-free amd64 Packages [124 kB]Get3 httpsecuritydebianorg squeezeupdatescontrib amd64 Packages [20 B]Get4 httpsecuritydebianorg squeezeupdatesnon-free amd64 Packages [20 B]Hit httpftpptdebianorg squeeze-updatesmain amd64 PackagesGet5 httpftpptdebianorg squeeze-updatescontrib amd64 Packages [20 B]Get6 httpftpptdebianorg squeeze-updatesnon-free amd64 Packages [20 B]Fetched 188 kB in 0s (252 kBs)
Current status 566 new [+566]
Utilizando un proxy
En algunos casos es necesario acceder a la internet a traveacutes de un proxy En aptitude puede ser configurado para usar el proxy El aptitude puede ser configurado para usar el proxy Para esto existen dos meacutetodos posibles
Definir una variable de ambiente http_proxy o ftp_poxy que tenga como valor a la
URL del servidor proxy aptitude tendraacute en cuenta esta variable cuando se conecte a
Internet
rootserver~ export http_proxy=httpproxyexamplecom3128
Incluir las definiciones del proxy en la configuracioacuten de aptitude Para indicar el
proxy a utilizar deberaacute editar o crear el archivo etcaptaptconf
AcquirehttpProxy httpproxyexamplecom3128
El formato de la URL de un proxy es http[[user][pass]]xxxxxxxxxxxx[port] donde
userpassnombre del usuario y contrasentildea si el proxy requiere autenticacioacuten yo autorizacioacuten
xxxxxxxxxxxxdireccioacuten o nombre del servidor proxy
portpuerto de conexioacuten al servicio deproxy
Notificacioacuten de actualizaciones apticron
Objetivo
Para garantizar que un sistema pueda ser actualizado lo mejor es estar informado de las actualizaciones disponibles Apticron es un programa que se ejecuta diariamente de forma
automaacutetica verifica las actualizaciones disponibles para nuestro sistema y luego informa al administrador por e-mail
NOTAEl paquete apticron depende de la instalacioacuten de un agente de transporte de e-mail o MTA (Mail Transfer Agent) Por tanto es necesario instalar primero un Servidor SMTP antes de proceder a la instalacioacuten de apticron
Instalacioacutenrootserver~ aptitude install apticron
Resultado
Siempre que haya una actualizacioacuten disponible para nuestro sistema seraacute enviado un e-mail al administrador del sistema
Date Wed 16 Feb 2011 190548 +0000To roothomelanSubject 2 Debian package update(s) for serverhomelan From roothomelan (root)
apticron report [Wed 16 Feb 2011 190547 +0000]========================================================================
apticron has detected that some packages need upgrading on
serverhomelan [ 1921681100 ]
The following packages are currently pending an upgrade
login 14142+svn3283-2+squeeze1 passwd 14142+svn3283-2+squeeze1
========================================================================
Package Details
Reading changelogs--- Changes for shadow (login passwd) ---shadow (14142+svn3283-2+squeeze1) stable-security urgency=high
The Tomanoix release debianpatches300_CVE-2011-0721 Fix insufficient input sanitation leading to possible user or group creation in NIS environments
-- Nicolas FRANCOIS (Nekral) ltnicolasfrancoiscentraliensnetgt Sun 13 Feb 2011 220228 +0100
========================================================================
You can perform the upgrade by issuing the command
aptitude full-upgrade
as root on serverhomelan
--apticron
El administrador podraacute entonces actualizar sus sistema con el comando aptitude full-upgrade
Acceso RemotoEn principio no debe accederse fiacutesicamente a un servidor a no ser por razones excepcionales (como la actualizacioacuten o la reparacioacuten de hardware por ejemplo) La mejor manera de gestionar un servidor es remotamente Sin embargo este acceso deber ser hecho de una manera segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo ssh
La regla general indica que no se debe acceder fiacutesicamente a un servidor a no ser por razones excepcionales La mejor manera de gestionar un servidor es con un acceso remoto Pero el acceso remoto debe ser hecho de forma segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo SSH
Es la solucioacuten para garantizar conexiones remotas seguras ssh es un protocolo de comunicaciones que encripta los datos intercambiados haciendo virtualmente imposible la violacioacuten de la privacidad de la comunicacioacuten El acroacutenimo ssh viene del ingleacutes Secure SHell
El protocolo ssh es muy versaacutetil cuenta con un software cliente que posibilita el acceso a la liacutenea de comandos la transferencia de archivos y la creacioacuten de tuacuteneles seguros con soportes de comunicaciones para otros protocolos
Clientes SSH
Los clientes ssh se dividen en dos grupos
Terminal SSHEs un emulador de terminal que permite acceder de forma remota a la liacutenea de comandos utilizando el protocolo SSH
Cliente SFTPSe trata de un cliente para transferencia de archivos que utiliza el Protocolo de Transferencia Segura de Archivos Su sigla indica en ingleacutes (Secure File Transfer Protocol (SFTP))
Clientes Linuxopenssh-client
este software ofrece utilidades para acceso remoto (cliente ssh) copia de seguridad de archivos (scp) y transferencia segura de archivos (sftp) entre otras
FileZillaCliente SFTP
Clientes WindowsPuTTY
Terminal SSHWinSCP
Cliente SFTPFileZilla
Cliente SFTP
Servidor ssh
Instalacioacutenrootserver~ aptitude install openssh-server openssh-client
Configuracioacuten
Todas las configuraciones del servidor ssh se encuentran en el archivo etcsshsshd_config
Para configurar el servidor debe indicarse las direcciones donde el servicio debe responder En este caso seraacuten conexiones ligadas a la direccioacuten 1921681100 a traveacutes del puerto 22 y utilizando la versioacuten 2 del protocolo ssh
Package generated configuration file See the sshd_config(5) manpage for details
What ports IPs and protocols we listen forPort 22 Use these options to restrict which interfacesprotocols sshd will bind toListenAddress ListenAddress 0000ListenAddress 1921681100Protocol 2
[]
Por seguridad se debe desactivar el login como root en esta configuracioacuten para adquirir los privilegios del root se debe hacer un login usuario normal y despueacutes adquirir los privilegios de root De este modo prevenimos que el password del root sea objeto de un ataque
[]
AuthenticationLoginGraceTime 120PermitRootLogin no
StrictModes yes
[]
Tambieacuten se debe verificar que no sean permitidos los logins con contrasentildeas vaciacuteas
[]
To enable empty passwords change to yes (NOT RECOMMENDED)PermitEmptyPasswords no
[]
Reiniciar el servicio
rootserver~ etcinitdssh restart
Verificacioacuten
Clientes Linux
Debe ser posible establecer una conexioacuten ssh a la direccioacuten 1921681100
La primera vez que la conexioacuten se efectuacutee eacutesta debe ser confirmada porque el servidor no estaacute registrado en la lista de los sistemas conocidos por el cliente
fribeirolaptop~$ ssh 1921681100The authenticity of host 1921681100 (1921681100) cant be establishedRSA key fingerprint is ee16b0c91befb464e18680f4369f0803Are you sure you want to continue connecting (yesno) yesWarning Permanently added 1921681100 (RSA) to the list of known hostsfribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable law
fribeiroserver~$ logoutConnection to 1921681100 closedfribeirolaptop~$
Las conexiones con el login root no seraacuten aceptadas
fribeirolaptop~$ ssh -l root 1921681100root1921681100s passwordPermission denied please try againroot1921681100s passwordPermission denied please try again
root1921681100s passwordPermission denied (publickeypassword)
Clientes Windows
El acceso a partir de clientes Windows es posible con un programa emulador del terminal que soporte ssh como Putty
Obtener privilegios de root
Como el login como root estaacute desactivado la manera de obtener privilegios de root en una conexioacuten ssh es a traveacutes de un usuario comuacuten que escala privilegios con el comando su
fribeirolaptop~$ ssh 1921681100fribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable lawLast login Wed Oct 27 110121 2010 from laptophomelanfribeiroserver~$ su - rootPasswordrootserver~
Referencias
Debian Reference 69 The remote access server and utility (SSH)
(
httpwwwdebianorgdocmanualsreferencech06enhtml_the_remote_access_se
rver_and_utility_ssh)
OpenSSH (httpwwwopensshcom)
Reloj del sistemaEn un servidor es fundamental asegurarse de que el reloj del sistema funcione correctamente No soacutelo porque varios servicios dependan del reloj sino tambieacuten porque el reloj puede ser utilizado para sincronizar y poner en punto a los demaacutes equipos
Fecha hora y huso horario
Objetivo
Poner en punto el reloj y la fecha del sistema
Configuracioacuten
Fuso horario
Es imperativo configurar adecuadamente el huso horario correspondiente al servidor La informacioacuten sobre el huso horario se encuentra en el archivo etctimezoney puede ser consultada con el comando cat
rootserver~ cat etctimezoneEuropeLisbon
Para configurar el huso horario se utiliza el comando dpkg-reconfigure tzdata y se escoge la zona correcta en el menuacute interactivo
rootserver~ dpkg-reconfigure tzdata
Un diaacutelogo permite seleccionar la regioacuten geograacutefica
En seguida puede sentildealarse la regioacuten o el paiacutes donde el servidor se encuentra fiacutesicamente localizado
Luego el resultado queda registrado asiacute
Current default time zone EuropeLisbonLocal time is now Wed Oct 27 115426 WEST 2010Universal Time is now Wed Oct 27 105426 UTC 2010
Fecha yhora
El comando date muestra la fecha actual del sistema
rootserver~ dateWed Oct 27 120057 WEST 2010
El comando date tambieacuten permite poner en punto la hora del sistema manualmente Para esto se utiliza la sintaxis reducida ldquodate MMDDhhmmrdquo
rootserver~ date 10271201Wed Oct 27 120100 WEST 2010
Protocolo NTP
El protocolo NTP (Network Time Protocol) se utiliza para mantener en punto el reloj del sistema sincronizaacutendolo a partir de una red de servidores NTP a traveacutes de Internet
Objetivo
Utilizar la red de servidores NTP para poner en punto el reloj de sistema
Instalacioacutenrootserver~ aptitude install ntpdate ntp-doc
Utilizacioacuten
En primer lugar se debe verificar que el huso horario del sistema esteacute definido de forma correcta
Despueacutes se puede poner en punto el reloj del sistema teniendo como referencia uno de los servidores NTP
rootserver~ ntpdate -u poolntporg28 Oct 120917 ntpdate[2493] adjust time server 1941179136 offset -0030742 sec
Servidor NTP
Objetivo
El protocolo NTP se usa para mantener en punto el reloj del sistema Esto es posible gracias a su sincronizacioacuten con otros servidores NTP viacutea internet
Instalacioacutenrootserver~ aptitude install ntp ntp-doc
Configuracioacuten
Verificar la configuracioacuten del fuso horario y de la fecha y hora del sistema
Verificacioacuten
El comando ntpq -p permite verificar cuaacuteles son los servidores NTP a los que estamos conectados Los + e - indican respectivamente conexiones exitosas sincronizaciones en curso y servidores poco confiablesEsto puede demorar algunos minutos hasta que aparezca la lista y hasta 30 minutos para que ocurra la primera correccioacuten
rootserver~ ntpq -p remote refid st t when poll reach delay offset jitter==============================================================================+ns4lerfjhaxco 1986022240 2 u 20 64 1 157121 -20776 20808-ns1vibiteu 195131153 3 u 19 64 1 80428 25345 908168681878cus 1924324418 2 u 18 64 1 144241 -3047 3650+nagiosrack911 128138188172 2 u 17 64 1 159292 -4013 9109
El servidor NTP estaacute listo para ser utilizado
Utilizacioacuten
Para poner en punto la hora y fecha de un sistema cliente es suficiente con usar el comando ntpdate (ver Protocolo NTP) indicando la direccioacutenate del servidor
rootlaptop~ ntpdate -u 1921681100 4 Feb 223801 ntpdate[15071] adjust time server 1921681100 offset -0027193 sec
Servidor de Intranet
Una vez terminada la configuracioacuten de base del servidor es hora de expandir su funcionalidad para que pueda proveer un conjunto de servicios para la red interna
DNS
DNS es la sigla inglesa de Domain Name System (Sistema de Nombres de Dominios) Este sistema correlaciona el nombre de una paacutegina electroacutenica con una direccioacuten IP y viceversa Por ejemplo gracias al DNS sabemos que el servidor ldquowwwdebianorgrdquo tiene la direccioacuten IP ldquo21312923218rdquo y viceversa
El protocolo DNS
Sistema de Nombres de Dominios
Siempre que se utiliza un nombre para designar a un servidor como sucede con wwwdebianorg eacuteste debe traducirse en la forma de una direccioacuten IP uacutenica del mismo servidor Este proceso se conoce como resolucioacuten y es efectuado gracias al Domain Name System (DNS) (o en espantildeol Sistema de Nombres de Dominios)
Este sistema estaacute constituido por una red global de servidores organizados en un aacuterbol donde cada servidor contiene una tabla de asociaciones entre los nombres de los servidores y sus respectivas direcciones IP
Coacutemo funciona el DNS
Supongamos que se pretende contactar el servidor wwwgooglecom El sistema iniciaraacute una serie de contactos entre otros sistemas diversos para encontrar cuaacutel es la direccioacuten asociada a la direccioacuten pretendida
Una versioacuten muy simplificada seriacutea la siguiente posiblemente el sistema tendraacute que contactar a su servidor de DNS que a su vez contactaraacute los servidores DNS de tope para indagar acerca del dominio ldquogoogleconrdquo y enseguida contactar el servidor DNS de google para saber la direccioacuten IP de wwwgooglecom
Aunque cada investigacioacuten o resolucioacuten tarda soacutelo milisegundos la visualizacioacuten de una paacutegina web en un browser puede resultar bastante penalizada por este proceso Especialmente cuando es posible que varios elementos de la paacutegina esteacuten alojados en diversos servidores cuyas direcciones deban ser resueltas individualmente
Cache DNS
Objetivo
Aunque las direcciones Internet tengan nombres ldquolegiblesrdquo (wwwgooglecom) eacutestos deben ser traducidos a la direccioacuten IP (21312923218) del respectivo servidor Esa conversioacuten es efectuada realizando una buacutesqueda en el DNS (Domain Name System)
Una cache DNS guardia localmente los resultados de esa buacutesqueda para utilizacioacuten futura evitando la repeticioacuten de buacutesquedas y aumentando draacutesticamente la velocidad de respuesta
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La configuracioacuten generada durante la instalacioacuten es perfectamente funcional no requiere modificaciones Sin embargo vamos personalizar la instalacioacuten en 2 aspectos principales vamos a definir a cuaacuteles servidores consultaraacute el nuestro para pedir ayuda en la resolucioacuten de nombres si no es posible hacer esto localmente (forwarders) y vamos a fortalecer algunos aspectos de seguridad
Como forwarders podemos optar por varias hipoacutetesis una es utilizar los servidores DNS de nuestro proveedor de acceso a Internet
Otra posibilidad muy interesante es utilizar uno de los diversos servicios puacuteblicos de DNS disponibles en la actualidad como
OpenDNS (httpwwwopendnscom)
Google Public DNS (httpcodegooglecomspeedpublic-dns)
Estos servicios prometen suministrar no soacutelo resoluciones maacutes raacutepidas sino tambieacuten diversos servicios adicionales de seguridad como filtros de direcciones maliciosos y otros maacutes
En este caso utilizaremos los servidores OpenDNS (httpwwwopendnscom) Para tener otra opcioacuten tambieacuten se antildeadiraacute el del router ADSL
Por seguridad soacutelo seraacuten recibidas conexiones por la interfaz local o por la destinada a la red interna (listen-on 127001 1921681100 ) Asiacute mismo soacutelo seraacuten contestados los pedidos de resolucioacuten que partan del propio puesto o de la red interna (allow-query 127001 1921681024 ) Todos los otros pedidos seraacuten ignorados para evitar eventuales utilizaciones abusivas de nuestro servidor DNS por parte de terceros
La configuracioacuten estaacute guardada en el archivo etcbindnamedconfoptions
options directory varcachebind
If there is a firewall between you and nameservers you want to talk to you may need to fix the firewall to allow multiple ports to talk See httpwwwkbcertorgvulsid800113
If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all-0s placeholder
forwarders OpenDNS servers 20867222222 20867220220
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
Verificacioacutenrootserver~ hostname --shortserverrootserver~ hostname --domainhomelanrootserver~ hostname --fqdnserverhomelanrootserver~ hostname --ip-address1921681100
SoftwareGestor de paquetes aptitude
Uno de los puntos fuertes de la distribucioacuten Debian es su gestor de paquetes apt y su interfaz aptitude La gestioacuten de las actualizaciones y las instalaciones de software se realiza con la ayuda de este poderoso y amigable gestor de paquetes Con aptitude es posible por ejemplo actualizar todo un sistema con apenas un par de comandos
NotaLas versiones maacutes antiguas de Debian utilizaban el gestor de paquetes apt Las versiones actuales de Debian utilizan el gestor aptitude que aunque sea un front-end del apt tiene ventajas notorias como el hecho de mantener un registro (log) de las acciones efectuadas lo que permite remover paquetes de una forma maacutes lsquolimpiarsquo Para mayor comodidad a continuacioacuten encontraraacute una lista con los comandos de aptitude y sus equivalentes en apt Pero se advierte que en esta guiacutea preferimos la utilizacioacuten de aptitude
Guiacutea raacutepida del aptitude
Actualizacioacuten de la lista de paquetesaptitude update
Actualiza la lista de paquetes existente en los repositorios Este debe ser el primer mando a ejecutar cuando se pretende gestionar paquetes (es equivalente a apt-get update)
Instalacioacuten de paquetesaptitude install ltpaquetegt
Instala un paquete de software y todos los paquetes de que depende Es posible instalar varios paquetes a la vez usando esta sintaxis aptitude install paquete1 paquete2 paquete3 (es equivalente a apt-get install ltpaquetegt)
aptitude reinstall ltpaquetegtRe-instala un paquete sustituyendo los archivos Bastante uacutetil cuando se quiere reponer archivos que hayan sido alterados (es equivalente a apt-get install mdashreinstall ltpaquetegt)
Actualizacioacuten de sistemaaptitude safe-upgrade
Instala todas a actualizaciones disponibles procediendo agrave instalacioacuten de paquetes para satisfacer todas las dependencias (Equivalente a apt-get -u upgrade)
aptitude full-upgradeInstala todas las actualizaciones disponibles procediendo a la instalacioacuten o eliminacioacuten de paquetes para satisfacer todas las dependencias (es equivalente a apt-get -u dist-upgrade)
Desinstalacioacuten y eliminacioacuten de paquetesaptitude remove ltpaquetegt
Desinstala un paquete pero mantiene los archivos de instalacioacuten del paquete Es posible desinstalar varios paquetes a la vez usando la sintaxis apt-get remove paquete1 paquete2 paquete3 (es equivalente a apt-get remove ltpacotegt)
aptitude purge ltpaquetegtElimina por completo un paquete incluyendo los ficheros de instalacioacuten (es equivalente a apt-get remove mdashpurge ltpaquetegt)
Buacutesqueda de paquetesaptitude search ltcriteacuteriogt
Busca en la lista de paquetes y muestra las coincidencias de criterio (es equivalente a apt-cache search ltcriteacuteriogt)
Informaciones sobre paquetesaptitude show ltpaquetegt
Muestra informaciones acerca de los paquetes (es equivalente a apt-cache show ltpaquetegt)
Limpiar la cache de paquetesaptitude clean
Elimina todos los archivos de paquetes existentes en cache (es equivalente a apt-cache clean)
aptitude autocleanElimina los archivos de paquetes de versiones pasadas existentes en cache pero mantiene los paquetes de versiones actualizados (es equivalente a apt-cache autoclean)
Por seguridad actualizar con frecuencia
Es imprescindible que el servidor esteacute siempre al diacutea con sus actualizaciones La comunidad debian estaacute actualizando constantemente el software para corregir bugs y fallos de seguridad Un sistema no actualizado es una invitacioacuten abierta para los hackers y los crackers La mejor fuente para buscar software actualizado es internet Se deben escoger
criteriosamente las fuentes de software o repositoacuterios y proceder con actualizaciones frecuentes
Es tambieacuten importante seguir de cerca todas las informaciones referentes a bugs (conflictos o problemas que producen algunos paquetes) y fallos de seguridad asiacute como estar atentos a cuaacutel es la mejor manera de corregir esto La distribucioacuten edita listas con los anuncios de seguridad y con sus respectivas correcciones en la paacutegina de la distribucioacuten o si prefiere en las listas de distribucioacuten
Actualizaciones
Objetivo
Para garantizar que el sistema tenga las versiones de software y correcciones de seguridad maacutes recientes las actualizaciones deben ser hechas con regularidad La actualizacioacuten del software se hace en dos etapas primero se actualiza lista de software disponible en los repositorios y segundo se instalan las eventuales actualizaciones Ambas operaciones son hechas utilizando el comando aptitude con diferentes opciones
Actualizacioacuten de los repositorios
La actualizacioacuten de la lista de software disponible en los repositorios es muy faacutecil
rootserver~ aptitude updateGet1 httpftpptdebianorg squeeze Releasegpg [835 B]Ign httpftpptdebianorgdebian squeezemain Translation-enIgn httpftpptdebianorgdebian squeezemain Translation-en_USGet2 httpftpptdebianorg squeeze Release [899 kB]Get3 httpsecuritydebianorg squeezeupdates Releasegpg [835 B]Get4 httpftpptdebianorg squeezemain amd64 PackagesDiffIndex [2038 B]Ign httpsecuritydebianorg squeezeupdatesmain Translation-enIgn httpsecuritydebianorg squeezeupdatesmain Translation-en_USGet5 httpsecuritydebianorg squeezeupdates Release [446 kB]Get6 httpftpptdebianorg squeezemain amd64 2010-10-22-025649pdiff [101 kB]Get7 httpftpptdebianorg squeezemain amd64 2010-10-22-025649pdiff [101 kB]Get8 httpftpptdebianorg squeezemain amd64 2010-10-22-025649pdiff [101 kB]Get9 httpsecuritydebianorg squeezeupdatesmain amd64 Packages [563 kB]Get10 httpftpptdebianorg squeezemain amd64 2010-10-22-152442pdiff [8117 B]Get11 httpftpptdebianorg squeezemain amd64 2010-10-22-152442pdiff [8117 B]Get12 httpftpptdebianorg squeezemain amd64 2010-10-22-152442pdiff [8117 B]Fetched 215 kB in 3s (710 kBs)
Current status 5 updates [+5]
En este ejemplo se encuentran disponibles 5 actualizaciones para el software instalado
Instalacioacuten de las actualizaciones
La instalacioacuten de las actualizaciones es tambieacuten muy faacutecil
rootserver~ aptitude safe-upgradeThe following packages will be upgraded libc-bin libc6 locales tasksel tasksel-data5 packages upgraded 0 newly installed 0 to remove and 0 not upgradedNeed to get 9776 kB of archives After unpacking 176 kB will be freedDo you want to continue [Yn] yGet1 httpftpptdebianorgdebian squeezemain tasksel-data all 284 [105 kB]Get2 httpftpptdebianorgdebian squeezemain tasksel all 284 [872 kB]Get3 httpsecuritydebianorg squeezeupdatesmain libc-bin amd64 2112-6+squeeze1 [745 kB]Get4 httpsecuritydebianorg squeezeupdatesmain libc6 amd64 2112-6+squeeze1 [4143 kB]Get5 httpsecuritydebianorg squeezeupdatesmain locales all 2112-6+squeeze1 [4697 kB]Fetched 9776 kB in 20s (480 kBs)Preconfiguring packages (Reading database 16181 files and directories currently installed)Preparing to replace libc-bin 2112-6 (using libc-bin_2112-6+squeeze1_amd64deb) Unpacking replacement libc-bin Processing triggers for man-db Setting up libc-bin (2112-6+squeeze1) (Reading database 16181 files and directories currently installed)Preparing to replace libc6 2112-6 (using libc6_2112-6+squeeze1_amd64deb) Unpacking replacement libc6 Setting up libc6 (2112-6+squeeze1) (Reading database 16181 files and directories currently installed)Preparing to replace tasksel-data 282 (using tasksel-data_284_alldeb) Unpacking replacement tasksel-data Preparing to replace tasksel 282 (using archivestasksel_284_alldeb) Unpacking replacement tasksel Preparing to replace locales 2112-6 (using locales_2112-6+squeeze1_alldeb) Unpacking replacement locales Processing triggers for man-db Setting up locales (2112-6+squeeze1) Generating locales (this might take a while) en_USUTF-8 doneGeneration completeSetting up tasksel-data (284) Setting up tasksel (284)
Current status 0 updates [-5]
En este ejemplo se actualizaron 5 paquetes Ahora tenemos el sistema al diacutea con sus actualizaciones
NOTAEs muy importante actualizar el sistema con frecuencia De esta forma se puede garantizar que el sistema siempre tenga las correcciones maacutes recientes a los bugs que puedan aparecer y las actualizaciones de seguridad que se requieran
Repositorios
Objetivo
Ademaacutes del repositorio de software principal de Debian o main configurado durante la instalacioacuten existen otros repositorios que por diversas razones no son incluidos durante la instalacioacuten Sin embargo estos pueden ser incluidos en cualquier momento
Lista de repositorios
Para facilitar la instalacioacuten de algunos paquetes de software se deben antildeadir algunos repositorios a la lista existente expresamente los repositorios contrib y non-free
Tambieacuten como no vamos a compilar paquetes a partir de las fuentes se sugiere desactiva o comentar sus referencias (deb-src) Desactivar o comentar una liacutenea consiste en escribir el signo al principio de la liacutenea que se quiera intervenir como se ve en el ejemplo
La lista de repositorios se encuentra en el archivo de configuracioacuten etcaptsourceslist
deb cdrom[Debian GNULinux 600 _Squeeze_ - Official amd64 NETINST Binary-1 20110205-1431] squeeze main
deb cdrom[Debian GNULinux 600 _Squeeze_ - Official amd64 NETINST Binary-1 20110205-1431] squeeze main
deb httpftpptdebianorgdebian squeeze main contrib non-freedeb-src httpftpptdebianorgdebian squeeze main
deb httpsecuritydebianorg squeezeupdates main contrib non-freedeb-src httpsecuritydebianorg squeezeupdates main
deb httpftpptdebianorgdebian squeeze-updates main contrib non-freedeb-src httpftpptdebianorgdebian squeeze-updates main
Aqui otroa repositorios oficiales
Repositorios oficiales
deb httpftpfrdebianorgdebian squeeze main contrib non-freedeb-src httpftpfrdebianorgdebian squeeze main contrib non-free
Line commented out by installer because it failed to verify
Skypedeb httpdownloadskypecomlinuxreposdebian stable non-free
Repositorios de seguridaddeb httpsecuritydebianorg squeezeupdates main contrib Line commented out by installer because it failed to verifydeb-src httpsecuritydebianorg squeezeupdates main contrib
Repositorios multimediadeb httpwwwdebian-multimediaorg squeeze main non-freedeb-src httpwwwdebian-multimediaorg squeeze main non-free
Line commented out by installer because it failed to verifydeb volatiledebianorg squeeze-updates main contrib Line commented out by installer because it failed to verifydeb-src volatiledebianorg squeeze-updates main contrib
Actualizar la lista local de paquetes con los nuevos repositorios
rootserver~ aptitude updateHit httpftpptdebianorg squeeze ReleasegpgIgn httpftpptdebianorgdebian squeezecontrib Translation-enIgn httpftpptdebianorgdebian squeezecontrib Translation-en_USIgn httpftpptdebianorgdebian squeezemain Translation-enIgn httpftpptdebianorgdebian squeezemain Translation-en_USIgn httpftpptdebianorgdebian squeezenon-free Translation-enIgn httpftpptdebianorgdebian squeezenon-free Translation-en_USHit httpftpptdebianorg squeeze-updates ReleasegpgIgn httpftpptdebianorgdebian squeeze-updatescontrib Translation-enIgn httpftpptdebianorgdebian squeeze-updatescontrib Translation-en_USIgn httpftpptdebianorgdebian squeeze-updatesmain Translation-enIgn httpftpptdebianorgdebian squeeze-updatesmain Translation-en_USIgn httpftpptdebianorgdebian squeeze-updatesnon-free Translation-enIgn httpftpptdebianorgdebian squeeze-updatesnon-free Translation-en_USHit httpftpptdebianorg squeeze ReleaseHit httpftpptdebianorg squeeze-updates ReleaseHit httpsecuritydebianorg squeezeupdates ReleasegpgIgn httpsecuritydebianorg squeezeupdatescontrib Translation-enIgn httpsecuritydebianorg squeezeupdatescontrib Translation-en_USIgn httpsecuritydebianorg squeezeupdatesmain Translation-enIgn httpsecuritydebianorg squeezeupdatesmain Translation-en_USIgn httpsecuritydebianorg squeezeupdatesnon-free Translation-enIgn httpsecuritydebianorg squeezeupdatesnon-free Translation-en_USHit httpftpptdebianorg squeezemain amd64 PackagesHit httpsecuritydebianorg squeezeupdates Release
Get1 httpftpptdebianorg squeezecontrib amd64 Packages [641 kB]Hit httpsecuritydebianorg squeezeupdatesmain amd64 PackagesGet2 httpftpptdebianorg squeezenon-free amd64 Packages [124 kB]Get3 httpsecuritydebianorg squeezeupdatescontrib amd64 Packages [20 B]Get4 httpsecuritydebianorg squeezeupdatesnon-free amd64 Packages [20 B]Hit httpftpptdebianorg squeeze-updatesmain amd64 PackagesGet5 httpftpptdebianorg squeeze-updatescontrib amd64 Packages [20 B]Get6 httpftpptdebianorg squeeze-updatesnon-free amd64 Packages [20 B]Fetched 188 kB in 0s (252 kBs)
Current status 566 new [+566]
Utilizando un proxy
En algunos casos es necesario acceder a la internet a traveacutes de un proxy En aptitude puede ser configurado para usar el proxy El aptitude puede ser configurado para usar el proxy Para esto existen dos meacutetodos posibles
Definir una variable de ambiente http_proxy o ftp_poxy que tenga como valor a la
URL del servidor proxy aptitude tendraacute en cuenta esta variable cuando se conecte a
Internet
rootserver~ export http_proxy=httpproxyexamplecom3128
Incluir las definiciones del proxy en la configuracioacuten de aptitude Para indicar el
proxy a utilizar deberaacute editar o crear el archivo etcaptaptconf
AcquirehttpProxy httpproxyexamplecom3128
El formato de la URL de un proxy es http[[user][pass]]xxxxxxxxxxxx[port] donde
userpassnombre del usuario y contrasentildea si el proxy requiere autenticacioacuten yo autorizacioacuten
xxxxxxxxxxxxdireccioacuten o nombre del servidor proxy
portpuerto de conexioacuten al servicio deproxy
Notificacioacuten de actualizaciones apticron
Objetivo
Para garantizar que un sistema pueda ser actualizado lo mejor es estar informado de las actualizaciones disponibles Apticron es un programa que se ejecuta diariamente de forma
automaacutetica verifica las actualizaciones disponibles para nuestro sistema y luego informa al administrador por e-mail
NOTAEl paquete apticron depende de la instalacioacuten de un agente de transporte de e-mail o MTA (Mail Transfer Agent) Por tanto es necesario instalar primero un Servidor SMTP antes de proceder a la instalacioacuten de apticron
Instalacioacutenrootserver~ aptitude install apticron
Resultado
Siempre que haya una actualizacioacuten disponible para nuestro sistema seraacute enviado un e-mail al administrador del sistema
Date Wed 16 Feb 2011 190548 +0000To roothomelanSubject 2 Debian package update(s) for serverhomelan From roothomelan (root)
apticron report [Wed 16 Feb 2011 190547 +0000]========================================================================
apticron has detected that some packages need upgrading on
serverhomelan [ 1921681100 ]
The following packages are currently pending an upgrade
login 14142+svn3283-2+squeeze1 passwd 14142+svn3283-2+squeeze1
========================================================================
Package Details
Reading changelogs--- Changes for shadow (login passwd) ---shadow (14142+svn3283-2+squeeze1) stable-security urgency=high
The Tomanoix release debianpatches300_CVE-2011-0721 Fix insufficient input sanitation leading to possible user or group creation in NIS environments
-- Nicolas FRANCOIS (Nekral) ltnicolasfrancoiscentraliensnetgt Sun 13 Feb 2011 220228 +0100
========================================================================
You can perform the upgrade by issuing the command
aptitude full-upgrade
as root on serverhomelan
--apticron
El administrador podraacute entonces actualizar sus sistema con el comando aptitude full-upgrade
Acceso RemotoEn principio no debe accederse fiacutesicamente a un servidor a no ser por razones excepcionales (como la actualizacioacuten o la reparacioacuten de hardware por ejemplo) La mejor manera de gestionar un servidor es remotamente Sin embargo este acceso deber ser hecho de una manera segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo ssh
La regla general indica que no se debe acceder fiacutesicamente a un servidor a no ser por razones excepcionales La mejor manera de gestionar un servidor es con un acceso remoto Pero el acceso remoto debe ser hecho de forma segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo SSH
Es la solucioacuten para garantizar conexiones remotas seguras ssh es un protocolo de comunicaciones que encripta los datos intercambiados haciendo virtualmente imposible la violacioacuten de la privacidad de la comunicacioacuten El acroacutenimo ssh viene del ingleacutes Secure SHell
El protocolo ssh es muy versaacutetil cuenta con un software cliente que posibilita el acceso a la liacutenea de comandos la transferencia de archivos y la creacioacuten de tuacuteneles seguros con soportes de comunicaciones para otros protocolos
Clientes SSH
Los clientes ssh se dividen en dos grupos
Terminal SSHEs un emulador de terminal que permite acceder de forma remota a la liacutenea de comandos utilizando el protocolo SSH
Cliente SFTPSe trata de un cliente para transferencia de archivos que utiliza el Protocolo de Transferencia Segura de Archivos Su sigla indica en ingleacutes (Secure File Transfer Protocol (SFTP))
Clientes Linuxopenssh-client
este software ofrece utilidades para acceso remoto (cliente ssh) copia de seguridad de archivos (scp) y transferencia segura de archivos (sftp) entre otras
FileZillaCliente SFTP
Clientes WindowsPuTTY
Terminal SSHWinSCP
Cliente SFTPFileZilla
Cliente SFTP
Servidor ssh
Instalacioacutenrootserver~ aptitude install openssh-server openssh-client
Configuracioacuten
Todas las configuraciones del servidor ssh se encuentran en el archivo etcsshsshd_config
Para configurar el servidor debe indicarse las direcciones donde el servicio debe responder En este caso seraacuten conexiones ligadas a la direccioacuten 1921681100 a traveacutes del puerto 22 y utilizando la versioacuten 2 del protocolo ssh
Package generated configuration file See the sshd_config(5) manpage for details
What ports IPs and protocols we listen forPort 22 Use these options to restrict which interfacesprotocols sshd will bind toListenAddress ListenAddress 0000ListenAddress 1921681100Protocol 2
[]
Por seguridad se debe desactivar el login como root en esta configuracioacuten para adquirir los privilegios del root se debe hacer un login usuario normal y despueacutes adquirir los privilegios de root De este modo prevenimos que el password del root sea objeto de un ataque
[]
AuthenticationLoginGraceTime 120PermitRootLogin no
StrictModes yes
[]
Tambieacuten se debe verificar que no sean permitidos los logins con contrasentildeas vaciacuteas
[]
To enable empty passwords change to yes (NOT RECOMMENDED)PermitEmptyPasswords no
[]
Reiniciar el servicio
rootserver~ etcinitdssh restart
Verificacioacuten
Clientes Linux
Debe ser posible establecer una conexioacuten ssh a la direccioacuten 1921681100
La primera vez que la conexioacuten se efectuacutee eacutesta debe ser confirmada porque el servidor no estaacute registrado en la lista de los sistemas conocidos por el cliente
fribeirolaptop~$ ssh 1921681100The authenticity of host 1921681100 (1921681100) cant be establishedRSA key fingerprint is ee16b0c91befb464e18680f4369f0803Are you sure you want to continue connecting (yesno) yesWarning Permanently added 1921681100 (RSA) to the list of known hostsfribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable law
fribeiroserver~$ logoutConnection to 1921681100 closedfribeirolaptop~$
Las conexiones con el login root no seraacuten aceptadas
fribeirolaptop~$ ssh -l root 1921681100root1921681100s passwordPermission denied please try againroot1921681100s passwordPermission denied please try again
root1921681100s passwordPermission denied (publickeypassword)
Clientes Windows
El acceso a partir de clientes Windows es posible con un programa emulador del terminal que soporte ssh como Putty
Obtener privilegios de root
Como el login como root estaacute desactivado la manera de obtener privilegios de root en una conexioacuten ssh es a traveacutes de un usuario comuacuten que escala privilegios con el comando su
fribeirolaptop~$ ssh 1921681100fribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable lawLast login Wed Oct 27 110121 2010 from laptophomelanfribeiroserver~$ su - rootPasswordrootserver~
Referencias
Debian Reference 69 The remote access server and utility (SSH)
(
httpwwwdebianorgdocmanualsreferencech06enhtml_the_remote_access_se
rver_and_utility_ssh)
OpenSSH (httpwwwopensshcom)
Reloj del sistemaEn un servidor es fundamental asegurarse de que el reloj del sistema funcione correctamente No soacutelo porque varios servicios dependan del reloj sino tambieacuten porque el reloj puede ser utilizado para sincronizar y poner en punto a los demaacutes equipos
Fecha hora y huso horario
Objetivo
Poner en punto el reloj y la fecha del sistema
Configuracioacuten
Fuso horario
Es imperativo configurar adecuadamente el huso horario correspondiente al servidor La informacioacuten sobre el huso horario se encuentra en el archivo etctimezoney puede ser consultada con el comando cat
rootserver~ cat etctimezoneEuropeLisbon
Para configurar el huso horario se utiliza el comando dpkg-reconfigure tzdata y se escoge la zona correcta en el menuacute interactivo
rootserver~ dpkg-reconfigure tzdata
Un diaacutelogo permite seleccionar la regioacuten geograacutefica
En seguida puede sentildealarse la regioacuten o el paiacutes donde el servidor se encuentra fiacutesicamente localizado
Luego el resultado queda registrado asiacute
Current default time zone EuropeLisbonLocal time is now Wed Oct 27 115426 WEST 2010Universal Time is now Wed Oct 27 105426 UTC 2010
Fecha yhora
El comando date muestra la fecha actual del sistema
rootserver~ dateWed Oct 27 120057 WEST 2010
El comando date tambieacuten permite poner en punto la hora del sistema manualmente Para esto se utiliza la sintaxis reducida ldquodate MMDDhhmmrdquo
rootserver~ date 10271201Wed Oct 27 120100 WEST 2010
Protocolo NTP
El protocolo NTP (Network Time Protocol) se utiliza para mantener en punto el reloj del sistema sincronizaacutendolo a partir de una red de servidores NTP a traveacutes de Internet
Objetivo
Utilizar la red de servidores NTP para poner en punto el reloj de sistema
Instalacioacutenrootserver~ aptitude install ntpdate ntp-doc
Utilizacioacuten
En primer lugar se debe verificar que el huso horario del sistema esteacute definido de forma correcta
Despueacutes se puede poner en punto el reloj del sistema teniendo como referencia uno de los servidores NTP
rootserver~ ntpdate -u poolntporg28 Oct 120917 ntpdate[2493] adjust time server 1941179136 offset -0030742 sec
Servidor NTP
Objetivo
El protocolo NTP se usa para mantener en punto el reloj del sistema Esto es posible gracias a su sincronizacioacuten con otros servidores NTP viacutea internet
Instalacioacutenrootserver~ aptitude install ntp ntp-doc
Configuracioacuten
Verificar la configuracioacuten del fuso horario y de la fecha y hora del sistema
Verificacioacuten
El comando ntpq -p permite verificar cuaacuteles son los servidores NTP a los que estamos conectados Los + e - indican respectivamente conexiones exitosas sincronizaciones en curso y servidores poco confiablesEsto puede demorar algunos minutos hasta que aparezca la lista y hasta 30 minutos para que ocurra la primera correccioacuten
rootserver~ ntpq -p remote refid st t when poll reach delay offset jitter==============================================================================+ns4lerfjhaxco 1986022240 2 u 20 64 1 157121 -20776 20808-ns1vibiteu 195131153 3 u 19 64 1 80428 25345 908168681878cus 1924324418 2 u 18 64 1 144241 -3047 3650+nagiosrack911 128138188172 2 u 17 64 1 159292 -4013 9109
El servidor NTP estaacute listo para ser utilizado
Utilizacioacuten
Para poner en punto la hora y fecha de un sistema cliente es suficiente con usar el comando ntpdate (ver Protocolo NTP) indicando la direccioacutenate del servidor
rootlaptop~ ntpdate -u 1921681100 4 Feb 223801 ntpdate[15071] adjust time server 1921681100 offset -0027193 sec
Servidor de Intranet
Una vez terminada la configuracioacuten de base del servidor es hora de expandir su funcionalidad para que pueda proveer un conjunto de servicios para la red interna
DNS
DNS es la sigla inglesa de Domain Name System (Sistema de Nombres de Dominios) Este sistema correlaciona el nombre de una paacutegina electroacutenica con una direccioacuten IP y viceversa Por ejemplo gracias al DNS sabemos que el servidor ldquowwwdebianorgrdquo tiene la direccioacuten IP ldquo21312923218rdquo y viceversa
El protocolo DNS
Sistema de Nombres de Dominios
Siempre que se utiliza un nombre para designar a un servidor como sucede con wwwdebianorg eacuteste debe traducirse en la forma de una direccioacuten IP uacutenica del mismo servidor Este proceso se conoce como resolucioacuten y es efectuado gracias al Domain Name System (DNS) (o en espantildeol Sistema de Nombres de Dominios)
Este sistema estaacute constituido por una red global de servidores organizados en un aacuterbol donde cada servidor contiene una tabla de asociaciones entre los nombres de los servidores y sus respectivas direcciones IP
Coacutemo funciona el DNS
Supongamos que se pretende contactar el servidor wwwgooglecom El sistema iniciaraacute una serie de contactos entre otros sistemas diversos para encontrar cuaacutel es la direccioacuten asociada a la direccioacuten pretendida
Una versioacuten muy simplificada seriacutea la siguiente posiblemente el sistema tendraacute que contactar a su servidor de DNS que a su vez contactaraacute los servidores DNS de tope para indagar acerca del dominio ldquogoogleconrdquo y enseguida contactar el servidor DNS de google para saber la direccioacuten IP de wwwgooglecom
Aunque cada investigacioacuten o resolucioacuten tarda soacutelo milisegundos la visualizacioacuten de una paacutegina web en un browser puede resultar bastante penalizada por este proceso Especialmente cuando es posible que varios elementos de la paacutegina esteacuten alojados en diversos servidores cuyas direcciones deban ser resueltas individualmente
Cache DNS
Objetivo
Aunque las direcciones Internet tengan nombres ldquolegiblesrdquo (wwwgooglecom) eacutestos deben ser traducidos a la direccioacuten IP (21312923218) del respectivo servidor Esa conversioacuten es efectuada realizando una buacutesqueda en el DNS (Domain Name System)
Una cache DNS guardia localmente los resultados de esa buacutesqueda para utilizacioacuten futura evitando la repeticioacuten de buacutesquedas y aumentando draacutesticamente la velocidad de respuesta
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La configuracioacuten generada durante la instalacioacuten es perfectamente funcional no requiere modificaciones Sin embargo vamos personalizar la instalacioacuten en 2 aspectos principales vamos a definir a cuaacuteles servidores consultaraacute el nuestro para pedir ayuda en la resolucioacuten de nombres si no es posible hacer esto localmente (forwarders) y vamos a fortalecer algunos aspectos de seguridad
Como forwarders podemos optar por varias hipoacutetesis una es utilizar los servidores DNS de nuestro proveedor de acceso a Internet
Otra posibilidad muy interesante es utilizar uno de los diversos servicios puacuteblicos de DNS disponibles en la actualidad como
OpenDNS (httpwwwopendnscom)
Google Public DNS (httpcodegooglecomspeedpublic-dns)
Estos servicios prometen suministrar no soacutelo resoluciones maacutes raacutepidas sino tambieacuten diversos servicios adicionales de seguridad como filtros de direcciones maliciosos y otros maacutes
En este caso utilizaremos los servidores OpenDNS (httpwwwopendnscom) Para tener otra opcioacuten tambieacuten se antildeadiraacute el del router ADSL
Por seguridad soacutelo seraacuten recibidas conexiones por la interfaz local o por la destinada a la red interna (listen-on 127001 1921681100 ) Asiacute mismo soacutelo seraacuten contestados los pedidos de resolucioacuten que partan del propio puesto o de la red interna (allow-query 127001 1921681024 ) Todos los otros pedidos seraacuten ignorados para evitar eventuales utilizaciones abusivas de nuestro servidor DNS por parte de terceros
La configuracioacuten estaacute guardada en el archivo etcbindnamedconfoptions
options directory varcachebind
If there is a firewall between you and nameservers you want to talk to you may need to fix the firewall to allow multiple ports to talk See httpwwwkbcertorgvulsid800113
If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all-0s placeholder
forwarders OpenDNS servers 20867222222 20867220220
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
Instala un paquete de software y todos los paquetes de que depende Es posible instalar varios paquetes a la vez usando esta sintaxis aptitude install paquete1 paquete2 paquete3 (es equivalente a apt-get install ltpaquetegt)
aptitude reinstall ltpaquetegtRe-instala un paquete sustituyendo los archivos Bastante uacutetil cuando se quiere reponer archivos que hayan sido alterados (es equivalente a apt-get install mdashreinstall ltpaquetegt)
Actualizacioacuten de sistemaaptitude safe-upgrade
Instala todas a actualizaciones disponibles procediendo agrave instalacioacuten de paquetes para satisfacer todas las dependencias (Equivalente a apt-get -u upgrade)
aptitude full-upgradeInstala todas las actualizaciones disponibles procediendo a la instalacioacuten o eliminacioacuten de paquetes para satisfacer todas las dependencias (es equivalente a apt-get -u dist-upgrade)
Desinstalacioacuten y eliminacioacuten de paquetesaptitude remove ltpaquetegt
Desinstala un paquete pero mantiene los archivos de instalacioacuten del paquete Es posible desinstalar varios paquetes a la vez usando la sintaxis apt-get remove paquete1 paquete2 paquete3 (es equivalente a apt-get remove ltpacotegt)
aptitude purge ltpaquetegtElimina por completo un paquete incluyendo los ficheros de instalacioacuten (es equivalente a apt-get remove mdashpurge ltpaquetegt)
Buacutesqueda de paquetesaptitude search ltcriteacuteriogt
Busca en la lista de paquetes y muestra las coincidencias de criterio (es equivalente a apt-cache search ltcriteacuteriogt)
Informaciones sobre paquetesaptitude show ltpaquetegt
Muestra informaciones acerca de los paquetes (es equivalente a apt-cache show ltpaquetegt)
Limpiar la cache de paquetesaptitude clean
Elimina todos los archivos de paquetes existentes en cache (es equivalente a apt-cache clean)
aptitude autocleanElimina los archivos de paquetes de versiones pasadas existentes en cache pero mantiene los paquetes de versiones actualizados (es equivalente a apt-cache autoclean)
Por seguridad actualizar con frecuencia
Es imprescindible que el servidor esteacute siempre al diacutea con sus actualizaciones La comunidad debian estaacute actualizando constantemente el software para corregir bugs y fallos de seguridad Un sistema no actualizado es una invitacioacuten abierta para los hackers y los crackers La mejor fuente para buscar software actualizado es internet Se deben escoger
criteriosamente las fuentes de software o repositoacuterios y proceder con actualizaciones frecuentes
Es tambieacuten importante seguir de cerca todas las informaciones referentes a bugs (conflictos o problemas que producen algunos paquetes) y fallos de seguridad asiacute como estar atentos a cuaacutel es la mejor manera de corregir esto La distribucioacuten edita listas con los anuncios de seguridad y con sus respectivas correcciones en la paacutegina de la distribucioacuten o si prefiere en las listas de distribucioacuten
Actualizaciones
Objetivo
Para garantizar que el sistema tenga las versiones de software y correcciones de seguridad maacutes recientes las actualizaciones deben ser hechas con regularidad La actualizacioacuten del software se hace en dos etapas primero se actualiza lista de software disponible en los repositorios y segundo se instalan las eventuales actualizaciones Ambas operaciones son hechas utilizando el comando aptitude con diferentes opciones
Actualizacioacuten de los repositorios
La actualizacioacuten de la lista de software disponible en los repositorios es muy faacutecil
rootserver~ aptitude updateGet1 httpftpptdebianorg squeeze Releasegpg [835 B]Ign httpftpptdebianorgdebian squeezemain Translation-enIgn httpftpptdebianorgdebian squeezemain Translation-en_USGet2 httpftpptdebianorg squeeze Release [899 kB]Get3 httpsecuritydebianorg squeezeupdates Releasegpg [835 B]Get4 httpftpptdebianorg squeezemain amd64 PackagesDiffIndex [2038 B]Ign httpsecuritydebianorg squeezeupdatesmain Translation-enIgn httpsecuritydebianorg squeezeupdatesmain Translation-en_USGet5 httpsecuritydebianorg squeezeupdates Release [446 kB]Get6 httpftpptdebianorg squeezemain amd64 2010-10-22-025649pdiff [101 kB]Get7 httpftpptdebianorg squeezemain amd64 2010-10-22-025649pdiff [101 kB]Get8 httpftpptdebianorg squeezemain amd64 2010-10-22-025649pdiff [101 kB]Get9 httpsecuritydebianorg squeezeupdatesmain amd64 Packages [563 kB]Get10 httpftpptdebianorg squeezemain amd64 2010-10-22-152442pdiff [8117 B]Get11 httpftpptdebianorg squeezemain amd64 2010-10-22-152442pdiff [8117 B]Get12 httpftpptdebianorg squeezemain amd64 2010-10-22-152442pdiff [8117 B]Fetched 215 kB in 3s (710 kBs)
Current status 5 updates [+5]
En este ejemplo se encuentran disponibles 5 actualizaciones para el software instalado
Instalacioacuten de las actualizaciones
La instalacioacuten de las actualizaciones es tambieacuten muy faacutecil
rootserver~ aptitude safe-upgradeThe following packages will be upgraded libc-bin libc6 locales tasksel tasksel-data5 packages upgraded 0 newly installed 0 to remove and 0 not upgradedNeed to get 9776 kB of archives After unpacking 176 kB will be freedDo you want to continue [Yn] yGet1 httpftpptdebianorgdebian squeezemain tasksel-data all 284 [105 kB]Get2 httpftpptdebianorgdebian squeezemain tasksel all 284 [872 kB]Get3 httpsecuritydebianorg squeezeupdatesmain libc-bin amd64 2112-6+squeeze1 [745 kB]Get4 httpsecuritydebianorg squeezeupdatesmain libc6 amd64 2112-6+squeeze1 [4143 kB]Get5 httpsecuritydebianorg squeezeupdatesmain locales all 2112-6+squeeze1 [4697 kB]Fetched 9776 kB in 20s (480 kBs)Preconfiguring packages (Reading database 16181 files and directories currently installed)Preparing to replace libc-bin 2112-6 (using libc-bin_2112-6+squeeze1_amd64deb) Unpacking replacement libc-bin Processing triggers for man-db Setting up libc-bin (2112-6+squeeze1) (Reading database 16181 files and directories currently installed)Preparing to replace libc6 2112-6 (using libc6_2112-6+squeeze1_amd64deb) Unpacking replacement libc6 Setting up libc6 (2112-6+squeeze1) (Reading database 16181 files and directories currently installed)Preparing to replace tasksel-data 282 (using tasksel-data_284_alldeb) Unpacking replacement tasksel-data Preparing to replace tasksel 282 (using archivestasksel_284_alldeb) Unpacking replacement tasksel Preparing to replace locales 2112-6 (using locales_2112-6+squeeze1_alldeb) Unpacking replacement locales Processing triggers for man-db Setting up locales (2112-6+squeeze1) Generating locales (this might take a while) en_USUTF-8 doneGeneration completeSetting up tasksel-data (284) Setting up tasksel (284)
Current status 0 updates [-5]
En este ejemplo se actualizaron 5 paquetes Ahora tenemos el sistema al diacutea con sus actualizaciones
NOTAEs muy importante actualizar el sistema con frecuencia De esta forma se puede garantizar que el sistema siempre tenga las correcciones maacutes recientes a los bugs que puedan aparecer y las actualizaciones de seguridad que se requieran
Repositorios
Objetivo
Ademaacutes del repositorio de software principal de Debian o main configurado durante la instalacioacuten existen otros repositorios que por diversas razones no son incluidos durante la instalacioacuten Sin embargo estos pueden ser incluidos en cualquier momento
Lista de repositorios
Para facilitar la instalacioacuten de algunos paquetes de software se deben antildeadir algunos repositorios a la lista existente expresamente los repositorios contrib y non-free
Tambieacuten como no vamos a compilar paquetes a partir de las fuentes se sugiere desactiva o comentar sus referencias (deb-src) Desactivar o comentar una liacutenea consiste en escribir el signo al principio de la liacutenea que se quiera intervenir como se ve en el ejemplo
La lista de repositorios se encuentra en el archivo de configuracioacuten etcaptsourceslist
deb cdrom[Debian GNULinux 600 _Squeeze_ - Official amd64 NETINST Binary-1 20110205-1431] squeeze main
deb cdrom[Debian GNULinux 600 _Squeeze_ - Official amd64 NETINST Binary-1 20110205-1431] squeeze main
deb httpftpptdebianorgdebian squeeze main contrib non-freedeb-src httpftpptdebianorgdebian squeeze main
deb httpsecuritydebianorg squeezeupdates main contrib non-freedeb-src httpsecuritydebianorg squeezeupdates main
deb httpftpptdebianorgdebian squeeze-updates main contrib non-freedeb-src httpftpptdebianorgdebian squeeze-updates main
Aqui otroa repositorios oficiales
Repositorios oficiales
deb httpftpfrdebianorgdebian squeeze main contrib non-freedeb-src httpftpfrdebianorgdebian squeeze main contrib non-free
Line commented out by installer because it failed to verify
Skypedeb httpdownloadskypecomlinuxreposdebian stable non-free
Repositorios de seguridaddeb httpsecuritydebianorg squeezeupdates main contrib Line commented out by installer because it failed to verifydeb-src httpsecuritydebianorg squeezeupdates main contrib
Repositorios multimediadeb httpwwwdebian-multimediaorg squeeze main non-freedeb-src httpwwwdebian-multimediaorg squeeze main non-free
Line commented out by installer because it failed to verifydeb volatiledebianorg squeeze-updates main contrib Line commented out by installer because it failed to verifydeb-src volatiledebianorg squeeze-updates main contrib
Actualizar la lista local de paquetes con los nuevos repositorios
rootserver~ aptitude updateHit httpftpptdebianorg squeeze ReleasegpgIgn httpftpptdebianorgdebian squeezecontrib Translation-enIgn httpftpptdebianorgdebian squeezecontrib Translation-en_USIgn httpftpptdebianorgdebian squeezemain Translation-enIgn httpftpptdebianorgdebian squeezemain Translation-en_USIgn httpftpptdebianorgdebian squeezenon-free Translation-enIgn httpftpptdebianorgdebian squeezenon-free Translation-en_USHit httpftpptdebianorg squeeze-updates ReleasegpgIgn httpftpptdebianorgdebian squeeze-updatescontrib Translation-enIgn httpftpptdebianorgdebian squeeze-updatescontrib Translation-en_USIgn httpftpptdebianorgdebian squeeze-updatesmain Translation-enIgn httpftpptdebianorgdebian squeeze-updatesmain Translation-en_USIgn httpftpptdebianorgdebian squeeze-updatesnon-free Translation-enIgn httpftpptdebianorgdebian squeeze-updatesnon-free Translation-en_USHit httpftpptdebianorg squeeze ReleaseHit httpftpptdebianorg squeeze-updates ReleaseHit httpsecuritydebianorg squeezeupdates ReleasegpgIgn httpsecuritydebianorg squeezeupdatescontrib Translation-enIgn httpsecuritydebianorg squeezeupdatescontrib Translation-en_USIgn httpsecuritydebianorg squeezeupdatesmain Translation-enIgn httpsecuritydebianorg squeezeupdatesmain Translation-en_USIgn httpsecuritydebianorg squeezeupdatesnon-free Translation-enIgn httpsecuritydebianorg squeezeupdatesnon-free Translation-en_USHit httpftpptdebianorg squeezemain amd64 PackagesHit httpsecuritydebianorg squeezeupdates Release
Get1 httpftpptdebianorg squeezecontrib amd64 Packages [641 kB]Hit httpsecuritydebianorg squeezeupdatesmain amd64 PackagesGet2 httpftpptdebianorg squeezenon-free amd64 Packages [124 kB]Get3 httpsecuritydebianorg squeezeupdatescontrib amd64 Packages [20 B]Get4 httpsecuritydebianorg squeezeupdatesnon-free amd64 Packages [20 B]Hit httpftpptdebianorg squeeze-updatesmain amd64 PackagesGet5 httpftpptdebianorg squeeze-updatescontrib amd64 Packages [20 B]Get6 httpftpptdebianorg squeeze-updatesnon-free amd64 Packages [20 B]Fetched 188 kB in 0s (252 kBs)
Current status 566 new [+566]
Utilizando un proxy
En algunos casos es necesario acceder a la internet a traveacutes de un proxy En aptitude puede ser configurado para usar el proxy El aptitude puede ser configurado para usar el proxy Para esto existen dos meacutetodos posibles
Definir una variable de ambiente http_proxy o ftp_poxy que tenga como valor a la
URL del servidor proxy aptitude tendraacute en cuenta esta variable cuando se conecte a
Internet
rootserver~ export http_proxy=httpproxyexamplecom3128
Incluir las definiciones del proxy en la configuracioacuten de aptitude Para indicar el
proxy a utilizar deberaacute editar o crear el archivo etcaptaptconf
AcquirehttpProxy httpproxyexamplecom3128
El formato de la URL de un proxy es http[[user][pass]]xxxxxxxxxxxx[port] donde
userpassnombre del usuario y contrasentildea si el proxy requiere autenticacioacuten yo autorizacioacuten
xxxxxxxxxxxxdireccioacuten o nombre del servidor proxy
portpuerto de conexioacuten al servicio deproxy
Notificacioacuten de actualizaciones apticron
Objetivo
Para garantizar que un sistema pueda ser actualizado lo mejor es estar informado de las actualizaciones disponibles Apticron es un programa que se ejecuta diariamente de forma
automaacutetica verifica las actualizaciones disponibles para nuestro sistema y luego informa al administrador por e-mail
NOTAEl paquete apticron depende de la instalacioacuten de un agente de transporte de e-mail o MTA (Mail Transfer Agent) Por tanto es necesario instalar primero un Servidor SMTP antes de proceder a la instalacioacuten de apticron
Instalacioacutenrootserver~ aptitude install apticron
Resultado
Siempre que haya una actualizacioacuten disponible para nuestro sistema seraacute enviado un e-mail al administrador del sistema
Date Wed 16 Feb 2011 190548 +0000To roothomelanSubject 2 Debian package update(s) for serverhomelan From roothomelan (root)
apticron report [Wed 16 Feb 2011 190547 +0000]========================================================================
apticron has detected that some packages need upgrading on
serverhomelan [ 1921681100 ]
The following packages are currently pending an upgrade
login 14142+svn3283-2+squeeze1 passwd 14142+svn3283-2+squeeze1
========================================================================
Package Details
Reading changelogs--- Changes for shadow (login passwd) ---shadow (14142+svn3283-2+squeeze1) stable-security urgency=high
The Tomanoix release debianpatches300_CVE-2011-0721 Fix insufficient input sanitation leading to possible user or group creation in NIS environments
-- Nicolas FRANCOIS (Nekral) ltnicolasfrancoiscentraliensnetgt Sun 13 Feb 2011 220228 +0100
========================================================================
You can perform the upgrade by issuing the command
aptitude full-upgrade
as root on serverhomelan
--apticron
El administrador podraacute entonces actualizar sus sistema con el comando aptitude full-upgrade
Acceso RemotoEn principio no debe accederse fiacutesicamente a un servidor a no ser por razones excepcionales (como la actualizacioacuten o la reparacioacuten de hardware por ejemplo) La mejor manera de gestionar un servidor es remotamente Sin embargo este acceso deber ser hecho de una manera segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo ssh
La regla general indica que no se debe acceder fiacutesicamente a un servidor a no ser por razones excepcionales La mejor manera de gestionar un servidor es con un acceso remoto Pero el acceso remoto debe ser hecho de forma segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo SSH
Es la solucioacuten para garantizar conexiones remotas seguras ssh es un protocolo de comunicaciones que encripta los datos intercambiados haciendo virtualmente imposible la violacioacuten de la privacidad de la comunicacioacuten El acroacutenimo ssh viene del ingleacutes Secure SHell
El protocolo ssh es muy versaacutetil cuenta con un software cliente que posibilita el acceso a la liacutenea de comandos la transferencia de archivos y la creacioacuten de tuacuteneles seguros con soportes de comunicaciones para otros protocolos
Clientes SSH
Los clientes ssh se dividen en dos grupos
Terminal SSHEs un emulador de terminal que permite acceder de forma remota a la liacutenea de comandos utilizando el protocolo SSH
Cliente SFTPSe trata de un cliente para transferencia de archivos que utiliza el Protocolo de Transferencia Segura de Archivos Su sigla indica en ingleacutes (Secure File Transfer Protocol (SFTP))
Clientes Linuxopenssh-client
este software ofrece utilidades para acceso remoto (cliente ssh) copia de seguridad de archivos (scp) y transferencia segura de archivos (sftp) entre otras
FileZillaCliente SFTP
Clientes WindowsPuTTY
Terminal SSHWinSCP
Cliente SFTPFileZilla
Cliente SFTP
Servidor ssh
Instalacioacutenrootserver~ aptitude install openssh-server openssh-client
Configuracioacuten
Todas las configuraciones del servidor ssh se encuentran en el archivo etcsshsshd_config
Para configurar el servidor debe indicarse las direcciones donde el servicio debe responder En este caso seraacuten conexiones ligadas a la direccioacuten 1921681100 a traveacutes del puerto 22 y utilizando la versioacuten 2 del protocolo ssh
Package generated configuration file See the sshd_config(5) manpage for details
What ports IPs and protocols we listen forPort 22 Use these options to restrict which interfacesprotocols sshd will bind toListenAddress ListenAddress 0000ListenAddress 1921681100Protocol 2
[]
Por seguridad se debe desactivar el login como root en esta configuracioacuten para adquirir los privilegios del root se debe hacer un login usuario normal y despueacutes adquirir los privilegios de root De este modo prevenimos que el password del root sea objeto de un ataque
[]
AuthenticationLoginGraceTime 120PermitRootLogin no
StrictModes yes
[]
Tambieacuten se debe verificar que no sean permitidos los logins con contrasentildeas vaciacuteas
[]
To enable empty passwords change to yes (NOT RECOMMENDED)PermitEmptyPasswords no
[]
Reiniciar el servicio
rootserver~ etcinitdssh restart
Verificacioacuten
Clientes Linux
Debe ser posible establecer una conexioacuten ssh a la direccioacuten 1921681100
La primera vez que la conexioacuten se efectuacutee eacutesta debe ser confirmada porque el servidor no estaacute registrado en la lista de los sistemas conocidos por el cliente
fribeirolaptop~$ ssh 1921681100The authenticity of host 1921681100 (1921681100) cant be establishedRSA key fingerprint is ee16b0c91befb464e18680f4369f0803Are you sure you want to continue connecting (yesno) yesWarning Permanently added 1921681100 (RSA) to the list of known hostsfribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable law
fribeiroserver~$ logoutConnection to 1921681100 closedfribeirolaptop~$
Las conexiones con el login root no seraacuten aceptadas
fribeirolaptop~$ ssh -l root 1921681100root1921681100s passwordPermission denied please try againroot1921681100s passwordPermission denied please try again
root1921681100s passwordPermission denied (publickeypassword)
Clientes Windows
El acceso a partir de clientes Windows es posible con un programa emulador del terminal que soporte ssh como Putty
Obtener privilegios de root
Como el login como root estaacute desactivado la manera de obtener privilegios de root en una conexioacuten ssh es a traveacutes de un usuario comuacuten que escala privilegios con el comando su
fribeirolaptop~$ ssh 1921681100fribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable lawLast login Wed Oct 27 110121 2010 from laptophomelanfribeiroserver~$ su - rootPasswordrootserver~
Referencias
Debian Reference 69 The remote access server and utility (SSH)
(
httpwwwdebianorgdocmanualsreferencech06enhtml_the_remote_access_se
rver_and_utility_ssh)
OpenSSH (httpwwwopensshcom)
Reloj del sistemaEn un servidor es fundamental asegurarse de que el reloj del sistema funcione correctamente No soacutelo porque varios servicios dependan del reloj sino tambieacuten porque el reloj puede ser utilizado para sincronizar y poner en punto a los demaacutes equipos
Fecha hora y huso horario
Objetivo
Poner en punto el reloj y la fecha del sistema
Configuracioacuten
Fuso horario
Es imperativo configurar adecuadamente el huso horario correspondiente al servidor La informacioacuten sobre el huso horario se encuentra en el archivo etctimezoney puede ser consultada con el comando cat
rootserver~ cat etctimezoneEuropeLisbon
Para configurar el huso horario se utiliza el comando dpkg-reconfigure tzdata y se escoge la zona correcta en el menuacute interactivo
rootserver~ dpkg-reconfigure tzdata
Un diaacutelogo permite seleccionar la regioacuten geograacutefica
En seguida puede sentildealarse la regioacuten o el paiacutes donde el servidor se encuentra fiacutesicamente localizado
Luego el resultado queda registrado asiacute
Current default time zone EuropeLisbonLocal time is now Wed Oct 27 115426 WEST 2010Universal Time is now Wed Oct 27 105426 UTC 2010
Fecha yhora
El comando date muestra la fecha actual del sistema
rootserver~ dateWed Oct 27 120057 WEST 2010
El comando date tambieacuten permite poner en punto la hora del sistema manualmente Para esto se utiliza la sintaxis reducida ldquodate MMDDhhmmrdquo
rootserver~ date 10271201Wed Oct 27 120100 WEST 2010
Protocolo NTP
El protocolo NTP (Network Time Protocol) se utiliza para mantener en punto el reloj del sistema sincronizaacutendolo a partir de una red de servidores NTP a traveacutes de Internet
Objetivo
Utilizar la red de servidores NTP para poner en punto el reloj de sistema
Instalacioacutenrootserver~ aptitude install ntpdate ntp-doc
Utilizacioacuten
En primer lugar se debe verificar que el huso horario del sistema esteacute definido de forma correcta
Despueacutes se puede poner en punto el reloj del sistema teniendo como referencia uno de los servidores NTP
rootserver~ ntpdate -u poolntporg28 Oct 120917 ntpdate[2493] adjust time server 1941179136 offset -0030742 sec
Servidor NTP
Objetivo
El protocolo NTP se usa para mantener en punto el reloj del sistema Esto es posible gracias a su sincronizacioacuten con otros servidores NTP viacutea internet
Instalacioacutenrootserver~ aptitude install ntp ntp-doc
Configuracioacuten
Verificar la configuracioacuten del fuso horario y de la fecha y hora del sistema
Verificacioacuten
El comando ntpq -p permite verificar cuaacuteles son los servidores NTP a los que estamos conectados Los + e - indican respectivamente conexiones exitosas sincronizaciones en curso y servidores poco confiablesEsto puede demorar algunos minutos hasta que aparezca la lista y hasta 30 minutos para que ocurra la primera correccioacuten
rootserver~ ntpq -p remote refid st t when poll reach delay offset jitter==============================================================================+ns4lerfjhaxco 1986022240 2 u 20 64 1 157121 -20776 20808-ns1vibiteu 195131153 3 u 19 64 1 80428 25345 908168681878cus 1924324418 2 u 18 64 1 144241 -3047 3650+nagiosrack911 128138188172 2 u 17 64 1 159292 -4013 9109
El servidor NTP estaacute listo para ser utilizado
Utilizacioacuten
Para poner en punto la hora y fecha de un sistema cliente es suficiente con usar el comando ntpdate (ver Protocolo NTP) indicando la direccioacutenate del servidor
rootlaptop~ ntpdate -u 1921681100 4 Feb 223801 ntpdate[15071] adjust time server 1921681100 offset -0027193 sec
Servidor de Intranet
Una vez terminada la configuracioacuten de base del servidor es hora de expandir su funcionalidad para que pueda proveer un conjunto de servicios para la red interna
DNS
DNS es la sigla inglesa de Domain Name System (Sistema de Nombres de Dominios) Este sistema correlaciona el nombre de una paacutegina electroacutenica con una direccioacuten IP y viceversa Por ejemplo gracias al DNS sabemos que el servidor ldquowwwdebianorgrdquo tiene la direccioacuten IP ldquo21312923218rdquo y viceversa
El protocolo DNS
Sistema de Nombres de Dominios
Siempre que se utiliza un nombre para designar a un servidor como sucede con wwwdebianorg eacuteste debe traducirse en la forma de una direccioacuten IP uacutenica del mismo servidor Este proceso se conoce como resolucioacuten y es efectuado gracias al Domain Name System (DNS) (o en espantildeol Sistema de Nombres de Dominios)
Este sistema estaacute constituido por una red global de servidores organizados en un aacuterbol donde cada servidor contiene una tabla de asociaciones entre los nombres de los servidores y sus respectivas direcciones IP
Coacutemo funciona el DNS
Supongamos que se pretende contactar el servidor wwwgooglecom El sistema iniciaraacute una serie de contactos entre otros sistemas diversos para encontrar cuaacutel es la direccioacuten asociada a la direccioacuten pretendida
Una versioacuten muy simplificada seriacutea la siguiente posiblemente el sistema tendraacute que contactar a su servidor de DNS que a su vez contactaraacute los servidores DNS de tope para indagar acerca del dominio ldquogoogleconrdquo y enseguida contactar el servidor DNS de google para saber la direccioacuten IP de wwwgooglecom
Aunque cada investigacioacuten o resolucioacuten tarda soacutelo milisegundos la visualizacioacuten de una paacutegina web en un browser puede resultar bastante penalizada por este proceso Especialmente cuando es posible que varios elementos de la paacutegina esteacuten alojados en diversos servidores cuyas direcciones deban ser resueltas individualmente
Cache DNS
Objetivo
Aunque las direcciones Internet tengan nombres ldquolegiblesrdquo (wwwgooglecom) eacutestos deben ser traducidos a la direccioacuten IP (21312923218) del respectivo servidor Esa conversioacuten es efectuada realizando una buacutesqueda en el DNS (Domain Name System)
Una cache DNS guardia localmente los resultados de esa buacutesqueda para utilizacioacuten futura evitando la repeticioacuten de buacutesquedas y aumentando draacutesticamente la velocidad de respuesta
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La configuracioacuten generada durante la instalacioacuten es perfectamente funcional no requiere modificaciones Sin embargo vamos personalizar la instalacioacuten en 2 aspectos principales vamos a definir a cuaacuteles servidores consultaraacute el nuestro para pedir ayuda en la resolucioacuten de nombres si no es posible hacer esto localmente (forwarders) y vamos a fortalecer algunos aspectos de seguridad
Como forwarders podemos optar por varias hipoacutetesis una es utilizar los servidores DNS de nuestro proveedor de acceso a Internet
Otra posibilidad muy interesante es utilizar uno de los diversos servicios puacuteblicos de DNS disponibles en la actualidad como
OpenDNS (httpwwwopendnscom)
Google Public DNS (httpcodegooglecomspeedpublic-dns)
Estos servicios prometen suministrar no soacutelo resoluciones maacutes raacutepidas sino tambieacuten diversos servicios adicionales de seguridad como filtros de direcciones maliciosos y otros maacutes
En este caso utilizaremos los servidores OpenDNS (httpwwwopendnscom) Para tener otra opcioacuten tambieacuten se antildeadiraacute el del router ADSL
Por seguridad soacutelo seraacuten recibidas conexiones por la interfaz local o por la destinada a la red interna (listen-on 127001 1921681100 ) Asiacute mismo soacutelo seraacuten contestados los pedidos de resolucioacuten que partan del propio puesto o de la red interna (allow-query 127001 1921681024 ) Todos los otros pedidos seraacuten ignorados para evitar eventuales utilizaciones abusivas de nuestro servidor DNS por parte de terceros
La configuracioacuten estaacute guardada en el archivo etcbindnamedconfoptions
options directory varcachebind
If there is a firewall between you and nameservers you want to talk to you may need to fix the firewall to allow multiple ports to talk See httpwwwkbcertorgvulsid800113
If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all-0s placeholder
forwarders OpenDNS servers 20867222222 20867220220
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
criteriosamente las fuentes de software o repositoacuterios y proceder con actualizaciones frecuentes
Es tambieacuten importante seguir de cerca todas las informaciones referentes a bugs (conflictos o problemas que producen algunos paquetes) y fallos de seguridad asiacute como estar atentos a cuaacutel es la mejor manera de corregir esto La distribucioacuten edita listas con los anuncios de seguridad y con sus respectivas correcciones en la paacutegina de la distribucioacuten o si prefiere en las listas de distribucioacuten
Actualizaciones
Objetivo
Para garantizar que el sistema tenga las versiones de software y correcciones de seguridad maacutes recientes las actualizaciones deben ser hechas con regularidad La actualizacioacuten del software se hace en dos etapas primero se actualiza lista de software disponible en los repositorios y segundo se instalan las eventuales actualizaciones Ambas operaciones son hechas utilizando el comando aptitude con diferentes opciones
Actualizacioacuten de los repositorios
La actualizacioacuten de la lista de software disponible en los repositorios es muy faacutecil
rootserver~ aptitude updateGet1 httpftpptdebianorg squeeze Releasegpg [835 B]Ign httpftpptdebianorgdebian squeezemain Translation-enIgn httpftpptdebianorgdebian squeezemain Translation-en_USGet2 httpftpptdebianorg squeeze Release [899 kB]Get3 httpsecuritydebianorg squeezeupdates Releasegpg [835 B]Get4 httpftpptdebianorg squeezemain amd64 PackagesDiffIndex [2038 B]Ign httpsecuritydebianorg squeezeupdatesmain Translation-enIgn httpsecuritydebianorg squeezeupdatesmain Translation-en_USGet5 httpsecuritydebianorg squeezeupdates Release [446 kB]Get6 httpftpptdebianorg squeezemain amd64 2010-10-22-025649pdiff [101 kB]Get7 httpftpptdebianorg squeezemain amd64 2010-10-22-025649pdiff [101 kB]Get8 httpftpptdebianorg squeezemain amd64 2010-10-22-025649pdiff [101 kB]Get9 httpsecuritydebianorg squeezeupdatesmain amd64 Packages [563 kB]Get10 httpftpptdebianorg squeezemain amd64 2010-10-22-152442pdiff [8117 B]Get11 httpftpptdebianorg squeezemain amd64 2010-10-22-152442pdiff [8117 B]Get12 httpftpptdebianorg squeezemain amd64 2010-10-22-152442pdiff [8117 B]Fetched 215 kB in 3s (710 kBs)
Current status 5 updates [+5]
En este ejemplo se encuentran disponibles 5 actualizaciones para el software instalado
Instalacioacuten de las actualizaciones
La instalacioacuten de las actualizaciones es tambieacuten muy faacutecil
rootserver~ aptitude safe-upgradeThe following packages will be upgraded libc-bin libc6 locales tasksel tasksel-data5 packages upgraded 0 newly installed 0 to remove and 0 not upgradedNeed to get 9776 kB of archives After unpacking 176 kB will be freedDo you want to continue [Yn] yGet1 httpftpptdebianorgdebian squeezemain tasksel-data all 284 [105 kB]Get2 httpftpptdebianorgdebian squeezemain tasksel all 284 [872 kB]Get3 httpsecuritydebianorg squeezeupdatesmain libc-bin amd64 2112-6+squeeze1 [745 kB]Get4 httpsecuritydebianorg squeezeupdatesmain libc6 amd64 2112-6+squeeze1 [4143 kB]Get5 httpsecuritydebianorg squeezeupdatesmain locales all 2112-6+squeeze1 [4697 kB]Fetched 9776 kB in 20s (480 kBs)Preconfiguring packages (Reading database 16181 files and directories currently installed)Preparing to replace libc-bin 2112-6 (using libc-bin_2112-6+squeeze1_amd64deb) Unpacking replacement libc-bin Processing triggers for man-db Setting up libc-bin (2112-6+squeeze1) (Reading database 16181 files and directories currently installed)Preparing to replace libc6 2112-6 (using libc6_2112-6+squeeze1_amd64deb) Unpacking replacement libc6 Setting up libc6 (2112-6+squeeze1) (Reading database 16181 files and directories currently installed)Preparing to replace tasksel-data 282 (using tasksel-data_284_alldeb) Unpacking replacement tasksel-data Preparing to replace tasksel 282 (using archivestasksel_284_alldeb) Unpacking replacement tasksel Preparing to replace locales 2112-6 (using locales_2112-6+squeeze1_alldeb) Unpacking replacement locales Processing triggers for man-db Setting up locales (2112-6+squeeze1) Generating locales (this might take a while) en_USUTF-8 doneGeneration completeSetting up tasksel-data (284) Setting up tasksel (284)
Current status 0 updates [-5]
En este ejemplo se actualizaron 5 paquetes Ahora tenemos el sistema al diacutea con sus actualizaciones
NOTAEs muy importante actualizar el sistema con frecuencia De esta forma se puede garantizar que el sistema siempre tenga las correcciones maacutes recientes a los bugs que puedan aparecer y las actualizaciones de seguridad que se requieran
Repositorios
Objetivo
Ademaacutes del repositorio de software principal de Debian o main configurado durante la instalacioacuten existen otros repositorios que por diversas razones no son incluidos durante la instalacioacuten Sin embargo estos pueden ser incluidos en cualquier momento
Lista de repositorios
Para facilitar la instalacioacuten de algunos paquetes de software se deben antildeadir algunos repositorios a la lista existente expresamente los repositorios contrib y non-free
Tambieacuten como no vamos a compilar paquetes a partir de las fuentes se sugiere desactiva o comentar sus referencias (deb-src) Desactivar o comentar una liacutenea consiste en escribir el signo al principio de la liacutenea que se quiera intervenir como se ve en el ejemplo
La lista de repositorios se encuentra en el archivo de configuracioacuten etcaptsourceslist
deb cdrom[Debian GNULinux 600 _Squeeze_ - Official amd64 NETINST Binary-1 20110205-1431] squeeze main
deb cdrom[Debian GNULinux 600 _Squeeze_ - Official amd64 NETINST Binary-1 20110205-1431] squeeze main
deb httpftpptdebianorgdebian squeeze main contrib non-freedeb-src httpftpptdebianorgdebian squeeze main
deb httpsecuritydebianorg squeezeupdates main contrib non-freedeb-src httpsecuritydebianorg squeezeupdates main
deb httpftpptdebianorgdebian squeeze-updates main contrib non-freedeb-src httpftpptdebianorgdebian squeeze-updates main
Aqui otroa repositorios oficiales
Repositorios oficiales
deb httpftpfrdebianorgdebian squeeze main contrib non-freedeb-src httpftpfrdebianorgdebian squeeze main contrib non-free
Line commented out by installer because it failed to verify
Skypedeb httpdownloadskypecomlinuxreposdebian stable non-free
Repositorios de seguridaddeb httpsecuritydebianorg squeezeupdates main contrib Line commented out by installer because it failed to verifydeb-src httpsecuritydebianorg squeezeupdates main contrib
Repositorios multimediadeb httpwwwdebian-multimediaorg squeeze main non-freedeb-src httpwwwdebian-multimediaorg squeeze main non-free
Line commented out by installer because it failed to verifydeb volatiledebianorg squeeze-updates main contrib Line commented out by installer because it failed to verifydeb-src volatiledebianorg squeeze-updates main contrib
Actualizar la lista local de paquetes con los nuevos repositorios
rootserver~ aptitude updateHit httpftpptdebianorg squeeze ReleasegpgIgn httpftpptdebianorgdebian squeezecontrib Translation-enIgn httpftpptdebianorgdebian squeezecontrib Translation-en_USIgn httpftpptdebianorgdebian squeezemain Translation-enIgn httpftpptdebianorgdebian squeezemain Translation-en_USIgn httpftpptdebianorgdebian squeezenon-free Translation-enIgn httpftpptdebianorgdebian squeezenon-free Translation-en_USHit httpftpptdebianorg squeeze-updates ReleasegpgIgn httpftpptdebianorgdebian squeeze-updatescontrib Translation-enIgn httpftpptdebianorgdebian squeeze-updatescontrib Translation-en_USIgn httpftpptdebianorgdebian squeeze-updatesmain Translation-enIgn httpftpptdebianorgdebian squeeze-updatesmain Translation-en_USIgn httpftpptdebianorgdebian squeeze-updatesnon-free Translation-enIgn httpftpptdebianorgdebian squeeze-updatesnon-free Translation-en_USHit httpftpptdebianorg squeeze ReleaseHit httpftpptdebianorg squeeze-updates ReleaseHit httpsecuritydebianorg squeezeupdates ReleasegpgIgn httpsecuritydebianorg squeezeupdatescontrib Translation-enIgn httpsecuritydebianorg squeezeupdatescontrib Translation-en_USIgn httpsecuritydebianorg squeezeupdatesmain Translation-enIgn httpsecuritydebianorg squeezeupdatesmain Translation-en_USIgn httpsecuritydebianorg squeezeupdatesnon-free Translation-enIgn httpsecuritydebianorg squeezeupdatesnon-free Translation-en_USHit httpftpptdebianorg squeezemain amd64 PackagesHit httpsecuritydebianorg squeezeupdates Release
Get1 httpftpptdebianorg squeezecontrib amd64 Packages [641 kB]Hit httpsecuritydebianorg squeezeupdatesmain amd64 PackagesGet2 httpftpptdebianorg squeezenon-free amd64 Packages [124 kB]Get3 httpsecuritydebianorg squeezeupdatescontrib amd64 Packages [20 B]Get4 httpsecuritydebianorg squeezeupdatesnon-free amd64 Packages [20 B]Hit httpftpptdebianorg squeeze-updatesmain amd64 PackagesGet5 httpftpptdebianorg squeeze-updatescontrib amd64 Packages [20 B]Get6 httpftpptdebianorg squeeze-updatesnon-free amd64 Packages [20 B]Fetched 188 kB in 0s (252 kBs)
Current status 566 new [+566]
Utilizando un proxy
En algunos casos es necesario acceder a la internet a traveacutes de un proxy En aptitude puede ser configurado para usar el proxy El aptitude puede ser configurado para usar el proxy Para esto existen dos meacutetodos posibles
Definir una variable de ambiente http_proxy o ftp_poxy que tenga como valor a la
URL del servidor proxy aptitude tendraacute en cuenta esta variable cuando se conecte a
Internet
rootserver~ export http_proxy=httpproxyexamplecom3128
Incluir las definiciones del proxy en la configuracioacuten de aptitude Para indicar el
proxy a utilizar deberaacute editar o crear el archivo etcaptaptconf
AcquirehttpProxy httpproxyexamplecom3128
El formato de la URL de un proxy es http[[user][pass]]xxxxxxxxxxxx[port] donde
userpassnombre del usuario y contrasentildea si el proxy requiere autenticacioacuten yo autorizacioacuten
xxxxxxxxxxxxdireccioacuten o nombre del servidor proxy
portpuerto de conexioacuten al servicio deproxy
Notificacioacuten de actualizaciones apticron
Objetivo
Para garantizar que un sistema pueda ser actualizado lo mejor es estar informado de las actualizaciones disponibles Apticron es un programa que se ejecuta diariamente de forma
automaacutetica verifica las actualizaciones disponibles para nuestro sistema y luego informa al administrador por e-mail
NOTAEl paquete apticron depende de la instalacioacuten de un agente de transporte de e-mail o MTA (Mail Transfer Agent) Por tanto es necesario instalar primero un Servidor SMTP antes de proceder a la instalacioacuten de apticron
Instalacioacutenrootserver~ aptitude install apticron
Resultado
Siempre que haya una actualizacioacuten disponible para nuestro sistema seraacute enviado un e-mail al administrador del sistema
Date Wed 16 Feb 2011 190548 +0000To roothomelanSubject 2 Debian package update(s) for serverhomelan From roothomelan (root)
apticron report [Wed 16 Feb 2011 190547 +0000]========================================================================
apticron has detected that some packages need upgrading on
serverhomelan [ 1921681100 ]
The following packages are currently pending an upgrade
login 14142+svn3283-2+squeeze1 passwd 14142+svn3283-2+squeeze1
========================================================================
Package Details
Reading changelogs--- Changes for shadow (login passwd) ---shadow (14142+svn3283-2+squeeze1) stable-security urgency=high
The Tomanoix release debianpatches300_CVE-2011-0721 Fix insufficient input sanitation leading to possible user or group creation in NIS environments
-- Nicolas FRANCOIS (Nekral) ltnicolasfrancoiscentraliensnetgt Sun 13 Feb 2011 220228 +0100
========================================================================
You can perform the upgrade by issuing the command
aptitude full-upgrade
as root on serverhomelan
--apticron
El administrador podraacute entonces actualizar sus sistema con el comando aptitude full-upgrade
Acceso RemotoEn principio no debe accederse fiacutesicamente a un servidor a no ser por razones excepcionales (como la actualizacioacuten o la reparacioacuten de hardware por ejemplo) La mejor manera de gestionar un servidor es remotamente Sin embargo este acceso deber ser hecho de una manera segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo ssh
La regla general indica que no se debe acceder fiacutesicamente a un servidor a no ser por razones excepcionales La mejor manera de gestionar un servidor es con un acceso remoto Pero el acceso remoto debe ser hecho de forma segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo SSH
Es la solucioacuten para garantizar conexiones remotas seguras ssh es un protocolo de comunicaciones que encripta los datos intercambiados haciendo virtualmente imposible la violacioacuten de la privacidad de la comunicacioacuten El acroacutenimo ssh viene del ingleacutes Secure SHell
El protocolo ssh es muy versaacutetil cuenta con un software cliente que posibilita el acceso a la liacutenea de comandos la transferencia de archivos y la creacioacuten de tuacuteneles seguros con soportes de comunicaciones para otros protocolos
Clientes SSH
Los clientes ssh se dividen en dos grupos
Terminal SSHEs un emulador de terminal que permite acceder de forma remota a la liacutenea de comandos utilizando el protocolo SSH
Cliente SFTPSe trata de un cliente para transferencia de archivos que utiliza el Protocolo de Transferencia Segura de Archivos Su sigla indica en ingleacutes (Secure File Transfer Protocol (SFTP))
Clientes Linuxopenssh-client
este software ofrece utilidades para acceso remoto (cliente ssh) copia de seguridad de archivos (scp) y transferencia segura de archivos (sftp) entre otras
FileZillaCliente SFTP
Clientes WindowsPuTTY
Terminal SSHWinSCP
Cliente SFTPFileZilla
Cliente SFTP
Servidor ssh
Instalacioacutenrootserver~ aptitude install openssh-server openssh-client
Configuracioacuten
Todas las configuraciones del servidor ssh se encuentran en el archivo etcsshsshd_config
Para configurar el servidor debe indicarse las direcciones donde el servicio debe responder En este caso seraacuten conexiones ligadas a la direccioacuten 1921681100 a traveacutes del puerto 22 y utilizando la versioacuten 2 del protocolo ssh
Package generated configuration file See the sshd_config(5) manpage for details
What ports IPs and protocols we listen forPort 22 Use these options to restrict which interfacesprotocols sshd will bind toListenAddress ListenAddress 0000ListenAddress 1921681100Protocol 2
[]
Por seguridad se debe desactivar el login como root en esta configuracioacuten para adquirir los privilegios del root se debe hacer un login usuario normal y despueacutes adquirir los privilegios de root De este modo prevenimos que el password del root sea objeto de un ataque
[]
AuthenticationLoginGraceTime 120PermitRootLogin no
StrictModes yes
[]
Tambieacuten se debe verificar que no sean permitidos los logins con contrasentildeas vaciacuteas
[]
To enable empty passwords change to yes (NOT RECOMMENDED)PermitEmptyPasswords no
[]
Reiniciar el servicio
rootserver~ etcinitdssh restart
Verificacioacuten
Clientes Linux
Debe ser posible establecer una conexioacuten ssh a la direccioacuten 1921681100
La primera vez que la conexioacuten se efectuacutee eacutesta debe ser confirmada porque el servidor no estaacute registrado en la lista de los sistemas conocidos por el cliente
fribeirolaptop~$ ssh 1921681100The authenticity of host 1921681100 (1921681100) cant be establishedRSA key fingerprint is ee16b0c91befb464e18680f4369f0803Are you sure you want to continue connecting (yesno) yesWarning Permanently added 1921681100 (RSA) to the list of known hostsfribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable law
fribeiroserver~$ logoutConnection to 1921681100 closedfribeirolaptop~$
Las conexiones con el login root no seraacuten aceptadas
fribeirolaptop~$ ssh -l root 1921681100root1921681100s passwordPermission denied please try againroot1921681100s passwordPermission denied please try again
root1921681100s passwordPermission denied (publickeypassword)
Clientes Windows
El acceso a partir de clientes Windows es posible con un programa emulador del terminal que soporte ssh como Putty
Obtener privilegios de root
Como el login como root estaacute desactivado la manera de obtener privilegios de root en una conexioacuten ssh es a traveacutes de un usuario comuacuten que escala privilegios con el comando su
fribeirolaptop~$ ssh 1921681100fribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable lawLast login Wed Oct 27 110121 2010 from laptophomelanfribeiroserver~$ su - rootPasswordrootserver~
Referencias
Debian Reference 69 The remote access server and utility (SSH)
(
httpwwwdebianorgdocmanualsreferencech06enhtml_the_remote_access_se
rver_and_utility_ssh)
OpenSSH (httpwwwopensshcom)
Reloj del sistemaEn un servidor es fundamental asegurarse de que el reloj del sistema funcione correctamente No soacutelo porque varios servicios dependan del reloj sino tambieacuten porque el reloj puede ser utilizado para sincronizar y poner en punto a los demaacutes equipos
Fecha hora y huso horario
Objetivo
Poner en punto el reloj y la fecha del sistema
Configuracioacuten
Fuso horario
Es imperativo configurar adecuadamente el huso horario correspondiente al servidor La informacioacuten sobre el huso horario se encuentra en el archivo etctimezoney puede ser consultada con el comando cat
rootserver~ cat etctimezoneEuropeLisbon
Para configurar el huso horario se utiliza el comando dpkg-reconfigure tzdata y se escoge la zona correcta en el menuacute interactivo
rootserver~ dpkg-reconfigure tzdata
Un diaacutelogo permite seleccionar la regioacuten geograacutefica
En seguida puede sentildealarse la regioacuten o el paiacutes donde el servidor se encuentra fiacutesicamente localizado
Luego el resultado queda registrado asiacute
Current default time zone EuropeLisbonLocal time is now Wed Oct 27 115426 WEST 2010Universal Time is now Wed Oct 27 105426 UTC 2010
Fecha yhora
El comando date muestra la fecha actual del sistema
rootserver~ dateWed Oct 27 120057 WEST 2010
El comando date tambieacuten permite poner en punto la hora del sistema manualmente Para esto se utiliza la sintaxis reducida ldquodate MMDDhhmmrdquo
rootserver~ date 10271201Wed Oct 27 120100 WEST 2010
Protocolo NTP
El protocolo NTP (Network Time Protocol) se utiliza para mantener en punto el reloj del sistema sincronizaacutendolo a partir de una red de servidores NTP a traveacutes de Internet
Objetivo
Utilizar la red de servidores NTP para poner en punto el reloj de sistema
Instalacioacutenrootserver~ aptitude install ntpdate ntp-doc
Utilizacioacuten
En primer lugar se debe verificar que el huso horario del sistema esteacute definido de forma correcta
Despueacutes se puede poner en punto el reloj del sistema teniendo como referencia uno de los servidores NTP
rootserver~ ntpdate -u poolntporg28 Oct 120917 ntpdate[2493] adjust time server 1941179136 offset -0030742 sec
Servidor NTP
Objetivo
El protocolo NTP se usa para mantener en punto el reloj del sistema Esto es posible gracias a su sincronizacioacuten con otros servidores NTP viacutea internet
Instalacioacutenrootserver~ aptitude install ntp ntp-doc
Configuracioacuten
Verificar la configuracioacuten del fuso horario y de la fecha y hora del sistema
Verificacioacuten
El comando ntpq -p permite verificar cuaacuteles son los servidores NTP a los que estamos conectados Los + e - indican respectivamente conexiones exitosas sincronizaciones en curso y servidores poco confiablesEsto puede demorar algunos minutos hasta que aparezca la lista y hasta 30 minutos para que ocurra la primera correccioacuten
rootserver~ ntpq -p remote refid st t when poll reach delay offset jitter==============================================================================+ns4lerfjhaxco 1986022240 2 u 20 64 1 157121 -20776 20808-ns1vibiteu 195131153 3 u 19 64 1 80428 25345 908168681878cus 1924324418 2 u 18 64 1 144241 -3047 3650+nagiosrack911 128138188172 2 u 17 64 1 159292 -4013 9109
El servidor NTP estaacute listo para ser utilizado
Utilizacioacuten
Para poner en punto la hora y fecha de un sistema cliente es suficiente con usar el comando ntpdate (ver Protocolo NTP) indicando la direccioacutenate del servidor
rootlaptop~ ntpdate -u 1921681100 4 Feb 223801 ntpdate[15071] adjust time server 1921681100 offset -0027193 sec
Servidor de Intranet
Una vez terminada la configuracioacuten de base del servidor es hora de expandir su funcionalidad para que pueda proveer un conjunto de servicios para la red interna
DNS
DNS es la sigla inglesa de Domain Name System (Sistema de Nombres de Dominios) Este sistema correlaciona el nombre de una paacutegina electroacutenica con una direccioacuten IP y viceversa Por ejemplo gracias al DNS sabemos que el servidor ldquowwwdebianorgrdquo tiene la direccioacuten IP ldquo21312923218rdquo y viceversa
El protocolo DNS
Sistema de Nombres de Dominios
Siempre que se utiliza un nombre para designar a un servidor como sucede con wwwdebianorg eacuteste debe traducirse en la forma de una direccioacuten IP uacutenica del mismo servidor Este proceso se conoce como resolucioacuten y es efectuado gracias al Domain Name System (DNS) (o en espantildeol Sistema de Nombres de Dominios)
Este sistema estaacute constituido por una red global de servidores organizados en un aacuterbol donde cada servidor contiene una tabla de asociaciones entre los nombres de los servidores y sus respectivas direcciones IP
Coacutemo funciona el DNS
Supongamos que se pretende contactar el servidor wwwgooglecom El sistema iniciaraacute una serie de contactos entre otros sistemas diversos para encontrar cuaacutel es la direccioacuten asociada a la direccioacuten pretendida
Una versioacuten muy simplificada seriacutea la siguiente posiblemente el sistema tendraacute que contactar a su servidor de DNS que a su vez contactaraacute los servidores DNS de tope para indagar acerca del dominio ldquogoogleconrdquo y enseguida contactar el servidor DNS de google para saber la direccioacuten IP de wwwgooglecom
Aunque cada investigacioacuten o resolucioacuten tarda soacutelo milisegundos la visualizacioacuten de una paacutegina web en un browser puede resultar bastante penalizada por este proceso Especialmente cuando es posible que varios elementos de la paacutegina esteacuten alojados en diversos servidores cuyas direcciones deban ser resueltas individualmente
Cache DNS
Objetivo
Aunque las direcciones Internet tengan nombres ldquolegiblesrdquo (wwwgooglecom) eacutestos deben ser traducidos a la direccioacuten IP (21312923218) del respectivo servidor Esa conversioacuten es efectuada realizando una buacutesqueda en el DNS (Domain Name System)
Una cache DNS guardia localmente los resultados de esa buacutesqueda para utilizacioacuten futura evitando la repeticioacuten de buacutesquedas y aumentando draacutesticamente la velocidad de respuesta
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La configuracioacuten generada durante la instalacioacuten es perfectamente funcional no requiere modificaciones Sin embargo vamos personalizar la instalacioacuten en 2 aspectos principales vamos a definir a cuaacuteles servidores consultaraacute el nuestro para pedir ayuda en la resolucioacuten de nombres si no es posible hacer esto localmente (forwarders) y vamos a fortalecer algunos aspectos de seguridad
Como forwarders podemos optar por varias hipoacutetesis una es utilizar los servidores DNS de nuestro proveedor de acceso a Internet
Otra posibilidad muy interesante es utilizar uno de los diversos servicios puacuteblicos de DNS disponibles en la actualidad como
OpenDNS (httpwwwopendnscom)
Google Public DNS (httpcodegooglecomspeedpublic-dns)
Estos servicios prometen suministrar no soacutelo resoluciones maacutes raacutepidas sino tambieacuten diversos servicios adicionales de seguridad como filtros de direcciones maliciosos y otros maacutes
En este caso utilizaremos los servidores OpenDNS (httpwwwopendnscom) Para tener otra opcioacuten tambieacuten se antildeadiraacute el del router ADSL
Por seguridad soacutelo seraacuten recibidas conexiones por la interfaz local o por la destinada a la red interna (listen-on 127001 1921681100 ) Asiacute mismo soacutelo seraacuten contestados los pedidos de resolucioacuten que partan del propio puesto o de la red interna (allow-query 127001 1921681024 ) Todos los otros pedidos seraacuten ignorados para evitar eventuales utilizaciones abusivas de nuestro servidor DNS por parte de terceros
La configuracioacuten estaacute guardada en el archivo etcbindnamedconfoptions
options directory varcachebind
If there is a firewall between you and nameservers you want to talk to you may need to fix the firewall to allow multiple ports to talk See httpwwwkbcertorgvulsid800113
If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all-0s placeholder
forwarders OpenDNS servers 20867222222 20867220220
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
Current status 5 updates [+5]
En este ejemplo se encuentran disponibles 5 actualizaciones para el software instalado
Instalacioacuten de las actualizaciones
La instalacioacuten de las actualizaciones es tambieacuten muy faacutecil
rootserver~ aptitude safe-upgradeThe following packages will be upgraded libc-bin libc6 locales tasksel tasksel-data5 packages upgraded 0 newly installed 0 to remove and 0 not upgradedNeed to get 9776 kB of archives After unpacking 176 kB will be freedDo you want to continue [Yn] yGet1 httpftpptdebianorgdebian squeezemain tasksel-data all 284 [105 kB]Get2 httpftpptdebianorgdebian squeezemain tasksel all 284 [872 kB]Get3 httpsecuritydebianorg squeezeupdatesmain libc-bin amd64 2112-6+squeeze1 [745 kB]Get4 httpsecuritydebianorg squeezeupdatesmain libc6 amd64 2112-6+squeeze1 [4143 kB]Get5 httpsecuritydebianorg squeezeupdatesmain locales all 2112-6+squeeze1 [4697 kB]Fetched 9776 kB in 20s (480 kBs)Preconfiguring packages (Reading database 16181 files and directories currently installed)Preparing to replace libc-bin 2112-6 (using libc-bin_2112-6+squeeze1_amd64deb) Unpacking replacement libc-bin Processing triggers for man-db Setting up libc-bin (2112-6+squeeze1) (Reading database 16181 files and directories currently installed)Preparing to replace libc6 2112-6 (using libc6_2112-6+squeeze1_amd64deb) Unpacking replacement libc6 Setting up libc6 (2112-6+squeeze1) (Reading database 16181 files and directories currently installed)Preparing to replace tasksel-data 282 (using tasksel-data_284_alldeb) Unpacking replacement tasksel-data Preparing to replace tasksel 282 (using archivestasksel_284_alldeb) Unpacking replacement tasksel Preparing to replace locales 2112-6 (using locales_2112-6+squeeze1_alldeb) Unpacking replacement locales Processing triggers for man-db Setting up locales (2112-6+squeeze1) Generating locales (this might take a while) en_USUTF-8 doneGeneration completeSetting up tasksel-data (284) Setting up tasksel (284)
Current status 0 updates [-5]
En este ejemplo se actualizaron 5 paquetes Ahora tenemos el sistema al diacutea con sus actualizaciones
NOTAEs muy importante actualizar el sistema con frecuencia De esta forma se puede garantizar que el sistema siempre tenga las correcciones maacutes recientes a los bugs que puedan aparecer y las actualizaciones de seguridad que se requieran
Repositorios
Objetivo
Ademaacutes del repositorio de software principal de Debian o main configurado durante la instalacioacuten existen otros repositorios que por diversas razones no son incluidos durante la instalacioacuten Sin embargo estos pueden ser incluidos en cualquier momento
Lista de repositorios
Para facilitar la instalacioacuten de algunos paquetes de software se deben antildeadir algunos repositorios a la lista existente expresamente los repositorios contrib y non-free
Tambieacuten como no vamos a compilar paquetes a partir de las fuentes se sugiere desactiva o comentar sus referencias (deb-src) Desactivar o comentar una liacutenea consiste en escribir el signo al principio de la liacutenea que se quiera intervenir como se ve en el ejemplo
La lista de repositorios se encuentra en el archivo de configuracioacuten etcaptsourceslist
deb cdrom[Debian GNULinux 600 _Squeeze_ - Official amd64 NETINST Binary-1 20110205-1431] squeeze main
deb cdrom[Debian GNULinux 600 _Squeeze_ - Official amd64 NETINST Binary-1 20110205-1431] squeeze main
deb httpftpptdebianorgdebian squeeze main contrib non-freedeb-src httpftpptdebianorgdebian squeeze main
deb httpsecuritydebianorg squeezeupdates main contrib non-freedeb-src httpsecuritydebianorg squeezeupdates main
deb httpftpptdebianorgdebian squeeze-updates main contrib non-freedeb-src httpftpptdebianorgdebian squeeze-updates main
Aqui otroa repositorios oficiales
Repositorios oficiales
deb httpftpfrdebianorgdebian squeeze main contrib non-freedeb-src httpftpfrdebianorgdebian squeeze main contrib non-free
Line commented out by installer because it failed to verify
Skypedeb httpdownloadskypecomlinuxreposdebian stable non-free
Repositorios de seguridaddeb httpsecuritydebianorg squeezeupdates main contrib Line commented out by installer because it failed to verifydeb-src httpsecuritydebianorg squeezeupdates main contrib
Repositorios multimediadeb httpwwwdebian-multimediaorg squeeze main non-freedeb-src httpwwwdebian-multimediaorg squeeze main non-free
Line commented out by installer because it failed to verifydeb volatiledebianorg squeeze-updates main contrib Line commented out by installer because it failed to verifydeb-src volatiledebianorg squeeze-updates main contrib
Actualizar la lista local de paquetes con los nuevos repositorios
rootserver~ aptitude updateHit httpftpptdebianorg squeeze ReleasegpgIgn httpftpptdebianorgdebian squeezecontrib Translation-enIgn httpftpptdebianorgdebian squeezecontrib Translation-en_USIgn httpftpptdebianorgdebian squeezemain Translation-enIgn httpftpptdebianorgdebian squeezemain Translation-en_USIgn httpftpptdebianorgdebian squeezenon-free Translation-enIgn httpftpptdebianorgdebian squeezenon-free Translation-en_USHit httpftpptdebianorg squeeze-updates ReleasegpgIgn httpftpptdebianorgdebian squeeze-updatescontrib Translation-enIgn httpftpptdebianorgdebian squeeze-updatescontrib Translation-en_USIgn httpftpptdebianorgdebian squeeze-updatesmain Translation-enIgn httpftpptdebianorgdebian squeeze-updatesmain Translation-en_USIgn httpftpptdebianorgdebian squeeze-updatesnon-free Translation-enIgn httpftpptdebianorgdebian squeeze-updatesnon-free Translation-en_USHit httpftpptdebianorg squeeze ReleaseHit httpftpptdebianorg squeeze-updates ReleaseHit httpsecuritydebianorg squeezeupdates ReleasegpgIgn httpsecuritydebianorg squeezeupdatescontrib Translation-enIgn httpsecuritydebianorg squeezeupdatescontrib Translation-en_USIgn httpsecuritydebianorg squeezeupdatesmain Translation-enIgn httpsecuritydebianorg squeezeupdatesmain Translation-en_USIgn httpsecuritydebianorg squeezeupdatesnon-free Translation-enIgn httpsecuritydebianorg squeezeupdatesnon-free Translation-en_USHit httpftpptdebianorg squeezemain amd64 PackagesHit httpsecuritydebianorg squeezeupdates Release
Get1 httpftpptdebianorg squeezecontrib amd64 Packages [641 kB]Hit httpsecuritydebianorg squeezeupdatesmain amd64 PackagesGet2 httpftpptdebianorg squeezenon-free amd64 Packages [124 kB]Get3 httpsecuritydebianorg squeezeupdatescontrib amd64 Packages [20 B]Get4 httpsecuritydebianorg squeezeupdatesnon-free amd64 Packages [20 B]Hit httpftpptdebianorg squeeze-updatesmain amd64 PackagesGet5 httpftpptdebianorg squeeze-updatescontrib amd64 Packages [20 B]Get6 httpftpptdebianorg squeeze-updatesnon-free amd64 Packages [20 B]Fetched 188 kB in 0s (252 kBs)
Current status 566 new [+566]
Utilizando un proxy
En algunos casos es necesario acceder a la internet a traveacutes de un proxy En aptitude puede ser configurado para usar el proxy El aptitude puede ser configurado para usar el proxy Para esto existen dos meacutetodos posibles
Definir una variable de ambiente http_proxy o ftp_poxy que tenga como valor a la
URL del servidor proxy aptitude tendraacute en cuenta esta variable cuando se conecte a
Internet
rootserver~ export http_proxy=httpproxyexamplecom3128
Incluir las definiciones del proxy en la configuracioacuten de aptitude Para indicar el
proxy a utilizar deberaacute editar o crear el archivo etcaptaptconf
AcquirehttpProxy httpproxyexamplecom3128
El formato de la URL de un proxy es http[[user][pass]]xxxxxxxxxxxx[port] donde
userpassnombre del usuario y contrasentildea si el proxy requiere autenticacioacuten yo autorizacioacuten
xxxxxxxxxxxxdireccioacuten o nombre del servidor proxy
portpuerto de conexioacuten al servicio deproxy
Notificacioacuten de actualizaciones apticron
Objetivo
Para garantizar que un sistema pueda ser actualizado lo mejor es estar informado de las actualizaciones disponibles Apticron es un programa que se ejecuta diariamente de forma
automaacutetica verifica las actualizaciones disponibles para nuestro sistema y luego informa al administrador por e-mail
NOTAEl paquete apticron depende de la instalacioacuten de un agente de transporte de e-mail o MTA (Mail Transfer Agent) Por tanto es necesario instalar primero un Servidor SMTP antes de proceder a la instalacioacuten de apticron
Instalacioacutenrootserver~ aptitude install apticron
Resultado
Siempre que haya una actualizacioacuten disponible para nuestro sistema seraacute enviado un e-mail al administrador del sistema
Date Wed 16 Feb 2011 190548 +0000To roothomelanSubject 2 Debian package update(s) for serverhomelan From roothomelan (root)
apticron report [Wed 16 Feb 2011 190547 +0000]========================================================================
apticron has detected that some packages need upgrading on
serverhomelan [ 1921681100 ]
The following packages are currently pending an upgrade
login 14142+svn3283-2+squeeze1 passwd 14142+svn3283-2+squeeze1
========================================================================
Package Details
Reading changelogs--- Changes for shadow (login passwd) ---shadow (14142+svn3283-2+squeeze1) stable-security urgency=high
The Tomanoix release debianpatches300_CVE-2011-0721 Fix insufficient input sanitation leading to possible user or group creation in NIS environments
-- Nicolas FRANCOIS (Nekral) ltnicolasfrancoiscentraliensnetgt Sun 13 Feb 2011 220228 +0100
========================================================================
You can perform the upgrade by issuing the command
aptitude full-upgrade
as root on serverhomelan
--apticron
El administrador podraacute entonces actualizar sus sistema con el comando aptitude full-upgrade
Acceso RemotoEn principio no debe accederse fiacutesicamente a un servidor a no ser por razones excepcionales (como la actualizacioacuten o la reparacioacuten de hardware por ejemplo) La mejor manera de gestionar un servidor es remotamente Sin embargo este acceso deber ser hecho de una manera segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo ssh
La regla general indica que no se debe acceder fiacutesicamente a un servidor a no ser por razones excepcionales La mejor manera de gestionar un servidor es con un acceso remoto Pero el acceso remoto debe ser hecho de forma segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo SSH
Es la solucioacuten para garantizar conexiones remotas seguras ssh es un protocolo de comunicaciones que encripta los datos intercambiados haciendo virtualmente imposible la violacioacuten de la privacidad de la comunicacioacuten El acroacutenimo ssh viene del ingleacutes Secure SHell
El protocolo ssh es muy versaacutetil cuenta con un software cliente que posibilita el acceso a la liacutenea de comandos la transferencia de archivos y la creacioacuten de tuacuteneles seguros con soportes de comunicaciones para otros protocolos
Clientes SSH
Los clientes ssh se dividen en dos grupos
Terminal SSHEs un emulador de terminal que permite acceder de forma remota a la liacutenea de comandos utilizando el protocolo SSH
Cliente SFTPSe trata de un cliente para transferencia de archivos que utiliza el Protocolo de Transferencia Segura de Archivos Su sigla indica en ingleacutes (Secure File Transfer Protocol (SFTP))
Clientes Linuxopenssh-client
este software ofrece utilidades para acceso remoto (cliente ssh) copia de seguridad de archivos (scp) y transferencia segura de archivos (sftp) entre otras
FileZillaCliente SFTP
Clientes WindowsPuTTY
Terminal SSHWinSCP
Cliente SFTPFileZilla
Cliente SFTP
Servidor ssh
Instalacioacutenrootserver~ aptitude install openssh-server openssh-client
Configuracioacuten
Todas las configuraciones del servidor ssh se encuentran en el archivo etcsshsshd_config
Para configurar el servidor debe indicarse las direcciones donde el servicio debe responder En este caso seraacuten conexiones ligadas a la direccioacuten 1921681100 a traveacutes del puerto 22 y utilizando la versioacuten 2 del protocolo ssh
Package generated configuration file See the sshd_config(5) manpage for details
What ports IPs and protocols we listen forPort 22 Use these options to restrict which interfacesprotocols sshd will bind toListenAddress ListenAddress 0000ListenAddress 1921681100Protocol 2
[]
Por seguridad se debe desactivar el login como root en esta configuracioacuten para adquirir los privilegios del root se debe hacer un login usuario normal y despueacutes adquirir los privilegios de root De este modo prevenimos que el password del root sea objeto de un ataque
[]
AuthenticationLoginGraceTime 120PermitRootLogin no
StrictModes yes
[]
Tambieacuten se debe verificar que no sean permitidos los logins con contrasentildeas vaciacuteas
[]
To enable empty passwords change to yes (NOT RECOMMENDED)PermitEmptyPasswords no
[]
Reiniciar el servicio
rootserver~ etcinitdssh restart
Verificacioacuten
Clientes Linux
Debe ser posible establecer una conexioacuten ssh a la direccioacuten 1921681100
La primera vez que la conexioacuten se efectuacutee eacutesta debe ser confirmada porque el servidor no estaacute registrado en la lista de los sistemas conocidos por el cliente
fribeirolaptop~$ ssh 1921681100The authenticity of host 1921681100 (1921681100) cant be establishedRSA key fingerprint is ee16b0c91befb464e18680f4369f0803Are you sure you want to continue connecting (yesno) yesWarning Permanently added 1921681100 (RSA) to the list of known hostsfribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable law
fribeiroserver~$ logoutConnection to 1921681100 closedfribeirolaptop~$
Las conexiones con el login root no seraacuten aceptadas
fribeirolaptop~$ ssh -l root 1921681100root1921681100s passwordPermission denied please try againroot1921681100s passwordPermission denied please try again
root1921681100s passwordPermission denied (publickeypassword)
Clientes Windows
El acceso a partir de clientes Windows es posible con un programa emulador del terminal que soporte ssh como Putty
Obtener privilegios de root
Como el login como root estaacute desactivado la manera de obtener privilegios de root en una conexioacuten ssh es a traveacutes de un usuario comuacuten que escala privilegios con el comando su
fribeirolaptop~$ ssh 1921681100fribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable lawLast login Wed Oct 27 110121 2010 from laptophomelanfribeiroserver~$ su - rootPasswordrootserver~
Referencias
Debian Reference 69 The remote access server and utility (SSH)
(
httpwwwdebianorgdocmanualsreferencech06enhtml_the_remote_access_se
rver_and_utility_ssh)
OpenSSH (httpwwwopensshcom)
Reloj del sistemaEn un servidor es fundamental asegurarse de que el reloj del sistema funcione correctamente No soacutelo porque varios servicios dependan del reloj sino tambieacuten porque el reloj puede ser utilizado para sincronizar y poner en punto a los demaacutes equipos
Fecha hora y huso horario
Objetivo
Poner en punto el reloj y la fecha del sistema
Configuracioacuten
Fuso horario
Es imperativo configurar adecuadamente el huso horario correspondiente al servidor La informacioacuten sobre el huso horario se encuentra en el archivo etctimezoney puede ser consultada con el comando cat
rootserver~ cat etctimezoneEuropeLisbon
Para configurar el huso horario se utiliza el comando dpkg-reconfigure tzdata y se escoge la zona correcta en el menuacute interactivo
rootserver~ dpkg-reconfigure tzdata
Un diaacutelogo permite seleccionar la regioacuten geograacutefica
En seguida puede sentildealarse la regioacuten o el paiacutes donde el servidor se encuentra fiacutesicamente localizado
Luego el resultado queda registrado asiacute
Current default time zone EuropeLisbonLocal time is now Wed Oct 27 115426 WEST 2010Universal Time is now Wed Oct 27 105426 UTC 2010
Fecha yhora
El comando date muestra la fecha actual del sistema
rootserver~ dateWed Oct 27 120057 WEST 2010
El comando date tambieacuten permite poner en punto la hora del sistema manualmente Para esto se utiliza la sintaxis reducida ldquodate MMDDhhmmrdquo
rootserver~ date 10271201Wed Oct 27 120100 WEST 2010
Protocolo NTP
El protocolo NTP (Network Time Protocol) se utiliza para mantener en punto el reloj del sistema sincronizaacutendolo a partir de una red de servidores NTP a traveacutes de Internet
Objetivo
Utilizar la red de servidores NTP para poner en punto el reloj de sistema
Instalacioacutenrootserver~ aptitude install ntpdate ntp-doc
Utilizacioacuten
En primer lugar se debe verificar que el huso horario del sistema esteacute definido de forma correcta
Despueacutes se puede poner en punto el reloj del sistema teniendo como referencia uno de los servidores NTP
rootserver~ ntpdate -u poolntporg28 Oct 120917 ntpdate[2493] adjust time server 1941179136 offset -0030742 sec
Servidor NTP
Objetivo
El protocolo NTP se usa para mantener en punto el reloj del sistema Esto es posible gracias a su sincronizacioacuten con otros servidores NTP viacutea internet
Instalacioacutenrootserver~ aptitude install ntp ntp-doc
Configuracioacuten
Verificar la configuracioacuten del fuso horario y de la fecha y hora del sistema
Verificacioacuten
El comando ntpq -p permite verificar cuaacuteles son los servidores NTP a los que estamos conectados Los + e - indican respectivamente conexiones exitosas sincronizaciones en curso y servidores poco confiablesEsto puede demorar algunos minutos hasta que aparezca la lista y hasta 30 minutos para que ocurra la primera correccioacuten
rootserver~ ntpq -p remote refid st t when poll reach delay offset jitter==============================================================================+ns4lerfjhaxco 1986022240 2 u 20 64 1 157121 -20776 20808-ns1vibiteu 195131153 3 u 19 64 1 80428 25345 908168681878cus 1924324418 2 u 18 64 1 144241 -3047 3650+nagiosrack911 128138188172 2 u 17 64 1 159292 -4013 9109
El servidor NTP estaacute listo para ser utilizado
Utilizacioacuten
Para poner en punto la hora y fecha de un sistema cliente es suficiente con usar el comando ntpdate (ver Protocolo NTP) indicando la direccioacutenate del servidor
rootlaptop~ ntpdate -u 1921681100 4 Feb 223801 ntpdate[15071] adjust time server 1921681100 offset -0027193 sec
Servidor de Intranet
Una vez terminada la configuracioacuten de base del servidor es hora de expandir su funcionalidad para que pueda proveer un conjunto de servicios para la red interna
DNS
DNS es la sigla inglesa de Domain Name System (Sistema de Nombres de Dominios) Este sistema correlaciona el nombre de una paacutegina electroacutenica con una direccioacuten IP y viceversa Por ejemplo gracias al DNS sabemos que el servidor ldquowwwdebianorgrdquo tiene la direccioacuten IP ldquo21312923218rdquo y viceversa
El protocolo DNS
Sistema de Nombres de Dominios
Siempre que se utiliza un nombre para designar a un servidor como sucede con wwwdebianorg eacuteste debe traducirse en la forma de una direccioacuten IP uacutenica del mismo servidor Este proceso se conoce como resolucioacuten y es efectuado gracias al Domain Name System (DNS) (o en espantildeol Sistema de Nombres de Dominios)
Este sistema estaacute constituido por una red global de servidores organizados en un aacuterbol donde cada servidor contiene una tabla de asociaciones entre los nombres de los servidores y sus respectivas direcciones IP
Coacutemo funciona el DNS
Supongamos que se pretende contactar el servidor wwwgooglecom El sistema iniciaraacute una serie de contactos entre otros sistemas diversos para encontrar cuaacutel es la direccioacuten asociada a la direccioacuten pretendida
Una versioacuten muy simplificada seriacutea la siguiente posiblemente el sistema tendraacute que contactar a su servidor de DNS que a su vez contactaraacute los servidores DNS de tope para indagar acerca del dominio ldquogoogleconrdquo y enseguida contactar el servidor DNS de google para saber la direccioacuten IP de wwwgooglecom
Aunque cada investigacioacuten o resolucioacuten tarda soacutelo milisegundos la visualizacioacuten de una paacutegina web en un browser puede resultar bastante penalizada por este proceso Especialmente cuando es posible que varios elementos de la paacutegina esteacuten alojados en diversos servidores cuyas direcciones deban ser resueltas individualmente
Cache DNS
Objetivo
Aunque las direcciones Internet tengan nombres ldquolegiblesrdquo (wwwgooglecom) eacutestos deben ser traducidos a la direccioacuten IP (21312923218) del respectivo servidor Esa conversioacuten es efectuada realizando una buacutesqueda en el DNS (Domain Name System)
Una cache DNS guardia localmente los resultados de esa buacutesqueda para utilizacioacuten futura evitando la repeticioacuten de buacutesquedas y aumentando draacutesticamente la velocidad de respuesta
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La configuracioacuten generada durante la instalacioacuten es perfectamente funcional no requiere modificaciones Sin embargo vamos personalizar la instalacioacuten en 2 aspectos principales vamos a definir a cuaacuteles servidores consultaraacute el nuestro para pedir ayuda en la resolucioacuten de nombres si no es posible hacer esto localmente (forwarders) y vamos a fortalecer algunos aspectos de seguridad
Como forwarders podemos optar por varias hipoacutetesis una es utilizar los servidores DNS de nuestro proveedor de acceso a Internet
Otra posibilidad muy interesante es utilizar uno de los diversos servicios puacuteblicos de DNS disponibles en la actualidad como
OpenDNS (httpwwwopendnscom)
Google Public DNS (httpcodegooglecomspeedpublic-dns)
Estos servicios prometen suministrar no soacutelo resoluciones maacutes raacutepidas sino tambieacuten diversos servicios adicionales de seguridad como filtros de direcciones maliciosos y otros maacutes
En este caso utilizaremos los servidores OpenDNS (httpwwwopendnscom) Para tener otra opcioacuten tambieacuten se antildeadiraacute el del router ADSL
Por seguridad soacutelo seraacuten recibidas conexiones por la interfaz local o por la destinada a la red interna (listen-on 127001 1921681100 ) Asiacute mismo soacutelo seraacuten contestados los pedidos de resolucioacuten que partan del propio puesto o de la red interna (allow-query 127001 1921681024 ) Todos los otros pedidos seraacuten ignorados para evitar eventuales utilizaciones abusivas de nuestro servidor DNS por parte de terceros
La configuracioacuten estaacute guardada en el archivo etcbindnamedconfoptions
options directory varcachebind
If there is a firewall between you and nameservers you want to talk to you may need to fix the firewall to allow multiple ports to talk See httpwwwkbcertorgvulsid800113
If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all-0s placeholder
forwarders OpenDNS servers 20867222222 20867220220
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
Current status 0 updates [-5]
En este ejemplo se actualizaron 5 paquetes Ahora tenemos el sistema al diacutea con sus actualizaciones
NOTAEs muy importante actualizar el sistema con frecuencia De esta forma se puede garantizar que el sistema siempre tenga las correcciones maacutes recientes a los bugs que puedan aparecer y las actualizaciones de seguridad que se requieran
Repositorios
Objetivo
Ademaacutes del repositorio de software principal de Debian o main configurado durante la instalacioacuten existen otros repositorios que por diversas razones no son incluidos durante la instalacioacuten Sin embargo estos pueden ser incluidos en cualquier momento
Lista de repositorios
Para facilitar la instalacioacuten de algunos paquetes de software se deben antildeadir algunos repositorios a la lista existente expresamente los repositorios contrib y non-free
Tambieacuten como no vamos a compilar paquetes a partir de las fuentes se sugiere desactiva o comentar sus referencias (deb-src) Desactivar o comentar una liacutenea consiste en escribir el signo al principio de la liacutenea que se quiera intervenir como se ve en el ejemplo
La lista de repositorios se encuentra en el archivo de configuracioacuten etcaptsourceslist
deb cdrom[Debian GNULinux 600 _Squeeze_ - Official amd64 NETINST Binary-1 20110205-1431] squeeze main
deb cdrom[Debian GNULinux 600 _Squeeze_ - Official amd64 NETINST Binary-1 20110205-1431] squeeze main
deb httpftpptdebianorgdebian squeeze main contrib non-freedeb-src httpftpptdebianorgdebian squeeze main
deb httpsecuritydebianorg squeezeupdates main contrib non-freedeb-src httpsecuritydebianorg squeezeupdates main
deb httpftpptdebianorgdebian squeeze-updates main contrib non-freedeb-src httpftpptdebianorgdebian squeeze-updates main
Aqui otroa repositorios oficiales
Repositorios oficiales
deb httpftpfrdebianorgdebian squeeze main contrib non-freedeb-src httpftpfrdebianorgdebian squeeze main contrib non-free
Line commented out by installer because it failed to verify
Skypedeb httpdownloadskypecomlinuxreposdebian stable non-free
Repositorios de seguridaddeb httpsecuritydebianorg squeezeupdates main contrib Line commented out by installer because it failed to verifydeb-src httpsecuritydebianorg squeezeupdates main contrib
Repositorios multimediadeb httpwwwdebian-multimediaorg squeeze main non-freedeb-src httpwwwdebian-multimediaorg squeeze main non-free
Line commented out by installer because it failed to verifydeb volatiledebianorg squeeze-updates main contrib Line commented out by installer because it failed to verifydeb-src volatiledebianorg squeeze-updates main contrib
Actualizar la lista local de paquetes con los nuevos repositorios
rootserver~ aptitude updateHit httpftpptdebianorg squeeze ReleasegpgIgn httpftpptdebianorgdebian squeezecontrib Translation-enIgn httpftpptdebianorgdebian squeezecontrib Translation-en_USIgn httpftpptdebianorgdebian squeezemain Translation-enIgn httpftpptdebianorgdebian squeezemain Translation-en_USIgn httpftpptdebianorgdebian squeezenon-free Translation-enIgn httpftpptdebianorgdebian squeezenon-free Translation-en_USHit httpftpptdebianorg squeeze-updates ReleasegpgIgn httpftpptdebianorgdebian squeeze-updatescontrib Translation-enIgn httpftpptdebianorgdebian squeeze-updatescontrib Translation-en_USIgn httpftpptdebianorgdebian squeeze-updatesmain Translation-enIgn httpftpptdebianorgdebian squeeze-updatesmain Translation-en_USIgn httpftpptdebianorgdebian squeeze-updatesnon-free Translation-enIgn httpftpptdebianorgdebian squeeze-updatesnon-free Translation-en_USHit httpftpptdebianorg squeeze ReleaseHit httpftpptdebianorg squeeze-updates ReleaseHit httpsecuritydebianorg squeezeupdates ReleasegpgIgn httpsecuritydebianorg squeezeupdatescontrib Translation-enIgn httpsecuritydebianorg squeezeupdatescontrib Translation-en_USIgn httpsecuritydebianorg squeezeupdatesmain Translation-enIgn httpsecuritydebianorg squeezeupdatesmain Translation-en_USIgn httpsecuritydebianorg squeezeupdatesnon-free Translation-enIgn httpsecuritydebianorg squeezeupdatesnon-free Translation-en_USHit httpftpptdebianorg squeezemain amd64 PackagesHit httpsecuritydebianorg squeezeupdates Release
Get1 httpftpptdebianorg squeezecontrib amd64 Packages [641 kB]Hit httpsecuritydebianorg squeezeupdatesmain amd64 PackagesGet2 httpftpptdebianorg squeezenon-free amd64 Packages [124 kB]Get3 httpsecuritydebianorg squeezeupdatescontrib amd64 Packages [20 B]Get4 httpsecuritydebianorg squeezeupdatesnon-free amd64 Packages [20 B]Hit httpftpptdebianorg squeeze-updatesmain amd64 PackagesGet5 httpftpptdebianorg squeeze-updatescontrib amd64 Packages [20 B]Get6 httpftpptdebianorg squeeze-updatesnon-free amd64 Packages [20 B]Fetched 188 kB in 0s (252 kBs)
Current status 566 new [+566]
Utilizando un proxy
En algunos casos es necesario acceder a la internet a traveacutes de un proxy En aptitude puede ser configurado para usar el proxy El aptitude puede ser configurado para usar el proxy Para esto existen dos meacutetodos posibles
Definir una variable de ambiente http_proxy o ftp_poxy que tenga como valor a la
URL del servidor proxy aptitude tendraacute en cuenta esta variable cuando se conecte a
Internet
rootserver~ export http_proxy=httpproxyexamplecom3128
Incluir las definiciones del proxy en la configuracioacuten de aptitude Para indicar el
proxy a utilizar deberaacute editar o crear el archivo etcaptaptconf
AcquirehttpProxy httpproxyexamplecom3128
El formato de la URL de un proxy es http[[user][pass]]xxxxxxxxxxxx[port] donde
userpassnombre del usuario y contrasentildea si el proxy requiere autenticacioacuten yo autorizacioacuten
xxxxxxxxxxxxdireccioacuten o nombre del servidor proxy
portpuerto de conexioacuten al servicio deproxy
Notificacioacuten de actualizaciones apticron
Objetivo
Para garantizar que un sistema pueda ser actualizado lo mejor es estar informado de las actualizaciones disponibles Apticron es un programa que se ejecuta diariamente de forma
automaacutetica verifica las actualizaciones disponibles para nuestro sistema y luego informa al administrador por e-mail
NOTAEl paquete apticron depende de la instalacioacuten de un agente de transporte de e-mail o MTA (Mail Transfer Agent) Por tanto es necesario instalar primero un Servidor SMTP antes de proceder a la instalacioacuten de apticron
Instalacioacutenrootserver~ aptitude install apticron
Resultado
Siempre que haya una actualizacioacuten disponible para nuestro sistema seraacute enviado un e-mail al administrador del sistema
Date Wed 16 Feb 2011 190548 +0000To roothomelanSubject 2 Debian package update(s) for serverhomelan From roothomelan (root)
apticron report [Wed 16 Feb 2011 190547 +0000]========================================================================
apticron has detected that some packages need upgrading on
serverhomelan [ 1921681100 ]
The following packages are currently pending an upgrade
login 14142+svn3283-2+squeeze1 passwd 14142+svn3283-2+squeeze1
========================================================================
Package Details
Reading changelogs--- Changes for shadow (login passwd) ---shadow (14142+svn3283-2+squeeze1) stable-security urgency=high
The Tomanoix release debianpatches300_CVE-2011-0721 Fix insufficient input sanitation leading to possible user or group creation in NIS environments
-- Nicolas FRANCOIS (Nekral) ltnicolasfrancoiscentraliensnetgt Sun 13 Feb 2011 220228 +0100
========================================================================
You can perform the upgrade by issuing the command
aptitude full-upgrade
as root on serverhomelan
--apticron
El administrador podraacute entonces actualizar sus sistema con el comando aptitude full-upgrade
Acceso RemotoEn principio no debe accederse fiacutesicamente a un servidor a no ser por razones excepcionales (como la actualizacioacuten o la reparacioacuten de hardware por ejemplo) La mejor manera de gestionar un servidor es remotamente Sin embargo este acceso deber ser hecho de una manera segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo ssh
La regla general indica que no se debe acceder fiacutesicamente a un servidor a no ser por razones excepcionales La mejor manera de gestionar un servidor es con un acceso remoto Pero el acceso remoto debe ser hecho de forma segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo SSH
Es la solucioacuten para garantizar conexiones remotas seguras ssh es un protocolo de comunicaciones que encripta los datos intercambiados haciendo virtualmente imposible la violacioacuten de la privacidad de la comunicacioacuten El acroacutenimo ssh viene del ingleacutes Secure SHell
El protocolo ssh es muy versaacutetil cuenta con un software cliente que posibilita el acceso a la liacutenea de comandos la transferencia de archivos y la creacioacuten de tuacuteneles seguros con soportes de comunicaciones para otros protocolos
Clientes SSH
Los clientes ssh se dividen en dos grupos
Terminal SSHEs un emulador de terminal que permite acceder de forma remota a la liacutenea de comandos utilizando el protocolo SSH
Cliente SFTPSe trata de un cliente para transferencia de archivos que utiliza el Protocolo de Transferencia Segura de Archivos Su sigla indica en ingleacutes (Secure File Transfer Protocol (SFTP))
Clientes Linuxopenssh-client
este software ofrece utilidades para acceso remoto (cliente ssh) copia de seguridad de archivos (scp) y transferencia segura de archivos (sftp) entre otras
FileZillaCliente SFTP
Clientes WindowsPuTTY
Terminal SSHWinSCP
Cliente SFTPFileZilla
Cliente SFTP
Servidor ssh
Instalacioacutenrootserver~ aptitude install openssh-server openssh-client
Configuracioacuten
Todas las configuraciones del servidor ssh se encuentran en el archivo etcsshsshd_config
Para configurar el servidor debe indicarse las direcciones donde el servicio debe responder En este caso seraacuten conexiones ligadas a la direccioacuten 1921681100 a traveacutes del puerto 22 y utilizando la versioacuten 2 del protocolo ssh
Package generated configuration file See the sshd_config(5) manpage for details
What ports IPs and protocols we listen forPort 22 Use these options to restrict which interfacesprotocols sshd will bind toListenAddress ListenAddress 0000ListenAddress 1921681100Protocol 2
[]
Por seguridad se debe desactivar el login como root en esta configuracioacuten para adquirir los privilegios del root se debe hacer un login usuario normal y despueacutes adquirir los privilegios de root De este modo prevenimos que el password del root sea objeto de un ataque
[]
AuthenticationLoginGraceTime 120PermitRootLogin no
StrictModes yes
[]
Tambieacuten se debe verificar que no sean permitidos los logins con contrasentildeas vaciacuteas
[]
To enable empty passwords change to yes (NOT RECOMMENDED)PermitEmptyPasswords no
[]
Reiniciar el servicio
rootserver~ etcinitdssh restart
Verificacioacuten
Clientes Linux
Debe ser posible establecer una conexioacuten ssh a la direccioacuten 1921681100
La primera vez que la conexioacuten se efectuacutee eacutesta debe ser confirmada porque el servidor no estaacute registrado en la lista de los sistemas conocidos por el cliente
fribeirolaptop~$ ssh 1921681100The authenticity of host 1921681100 (1921681100) cant be establishedRSA key fingerprint is ee16b0c91befb464e18680f4369f0803Are you sure you want to continue connecting (yesno) yesWarning Permanently added 1921681100 (RSA) to the list of known hostsfribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable law
fribeiroserver~$ logoutConnection to 1921681100 closedfribeirolaptop~$
Las conexiones con el login root no seraacuten aceptadas
fribeirolaptop~$ ssh -l root 1921681100root1921681100s passwordPermission denied please try againroot1921681100s passwordPermission denied please try again
root1921681100s passwordPermission denied (publickeypassword)
Clientes Windows
El acceso a partir de clientes Windows es posible con un programa emulador del terminal que soporte ssh como Putty
Obtener privilegios de root
Como el login como root estaacute desactivado la manera de obtener privilegios de root en una conexioacuten ssh es a traveacutes de un usuario comuacuten que escala privilegios con el comando su
fribeirolaptop~$ ssh 1921681100fribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable lawLast login Wed Oct 27 110121 2010 from laptophomelanfribeiroserver~$ su - rootPasswordrootserver~
Referencias
Debian Reference 69 The remote access server and utility (SSH)
(
httpwwwdebianorgdocmanualsreferencech06enhtml_the_remote_access_se
rver_and_utility_ssh)
OpenSSH (httpwwwopensshcom)
Reloj del sistemaEn un servidor es fundamental asegurarse de que el reloj del sistema funcione correctamente No soacutelo porque varios servicios dependan del reloj sino tambieacuten porque el reloj puede ser utilizado para sincronizar y poner en punto a los demaacutes equipos
Fecha hora y huso horario
Objetivo
Poner en punto el reloj y la fecha del sistema
Configuracioacuten
Fuso horario
Es imperativo configurar adecuadamente el huso horario correspondiente al servidor La informacioacuten sobre el huso horario se encuentra en el archivo etctimezoney puede ser consultada con el comando cat
rootserver~ cat etctimezoneEuropeLisbon
Para configurar el huso horario se utiliza el comando dpkg-reconfigure tzdata y se escoge la zona correcta en el menuacute interactivo
rootserver~ dpkg-reconfigure tzdata
Un diaacutelogo permite seleccionar la regioacuten geograacutefica
En seguida puede sentildealarse la regioacuten o el paiacutes donde el servidor se encuentra fiacutesicamente localizado
Luego el resultado queda registrado asiacute
Current default time zone EuropeLisbonLocal time is now Wed Oct 27 115426 WEST 2010Universal Time is now Wed Oct 27 105426 UTC 2010
Fecha yhora
El comando date muestra la fecha actual del sistema
rootserver~ dateWed Oct 27 120057 WEST 2010
El comando date tambieacuten permite poner en punto la hora del sistema manualmente Para esto se utiliza la sintaxis reducida ldquodate MMDDhhmmrdquo
rootserver~ date 10271201Wed Oct 27 120100 WEST 2010
Protocolo NTP
El protocolo NTP (Network Time Protocol) se utiliza para mantener en punto el reloj del sistema sincronizaacutendolo a partir de una red de servidores NTP a traveacutes de Internet
Objetivo
Utilizar la red de servidores NTP para poner en punto el reloj de sistema
Instalacioacutenrootserver~ aptitude install ntpdate ntp-doc
Utilizacioacuten
En primer lugar se debe verificar que el huso horario del sistema esteacute definido de forma correcta
Despueacutes se puede poner en punto el reloj del sistema teniendo como referencia uno de los servidores NTP
rootserver~ ntpdate -u poolntporg28 Oct 120917 ntpdate[2493] adjust time server 1941179136 offset -0030742 sec
Servidor NTP
Objetivo
El protocolo NTP se usa para mantener en punto el reloj del sistema Esto es posible gracias a su sincronizacioacuten con otros servidores NTP viacutea internet
Instalacioacutenrootserver~ aptitude install ntp ntp-doc
Configuracioacuten
Verificar la configuracioacuten del fuso horario y de la fecha y hora del sistema
Verificacioacuten
El comando ntpq -p permite verificar cuaacuteles son los servidores NTP a los que estamos conectados Los + e - indican respectivamente conexiones exitosas sincronizaciones en curso y servidores poco confiablesEsto puede demorar algunos minutos hasta que aparezca la lista y hasta 30 minutos para que ocurra la primera correccioacuten
rootserver~ ntpq -p remote refid st t when poll reach delay offset jitter==============================================================================+ns4lerfjhaxco 1986022240 2 u 20 64 1 157121 -20776 20808-ns1vibiteu 195131153 3 u 19 64 1 80428 25345 908168681878cus 1924324418 2 u 18 64 1 144241 -3047 3650+nagiosrack911 128138188172 2 u 17 64 1 159292 -4013 9109
El servidor NTP estaacute listo para ser utilizado
Utilizacioacuten
Para poner en punto la hora y fecha de un sistema cliente es suficiente con usar el comando ntpdate (ver Protocolo NTP) indicando la direccioacutenate del servidor
rootlaptop~ ntpdate -u 1921681100 4 Feb 223801 ntpdate[15071] adjust time server 1921681100 offset -0027193 sec
Servidor de Intranet
Una vez terminada la configuracioacuten de base del servidor es hora de expandir su funcionalidad para que pueda proveer un conjunto de servicios para la red interna
DNS
DNS es la sigla inglesa de Domain Name System (Sistema de Nombres de Dominios) Este sistema correlaciona el nombre de una paacutegina electroacutenica con una direccioacuten IP y viceversa Por ejemplo gracias al DNS sabemos que el servidor ldquowwwdebianorgrdquo tiene la direccioacuten IP ldquo21312923218rdquo y viceversa
El protocolo DNS
Sistema de Nombres de Dominios
Siempre que se utiliza un nombre para designar a un servidor como sucede con wwwdebianorg eacuteste debe traducirse en la forma de una direccioacuten IP uacutenica del mismo servidor Este proceso se conoce como resolucioacuten y es efectuado gracias al Domain Name System (DNS) (o en espantildeol Sistema de Nombres de Dominios)
Este sistema estaacute constituido por una red global de servidores organizados en un aacuterbol donde cada servidor contiene una tabla de asociaciones entre los nombres de los servidores y sus respectivas direcciones IP
Coacutemo funciona el DNS
Supongamos que se pretende contactar el servidor wwwgooglecom El sistema iniciaraacute una serie de contactos entre otros sistemas diversos para encontrar cuaacutel es la direccioacuten asociada a la direccioacuten pretendida
Una versioacuten muy simplificada seriacutea la siguiente posiblemente el sistema tendraacute que contactar a su servidor de DNS que a su vez contactaraacute los servidores DNS de tope para indagar acerca del dominio ldquogoogleconrdquo y enseguida contactar el servidor DNS de google para saber la direccioacuten IP de wwwgooglecom
Aunque cada investigacioacuten o resolucioacuten tarda soacutelo milisegundos la visualizacioacuten de una paacutegina web en un browser puede resultar bastante penalizada por este proceso Especialmente cuando es posible que varios elementos de la paacutegina esteacuten alojados en diversos servidores cuyas direcciones deban ser resueltas individualmente
Cache DNS
Objetivo
Aunque las direcciones Internet tengan nombres ldquolegiblesrdquo (wwwgooglecom) eacutestos deben ser traducidos a la direccioacuten IP (21312923218) del respectivo servidor Esa conversioacuten es efectuada realizando una buacutesqueda en el DNS (Domain Name System)
Una cache DNS guardia localmente los resultados de esa buacutesqueda para utilizacioacuten futura evitando la repeticioacuten de buacutesquedas y aumentando draacutesticamente la velocidad de respuesta
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La configuracioacuten generada durante la instalacioacuten es perfectamente funcional no requiere modificaciones Sin embargo vamos personalizar la instalacioacuten en 2 aspectos principales vamos a definir a cuaacuteles servidores consultaraacute el nuestro para pedir ayuda en la resolucioacuten de nombres si no es posible hacer esto localmente (forwarders) y vamos a fortalecer algunos aspectos de seguridad
Como forwarders podemos optar por varias hipoacutetesis una es utilizar los servidores DNS de nuestro proveedor de acceso a Internet
Otra posibilidad muy interesante es utilizar uno de los diversos servicios puacuteblicos de DNS disponibles en la actualidad como
OpenDNS (httpwwwopendnscom)
Google Public DNS (httpcodegooglecomspeedpublic-dns)
Estos servicios prometen suministrar no soacutelo resoluciones maacutes raacutepidas sino tambieacuten diversos servicios adicionales de seguridad como filtros de direcciones maliciosos y otros maacutes
En este caso utilizaremos los servidores OpenDNS (httpwwwopendnscom) Para tener otra opcioacuten tambieacuten se antildeadiraacute el del router ADSL
Por seguridad soacutelo seraacuten recibidas conexiones por la interfaz local o por la destinada a la red interna (listen-on 127001 1921681100 ) Asiacute mismo soacutelo seraacuten contestados los pedidos de resolucioacuten que partan del propio puesto o de la red interna (allow-query 127001 1921681024 ) Todos los otros pedidos seraacuten ignorados para evitar eventuales utilizaciones abusivas de nuestro servidor DNS por parte de terceros
La configuracioacuten estaacute guardada en el archivo etcbindnamedconfoptions
options directory varcachebind
If there is a firewall between you and nameservers you want to talk to you may need to fix the firewall to allow multiple ports to talk See httpwwwkbcertorgvulsid800113
If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all-0s placeholder
forwarders OpenDNS servers 20867222222 20867220220
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
deb httpftpfrdebianorgdebian squeeze main contrib non-freedeb-src httpftpfrdebianorgdebian squeeze main contrib non-free
Line commented out by installer because it failed to verify
Skypedeb httpdownloadskypecomlinuxreposdebian stable non-free
Repositorios de seguridaddeb httpsecuritydebianorg squeezeupdates main contrib Line commented out by installer because it failed to verifydeb-src httpsecuritydebianorg squeezeupdates main contrib
Repositorios multimediadeb httpwwwdebian-multimediaorg squeeze main non-freedeb-src httpwwwdebian-multimediaorg squeeze main non-free
Line commented out by installer because it failed to verifydeb volatiledebianorg squeeze-updates main contrib Line commented out by installer because it failed to verifydeb-src volatiledebianorg squeeze-updates main contrib
Actualizar la lista local de paquetes con los nuevos repositorios
rootserver~ aptitude updateHit httpftpptdebianorg squeeze ReleasegpgIgn httpftpptdebianorgdebian squeezecontrib Translation-enIgn httpftpptdebianorgdebian squeezecontrib Translation-en_USIgn httpftpptdebianorgdebian squeezemain Translation-enIgn httpftpptdebianorgdebian squeezemain Translation-en_USIgn httpftpptdebianorgdebian squeezenon-free Translation-enIgn httpftpptdebianorgdebian squeezenon-free Translation-en_USHit httpftpptdebianorg squeeze-updates ReleasegpgIgn httpftpptdebianorgdebian squeeze-updatescontrib Translation-enIgn httpftpptdebianorgdebian squeeze-updatescontrib Translation-en_USIgn httpftpptdebianorgdebian squeeze-updatesmain Translation-enIgn httpftpptdebianorgdebian squeeze-updatesmain Translation-en_USIgn httpftpptdebianorgdebian squeeze-updatesnon-free Translation-enIgn httpftpptdebianorgdebian squeeze-updatesnon-free Translation-en_USHit httpftpptdebianorg squeeze ReleaseHit httpftpptdebianorg squeeze-updates ReleaseHit httpsecuritydebianorg squeezeupdates ReleasegpgIgn httpsecuritydebianorg squeezeupdatescontrib Translation-enIgn httpsecuritydebianorg squeezeupdatescontrib Translation-en_USIgn httpsecuritydebianorg squeezeupdatesmain Translation-enIgn httpsecuritydebianorg squeezeupdatesmain Translation-en_USIgn httpsecuritydebianorg squeezeupdatesnon-free Translation-enIgn httpsecuritydebianorg squeezeupdatesnon-free Translation-en_USHit httpftpptdebianorg squeezemain amd64 PackagesHit httpsecuritydebianorg squeezeupdates Release
Get1 httpftpptdebianorg squeezecontrib amd64 Packages [641 kB]Hit httpsecuritydebianorg squeezeupdatesmain amd64 PackagesGet2 httpftpptdebianorg squeezenon-free amd64 Packages [124 kB]Get3 httpsecuritydebianorg squeezeupdatescontrib amd64 Packages [20 B]Get4 httpsecuritydebianorg squeezeupdatesnon-free amd64 Packages [20 B]Hit httpftpptdebianorg squeeze-updatesmain amd64 PackagesGet5 httpftpptdebianorg squeeze-updatescontrib amd64 Packages [20 B]Get6 httpftpptdebianorg squeeze-updatesnon-free amd64 Packages [20 B]Fetched 188 kB in 0s (252 kBs)
Current status 566 new [+566]
Utilizando un proxy
En algunos casos es necesario acceder a la internet a traveacutes de un proxy En aptitude puede ser configurado para usar el proxy El aptitude puede ser configurado para usar el proxy Para esto existen dos meacutetodos posibles
Definir una variable de ambiente http_proxy o ftp_poxy que tenga como valor a la
URL del servidor proxy aptitude tendraacute en cuenta esta variable cuando se conecte a
Internet
rootserver~ export http_proxy=httpproxyexamplecom3128
Incluir las definiciones del proxy en la configuracioacuten de aptitude Para indicar el
proxy a utilizar deberaacute editar o crear el archivo etcaptaptconf
AcquirehttpProxy httpproxyexamplecom3128
El formato de la URL de un proxy es http[[user][pass]]xxxxxxxxxxxx[port] donde
userpassnombre del usuario y contrasentildea si el proxy requiere autenticacioacuten yo autorizacioacuten
xxxxxxxxxxxxdireccioacuten o nombre del servidor proxy
portpuerto de conexioacuten al servicio deproxy
Notificacioacuten de actualizaciones apticron
Objetivo
Para garantizar que un sistema pueda ser actualizado lo mejor es estar informado de las actualizaciones disponibles Apticron es un programa que se ejecuta diariamente de forma
automaacutetica verifica las actualizaciones disponibles para nuestro sistema y luego informa al administrador por e-mail
NOTAEl paquete apticron depende de la instalacioacuten de un agente de transporte de e-mail o MTA (Mail Transfer Agent) Por tanto es necesario instalar primero un Servidor SMTP antes de proceder a la instalacioacuten de apticron
Instalacioacutenrootserver~ aptitude install apticron
Resultado
Siempre que haya una actualizacioacuten disponible para nuestro sistema seraacute enviado un e-mail al administrador del sistema
Date Wed 16 Feb 2011 190548 +0000To roothomelanSubject 2 Debian package update(s) for serverhomelan From roothomelan (root)
apticron report [Wed 16 Feb 2011 190547 +0000]========================================================================
apticron has detected that some packages need upgrading on
serverhomelan [ 1921681100 ]
The following packages are currently pending an upgrade
login 14142+svn3283-2+squeeze1 passwd 14142+svn3283-2+squeeze1
========================================================================
Package Details
Reading changelogs--- Changes for shadow (login passwd) ---shadow (14142+svn3283-2+squeeze1) stable-security urgency=high
The Tomanoix release debianpatches300_CVE-2011-0721 Fix insufficient input sanitation leading to possible user or group creation in NIS environments
-- Nicolas FRANCOIS (Nekral) ltnicolasfrancoiscentraliensnetgt Sun 13 Feb 2011 220228 +0100
========================================================================
You can perform the upgrade by issuing the command
aptitude full-upgrade
as root on serverhomelan
--apticron
El administrador podraacute entonces actualizar sus sistema con el comando aptitude full-upgrade
Acceso RemotoEn principio no debe accederse fiacutesicamente a un servidor a no ser por razones excepcionales (como la actualizacioacuten o la reparacioacuten de hardware por ejemplo) La mejor manera de gestionar un servidor es remotamente Sin embargo este acceso deber ser hecho de una manera segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo ssh
La regla general indica que no se debe acceder fiacutesicamente a un servidor a no ser por razones excepcionales La mejor manera de gestionar un servidor es con un acceso remoto Pero el acceso remoto debe ser hecho de forma segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo SSH
Es la solucioacuten para garantizar conexiones remotas seguras ssh es un protocolo de comunicaciones que encripta los datos intercambiados haciendo virtualmente imposible la violacioacuten de la privacidad de la comunicacioacuten El acroacutenimo ssh viene del ingleacutes Secure SHell
El protocolo ssh es muy versaacutetil cuenta con un software cliente que posibilita el acceso a la liacutenea de comandos la transferencia de archivos y la creacioacuten de tuacuteneles seguros con soportes de comunicaciones para otros protocolos
Clientes SSH
Los clientes ssh se dividen en dos grupos
Terminal SSHEs un emulador de terminal que permite acceder de forma remota a la liacutenea de comandos utilizando el protocolo SSH
Cliente SFTPSe trata de un cliente para transferencia de archivos que utiliza el Protocolo de Transferencia Segura de Archivos Su sigla indica en ingleacutes (Secure File Transfer Protocol (SFTP))
Clientes Linuxopenssh-client
este software ofrece utilidades para acceso remoto (cliente ssh) copia de seguridad de archivos (scp) y transferencia segura de archivos (sftp) entre otras
FileZillaCliente SFTP
Clientes WindowsPuTTY
Terminal SSHWinSCP
Cliente SFTPFileZilla
Cliente SFTP
Servidor ssh
Instalacioacutenrootserver~ aptitude install openssh-server openssh-client
Configuracioacuten
Todas las configuraciones del servidor ssh se encuentran en el archivo etcsshsshd_config
Para configurar el servidor debe indicarse las direcciones donde el servicio debe responder En este caso seraacuten conexiones ligadas a la direccioacuten 1921681100 a traveacutes del puerto 22 y utilizando la versioacuten 2 del protocolo ssh
Package generated configuration file See the sshd_config(5) manpage for details
What ports IPs and protocols we listen forPort 22 Use these options to restrict which interfacesprotocols sshd will bind toListenAddress ListenAddress 0000ListenAddress 1921681100Protocol 2
[]
Por seguridad se debe desactivar el login como root en esta configuracioacuten para adquirir los privilegios del root se debe hacer un login usuario normal y despueacutes adquirir los privilegios de root De este modo prevenimos que el password del root sea objeto de un ataque
[]
AuthenticationLoginGraceTime 120PermitRootLogin no
StrictModes yes
[]
Tambieacuten se debe verificar que no sean permitidos los logins con contrasentildeas vaciacuteas
[]
To enable empty passwords change to yes (NOT RECOMMENDED)PermitEmptyPasswords no
[]
Reiniciar el servicio
rootserver~ etcinitdssh restart
Verificacioacuten
Clientes Linux
Debe ser posible establecer una conexioacuten ssh a la direccioacuten 1921681100
La primera vez que la conexioacuten se efectuacutee eacutesta debe ser confirmada porque el servidor no estaacute registrado en la lista de los sistemas conocidos por el cliente
fribeirolaptop~$ ssh 1921681100The authenticity of host 1921681100 (1921681100) cant be establishedRSA key fingerprint is ee16b0c91befb464e18680f4369f0803Are you sure you want to continue connecting (yesno) yesWarning Permanently added 1921681100 (RSA) to the list of known hostsfribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable law
fribeiroserver~$ logoutConnection to 1921681100 closedfribeirolaptop~$
Las conexiones con el login root no seraacuten aceptadas
fribeirolaptop~$ ssh -l root 1921681100root1921681100s passwordPermission denied please try againroot1921681100s passwordPermission denied please try again
root1921681100s passwordPermission denied (publickeypassword)
Clientes Windows
El acceso a partir de clientes Windows es posible con un programa emulador del terminal que soporte ssh como Putty
Obtener privilegios de root
Como el login como root estaacute desactivado la manera de obtener privilegios de root en una conexioacuten ssh es a traveacutes de un usuario comuacuten que escala privilegios con el comando su
fribeirolaptop~$ ssh 1921681100fribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable lawLast login Wed Oct 27 110121 2010 from laptophomelanfribeiroserver~$ su - rootPasswordrootserver~
Referencias
Debian Reference 69 The remote access server and utility (SSH)
(
httpwwwdebianorgdocmanualsreferencech06enhtml_the_remote_access_se
rver_and_utility_ssh)
OpenSSH (httpwwwopensshcom)
Reloj del sistemaEn un servidor es fundamental asegurarse de que el reloj del sistema funcione correctamente No soacutelo porque varios servicios dependan del reloj sino tambieacuten porque el reloj puede ser utilizado para sincronizar y poner en punto a los demaacutes equipos
Fecha hora y huso horario
Objetivo
Poner en punto el reloj y la fecha del sistema
Configuracioacuten
Fuso horario
Es imperativo configurar adecuadamente el huso horario correspondiente al servidor La informacioacuten sobre el huso horario se encuentra en el archivo etctimezoney puede ser consultada con el comando cat
rootserver~ cat etctimezoneEuropeLisbon
Para configurar el huso horario se utiliza el comando dpkg-reconfigure tzdata y se escoge la zona correcta en el menuacute interactivo
rootserver~ dpkg-reconfigure tzdata
Un diaacutelogo permite seleccionar la regioacuten geograacutefica
En seguida puede sentildealarse la regioacuten o el paiacutes donde el servidor se encuentra fiacutesicamente localizado
Luego el resultado queda registrado asiacute
Current default time zone EuropeLisbonLocal time is now Wed Oct 27 115426 WEST 2010Universal Time is now Wed Oct 27 105426 UTC 2010
Fecha yhora
El comando date muestra la fecha actual del sistema
rootserver~ dateWed Oct 27 120057 WEST 2010
El comando date tambieacuten permite poner en punto la hora del sistema manualmente Para esto se utiliza la sintaxis reducida ldquodate MMDDhhmmrdquo
rootserver~ date 10271201Wed Oct 27 120100 WEST 2010
Protocolo NTP
El protocolo NTP (Network Time Protocol) se utiliza para mantener en punto el reloj del sistema sincronizaacutendolo a partir de una red de servidores NTP a traveacutes de Internet
Objetivo
Utilizar la red de servidores NTP para poner en punto el reloj de sistema
Instalacioacutenrootserver~ aptitude install ntpdate ntp-doc
Utilizacioacuten
En primer lugar se debe verificar que el huso horario del sistema esteacute definido de forma correcta
Despueacutes se puede poner en punto el reloj del sistema teniendo como referencia uno de los servidores NTP
rootserver~ ntpdate -u poolntporg28 Oct 120917 ntpdate[2493] adjust time server 1941179136 offset -0030742 sec
Servidor NTP
Objetivo
El protocolo NTP se usa para mantener en punto el reloj del sistema Esto es posible gracias a su sincronizacioacuten con otros servidores NTP viacutea internet
Instalacioacutenrootserver~ aptitude install ntp ntp-doc
Configuracioacuten
Verificar la configuracioacuten del fuso horario y de la fecha y hora del sistema
Verificacioacuten
El comando ntpq -p permite verificar cuaacuteles son los servidores NTP a los que estamos conectados Los + e - indican respectivamente conexiones exitosas sincronizaciones en curso y servidores poco confiablesEsto puede demorar algunos minutos hasta que aparezca la lista y hasta 30 minutos para que ocurra la primera correccioacuten
rootserver~ ntpq -p remote refid st t when poll reach delay offset jitter==============================================================================+ns4lerfjhaxco 1986022240 2 u 20 64 1 157121 -20776 20808-ns1vibiteu 195131153 3 u 19 64 1 80428 25345 908168681878cus 1924324418 2 u 18 64 1 144241 -3047 3650+nagiosrack911 128138188172 2 u 17 64 1 159292 -4013 9109
El servidor NTP estaacute listo para ser utilizado
Utilizacioacuten
Para poner en punto la hora y fecha de un sistema cliente es suficiente con usar el comando ntpdate (ver Protocolo NTP) indicando la direccioacutenate del servidor
rootlaptop~ ntpdate -u 1921681100 4 Feb 223801 ntpdate[15071] adjust time server 1921681100 offset -0027193 sec
Servidor de Intranet
Una vez terminada la configuracioacuten de base del servidor es hora de expandir su funcionalidad para que pueda proveer un conjunto de servicios para la red interna
DNS
DNS es la sigla inglesa de Domain Name System (Sistema de Nombres de Dominios) Este sistema correlaciona el nombre de una paacutegina electroacutenica con una direccioacuten IP y viceversa Por ejemplo gracias al DNS sabemos que el servidor ldquowwwdebianorgrdquo tiene la direccioacuten IP ldquo21312923218rdquo y viceversa
El protocolo DNS
Sistema de Nombres de Dominios
Siempre que se utiliza un nombre para designar a un servidor como sucede con wwwdebianorg eacuteste debe traducirse en la forma de una direccioacuten IP uacutenica del mismo servidor Este proceso se conoce como resolucioacuten y es efectuado gracias al Domain Name System (DNS) (o en espantildeol Sistema de Nombres de Dominios)
Este sistema estaacute constituido por una red global de servidores organizados en un aacuterbol donde cada servidor contiene una tabla de asociaciones entre los nombres de los servidores y sus respectivas direcciones IP
Coacutemo funciona el DNS
Supongamos que se pretende contactar el servidor wwwgooglecom El sistema iniciaraacute una serie de contactos entre otros sistemas diversos para encontrar cuaacutel es la direccioacuten asociada a la direccioacuten pretendida
Una versioacuten muy simplificada seriacutea la siguiente posiblemente el sistema tendraacute que contactar a su servidor de DNS que a su vez contactaraacute los servidores DNS de tope para indagar acerca del dominio ldquogoogleconrdquo y enseguida contactar el servidor DNS de google para saber la direccioacuten IP de wwwgooglecom
Aunque cada investigacioacuten o resolucioacuten tarda soacutelo milisegundos la visualizacioacuten de una paacutegina web en un browser puede resultar bastante penalizada por este proceso Especialmente cuando es posible que varios elementos de la paacutegina esteacuten alojados en diversos servidores cuyas direcciones deban ser resueltas individualmente
Cache DNS
Objetivo
Aunque las direcciones Internet tengan nombres ldquolegiblesrdquo (wwwgooglecom) eacutestos deben ser traducidos a la direccioacuten IP (21312923218) del respectivo servidor Esa conversioacuten es efectuada realizando una buacutesqueda en el DNS (Domain Name System)
Una cache DNS guardia localmente los resultados de esa buacutesqueda para utilizacioacuten futura evitando la repeticioacuten de buacutesquedas y aumentando draacutesticamente la velocidad de respuesta
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La configuracioacuten generada durante la instalacioacuten es perfectamente funcional no requiere modificaciones Sin embargo vamos personalizar la instalacioacuten en 2 aspectos principales vamos a definir a cuaacuteles servidores consultaraacute el nuestro para pedir ayuda en la resolucioacuten de nombres si no es posible hacer esto localmente (forwarders) y vamos a fortalecer algunos aspectos de seguridad
Como forwarders podemos optar por varias hipoacutetesis una es utilizar los servidores DNS de nuestro proveedor de acceso a Internet
Otra posibilidad muy interesante es utilizar uno de los diversos servicios puacuteblicos de DNS disponibles en la actualidad como
OpenDNS (httpwwwopendnscom)
Google Public DNS (httpcodegooglecomspeedpublic-dns)
Estos servicios prometen suministrar no soacutelo resoluciones maacutes raacutepidas sino tambieacuten diversos servicios adicionales de seguridad como filtros de direcciones maliciosos y otros maacutes
En este caso utilizaremos los servidores OpenDNS (httpwwwopendnscom) Para tener otra opcioacuten tambieacuten se antildeadiraacute el del router ADSL
Por seguridad soacutelo seraacuten recibidas conexiones por la interfaz local o por la destinada a la red interna (listen-on 127001 1921681100 ) Asiacute mismo soacutelo seraacuten contestados los pedidos de resolucioacuten que partan del propio puesto o de la red interna (allow-query 127001 1921681024 ) Todos los otros pedidos seraacuten ignorados para evitar eventuales utilizaciones abusivas de nuestro servidor DNS por parte de terceros
La configuracioacuten estaacute guardada en el archivo etcbindnamedconfoptions
options directory varcachebind
If there is a firewall between you and nameservers you want to talk to you may need to fix the firewall to allow multiple ports to talk See httpwwwkbcertorgvulsid800113
If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all-0s placeholder
forwarders OpenDNS servers 20867222222 20867220220
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
Get1 httpftpptdebianorg squeezecontrib amd64 Packages [641 kB]Hit httpsecuritydebianorg squeezeupdatesmain amd64 PackagesGet2 httpftpptdebianorg squeezenon-free amd64 Packages [124 kB]Get3 httpsecuritydebianorg squeezeupdatescontrib amd64 Packages [20 B]Get4 httpsecuritydebianorg squeezeupdatesnon-free amd64 Packages [20 B]Hit httpftpptdebianorg squeeze-updatesmain amd64 PackagesGet5 httpftpptdebianorg squeeze-updatescontrib amd64 Packages [20 B]Get6 httpftpptdebianorg squeeze-updatesnon-free amd64 Packages [20 B]Fetched 188 kB in 0s (252 kBs)
Current status 566 new [+566]
Utilizando un proxy
En algunos casos es necesario acceder a la internet a traveacutes de un proxy En aptitude puede ser configurado para usar el proxy El aptitude puede ser configurado para usar el proxy Para esto existen dos meacutetodos posibles
Definir una variable de ambiente http_proxy o ftp_poxy que tenga como valor a la
URL del servidor proxy aptitude tendraacute en cuenta esta variable cuando se conecte a
Internet
rootserver~ export http_proxy=httpproxyexamplecom3128
Incluir las definiciones del proxy en la configuracioacuten de aptitude Para indicar el
proxy a utilizar deberaacute editar o crear el archivo etcaptaptconf
AcquirehttpProxy httpproxyexamplecom3128
El formato de la URL de un proxy es http[[user][pass]]xxxxxxxxxxxx[port] donde
userpassnombre del usuario y contrasentildea si el proxy requiere autenticacioacuten yo autorizacioacuten
xxxxxxxxxxxxdireccioacuten o nombre del servidor proxy
portpuerto de conexioacuten al servicio deproxy
Notificacioacuten de actualizaciones apticron
Objetivo
Para garantizar que un sistema pueda ser actualizado lo mejor es estar informado de las actualizaciones disponibles Apticron es un programa que se ejecuta diariamente de forma
automaacutetica verifica las actualizaciones disponibles para nuestro sistema y luego informa al administrador por e-mail
NOTAEl paquete apticron depende de la instalacioacuten de un agente de transporte de e-mail o MTA (Mail Transfer Agent) Por tanto es necesario instalar primero un Servidor SMTP antes de proceder a la instalacioacuten de apticron
Instalacioacutenrootserver~ aptitude install apticron
Resultado
Siempre que haya una actualizacioacuten disponible para nuestro sistema seraacute enviado un e-mail al administrador del sistema
Date Wed 16 Feb 2011 190548 +0000To roothomelanSubject 2 Debian package update(s) for serverhomelan From roothomelan (root)
apticron report [Wed 16 Feb 2011 190547 +0000]========================================================================
apticron has detected that some packages need upgrading on
serverhomelan [ 1921681100 ]
The following packages are currently pending an upgrade
login 14142+svn3283-2+squeeze1 passwd 14142+svn3283-2+squeeze1
========================================================================
Package Details
Reading changelogs--- Changes for shadow (login passwd) ---shadow (14142+svn3283-2+squeeze1) stable-security urgency=high
The Tomanoix release debianpatches300_CVE-2011-0721 Fix insufficient input sanitation leading to possible user or group creation in NIS environments
-- Nicolas FRANCOIS (Nekral) ltnicolasfrancoiscentraliensnetgt Sun 13 Feb 2011 220228 +0100
========================================================================
You can perform the upgrade by issuing the command
aptitude full-upgrade
as root on serverhomelan
--apticron
El administrador podraacute entonces actualizar sus sistema con el comando aptitude full-upgrade
Acceso RemotoEn principio no debe accederse fiacutesicamente a un servidor a no ser por razones excepcionales (como la actualizacioacuten o la reparacioacuten de hardware por ejemplo) La mejor manera de gestionar un servidor es remotamente Sin embargo este acceso deber ser hecho de una manera segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo ssh
La regla general indica que no se debe acceder fiacutesicamente a un servidor a no ser por razones excepcionales La mejor manera de gestionar un servidor es con un acceso remoto Pero el acceso remoto debe ser hecho de forma segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo SSH
Es la solucioacuten para garantizar conexiones remotas seguras ssh es un protocolo de comunicaciones que encripta los datos intercambiados haciendo virtualmente imposible la violacioacuten de la privacidad de la comunicacioacuten El acroacutenimo ssh viene del ingleacutes Secure SHell
El protocolo ssh es muy versaacutetil cuenta con un software cliente que posibilita el acceso a la liacutenea de comandos la transferencia de archivos y la creacioacuten de tuacuteneles seguros con soportes de comunicaciones para otros protocolos
Clientes SSH
Los clientes ssh se dividen en dos grupos
Terminal SSHEs un emulador de terminal que permite acceder de forma remota a la liacutenea de comandos utilizando el protocolo SSH
Cliente SFTPSe trata de un cliente para transferencia de archivos que utiliza el Protocolo de Transferencia Segura de Archivos Su sigla indica en ingleacutes (Secure File Transfer Protocol (SFTP))
Clientes Linuxopenssh-client
este software ofrece utilidades para acceso remoto (cliente ssh) copia de seguridad de archivos (scp) y transferencia segura de archivos (sftp) entre otras
FileZillaCliente SFTP
Clientes WindowsPuTTY
Terminal SSHWinSCP
Cliente SFTPFileZilla
Cliente SFTP
Servidor ssh
Instalacioacutenrootserver~ aptitude install openssh-server openssh-client
Configuracioacuten
Todas las configuraciones del servidor ssh se encuentran en el archivo etcsshsshd_config
Para configurar el servidor debe indicarse las direcciones donde el servicio debe responder En este caso seraacuten conexiones ligadas a la direccioacuten 1921681100 a traveacutes del puerto 22 y utilizando la versioacuten 2 del protocolo ssh
Package generated configuration file See the sshd_config(5) manpage for details
What ports IPs and protocols we listen forPort 22 Use these options to restrict which interfacesprotocols sshd will bind toListenAddress ListenAddress 0000ListenAddress 1921681100Protocol 2
[]
Por seguridad se debe desactivar el login como root en esta configuracioacuten para adquirir los privilegios del root se debe hacer un login usuario normal y despueacutes adquirir los privilegios de root De este modo prevenimos que el password del root sea objeto de un ataque
[]
AuthenticationLoginGraceTime 120PermitRootLogin no
StrictModes yes
[]
Tambieacuten se debe verificar que no sean permitidos los logins con contrasentildeas vaciacuteas
[]
To enable empty passwords change to yes (NOT RECOMMENDED)PermitEmptyPasswords no
[]
Reiniciar el servicio
rootserver~ etcinitdssh restart
Verificacioacuten
Clientes Linux
Debe ser posible establecer una conexioacuten ssh a la direccioacuten 1921681100
La primera vez que la conexioacuten se efectuacutee eacutesta debe ser confirmada porque el servidor no estaacute registrado en la lista de los sistemas conocidos por el cliente
fribeirolaptop~$ ssh 1921681100The authenticity of host 1921681100 (1921681100) cant be establishedRSA key fingerprint is ee16b0c91befb464e18680f4369f0803Are you sure you want to continue connecting (yesno) yesWarning Permanently added 1921681100 (RSA) to the list of known hostsfribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable law
fribeiroserver~$ logoutConnection to 1921681100 closedfribeirolaptop~$
Las conexiones con el login root no seraacuten aceptadas
fribeirolaptop~$ ssh -l root 1921681100root1921681100s passwordPermission denied please try againroot1921681100s passwordPermission denied please try again
root1921681100s passwordPermission denied (publickeypassword)
Clientes Windows
El acceso a partir de clientes Windows es posible con un programa emulador del terminal que soporte ssh como Putty
Obtener privilegios de root
Como el login como root estaacute desactivado la manera de obtener privilegios de root en una conexioacuten ssh es a traveacutes de un usuario comuacuten que escala privilegios con el comando su
fribeirolaptop~$ ssh 1921681100fribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable lawLast login Wed Oct 27 110121 2010 from laptophomelanfribeiroserver~$ su - rootPasswordrootserver~
Referencias
Debian Reference 69 The remote access server and utility (SSH)
(
httpwwwdebianorgdocmanualsreferencech06enhtml_the_remote_access_se
rver_and_utility_ssh)
OpenSSH (httpwwwopensshcom)
Reloj del sistemaEn un servidor es fundamental asegurarse de que el reloj del sistema funcione correctamente No soacutelo porque varios servicios dependan del reloj sino tambieacuten porque el reloj puede ser utilizado para sincronizar y poner en punto a los demaacutes equipos
Fecha hora y huso horario
Objetivo
Poner en punto el reloj y la fecha del sistema
Configuracioacuten
Fuso horario
Es imperativo configurar adecuadamente el huso horario correspondiente al servidor La informacioacuten sobre el huso horario se encuentra en el archivo etctimezoney puede ser consultada con el comando cat
rootserver~ cat etctimezoneEuropeLisbon
Para configurar el huso horario se utiliza el comando dpkg-reconfigure tzdata y se escoge la zona correcta en el menuacute interactivo
rootserver~ dpkg-reconfigure tzdata
Un diaacutelogo permite seleccionar la regioacuten geograacutefica
En seguida puede sentildealarse la regioacuten o el paiacutes donde el servidor se encuentra fiacutesicamente localizado
Luego el resultado queda registrado asiacute
Current default time zone EuropeLisbonLocal time is now Wed Oct 27 115426 WEST 2010Universal Time is now Wed Oct 27 105426 UTC 2010
Fecha yhora
El comando date muestra la fecha actual del sistema
rootserver~ dateWed Oct 27 120057 WEST 2010
El comando date tambieacuten permite poner en punto la hora del sistema manualmente Para esto se utiliza la sintaxis reducida ldquodate MMDDhhmmrdquo
rootserver~ date 10271201Wed Oct 27 120100 WEST 2010
Protocolo NTP
El protocolo NTP (Network Time Protocol) se utiliza para mantener en punto el reloj del sistema sincronizaacutendolo a partir de una red de servidores NTP a traveacutes de Internet
Objetivo
Utilizar la red de servidores NTP para poner en punto el reloj de sistema
Instalacioacutenrootserver~ aptitude install ntpdate ntp-doc
Utilizacioacuten
En primer lugar se debe verificar que el huso horario del sistema esteacute definido de forma correcta
Despueacutes se puede poner en punto el reloj del sistema teniendo como referencia uno de los servidores NTP
rootserver~ ntpdate -u poolntporg28 Oct 120917 ntpdate[2493] adjust time server 1941179136 offset -0030742 sec
Servidor NTP
Objetivo
El protocolo NTP se usa para mantener en punto el reloj del sistema Esto es posible gracias a su sincronizacioacuten con otros servidores NTP viacutea internet
Instalacioacutenrootserver~ aptitude install ntp ntp-doc
Configuracioacuten
Verificar la configuracioacuten del fuso horario y de la fecha y hora del sistema
Verificacioacuten
El comando ntpq -p permite verificar cuaacuteles son los servidores NTP a los que estamos conectados Los + e - indican respectivamente conexiones exitosas sincronizaciones en curso y servidores poco confiablesEsto puede demorar algunos minutos hasta que aparezca la lista y hasta 30 minutos para que ocurra la primera correccioacuten
rootserver~ ntpq -p remote refid st t when poll reach delay offset jitter==============================================================================+ns4lerfjhaxco 1986022240 2 u 20 64 1 157121 -20776 20808-ns1vibiteu 195131153 3 u 19 64 1 80428 25345 908168681878cus 1924324418 2 u 18 64 1 144241 -3047 3650+nagiosrack911 128138188172 2 u 17 64 1 159292 -4013 9109
El servidor NTP estaacute listo para ser utilizado
Utilizacioacuten
Para poner en punto la hora y fecha de un sistema cliente es suficiente con usar el comando ntpdate (ver Protocolo NTP) indicando la direccioacutenate del servidor
rootlaptop~ ntpdate -u 1921681100 4 Feb 223801 ntpdate[15071] adjust time server 1921681100 offset -0027193 sec
Servidor de Intranet
Una vez terminada la configuracioacuten de base del servidor es hora de expandir su funcionalidad para que pueda proveer un conjunto de servicios para la red interna
DNS
DNS es la sigla inglesa de Domain Name System (Sistema de Nombres de Dominios) Este sistema correlaciona el nombre de una paacutegina electroacutenica con una direccioacuten IP y viceversa Por ejemplo gracias al DNS sabemos que el servidor ldquowwwdebianorgrdquo tiene la direccioacuten IP ldquo21312923218rdquo y viceversa
El protocolo DNS
Sistema de Nombres de Dominios
Siempre que se utiliza un nombre para designar a un servidor como sucede con wwwdebianorg eacuteste debe traducirse en la forma de una direccioacuten IP uacutenica del mismo servidor Este proceso se conoce como resolucioacuten y es efectuado gracias al Domain Name System (DNS) (o en espantildeol Sistema de Nombres de Dominios)
Este sistema estaacute constituido por una red global de servidores organizados en un aacuterbol donde cada servidor contiene una tabla de asociaciones entre los nombres de los servidores y sus respectivas direcciones IP
Coacutemo funciona el DNS
Supongamos que se pretende contactar el servidor wwwgooglecom El sistema iniciaraacute una serie de contactos entre otros sistemas diversos para encontrar cuaacutel es la direccioacuten asociada a la direccioacuten pretendida
Una versioacuten muy simplificada seriacutea la siguiente posiblemente el sistema tendraacute que contactar a su servidor de DNS que a su vez contactaraacute los servidores DNS de tope para indagar acerca del dominio ldquogoogleconrdquo y enseguida contactar el servidor DNS de google para saber la direccioacuten IP de wwwgooglecom
Aunque cada investigacioacuten o resolucioacuten tarda soacutelo milisegundos la visualizacioacuten de una paacutegina web en un browser puede resultar bastante penalizada por este proceso Especialmente cuando es posible que varios elementos de la paacutegina esteacuten alojados en diversos servidores cuyas direcciones deban ser resueltas individualmente
Cache DNS
Objetivo
Aunque las direcciones Internet tengan nombres ldquolegiblesrdquo (wwwgooglecom) eacutestos deben ser traducidos a la direccioacuten IP (21312923218) del respectivo servidor Esa conversioacuten es efectuada realizando una buacutesqueda en el DNS (Domain Name System)
Una cache DNS guardia localmente los resultados de esa buacutesqueda para utilizacioacuten futura evitando la repeticioacuten de buacutesquedas y aumentando draacutesticamente la velocidad de respuesta
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La configuracioacuten generada durante la instalacioacuten es perfectamente funcional no requiere modificaciones Sin embargo vamos personalizar la instalacioacuten en 2 aspectos principales vamos a definir a cuaacuteles servidores consultaraacute el nuestro para pedir ayuda en la resolucioacuten de nombres si no es posible hacer esto localmente (forwarders) y vamos a fortalecer algunos aspectos de seguridad
Como forwarders podemos optar por varias hipoacutetesis una es utilizar los servidores DNS de nuestro proveedor de acceso a Internet
Otra posibilidad muy interesante es utilizar uno de los diversos servicios puacuteblicos de DNS disponibles en la actualidad como
OpenDNS (httpwwwopendnscom)
Google Public DNS (httpcodegooglecomspeedpublic-dns)
Estos servicios prometen suministrar no soacutelo resoluciones maacutes raacutepidas sino tambieacuten diversos servicios adicionales de seguridad como filtros de direcciones maliciosos y otros maacutes
En este caso utilizaremos los servidores OpenDNS (httpwwwopendnscom) Para tener otra opcioacuten tambieacuten se antildeadiraacute el del router ADSL
Por seguridad soacutelo seraacuten recibidas conexiones por la interfaz local o por la destinada a la red interna (listen-on 127001 1921681100 ) Asiacute mismo soacutelo seraacuten contestados los pedidos de resolucioacuten que partan del propio puesto o de la red interna (allow-query 127001 1921681024 ) Todos los otros pedidos seraacuten ignorados para evitar eventuales utilizaciones abusivas de nuestro servidor DNS por parte de terceros
La configuracioacuten estaacute guardada en el archivo etcbindnamedconfoptions
options directory varcachebind
If there is a firewall between you and nameservers you want to talk to you may need to fix the firewall to allow multiple ports to talk See httpwwwkbcertorgvulsid800113
If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all-0s placeholder
forwarders OpenDNS servers 20867222222 20867220220
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
automaacutetica verifica las actualizaciones disponibles para nuestro sistema y luego informa al administrador por e-mail
NOTAEl paquete apticron depende de la instalacioacuten de un agente de transporte de e-mail o MTA (Mail Transfer Agent) Por tanto es necesario instalar primero un Servidor SMTP antes de proceder a la instalacioacuten de apticron
Instalacioacutenrootserver~ aptitude install apticron
Resultado
Siempre que haya una actualizacioacuten disponible para nuestro sistema seraacute enviado un e-mail al administrador del sistema
Date Wed 16 Feb 2011 190548 +0000To roothomelanSubject 2 Debian package update(s) for serverhomelan From roothomelan (root)
apticron report [Wed 16 Feb 2011 190547 +0000]========================================================================
apticron has detected that some packages need upgrading on
serverhomelan [ 1921681100 ]
The following packages are currently pending an upgrade
login 14142+svn3283-2+squeeze1 passwd 14142+svn3283-2+squeeze1
========================================================================
Package Details
Reading changelogs--- Changes for shadow (login passwd) ---shadow (14142+svn3283-2+squeeze1) stable-security urgency=high
The Tomanoix release debianpatches300_CVE-2011-0721 Fix insufficient input sanitation leading to possible user or group creation in NIS environments
-- Nicolas FRANCOIS (Nekral) ltnicolasfrancoiscentraliensnetgt Sun 13 Feb 2011 220228 +0100
========================================================================
You can perform the upgrade by issuing the command
aptitude full-upgrade
as root on serverhomelan
--apticron
El administrador podraacute entonces actualizar sus sistema con el comando aptitude full-upgrade
Acceso RemotoEn principio no debe accederse fiacutesicamente a un servidor a no ser por razones excepcionales (como la actualizacioacuten o la reparacioacuten de hardware por ejemplo) La mejor manera de gestionar un servidor es remotamente Sin embargo este acceso deber ser hecho de una manera segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo ssh
La regla general indica que no se debe acceder fiacutesicamente a un servidor a no ser por razones excepcionales La mejor manera de gestionar un servidor es con un acceso remoto Pero el acceso remoto debe ser hecho de forma segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo SSH
Es la solucioacuten para garantizar conexiones remotas seguras ssh es un protocolo de comunicaciones que encripta los datos intercambiados haciendo virtualmente imposible la violacioacuten de la privacidad de la comunicacioacuten El acroacutenimo ssh viene del ingleacutes Secure SHell
El protocolo ssh es muy versaacutetil cuenta con un software cliente que posibilita el acceso a la liacutenea de comandos la transferencia de archivos y la creacioacuten de tuacuteneles seguros con soportes de comunicaciones para otros protocolos
Clientes SSH
Los clientes ssh se dividen en dos grupos
Terminal SSHEs un emulador de terminal que permite acceder de forma remota a la liacutenea de comandos utilizando el protocolo SSH
Cliente SFTPSe trata de un cliente para transferencia de archivos que utiliza el Protocolo de Transferencia Segura de Archivos Su sigla indica en ingleacutes (Secure File Transfer Protocol (SFTP))
Clientes Linuxopenssh-client
este software ofrece utilidades para acceso remoto (cliente ssh) copia de seguridad de archivos (scp) y transferencia segura de archivos (sftp) entre otras
FileZillaCliente SFTP
Clientes WindowsPuTTY
Terminal SSHWinSCP
Cliente SFTPFileZilla
Cliente SFTP
Servidor ssh
Instalacioacutenrootserver~ aptitude install openssh-server openssh-client
Configuracioacuten
Todas las configuraciones del servidor ssh se encuentran en el archivo etcsshsshd_config
Para configurar el servidor debe indicarse las direcciones donde el servicio debe responder En este caso seraacuten conexiones ligadas a la direccioacuten 1921681100 a traveacutes del puerto 22 y utilizando la versioacuten 2 del protocolo ssh
Package generated configuration file See the sshd_config(5) manpage for details
What ports IPs and protocols we listen forPort 22 Use these options to restrict which interfacesprotocols sshd will bind toListenAddress ListenAddress 0000ListenAddress 1921681100Protocol 2
[]
Por seguridad se debe desactivar el login como root en esta configuracioacuten para adquirir los privilegios del root se debe hacer un login usuario normal y despueacutes adquirir los privilegios de root De este modo prevenimos que el password del root sea objeto de un ataque
[]
AuthenticationLoginGraceTime 120PermitRootLogin no
StrictModes yes
[]
Tambieacuten se debe verificar que no sean permitidos los logins con contrasentildeas vaciacuteas
[]
To enable empty passwords change to yes (NOT RECOMMENDED)PermitEmptyPasswords no
[]
Reiniciar el servicio
rootserver~ etcinitdssh restart
Verificacioacuten
Clientes Linux
Debe ser posible establecer una conexioacuten ssh a la direccioacuten 1921681100
La primera vez que la conexioacuten se efectuacutee eacutesta debe ser confirmada porque el servidor no estaacute registrado en la lista de los sistemas conocidos por el cliente
fribeirolaptop~$ ssh 1921681100The authenticity of host 1921681100 (1921681100) cant be establishedRSA key fingerprint is ee16b0c91befb464e18680f4369f0803Are you sure you want to continue connecting (yesno) yesWarning Permanently added 1921681100 (RSA) to the list of known hostsfribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable law
fribeiroserver~$ logoutConnection to 1921681100 closedfribeirolaptop~$
Las conexiones con el login root no seraacuten aceptadas
fribeirolaptop~$ ssh -l root 1921681100root1921681100s passwordPermission denied please try againroot1921681100s passwordPermission denied please try again
root1921681100s passwordPermission denied (publickeypassword)
Clientes Windows
El acceso a partir de clientes Windows es posible con un programa emulador del terminal que soporte ssh como Putty
Obtener privilegios de root
Como el login como root estaacute desactivado la manera de obtener privilegios de root en una conexioacuten ssh es a traveacutes de un usuario comuacuten que escala privilegios con el comando su
fribeirolaptop~$ ssh 1921681100fribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable lawLast login Wed Oct 27 110121 2010 from laptophomelanfribeiroserver~$ su - rootPasswordrootserver~
Referencias
Debian Reference 69 The remote access server and utility (SSH)
(
httpwwwdebianorgdocmanualsreferencech06enhtml_the_remote_access_se
rver_and_utility_ssh)
OpenSSH (httpwwwopensshcom)
Reloj del sistemaEn un servidor es fundamental asegurarse de que el reloj del sistema funcione correctamente No soacutelo porque varios servicios dependan del reloj sino tambieacuten porque el reloj puede ser utilizado para sincronizar y poner en punto a los demaacutes equipos
Fecha hora y huso horario
Objetivo
Poner en punto el reloj y la fecha del sistema
Configuracioacuten
Fuso horario
Es imperativo configurar adecuadamente el huso horario correspondiente al servidor La informacioacuten sobre el huso horario se encuentra en el archivo etctimezoney puede ser consultada con el comando cat
rootserver~ cat etctimezoneEuropeLisbon
Para configurar el huso horario se utiliza el comando dpkg-reconfigure tzdata y se escoge la zona correcta en el menuacute interactivo
rootserver~ dpkg-reconfigure tzdata
Un diaacutelogo permite seleccionar la regioacuten geograacutefica
En seguida puede sentildealarse la regioacuten o el paiacutes donde el servidor se encuentra fiacutesicamente localizado
Luego el resultado queda registrado asiacute
Current default time zone EuropeLisbonLocal time is now Wed Oct 27 115426 WEST 2010Universal Time is now Wed Oct 27 105426 UTC 2010
Fecha yhora
El comando date muestra la fecha actual del sistema
rootserver~ dateWed Oct 27 120057 WEST 2010
El comando date tambieacuten permite poner en punto la hora del sistema manualmente Para esto se utiliza la sintaxis reducida ldquodate MMDDhhmmrdquo
rootserver~ date 10271201Wed Oct 27 120100 WEST 2010
Protocolo NTP
El protocolo NTP (Network Time Protocol) se utiliza para mantener en punto el reloj del sistema sincronizaacutendolo a partir de una red de servidores NTP a traveacutes de Internet
Objetivo
Utilizar la red de servidores NTP para poner en punto el reloj de sistema
Instalacioacutenrootserver~ aptitude install ntpdate ntp-doc
Utilizacioacuten
En primer lugar se debe verificar que el huso horario del sistema esteacute definido de forma correcta
Despueacutes se puede poner en punto el reloj del sistema teniendo como referencia uno de los servidores NTP
rootserver~ ntpdate -u poolntporg28 Oct 120917 ntpdate[2493] adjust time server 1941179136 offset -0030742 sec
Servidor NTP
Objetivo
El protocolo NTP se usa para mantener en punto el reloj del sistema Esto es posible gracias a su sincronizacioacuten con otros servidores NTP viacutea internet
Instalacioacutenrootserver~ aptitude install ntp ntp-doc
Configuracioacuten
Verificar la configuracioacuten del fuso horario y de la fecha y hora del sistema
Verificacioacuten
El comando ntpq -p permite verificar cuaacuteles son los servidores NTP a los que estamos conectados Los + e - indican respectivamente conexiones exitosas sincronizaciones en curso y servidores poco confiablesEsto puede demorar algunos minutos hasta que aparezca la lista y hasta 30 minutos para que ocurra la primera correccioacuten
rootserver~ ntpq -p remote refid st t when poll reach delay offset jitter==============================================================================+ns4lerfjhaxco 1986022240 2 u 20 64 1 157121 -20776 20808-ns1vibiteu 195131153 3 u 19 64 1 80428 25345 908168681878cus 1924324418 2 u 18 64 1 144241 -3047 3650+nagiosrack911 128138188172 2 u 17 64 1 159292 -4013 9109
El servidor NTP estaacute listo para ser utilizado
Utilizacioacuten
Para poner en punto la hora y fecha de un sistema cliente es suficiente con usar el comando ntpdate (ver Protocolo NTP) indicando la direccioacutenate del servidor
rootlaptop~ ntpdate -u 1921681100 4 Feb 223801 ntpdate[15071] adjust time server 1921681100 offset -0027193 sec
Servidor de Intranet
Una vez terminada la configuracioacuten de base del servidor es hora de expandir su funcionalidad para que pueda proveer un conjunto de servicios para la red interna
DNS
DNS es la sigla inglesa de Domain Name System (Sistema de Nombres de Dominios) Este sistema correlaciona el nombre de una paacutegina electroacutenica con una direccioacuten IP y viceversa Por ejemplo gracias al DNS sabemos que el servidor ldquowwwdebianorgrdquo tiene la direccioacuten IP ldquo21312923218rdquo y viceversa
El protocolo DNS
Sistema de Nombres de Dominios
Siempre que se utiliza un nombre para designar a un servidor como sucede con wwwdebianorg eacuteste debe traducirse en la forma de una direccioacuten IP uacutenica del mismo servidor Este proceso se conoce como resolucioacuten y es efectuado gracias al Domain Name System (DNS) (o en espantildeol Sistema de Nombres de Dominios)
Este sistema estaacute constituido por una red global de servidores organizados en un aacuterbol donde cada servidor contiene una tabla de asociaciones entre los nombres de los servidores y sus respectivas direcciones IP
Coacutemo funciona el DNS
Supongamos que se pretende contactar el servidor wwwgooglecom El sistema iniciaraacute una serie de contactos entre otros sistemas diversos para encontrar cuaacutel es la direccioacuten asociada a la direccioacuten pretendida
Una versioacuten muy simplificada seriacutea la siguiente posiblemente el sistema tendraacute que contactar a su servidor de DNS que a su vez contactaraacute los servidores DNS de tope para indagar acerca del dominio ldquogoogleconrdquo y enseguida contactar el servidor DNS de google para saber la direccioacuten IP de wwwgooglecom
Aunque cada investigacioacuten o resolucioacuten tarda soacutelo milisegundos la visualizacioacuten de una paacutegina web en un browser puede resultar bastante penalizada por este proceso Especialmente cuando es posible que varios elementos de la paacutegina esteacuten alojados en diversos servidores cuyas direcciones deban ser resueltas individualmente
Cache DNS
Objetivo
Aunque las direcciones Internet tengan nombres ldquolegiblesrdquo (wwwgooglecom) eacutestos deben ser traducidos a la direccioacuten IP (21312923218) del respectivo servidor Esa conversioacuten es efectuada realizando una buacutesqueda en el DNS (Domain Name System)
Una cache DNS guardia localmente los resultados de esa buacutesqueda para utilizacioacuten futura evitando la repeticioacuten de buacutesquedas y aumentando draacutesticamente la velocidad de respuesta
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La configuracioacuten generada durante la instalacioacuten es perfectamente funcional no requiere modificaciones Sin embargo vamos personalizar la instalacioacuten en 2 aspectos principales vamos a definir a cuaacuteles servidores consultaraacute el nuestro para pedir ayuda en la resolucioacuten de nombres si no es posible hacer esto localmente (forwarders) y vamos a fortalecer algunos aspectos de seguridad
Como forwarders podemos optar por varias hipoacutetesis una es utilizar los servidores DNS de nuestro proveedor de acceso a Internet
Otra posibilidad muy interesante es utilizar uno de los diversos servicios puacuteblicos de DNS disponibles en la actualidad como
OpenDNS (httpwwwopendnscom)
Google Public DNS (httpcodegooglecomspeedpublic-dns)
Estos servicios prometen suministrar no soacutelo resoluciones maacutes raacutepidas sino tambieacuten diversos servicios adicionales de seguridad como filtros de direcciones maliciosos y otros maacutes
En este caso utilizaremos los servidores OpenDNS (httpwwwopendnscom) Para tener otra opcioacuten tambieacuten se antildeadiraacute el del router ADSL
Por seguridad soacutelo seraacuten recibidas conexiones por la interfaz local o por la destinada a la red interna (listen-on 127001 1921681100 ) Asiacute mismo soacutelo seraacuten contestados los pedidos de resolucioacuten que partan del propio puesto o de la red interna (allow-query 127001 1921681024 ) Todos los otros pedidos seraacuten ignorados para evitar eventuales utilizaciones abusivas de nuestro servidor DNS por parte de terceros
La configuracioacuten estaacute guardada en el archivo etcbindnamedconfoptions
options directory varcachebind
If there is a firewall between you and nameservers you want to talk to you may need to fix the firewall to allow multiple ports to talk See httpwwwkbcertorgvulsid800113
If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all-0s placeholder
forwarders OpenDNS servers 20867222222 20867220220
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
aptitude full-upgrade
as root on serverhomelan
--apticron
El administrador podraacute entonces actualizar sus sistema con el comando aptitude full-upgrade
Acceso RemotoEn principio no debe accederse fiacutesicamente a un servidor a no ser por razones excepcionales (como la actualizacioacuten o la reparacioacuten de hardware por ejemplo) La mejor manera de gestionar un servidor es remotamente Sin embargo este acceso deber ser hecho de una manera segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo ssh
La regla general indica que no se debe acceder fiacutesicamente a un servidor a no ser por razones excepcionales La mejor manera de gestionar un servidor es con un acceso remoto Pero el acceso remoto debe ser hecho de forma segura para garantizar que la comunicacioacuten no sea interceptada por terceros
El protocolo SSH
Es la solucioacuten para garantizar conexiones remotas seguras ssh es un protocolo de comunicaciones que encripta los datos intercambiados haciendo virtualmente imposible la violacioacuten de la privacidad de la comunicacioacuten El acroacutenimo ssh viene del ingleacutes Secure SHell
El protocolo ssh es muy versaacutetil cuenta con un software cliente que posibilita el acceso a la liacutenea de comandos la transferencia de archivos y la creacioacuten de tuacuteneles seguros con soportes de comunicaciones para otros protocolos
Clientes SSH
Los clientes ssh se dividen en dos grupos
Terminal SSHEs un emulador de terminal que permite acceder de forma remota a la liacutenea de comandos utilizando el protocolo SSH
Cliente SFTPSe trata de un cliente para transferencia de archivos que utiliza el Protocolo de Transferencia Segura de Archivos Su sigla indica en ingleacutes (Secure File Transfer Protocol (SFTP))
Clientes Linuxopenssh-client
este software ofrece utilidades para acceso remoto (cliente ssh) copia de seguridad de archivos (scp) y transferencia segura de archivos (sftp) entre otras
FileZillaCliente SFTP
Clientes WindowsPuTTY
Terminal SSHWinSCP
Cliente SFTPFileZilla
Cliente SFTP
Servidor ssh
Instalacioacutenrootserver~ aptitude install openssh-server openssh-client
Configuracioacuten
Todas las configuraciones del servidor ssh se encuentran en el archivo etcsshsshd_config
Para configurar el servidor debe indicarse las direcciones donde el servicio debe responder En este caso seraacuten conexiones ligadas a la direccioacuten 1921681100 a traveacutes del puerto 22 y utilizando la versioacuten 2 del protocolo ssh
Package generated configuration file See the sshd_config(5) manpage for details
What ports IPs and protocols we listen forPort 22 Use these options to restrict which interfacesprotocols sshd will bind toListenAddress ListenAddress 0000ListenAddress 1921681100Protocol 2
[]
Por seguridad se debe desactivar el login como root en esta configuracioacuten para adquirir los privilegios del root se debe hacer un login usuario normal y despueacutes adquirir los privilegios de root De este modo prevenimos que el password del root sea objeto de un ataque
[]
AuthenticationLoginGraceTime 120PermitRootLogin no
StrictModes yes
[]
Tambieacuten se debe verificar que no sean permitidos los logins con contrasentildeas vaciacuteas
[]
To enable empty passwords change to yes (NOT RECOMMENDED)PermitEmptyPasswords no
[]
Reiniciar el servicio
rootserver~ etcinitdssh restart
Verificacioacuten
Clientes Linux
Debe ser posible establecer una conexioacuten ssh a la direccioacuten 1921681100
La primera vez que la conexioacuten se efectuacutee eacutesta debe ser confirmada porque el servidor no estaacute registrado en la lista de los sistemas conocidos por el cliente
fribeirolaptop~$ ssh 1921681100The authenticity of host 1921681100 (1921681100) cant be establishedRSA key fingerprint is ee16b0c91befb464e18680f4369f0803Are you sure you want to continue connecting (yesno) yesWarning Permanently added 1921681100 (RSA) to the list of known hostsfribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable law
fribeiroserver~$ logoutConnection to 1921681100 closedfribeirolaptop~$
Las conexiones con el login root no seraacuten aceptadas
fribeirolaptop~$ ssh -l root 1921681100root1921681100s passwordPermission denied please try againroot1921681100s passwordPermission denied please try again
root1921681100s passwordPermission denied (publickeypassword)
Clientes Windows
El acceso a partir de clientes Windows es posible con un programa emulador del terminal que soporte ssh como Putty
Obtener privilegios de root
Como el login como root estaacute desactivado la manera de obtener privilegios de root en una conexioacuten ssh es a traveacutes de un usuario comuacuten que escala privilegios con el comando su
fribeirolaptop~$ ssh 1921681100fribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable lawLast login Wed Oct 27 110121 2010 from laptophomelanfribeiroserver~$ su - rootPasswordrootserver~
Referencias
Debian Reference 69 The remote access server and utility (SSH)
(
httpwwwdebianorgdocmanualsreferencech06enhtml_the_remote_access_se
rver_and_utility_ssh)
OpenSSH (httpwwwopensshcom)
Reloj del sistemaEn un servidor es fundamental asegurarse de que el reloj del sistema funcione correctamente No soacutelo porque varios servicios dependan del reloj sino tambieacuten porque el reloj puede ser utilizado para sincronizar y poner en punto a los demaacutes equipos
Fecha hora y huso horario
Objetivo
Poner en punto el reloj y la fecha del sistema
Configuracioacuten
Fuso horario
Es imperativo configurar adecuadamente el huso horario correspondiente al servidor La informacioacuten sobre el huso horario se encuentra en el archivo etctimezoney puede ser consultada con el comando cat
rootserver~ cat etctimezoneEuropeLisbon
Para configurar el huso horario se utiliza el comando dpkg-reconfigure tzdata y se escoge la zona correcta en el menuacute interactivo
rootserver~ dpkg-reconfigure tzdata
Un diaacutelogo permite seleccionar la regioacuten geograacutefica
En seguida puede sentildealarse la regioacuten o el paiacutes donde el servidor se encuentra fiacutesicamente localizado
Luego el resultado queda registrado asiacute
Current default time zone EuropeLisbonLocal time is now Wed Oct 27 115426 WEST 2010Universal Time is now Wed Oct 27 105426 UTC 2010
Fecha yhora
El comando date muestra la fecha actual del sistema
rootserver~ dateWed Oct 27 120057 WEST 2010
El comando date tambieacuten permite poner en punto la hora del sistema manualmente Para esto se utiliza la sintaxis reducida ldquodate MMDDhhmmrdquo
rootserver~ date 10271201Wed Oct 27 120100 WEST 2010
Protocolo NTP
El protocolo NTP (Network Time Protocol) se utiliza para mantener en punto el reloj del sistema sincronizaacutendolo a partir de una red de servidores NTP a traveacutes de Internet
Objetivo
Utilizar la red de servidores NTP para poner en punto el reloj de sistema
Instalacioacutenrootserver~ aptitude install ntpdate ntp-doc
Utilizacioacuten
En primer lugar se debe verificar que el huso horario del sistema esteacute definido de forma correcta
Despueacutes se puede poner en punto el reloj del sistema teniendo como referencia uno de los servidores NTP
rootserver~ ntpdate -u poolntporg28 Oct 120917 ntpdate[2493] adjust time server 1941179136 offset -0030742 sec
Servidor NTP
Objetivo
El protocolo NTP se usa para mantener en punto el reloj del sistema Esto es posible gracias a su sincronizacioacuten con otros servidores NTP viacutea internet
Instalacioacutenrootserver~ aptitude install ntp ntp-doc
Configuracioacuten
Verificar la configuracioacuten del fuso horario y de la fecha y hora del sistema
Verificacioacuten
El comando ntpq -p permite verificar cuaacuteles son los servidores NTP a los que estamos conectados Los + e - indican respectivamente conexiones exitosas sincronizaciones en curso y servidores poco confiablesEsto puede demorar algunos minutos hasta que aparezca la lista y hasta 30 minutos para que ocurra la primera correccioacuten
rootserver~ ntpq -p remote refid st t when poll reach delay offset jitter==============================================================================+ns4lerfjhaxco 1986022240 2 u 20 64 1 157121 -20776 20808-ns1vibiteu 195131153 3 u 19 64 1 80428 25345 908168681878cus 1924324418 2 u 18 64 1 144241 -3047 3650+nagiosrack911 128138188172 2 u 17 64 1 159292 -4013 9109
El servidor NTP estaacute listo para ser utilizado
Utilizacioacuten
Para poner en punto la hora y fecha de un sistema cliente es suficiente con usar el comando ntpdate (ver Protocolo NTP) indicando la direccioacutenate del servidor
rootlaptop~ ntpdate -u 1921681100 4 Feb 223801 ntpdate[15071] adjust time server 1921681100 offset -0027193 sec
Servidor de Intranet
Una vez terminada la configuracioacuten de base del servidor es hora de expandir su funcionalidad para que pueda proveer un conjunto de servicios para la red interna
DNS
DNS es la sigla inglesa de Domain Name System (Sistema de Nombres de Dominios) Este sistema correlaciona el nombre de una paacutegina electroacutenica con una direccioacuten IP y viceversa Por ejemplo gracias al DNS sabemos que el servidor ldquowwwdebianorgrdquo tiene la direccioacuten IP ldquo21312923218rdquo y viceversa
El protocolo DNS
Sistema de Nombres de Dominios
Siempre que se utiliza un nombre para designar a un servidor como sucede con wwwdebianorg eacuteste debe traducirse en la forma de una direccioacuten IP uacutenica del mismo servidor Este proceso se conoce como resolucioacuten y es efectuado gracias al Domain Name System (DNS) (o en espantildeol Sistema de Nombres de Dominios)
Este sistema estaacute constituido por una red global de servidores organizados en un aacuterbol donde cada servidor contiene una tabla de asociaciones entre los nombres de los servidores y sus respectivas direcciones IP
Coacutemo funciona el DNS
Supongamos que se pretende contactar el servidor wwwgooglecom El sistema iniciaraacute una serie de contactos entre otros sistemas diversos para encontrar cuaacutel es la direccioacuten asociada a la direccioacuten pretendida
Una versioacuten muy simplificada seriacutea la siguiente posiblemente el sistema tendraacute que contactar a su servidor de DNS que a su vez contactaraacute los servidores DNS de tope para indagar acerca del dominio ldquogoogleconrdquo y enseguida contactar el servidor DNS de google para saber la direccioacuten IP de wwwgooglecom
Aunque cada investigacioacuten o resolucioacuten tarda soacutelo milisegundos la visualizacioacuten de una paacutegina web en un browser puede resultar bastante penalizada por este proceso Especialmente cuando es posible que varios elementos de la paacutegina esteacuten alojados en diversos servidores cuyas direcciones deban ser resueltas individualmente
Cache DNS
Objetivo
Aunque las direcciones Internet tengan nombres ldquolegiblesrdquo (wwwgooglecom) eacutestos deben ser traducidos a la direccioacuten IP (21312923218) del respectivo servidor Esa conversioacuten es efectuada realizando una buacutesqueda en el DNS (Domain Name System)
Una cache DNS guardia localmente los resultados de esa buacutesqueda para utilizacioacuten futura evitando la repeticioacuten de buacutesquedas y aumentando draacutesticamente la velocidad de respuesta
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La configuracioacuten generada durante la instalacioacuten es perfectamente funcional no requiere modificaciones Sin embargo vamos personalizar la instalacioacuten en 2 aspectos principales vamos a definir a cuaacuteles servidores consultaraacute el nuestro para pedir ayuda en la resolucioacuten de nombres si no es posible hacer esto localmente (forwarders) y vamos a fortalecer algunos aspectos de seguridad
Como forwarders podemos optar por varias hipoacutetesis una es utilizar los servidores DNS de nuestro proveedor de acceso a Internet
Otra posibilidad muy interesante es utilizar uno de los diversos servicios puacuteblicos de DNS disponibles en la actualidad como
OpenDNS (httpwwwopendnscom)
Google Public DNS (httpcodegooglecomspeedpublic-dns)
Estos servicios prometen suministrar no soacutelo resoluciones maacutes raacutepidas sino tambieacuten diversos servicios adicionales de seguridad como filtros de direcciones maliciosos y otros maacutes
En este caso utilizaremos los servidores OpenDNS (httpwwwopendnscom) Para tener otra opcioacuten tambieacuten se antildeadiraacute el del router ADSL
Por seguridad soacutelo seraacuten recibidas conexiones por la interfaz local o por la destinada a la red interna (listen-on 127001 1921681100 ) Asiacute mismo soacutelo seraacuten contestados los pedidos de resolucioacuten que partan del propio puesto o de la red interna (allow-query 127001 1921681024 ) Todos los otros pedidos seraacuten ignorados para evitar eventuales utilizaciones abusivas de nuestro servidor DNS por parte de terceros
La configuracioacuten estaacute guardada en el archivo etcbindnamedconfoptions
options directory varcachebind
If there is a firewall between you and nameservers you want to talk to you may need to fix the firewall to allow multiple ports to talk See httpwwwkbcertorgvulsid800113
If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all-0s placeholder
forwarders OpenDNS servers 20867222222 20867220220
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
Clientes Linuxopenssh-client
este software ofrece utilidades para acceso remoto (cliente ssh) copia de seguridad de archivos (scp) y transferencia segura de archivos (sftp) entre otras
FileZillaCliente SFTP
Clientes WindowsPuTTY
Terminal SSHWinSCP
Cliente SFTPFileZilla
Cliente SFTP
Servidor ssh
Instalacioacutenrootserver~ aptitude install openssh-server openssh-client
Configuracioacuten
Todas las configuraciones del servidor ssh se encuentran en el archivo etcsshsshd_config
Para configurar el servidor debe indicarse las direcciones donde el servicio debe responder En este caso seraacuten conexiones ligadas a la direccioacuten 1921681100 a traveacutes del puerto 22 y utilizando la versioacuten 2 del protocolo ssh
Package generated configuration file See the sshd_config(5) manpage for details
What ports IPs and protocols we listen forPort 22 Use these options to restrict which interfacesprotocols sshd will bind toListenAddress ListenAddress 0000ListenAddress 1921681100Protocol 2
[]
Por seguridad se debe desactivar el login como root en esta configuracioacuten para adquirir los privilegios del root se debe hacer un login usuario normal y despueacutes adquirir los privilegios de root De este modo prevenimos que el password del root sea objeto de un ataque
[]
AuthenticationLoginGraceTime 120PermitRootLogin no
StrictModes yes
[]
Tambieacuten se debe verificar que no sean permitidos los logins con contrasentildeas vaciacuteas
[]
To enable empty passwords change to yes (NOT RECOMMENDED)PermitEmptyPasswords no
[]
Reiniciar el servicio
rootserver~ etcinitdssh restart
Verificacioacuten
Clientes Linux
Debe ser posible establecer una conexioacuten ssh a la direccioacuten 1921681100
La primera vez que la conexioacuten se efectuacutee eacutesta debe ser confirmada porque el servidor no estaacute registrado en la lista de los sistemas conocidos por el cliente
fribeirolaptop~$ ssh 1921681100The authenticity of host 1921681100 (1921681100) cant be establishedRSA key fingerprint is ee16b0c91befb464e18680f4369f0803Are you sure you want to continue connecting (yesno) yesWarning Permanently added 1921681100 (RSA) to the list of known hostsfribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable law
fribeiroserver~$ logoutConnection to 1921681100 closedfribeirolaptop~$
Las conexiones con el login root no seraacuten aceptadas
fribeirolaptop~$ ssh -l root 1921681100root1921681100s passwordPermission denied please try againroot1921681100s passwordPermission denied please try again
root1921681100s passwordPermission denied (publickeypassword)
Clientes Windows
El acceso a partir de clientes Windows es posible con un programa emulador del terminal que soporte ssh como Putty
Obtener privilegios de root
Como el login como root estaacute desactivado la manera de obtener privilegios de root en una conexioacuten ssh es a traveacutes de un usuario comuacuten que escala privilegios con el comando su
fribeirolaptop~$ ssh 1921681100fribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable lawLast login Wed Oct 27 110121 2010 from laptophomelanfribeiroserver~$ su - rootPasswordrootserver~
Referencias
Debian Reference 69 The remote access server and utility (SSH)
(
httpwwwdebianorgdocmanualsreferencech06enhtml_the_remote_access_se
rver_and_utility_ssh)
OpenSSH (httpwwwopensshcom)
Reloj del sistemaEn un servidor es fundamental asegurarse de que el reloj del sistema funcione correctamente No soacutelo porque varios servicios dependan del reloj sino tambieacuten porque el reloj puede ser utilizado para sincronizar y poner en punto a los demaacutes equipos
Fecha hora y huso horario
Objetivo
Poner en punto el reloj y la fecha del sistema
Configuracioacuten
Fuso horario
Es imperativo configurar adecuadamente el huso horario correspondiente al servidor La informacioacuten sobre el huso horario se encuentra en el archivo etctimezoney puede ser consultada con el comando cat
rootserver~ cat etctimezoneEuropeLisbon
Para configurar el huso horario se utiliza el comando dpkg-reconfigure tzdata y se escoge la zona correcta en el menuacute interactivo
rootserver~ dpkg-reconfigure tzdata
Un diaacutelogo permite seleccionar la regioacuten geograacutefica
En seguida puede sentildealarse la regioacuten o el paiacutes donde el servidor se encuentra fiacutesicamente localizado
Luego el resultado queda registrado asiacute
Current default time zone EuropeLisbonLocal time is now Wed Oct 27 115426 WEST 2010Universal Time is now Wed Oct 27 105426 UTC 2010
Fecha yhora
El comando date muestra la fecha actual del sistema
rootserver~ dateWed Oct 27 120057 WEST 2010
El comando date tambieacuten permite poner en punto la hora del sistema manualmente Para esto se utiliza la sintaxis reducida ldquodate MMDDhhmmrdquo
rootserver~ date 10271201Wed Oct 27 120100 WEST 2010
Protocolo NTP
El protocolo NTP (Network Time Protocol) se utiliza para mantener en punto el reloj del sistema sincronizaacutendolo a partir de una red de servidores NTP a traveacutes de Internet
Objetivo
Utilizar la red de servidores NTP para poner en punto el reloj de sistema
Instalacioacutenrootserver~ aptitude install ntpdate ntp-doc
Utilizacioacuten
En primer lugar se debe verificar que el huso horario del sistema esteacute definido de forma correcta
Despueacutes se puede poner en punto el reloj del sistema teniendo como referencia uno de los servidores NTP
rootserver~ ntpdate -u poolntporg28 Oct 120917 ntpdate[2493] adjust time server 1941179136 offset -0030742 sec
Servidor NTP
Objetivo
El protocolo NTP se usa para mantener en punto el reloj del sistema Esto es posible gracias a su sincronizacioacuten con otros servidores NTP viacutea internet
Instalacioacutenrootserver~ aptitude install ntp ntp-doc
Configuracioacuten
Verificar la configuracioacuten del fuso horario y de la fecha y hora del sistema
Verificacioacuten
El comando ntpq -p permite verificar cuaacuteles son los servidores NTP a los que estamos conectados Los + e - indican respectivamente conexiones exitosas sincronizaciones en curso y servidores poco confiablesEsto puede demorar algunos minutos hasta que aparezca la lista y hasta 30 minutos para que ocurra la primera correccioacuten
rootserver~ ntpq -p remote refid st t when poll reach delay offset jitter==============================================================================+ns4lerfjhaxco 1986022240 2 u 20 64 1 157121 -20776 20808-ns1vibiteu 195131153 3 u 19 64 1 80428 25345 908168681878cus 1924324418 2 u 18 64 1 144241 -3047 3650+nagiosrack911 128138188172 2 u 17 64 1 159292 -4013 9109
El servidor NTP estaacute listo para ser utilizado
Utilizacioacuten
Para poner en punto la hora y fecha de un sistema cliente es suficiente con usar el comando ntpdate (ver Protocolo NTP) indicando la direccioacutenate del servidor
rootlaptop~ ntpdate -u 1921681100 4 Feb 223801 ntpdate[15071] adjust time server 1921681100 offset -0027193 sec
Servidor de Intranet
Una vez terminada la configuracioacuten de base del servidor es hora de expandir su funcionalidad para que pueda proveer un conjunto de servicios para la red interna
DNS
DNS es la sigla inglesa de Domain Name System (Sistema de Nombres de Dominios) Este sistema correlaciona el nombre de una paacutegina electroacutenica con una direccioacuten IP y viceversa Por ejemplo gracias al DNS sabemos que el servidor ldquowwwdebianorgrdquo tiene la direccioacuten IP ldquo21312923218rdquo y viceversa
El protocolo DNS
Sistema de Nombres de Dominios
Siempre que se utiliza un nombre para designar a un servidor como sucede con wwwdebianorg eacuteste debe traducirse en la forma de una direccioacuten IP uacutenica del mismo servidor Este proceso se conoce como resolucioacuten y es efectuado gracias al Domain Name System (DNS) (o en espantildeol Sistema de Nombres de Dominios)
Este sistema estaacute constituido por una red global de servidores organizados en un aacuterbol donde cada servidor contiene una tabla de asociaciones entre los nombres de los servidores y sus respectivas direcciones IP
Coacutemo funciona el DNS
Supongamos que se pretende contactar el servidor wwwgooglecom El sistema iniciaraacute una serie de contactos entre otros sistemas diversos para encontrar cuaacutel es la direccioacuten asociada a la direccioacuten pretendida
Una versioacuten muy simplificada seriacutea la siguiente posiblemente el sistema tendraacute que contactar a su servidor de DNS que a su vez contactaraacute los servidores DNS de tope para indagar acerca del dominio ldquogoogleconrdquo y enseguida contactar el servidor DNS de google para saber la direccioacuten IP de wwwgooglecom
Aunque cada investigacioacuten o resolucioacuten tarda soacutelo milisegundos la visualizacioacuten de una paacutegina web en un browser puede resultar bastante penalizada por este proceso Especialmente cuando es posible que varios elementos de la paacutegina esteacuten alojados en diversos servidores cuyas direcciones deban ser resueltas individualmente
Cache DNS
Objetivo
Aunque las direcciones Internet tengan nombres ldquolegiblesrdquo (wwwgooglecom) eacutestos deben ser traducidos a la direccioacuten IP (21312923218) del respectivo servidor Esa conversioacuten es efectuada realizando una buacutesqueda en el DNS (Domain Name System)
Una cache DNS guardia localmente los resultados de esa buacutesqueda para utilizacioacuten futura evitando la repeticioacuten de buacutesquedas y aumentando draacutesticamente la velocidad de respuesta
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La configuracioacuten generada durante la instalacioacuten es perfectamente funcional no requiere modificaciones Sin embargo vamos personalizar la instalacioacuten en 2 aspectos principales vamos a definir a cuaacuteles servidores consultaraacute el nuestro para pedir ayuda en la resolucioacuten de nombres si no es posible hacer esto localmente (forwarders) y vamos a fortalecer algunos aspectos de seguridad
Como forwarders podemos optar por varias hipoacutetesis una es utilizar los servidores DNS de nuestro proveedor de acceso a Internet
Otra posibilidad muy interesante es utilizar uno de los diversos servicios puacuteblicos de DNS disponibles en la actualidad como
OpenDNS (httpwwwopendnscom)
Google Public DNS (httpcodegooglecomspeedpublic-dns)
Estos servicios prometen suministrar no soacutelo resoluciones maacutes raacutepidas sino tambieacuten diversos servicios adicionales de seguridad como filtros de direcciones maliciosos y otros maacutes
En este caso utilizaremos los servidores OpenDNS (httpwwwopendnscom) Para tener otra opcioacuten tambieacuten se antildeadiraacute el del router ADSL
Por seguridad soacutelo seraacuten recibidas conexiones por la interfaz local o por la destinada a la red interna (listen-on 127001 1921681100 ) Asiacute mismo soacutelo seraacuten contestados los pedidos de resolucioacuten que partan del propio puesto o de la red interna (allow-query 127001 1921681024 ) Todos los otros pedidos seraacuten ignorados para evitar eventuales utilizaciones abusivas de nuestro servidor DNS por parte de terceros
La configuracioacuten estaacute guardada en el archivo etcbindnamedconfoptions
options directory varcachebind
If there is a firewall between you and nameservers you want to talk to you may need to fix the firewall to allow multiple ports to talk See httpwwwkbcertorgvulsid800113
If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all-0s placeholder
forwarders OpenDNS servers 20867222222 20867220220
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
StrictModes yes
[]
Tambieacuten se debe verificar que no sean permitidos los logins con contrasentildeas vaciacuteas
[]
To enable empty passwords change to yes (NOT RECOMMENDED)PermitEmptyPasswords no
[]
Reiniciar el servicio
rootserver~ etcinitdssh restart
Verificacioacuten
Clientes Linux
Debe ser posible establecer una conexioacuten ssh a la direccioacuten 1921681100
La primera vez que la conexioacuten se efectuacutee eacutesta debe ser confirmada porque el servidor no estaacute registrado en la lista de los sistemas conocidos por el cliente
fribeirolaptop~$ ssh 1921681100The authenticity of host 1921681100 (1921681100) cant be establishedRSA key fingerprint is ee16b0c91befb464e18680f4369f0803Are you sure you want to continue connecting (yesno) yesWarning Permanently added 1921681100 (RSA) to the list of known hostsfribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable law
fribeiroserver~$ logoutConnection to 1921681100 closedfribeirolaptop~$
Las conexiones con el login root no seraacuten aceptadas
fribeirolaptop~$ ssh -l root 1921681100root1921681100s passwordPermission denied please try againroot1921681100s passwordPermission denied please try again
root1921681100s passwordPermission denied (publickeypassword)
Clientes Windows
El acceso a partir de clientes Windows es posible con un programa emulador del terminal que soporte ssh como Putty
Obtener privilegios de root
Como el login como root estaacute desactivado la manera de obtener privilegios de root en una conexioacuten ssh es a traveacutes de un usuario comuacuten que escala privilegios con el comando su
fribeirolaptop~$ ssh 1921681100fribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable lawLast login Wed Oct 27 110121 2010 from laptophomelanfribeiroserver~$ su - rootPasswordrootserver~
Referencias
Debian Reference 69 The remote access server and utility (SSH)
(
httpwwwdebianorgdocmanualsreferencech06enhtml_the_remote_access_se
rver_and_utility_ssh)
OpenSSH (httpwwwopensshcom)
Reloj del sistemaEn un servidor es fundamental asegurarse de que el reloj del sistema funcione correctamente No soacutelo porque varios servicios dependan del reloj sino tambieacuten porque el reloj puede ser utilizado para sincronizar y poner en punto a los demaacutes equipos
Fecha hora y huso horario
Objetivo
Poner en punto el reloj y la fecha del sistema
Configuracioacuten
Fuso horario
Es imperativo configurar adecuadamente el huso horario correspondiente al servidor La informacioacuten sobre el huso horario se encuentra en el archivo etctimezoney puede ser consultada con el comando cat
rootserver~ cat etctimezoneEuropeLisbon
Para configurar el huso horario se utiliza el comando dpkg-reconfigure tzdata y se escoge la zona correcta en el menuacute interactivo
rootserver~ dpkg-reconfigure tzdata
Un diaacutelogo permite seleccionar la regioacuten geograacutefica
En seguida puede sentildealarse la regioacuten o el paiacutes donde el servidor se encuentra fiacutesicamente localizado
Luego el resultado queda registrado asiacute
Current default time zone EuropeLisbonLocal time is now Wed Oct 27 115426 WEST 2010Universal Time is now Wed Oct 27 105426 UTC 2010
Fecha yhora
El comando date muestra la fecha actual del sistema
rootserver~ dateWed Oct 27 120057 WEST 2010
El comando date tambieacuten permite poner en punto la hora del sistema manualmente Para esto se utiliza la sintaxis reducida ldquodate MMDDhhmmrdquo
rootserver~ date 10271201Wed Oct 27 120100 WEST 2010
Protocolo NTP
El protocolo NTP (Network Time Protocol) se utiliza para mantener en punto el reloj del sistema sincronizaacutendolo a partir de una red de servidores NTP a traveacutes de Internet
Objetivo
Utilizar la red de servidores NTP para poner en punto el reloj de sistema
Instalacioacutenrootserver~ aptitude install ntpdate ntp-doc
Utilizacioacuten
En primer lugar se debe verificar que el huso horario del sistema esteacute definido de forma correcta
Despueacutes se puede poner en punto el reloj del sistema teniendo como referencia uno de los servidores NTP
rootserver~ ntpdate -u poolntporg28 Oct 120917 ntpdate[2493] adjust time server 1941179136 offset -0030742 sec
Servidor NTP
Objetivo
El protocolo NTP se usa para mantener en punto el reloj del sistema Esto es posible gracias a su sincronizacioacuten con otros servidores NTP viacutea internet
Instalacioacutenrootserver~ aptitude install ntp ntp-doc
Configuracioacuten
Verificar la configuracioacuten del fuso horario y de la fecha y hora del sistema
Verificacioacuten
El comando ntpq -p permite verificar cuaacuteles son los servidores NTP a los que estamos conectados Los + e - indican respectivamente conexiones exitosas sincronizaciones en curso y servidores poco confiablesEsto puede demorar algunos minutos hasta que aparezca la lista y hasta 30 minutos para que ocurra la primera correccioacuten
rootserver~ ntpq -p remote refid st t when poll reach delay offset jitter==============================================================================+ns4lerfjhaxco 1986022240 2 u 20 64 1 157121 -20776 20808-ns1vibiteu 195131153 3 u 19 64 1 80428 25345 908168681878cus 1924324418 2 u 18 64 1 144241 -3047 3650+nagiosrack911 128138188172 2 u 17 64 1 159292 -4013 9109
El servidor NTP estaacute listo para ser utilizado
Utilizacioacuten
Para poner en punto la hora y fecha de un sistema cliente es suficiente con usar el comando ntpdate (ver Protocolo NTP) indicando la direccioacutenate del servidor
rootlaptop~ ntpdate -u 1921681100 4 Feb 223801 ntpdate[15071] adjust time server 1921681100 offset -0027193 sec
Servidor de Intranet
Una vez terminada la configuracioacuten de base del servidor es hora de expandir su funcionalidad para que pueda proveer un conjunto de servicios para la red interna
DNS
DNS es la sigla inglesa de Domain Name System (Sistema de Nombres de Dominios) Este sistema correlaciona el nombre de una paacutegina electroacutenica con una direccioacuten IP y viceversa Por ejemplo gracias al DNS sabemos que el servidor ldquowwwdebianorgrdquo tiene la direccioacuten IP ldquo21312923218rdquo y viceversa
El protocolo DNS
Sistema de Nombres de Dominios
Siempre que se utiliza un nombre para designar a un servidor como sucede con wwwdebianorg eacuteste debe traducirse en la forma de una direccioacuten IP uacutenica del mismo servidor Este proceso se conoce como resolucioacuten y es efectuado gracias al Domain Name System (DNS) (o en espantildeol Sistema de Nombres de Dominios)
Este sistema estaacute constituido por una red global de servidores organizados en un aacuterbol donde cada servidor contiene una tabla de asociaciones entre los nombres de los servidores y sus respectivas direcciones IP
Coacutemo funciona el DNS
Supongamos que se pretende contactar el servidor wwwgooglecom El sistema iniciaraacute una serie de contactos entre otros sistemas diversos para encontrar cuaacutel es la direccioacuten asociada a la direccioacuten pretendida
Una versioacuten muy simplificada seriacutea la siguiente posiblemente el sistema tendraacute que contactar a su servidor de DNS que a su vez contactaraacute los servidores DNS de tope para indagar acerca del dominio ldquogoogleconrdquo y enseguida contactar el servidor DNS de google para saber la direccioacuten IP de wwwgooglecom
Aunque cada investigacioacuten o resolucioacuten tarda soacutelo milisegundos la visualizacioacuten de una paacutegina web en un browser puede resultar bastante penalizada por este proceso Especialmente cuando es posible que varios elementos de la paacutegina esteacuten alojados en diversos servidores cuyas direcciones deban ser resueltas individualmente
Cache DNS
Objetivo
Aunque las direcciones Internet tengan nombres ldquolegiblesrdquo (wwwgooglecom) eacutestos deben ser traducidos a la direccioacuten IP (21312923218) del respectivo servidor Esa conversioacuten es efectuada realizando una buacutesqueda en el DNS (Domain Name System)
Una cache DNS guardia localmente los resultados de esa buacutesqueda para utilizacioacuten futura evitando la repeticioacuten de buacutesquedas y aumentando draacutesticamente la velocidad de respuesta
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La configuracioacuten generada durante la instalacioacuten es perfectamente funcional no requiere modificaciones Sin embargo vamos personalizar la instalacioacuten en 2 aspectos principales vamos a definir a cuaacuteles servidores consultaraacute el nuestro para pedir ayuda en la resolucioacuten de nombres si no es posible hacer esto localmente (forwarders) y vamos a fortalecer algunos aspectos de seguridad
Como forwarders podemos optar por varias hipoacutetesis una es utilizar los servidores DNS de nuestro proveedor de acceso a Internet
Otra posibilidad muy interesante es utilizar uno de los diversos servicios puacuteblicos de DNS disponibles en la actualidad como
OpenDNS (httpwwwopendnscom)
Google Public DNS (httpcodegooglecomspeedpublic-dns)
Estos servicios prometen suministrar no soacutelo resoluciones maacutes raacutepidas sino tambieacuten diversos servicios adicionales de seguridad como filtros de direcciones maliciosos y otros maacutes
En este caso utilizaremos los servidores OpenDNS (httpwwwopendnscom) Para tener otra opcioacuten tambieacuten se antildeadiraacute el del router ADSL
Por seguridad soacutelo seraacuten recibidas conexiones por la interfaz local o por la destinada a la red interna (listen-on 127001 1921681100 ) Asiacute mismo soacutelo seraacuten contestados los pedidos de resolucioacuten que partan del propio puesto o de la red interna (allow-query 127001 1921681024 ) Todos los otros pedidos seraacuten ignorados para evitar eventuales utilizaciones abusivas de nuestro servidor DNS por parte de terceros
La configuracioacuten estaacute guardada en el archivo etcbindnamedconfoptions
options directory varcachebind
If there is a firewall between you and nameservers you want to talk to you may need to fix the firewall to allow multiple ports to talk See httpwwwkbcertorgvulsid800113
If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all-0s placeholder
forwarders OpenDNS servers 20867222222 20867220220
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
root1921681100s passwordPermission denied (publickeypassword)
Clientes Windows
El acceso a partir de clientes Windows es posible con un programa emulador del terminal que soporte ssh como Putty
Obtener privilegios de root
Como el login como root estaacute desactivado la manera de obtener privilegios de root en una conexioacuten ssh es a traveacutes de un usuario comuacuten que escala privilegios con el comando su
fribeirolaptop~$ ssh 1921681100fribeiro1921681100s passwordLinux server 2632-5-amd64 1 SMP Fri Oct 15 005630 UTC 2010 x86_64
The programs included with the Debian GNULinux system are free softwarethe exact distribution terms for each program are described in theindividual files in usrsharedoccopyright
Debian GNULinux comes with ABSOLUTELY NO WARRANTY to the extentpermitted by applicable lawLast login Wed Oct 27 110121 2010 from laptophomelanfribeiroserver~$ su - rootPasswordrootserver~
Referencias
Debian Reference 69 The remote access server and utility (SSH)
(
httpwwwdebianorgdocmanualsreferencech06enhtml_the_remote_access_se
rver_and_utility_ssh)
OpenSSH (httpwwwopensshcom)
Reloj del sistemaEn un servidor es fundamental asegurarse de que el reloj del sistema funcione correctamente No soacutelo porque varios servicios dependan del reloj sino tambieacuten porque el reloj puede ser utilizado para sincronizar y poner en punto a los demaacutes equipos
Fecha hora y huso horario
Objetivo
Poner en punto el reloj y la fecha del sistema
Configuracioacuten
Fuso horario
Es imperativo configurar adecuadamente el huso horario correspondiente al servidor La informacioacuten sobre el huso horario se encuentra en el archivo etctimezoney puede ser consultada con el comando cat
rootserver~ cat etctimezoneEuropeLisbon
Para configurar el huso horario se utiliza el comando dpkg-reconfigure tzdata y se escoge la zona correcta en el menuacute interactivo
rootserver~ dpkg-reconfigure tzdata
Un diaacutelogo permite seleccionar la regioacuten geograacutefica
En seguida puede sentildealarse la regioacuten o el paiacutes donde el servidor se encuentra fiacutesicamente localizado
Luego el resultado queda registrado asiacute
Current default time zone EuropeLisbonLocal time is now Wed Oct 27 115426 WEST 2010Universal Time is now Wed Oct 27 105426 UTC 2010
Fecha yhora
El comando date muestra la fecha actual del sistema
rootserver~ dateWed Oct 27 120057 WEST 2010
El comando date tambieacuten permite poner en punto la hora del sistema manualmente Para esto se utiliza la sintaxis reducida ldquodate MMDDhhmmrdquo
rootserver~ date 10271201Wed Oct 27 120100 WEST 2010
Protocolo NTP
El protocolo NTP (Network Time Protocol) se utiliza para mantener en punto el reloj del sistema sincronizaacutendolo a partir de una red de servidores NTP a traveacutes de Internet
Objetivo
Utilizar la red de servidores NTP para poner en punto el reloj de sistema
Instalacioacutenrootserver~ aptitude install ntpdate ntp-doc
Utilizacioacuten
En primer lugar se debe verificar que el huso horario del sistema esteacute definido de forma correcta
Despueacutes se puede poner en punto el reloj del sistema teniendo como referencia uno de los servidores NTP
rootserver~ ntpdate -u poolntporg28 Oct 120917 ntpdate[2493] adjust time server 1941179136 offset -0030742 sec
Servidor NTP
Objetivo
El protocolo NTP se usa para mantener en punto el reloj del sistema Esto es posible gracias a su sincronizacioacuten con otros servidores NTP viacutea internet
Instalacioacutenrootserver~ aptitude install ntp ntp-doc
Configuracioacuten
Verificar la configuracioacuten del fuso horario y de la fecha y hora del sistema
Verificacioacuten
El comando ntpq -p permite verificar cuaacuteles son los servidores NTP a los que estamos conectados Los + e - indican respectivamente conexiones exitosas sincronizaciones en curso y servidores poco confiablesEsto puede demorar algunos minutos hasta que aparezca la lista y hasta 30 minutos para que ocurra la primera correccioacuten
rootserver~ ntpq -p remote refid st t when poll reach delay offset jitter==============================================================================+ns4lerfjhaxco 1986022240 2 u 20 64 1 157121 -20776 20808-ns1vibiteu 195131153 3 u 19 64 1 80428 25345 908168681878cus 1924324418 2 u 18 64 1 144241 -3047 3650+nagiosrack911 128138188172 2 u 17 64 1 159292 -4013 9109
El servidor NTP estaacute listo para ser utilizado
Utilizacioacuten
Para poner en punto la hora y fecha de un sistema cliente es suficiente con usar el comando ntpdate (ver Protocolo NTP) indicando la direccioacutenate del servidor
rootlaptop~ ntpdate -u 1921681100 4 Feb 223801 ntpdate[15071] adjust time server 1921681100 offset -0027193 sec
Servidor de Intranet
Una vez terminada la configuracioacuten de base del servidor es hora de expandir su funcionalidad para que pueda proveer un conjunto de servicios para la red interna
DNS
DNS es la sigla inglesa de Domain Name System (Sistema de Nombres de Dominios) Este sistema correlaciona el nombre de una paacutegina electroacutenica con una direccioacuten IP y viceversa Por ejemplo gracias al DNS sabemos que el servidor ldquowwwdebianorgrdquo tiene la direccioacuten IP ldquo21312923218rdquo y viceversa
El protocolo DNS
Sistema de Nombres de Dominios
Siempre que se utiliza un nombre para designar a un servidor como sucede con wwwdebianorg eacuteste debe traducirse en la forma de una direccioacuten IP uacutenica del mismo servidor Este proceso se conoce como resolucioacuten y es efectuado gracias al Domain Name System (DNS) (o en espantildeol Sistema de Nombres de Dominios)
Este sistema estaacute constituido por una red global de servidores organizados en un aacuterbol donde cada servidor contiene una tabla de asociaciones entre los nombres de los servidores y sus respectivas direcciones IP
Coacutemo funciona el DNS
Supongamos que se pretende contactar el servidor wwwgooglecom El sistema iniciaraacute una serie de contactos entre otros sistemas diversos para encontrar cuaacutel es la direccioacuten asociada a la direccioacuten pretendida
Una versioacuten muy simplificada seriacutea la siguiente posiblemente el sistema tendraacute que contactar a su servidor de DNS que a su vez contactaraacute los servidores DNS de tope para indagar acerca del dominio ldquogoogleconrdquo y enseguida contactar el servidor DNS de google para saber la direccioacuten IP de wwwgooglecom
Aunque cada investigacioacuten o resolucioacuten tarda soacutelo milisegundos la visualizacioacuten de una paacutegina web en un browser puede resultar bastante penalizada por este proceso Especialmente cuando es posible que varios elementos de la paacutegina esteacuten alojados en diversos servidores cuyas direcciones deban ser resueltas individualmente
Cache DNS
Objetivo
Aunque las direcciones Internet tengan nombres ldquolegiblesrdquo (wwwgooglecom) eacutestos deben ser traducidos a la direccioacuten IP (21312923218) del respectivo servidor Esa conversioacuten es efectuada realizando una buacutesqueda en el DNS (Domain Name System)
Una cache DNS guardia localmente los resultados de esa buacutesqueda para utilizacioacuten futura evitando la repeticioacuten de buacutesquedas y aumentando draacutesticamente la velocidad de respuesta
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La configuracioacuten generada durante la instalacioacuten es perfectamente funcional no requiere modificaciones Sin embargo vamos personalizar la instalacioacuten en 2 aspectos principales vamos a definir a cuaacuteles servidores consultaraacute el nuestro para pedir ayuda en la resolucioacuten de nombres si no es posible hacer esto localmente (forwarders) y vamos a fortalecer algunos aspectos de seguridad
Como forwarders podemos optar por varias hipoacutetesis una es utilizar los servidores DNS de nuestro proveedor de acceso a Internet
Otra posibilidad muy interesante es utilizar uno de los diversos servicios puacuteblicos de DNS disponibles en la actualidad como
OpenDNS (httpwwwopendnscom)
Google Public DNS (httpcodegooglecomspeedpublic-dns)
Estos servicios prometen suministrar no soacutelo resoluciones maacutes raacutepidas sino tambieacuten diversos servicios adicionales de seguridad como filtros de direcciones maliciosos y otros maacutes
En este caso utilizaremos los servidores OpenDNS (httpwwwopendnscom) Para tener otra opcioacuten tambieacuten se antildeadiraacute el del router ADSL
Por seguridad soacutelo seraacuten recibidas conexiones por la interfaz local o por la destinada a la red interna (listen-on 127001 1921681100 ) Asiacute mismo soacutelo seraacuten contestados los pedidos de resolucioacuten que partan del propio puesto o de la red interna (allow-query 127001 1921681024 ) Todos los otros pedidos seraacuten ignorados para evitar eventuales utilizaciones abusivas de nuestro servidor DNS por parte de terceros
La configuracioacuten estaacute guardada en el archivo etcbindnamedconfoptions
options directory varcachebind
If there is a firewall between you and nameservers you want to talk to you may need to fix the firewall to allow multiple ports to talk See httpwwwkbcertorgvulsid800113
If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all-0s placeholder
forwarders OpenDNS servers 20867222222 20867220220
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
Reloj del sistemaEn un servidor es fundamental asegurarse de que el reloj del sistema funcione correctamente No soacutelo porque varios servicios dependan del reloj sino tambieacuten porque el reloj puede ser utilizado para sincronizar y poner en punto a los demaacutes equipos
Fecha hora y huso horario
Objetivo
Poner en punto el reloj y la fecha del sistema
Configuracioacuten
Fuso horario
Es imperativo configurar adecuadamente el huso horario correspondiente al servidor La informacioacuten sobre el huso horario se encuentra en el archivo etctimezoney puede ser consultada con el comando cat
rootserver~ cat etctimezoneEuropeLisbon
Para configurar el huso horario se utiliza el comando dpkg-reconfigure tzdata y se escoge la zona correcta en el menuacute interactivo
rootserver~ dpkg-reconfigure tzdata
Un diaacutelogo permite seleccionar la regioacuten geograacutefica
En seguida puede sentildealarse la regioacuten o el paiacutes donde el servidor se encuentra fiacutesicamente localizado
Luego el resultado queda registrado asiacute
Current default time zone EuropeLisbonLocal time is now Wed Oct 27 115426 WEST 2010Universal Time is now Wed Oct 27 105426 UTC 2010
Fecha yhora
El comando date muestra la fecha actual del sistema
rootserver~ dateWed Oct 27 120057 WEST 2010
El comando date tambieacuten permite poner en punto la hora del sistema manualmente Para esto se utiliza la sintaxis reducida ldquodate MMDDhhmmrdquo
rootserver~ date 10271201Wed Oct 27 120100 WEST 2010
Protocolo NTP
El protocolo NTP (Network Time Protocol) se utiliza para mantener en punto el reloj del sistema sincronizaacutendolo a partir de una red de servidores NTP a traveacutes de Internet
Objetivo
Utilizar la red de servidores NTP para poner en punto el reloj de sistema
Instalacioacutenrootserver~ aptitude install ntpdate ntp-doc
Utilizacioacuten
En primer lugar se debe verificar que el huso horario del sistema esteacute definido de forma correcta
Despueacutes se puede poner en punto el reloj del sistema teniendo como referencia uno de los servidores NTP
rootserver~ ntpdate -u poolntporg28 Oct 120917 ntpdate[2493] adjust time server 1941179136 offset -0030742 sec
Servidor NTP
Objetivo
El protocolo NTP se usa para mantener en punto el reloj del sistema Esto es posible gracias a su sincronizacioacuten con otros servidores NTP viacutea internet
Instalacioacutenrootserver~ aptitude install ntp ntp-doc
Configuracioacuten
Verificar la configuracioacuten del fuso horario y de la fecha y hora del sistema
Verificacioacuten
El comando ntpq -p permite verificar cuaacuteles son los servidores NTP a los que estamos conectados Los + e - indican respectivamente conexiones exitosas sincronizaciones en curso y servidores poco confiablesEsto puede demorar algunos minutos hasta que aparezca la lista y hasta 30 minutos para que ocurra la primera correccioacuten
rootserver~ ntpq -p remote refid st t when poll reach delay offset jitter==============================================================================+ns4lerfjhaxco 1986022240 2 u 20 64 1 157121 -20776 20808-ns1vibiteu 195131153 3 u 19 64 1 80428 25345 908168681878cus 1924324418 2 u 18 64 1 144241 -3047 3650+nagiosrack911 128138188172 2 u 17 64 1 159292 -4013 9109
El servidor NTP estaacute listo para ser utilizado
Utilizacioacuten
Para poner en punto la hora y fecha de un sistema cliente es suficiente con usar el comando ntpdate (ver Protocolo NTP) indicando la direccioacutenate del servidor
rootlaptop~ ntpdate -u 1921681100 4 Feb 223801 ntpdate[15071] adjust time server 1921681100 offset -0027193 sec
Servidor de Intranet
Una vez terminada la configuracioacuten de base del servidor es hora de expandir su funcionalidad para que pueda proveer un conjunto de servicios para la red interna
DNS
DNS es la sigla inglesa de Domain Name System (Sistema de Nombres de Dominios) Este sistema correlaciona el nombre de una paacutegina electroacutenica con una direccioacuten IP y viceversa Por ejemplo gracias al DNS sabemos que el servidor ldquowwwdebianorgrdquo tiene la direccioacuten IP ldquo21312923218rdquo y viceversa
El protocolo DNS
Sistema de Nombres de Dominios
Siempre que se utiliza un nombre para designar a un servidor como sucede con wwwdebianorg eacuteste debe traducirse en la forma de una direccioacuten IP uacutenica del mismo servidor Este proceso se conoce como resolucioacuten y es efectuado gracias al Domain Name System (DNS) (o en espantildeol Sistema de Nombres de Dominios)
Este sistema estaacute constituido por una red global de servidores organizados en un aacuterbol donde cada servidor contiene una tabla de asociaciones entre los nombres de los servidores y sus respectivas direcciones IP
Coacutemo funciona el DNS
Supongamos que se pretende contactar el servidor wwwgooglecom El sistema iniciaraacute una serie de contactos entre otros sistemas diversos para encontrar cuaacutel es la direccioacuten asociada a la direccioacuten pretendida
Una versioacuten muy simplificada seriacutea la siguiente posiblemente el sistema tendraacute que contactar a su servidor de DNS que a su vez contactaraacute los servidores DNS de tope para indagar acerca del dominio ldquogoogleconrdquo y enseguida contactar el servidor DNS de google para saber la direccioacuten IP de wwwgooglecom
Aunque cada investigacioacuten o resolucioacuten tarda soacutelo milisegundos la visualizacioacuten de una paacutegina web en un browser puede resultar bastante penalizada por este proceso Especialmente cuando es posible que varios elementos de la paacutegina esteacuten alojados en diversos servidores cuyas direcciones deban ser resueltas individualmente
Cache DNS
Objetivo
Aunque las direcciones Internet tengan nombres ldquolegiblesrdquo (wwwgooglecom) eacutestos deben ser traducidos a la direccioacuten IP (21312923218) del respectivo servidor Esa conversioacuten es efectuada realizando una buacutesqueda en el DNS (Domain Name System)
Una cache DNS guardia localmente los resultados de esa buacutesqueda para utilizacioacuten futura evitando la repeticioacuten de buacutesquedas y aumentando draacutesticamente la velocidad de respuesta
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La configuracioacuten generada durante la instalacioacuten es perfectamente funcional no requiere modificaciones Sin embargo vamos personalizar la instalacioacuten en 2 aspectos principales vamos a definir a cuaacuteles servidores consultaraacute el nuestro para pedir ayuda en la resolucioacuten de nombres si no es posible hacer esto localmente (forwarders) y vamos a fortalecer algunos aspectos de seguridad
Como forwarders podemos optar por varias hipoacutetesis una es utilizar los servidores DNS de nuestro proveedor de acceso a Internet
Otra posibilidad muy interesante es utilizar uno de los diversos servicios puacuteblicos de DNS disponibles en la actualidad como
OpenDNS (httpwwwopendnscom)
Google Public DNS (httpcodegooglecomspeedpublic-dns)
Estos servicios prometen suministrar no soacutelo resoluciones maacutes raacutepidas sino tambieacuten diversos servicios adicionales de seguridad como filtros de direcciones maliciosos y otros maacutes
En este caso utilizaremos los servidores OpenDNS (httpwwwopendnscom) Para tener otra opcioacuten tambieacuten se antildeadiraacute el del router ADSL
Por seguridad soacutelo seraacuten recibidas conexiones por la interfaz local o por la destinada a la red interna (listen-on 127001 1921681100 ) Asiacute mismo soacutelo seraacuten contestados los pedidos de resolucioacuten que partan del propio puesto o de la red interna (allow-query 127001 1921681024 ) Todos los otros pedidos seraacuten ignorados para evitar eventuales utilizaciones abusivas de nuestro servidor DNS por parte de terceros
La configuracioacuten estaacute guardada en el archivo etcbindnamedconfoptions
options directory varcachebind
If there is a firewall between you and nameservers you want to talk to you may need to fix the firewall to allow multiple ports to talk See httpwwwkbcertorgvulsid800113
If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all-0s placeholder
forwarders OpenDNS servers 20867222222 20867220220
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
En seguida puede sentildealarse la regioacuten o el paiacutes donde el servidor se encuentra fiacutesicamente localizado
Luego el resultado queda registrado asiacute
Current default time zone EuropeLisbonLocal time is now Wed Oct 27 115426 WEST 2010Universal Time is now Wed Oct 27 105426 UTC 2010
Fecha yhora
El comando date muestra la fecha actual del sistema
rootserver~ dateWed Oct 27 120057 WEST 2010
El comando date tambieacuten permite poner en punto la hora del sistema manualmente Para esto se utiliza la sintaxis reducida ldquodate MMDDhhmmrdquo
rootserver~ date 10271201Wed Oct 27 120100 WEST 2010
Protocolo NTP
El protocolo NTP (Network Time Protocol) se utiliza para mantener en punto el reloj del sistema sincronizaacutendolo a partir de una red de servidores NTP a traveacutes de Internet
Objetivo
Utilizar la red de servidores NTP para poner en punto el reloj de sistema
Instalacioacutenrootserver~ aptitude install ntpdate ntp-doc
Utilizacioacuten
En primer lugar se debe verificar que el huso horario del sistema esteacute definido de forma correcta
Despueacutes se puede poner en punto el reloj del sistema teniendo como referencia uno de los servidores NTP
rootserver~ ntpdate -u poolntporg28 Oct 120917 ntpdate[2493] adjust time server 1941179136 offset -0030742 sec
Servidor NTP
Objetivo
El protocolo NTP se usa para mantener en punto el reloj del sistema Esto es posible gracias a su sincronizacioacuten con otros servidores NTP viacutea internet
Instalacioacutenrootserver~ aptitude install ntp ntp-doc
Configuracioacuten
Verificar la configuracioacuten del fuso horario y de la fecha y hora del sistema
Verificacioacuten
El comando ntpq -p permite verificar cuaacuteles son los servidores NTP a los que estamos conectados Los + e - indican respectivamente conexiones exitosas sincronizaciones en curso y servidores poco confiablesEsto puede demorar algunos minutos hasta que aparezca la lista y hasta 30 minutos para que ocurra la primera correccioacuten
rootserver~ ntpq -p remote refid st t when poll reach delay offset jitter==============================================================================+ns4lerfjhaxco 1986022240 2 u 20 64 1 157121 -20776 20808-ns1vibiteu 195131153 3 u 19 64 1 80428 25345 908168681878cus 1924324418 2 u 18 64 1 144241 -3047 3650+nagiosrack911 128138188172 2 u 17 64 1 159292 -4013 9109
El servidor NTP estaacute listo para ser utilizado
Utilizacioacuten
Para poner en punto la hora y fecha de un sistema cliente es suficiente con usar el comando ntpdate (ver Protocolo NTP) indicando la direccioacutenate del servidor
rootlaptop~ ntpdate -u 1921681100 4 Feb 223801 ntpdate[15071] adjust time server 1921681100 offset -0027193 sec
Servidor de Intranet
Una vez terminada la configuracioacuten de base del servidor es hora de expandir su funcionalidad para que pueda proveer un conjunto de servicios para la red interna
DNS
DNS es la sigla inglesa de Domain Name System (Sistema de Nombres de Dominios) Este sistema correlaciona el nombre de una paacutegina electroacutenica con una direccioacuten IP y viceversa Por ejemplo gracias al DNS sabemos que el servidor ldquowwwdebianorgrdquo tiene la direccioacuten IP ldquo21312923218rdquo y viceversa
El protocolo DNS
Sistema de Nombres de Dominios
Siempre que se utiliza un nombre para designar a un servidor como sucede con wwwdebianorg eacuteste debe traducirse en la forma de una direccioacuten IP uacutenica del mismo servidor Este proceso se conoce como resolucioacuten y es efectuado gracias al Domain Name System (DNS) (o en espantildeol Sistema de Nombres de Dominios)
Este sistema estaacute constituido por una red global de servidores organizados en un aacuterbol donde cada servidor contiene una tabla de asociaciones entre los nombres de los servidores y sus respectivas direcciones IP
Coacutemo funciona el DNS
Supongamos que se pretende contactar el servidor wwwgooglecom El sistema iniciaraacute una serie de contactos entre otros sistemas diversos para encontrar cuaacutel es la direccioacuten asociada a la direccioacuten pretendida
Una versioacuten muy simplificada seriacutea la siguiente posiblemente el sistema tendraacute que contactar a su servidor de DNS que a su vez contactaraacute los servidores DNS de tope para indagar acerca del dominio ldquogoogleconrdquo y enseguida contactar el servidor DNS de google para saber la direccioacuten IP de wwwgooglecom
Aunque cada investigacioacuten o resolucioacuten tarda soacutelo milisegundos la visualizacioacuten de una paacutegina web en un browser puede resultar bastante penalizada por este proceso Especialmente cuando es posible que varios elementos de la paacutegina esteacuten alojados en diversos servidores cuyas direcciones deban ser resueltas individualmente
Cache DNS
Objetivo
Aunque las direcciones Internet tengan nombres ldquolegiblesrdquo (wwwgooglecom) eacutestos deben ser traducidos a la direccioacuten IP (21312923218) del respectivo servidor Esa conversioacuten es efectuada realizando una buacutesqueda en el DNS (Domain Name System)
Una cache DNS guardia localmente los resultados de esa buacutesqueda para utilizacioacuten futura evitando la repeticioacuten de buacutesquedas y aumentando draacutesticamente la velocidad de respuesta
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La configuracioacuten generada durante la instalacioacuten es perfectamente funcional no requiere modificaciones Sin embargo vamos personalizar la instalacioacuten en 2 aspectos principales vamos a definir a cuaacuteles servidores consultaraacute el nuestro para pedir ayuda en la resolucioacuten de nombres si no es posible hacer esto localmente (forwarders) y vamos a fortalecer algunos aspectos de seguridad
Como forwarders podemos optar por varias hipoacutetesis una es utilizar los servidores DNS de nuestro proveedor de acceso a Internet
Otra posibilidad muy interesante es utilizar uno de los diversos servicios puacuteblicos de DNS disponibles en la actualidad como
OpenDNS (httpwwwopendnscom)
Google Public DNS (httpcodegooglecomspeedpublic-dns)
Estos servicios prometen suministrar no soacutelo resoluciones maacutes raacutepidas sino tambieacuten diversos servicios adicionales de seguridad como filtros de direcciones maliciosos y otros maacutes
En este caso utilizaremos los servidores OpenDNS (httpwwwopendnscom) Para tener otra opcioacuten tambieacuten se antildeadiraacute el del router ADSL
Por seguridad soacutelo seraacuten recibidas conexiones por la interfaz local o por la destinada a la red interna (listen-on 127001 1921681100 ) Asiacute mismo soacutelo seraacuten contestados los pedidos de resolucioacuten que partan del propio puesto o de la red interna (allow-query 127001 1921681024 ) Todos los otros pedidos seraacuten ignorados para evitar eventuales utilizaciones abusivas de nuestro servidor DNS por parte de terceros
La configuracioacuten estaacute guardada en el archivo etcbindnamedconfoptions
options directory varcachebind
If there is a firewall between you and nameservers you want to talk to you may need to fix the firewall to allow multiple ports to talk See httpwwwkbcertorgvulsid800113
If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all-0s placeholder
forwarders OpenDNS servers 20867222222 20867220220
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
rootserver~ dateWed Oct 27 120057 WEST 2010
El comando date tambieacuten permite poner en punto la hora del sistema manualmente Para esto se utiliza la sintaxis reducida ldquodate MMDDhhmmrdquo
rootserver~ date 10271201Wed Oct 27 120100 WEST 2010
Protocolo NTP
El protocolo NTP (Network Time Protocol) se utiliza para mantener en punto el reloj del sistema sincronizaacutendolo a partir de una red de servidores NTP a traveacutes de Internet
Objetivo
Utilizar la red de servidores NTP para poner en punto el reloj de sistema
Instalacioacutenrootserver~ aptitude install ntpdate ntp-doc
Utilizacioacuten
En primer lugar se debe verificar que el huso horario del sistema esteacute definido de forma correcta
Despueacutes se puede poner en punto el reloj del sistema teniendo como referencia uno de los servidores NTP
rootserver~ ntpdate -u poolntporg28 Oct 120917 ntpdate[2493] adjust time server 1941179136 offset -0030742 sec
Servidor NTP
Objetivo
El protocolo NTP se usa para mantener en punto el reloj del sistema Esto es posible gracias a su sincronizacioacuten con otros servidores NTP viacutea internet
Instalacioacutenrootserver~ aptitude install ntp ntp-doc
Configuracioacuten
Verificar la configuracioacuten del fuso horario y de la fecha y hora del sistema
Verificacioacuten
El comando ntpq -p permite verificar cuaacuteles son los servidores NTP a los que estamos conectados Los + e - indican respectivamente conexiones exitosas sincronizaciones en curso y servidores poco confiablesEsto puede demorar algunos minutos hasta que aparezca la lista y hasta 30 minutos para que ocurra la primera correccioacuten
rootserver~ ntpq -p remote refid st t when poll reach delay offset jitter==============================================================================+ns4lerfjhaxco 1986022240 2 u 20 64 1 157121 -20776 20808-ns1vibiteu 195131153 3 u 19 64 1 80428 25345 908168681878cus 1924324418 2 u 18 64 1 144241 -3047 3650+nagiosrack911 128138188172 2 u 17 64 1 159292 -4013 9109
El servidor NTP estaacute listo para ser utilizado
Utilizacioacuten
Para poner en punto la hora y fecha de un sistema cliente es suficiente con usar el comando ntpdate (ver Protocolo NTP) indicando la direccioacutenate del servidor
rootlaptop~ ntpdate -u 1921681100 4 Feb 223801 ntpdate[15071] adjust time server 1921681100 offset -0027193 sec
Servidor de Intranet
Una vez terminada la configuracioacuten de base del servidor es hora de expandir su funcionalidad para que pueda proveer un conjunto de servicios para la red interna
DNS
DNS es la sigla inglesa de Domain Name System (Sistema de Nombres de Dominios) Este sistema correlaciona el nombre de una paacutegina electroacutenica con una direccioacuten IP y viceversa Por ejemplo gracias al DNS sabemos que el servidor ldquowwwdebianorgrdquo tiene la direccioacuten IP ldquo21312923218rdquo y viceversa
El protocolo DNS
Sistema de Nombres de Dominios
Siempre que se utiliza un nombre para designar a un servidor como sucede con wwwdebianorg eacuteste debe traducirse en la forma de una direccioacuten IP uacutenica del mismo servidor Este proceso se conoce como resolucioacuten y es efectuado gracias al Domain Name System (DNS) (o en espantildeol Sistema de Nombres de Dominios)
Este sistema estaacute constituido por una red global de servidores organizados en un aacuterbol donde cada servidor contiene una tabla de asociaciones entre los nombres de los servidores y sus respectivas direcciones IP
Coacutemo funciona el DNS
Supongamos que se pretende contactar el servidor wwwgooglecom El sistema iniciaraacute una serie de contactos entre otros sistemas diversos para encontrar cuaacutel es la direccioacuten asociada a la direccioacuten pretendida
Una versioacuten muy simplificada seriacutea la siguiente posiblemente el sistema tendraacute que contactar a su servidor de DNS que a su vez contactaraacute los servidores DNS de tope para indagar acerca del dominio ldquogoogleconrdquo y enseguida contactar el servidor DNS de google para saber la direccioacuten IP de wwwgooglecom
Aunque cada investigacioacuten o resolucioacuten tarda soacutelo milisegundos la visualizacioacuten de una paacutegina web en un browser puede resultar bastante penalizada por este proceso Especialmente cuando es posible que varios elementos de la paacutegina esteacuten alojados en diversos servidores cuyas direcciones deban ser resueltas individualmente
Cache DNS
Objetivo
Aunque las direcciones Internet tengan nombres ldquolegiblesrdquo (wwwgooglecom) eacutestos deben ser traducidos a la direccioacuten IP (21312923218) del respectivo servidor Esa conversioacuten es efectuada realizando una buacutesqueda en el DNS (Domain Name System)
Una cache DNS guardia localmente los resultados de esa buacutesqueda para utilizacioacuten futura evitando la repeticioacuten de buacutesquedas y aumentando draacutesticamente la velocidad de respuesta
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La configuracioacuten generada durante la instalacioacuten es perfectamente funcional no requiere modificaciones Sin embargo vamos personalizar la instalacioacuten en 2 aspectos principales vamos a definir a cuaacuteles servidores consultaraacute el nuestro para pedir ayuda en la resolucioacuten de nombres si no es posible hacer esto localmente (forwarders) y vamos a fortalecer algunos aspectos de seguridad
Como forwarders podemos optar por varias hipoacutetesis una es utilizar los servidores DNS de nuestro proveedor de acceso a Internet
Otra posibilidad muy interesante es utilizar uno de los diversos servicios puacuteblicos de DNS disponibles en la actualidad como
OpenDNS (httpwwwopendnscom)
Google Public DNS (httpcodegooglecomspeedpublic-dns)
Estos servicios prometen suministrar no soacutelo resoluciones maacutes raacutepidas sino tambieacuten diversos servicios adicionales de seguridad como filtros de direcciones maliciosos y otros maacutes
En este caso utilizaremos los servidores OpenDNS (httpwwwopendnscom) Para tener otra opcioacuten tambieacuten se antildeadiraacute el del router ADSL
Por seguridad soacutelo seraacuten recibidas conexiones por la interfaz local o por la destinada a la red interna (listen-on 127001 1921681100 ) Asiacute mismo soacutelo seraacuten contestados los pedidos de resolucioacuten que partan del propio puesto o de la red interna (allow-query 127001 1921681024 ) Todos los otros pedidos seraacuten ignorados para evitar eventuales utilizaciones abusivas de nuestro servidor DNS por parte de terceros
La configuracioacuten estaacute guardada en el archivo etcbindnamedconfoptions
options directory varcachebind
If there is a firewall between you and nameservers you want to talk to you may need to fix the firewall to allow multiple ports to talk See httpwwwkbcertorgvulsid800113
If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all-0s placeholder
forwarders OpenDNS servers 20867222222 20867220220
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
Configuracioacuten
Verificar la configuracioacuten del fuso horario y de la fecha y hora del sistema
Verificacioacuten
El comando ntpq -p permite verificar cuaacuteles son los servidores NTP a los que estamos conectados Los + e - indican respectivamente conexiones exitosas sincronizaciones en curso y servidores poco confiablesEsto puede demorar algunos minutos hasta que aparezca la lista y hasta 30 minutos para que ocurra la primera correccioacuten
rootserver~ ntpq -p remote refid st t when poll reach delay offset jitter==============================================================================+ns4lerfjhaxco 1986022240 2 u 20 64 1 157121 -20776 20808-ns1vibiteu 195131153 3 u 19 64 1 80428 25345 908168681878cus 1924324418 2 u 18 64 1 144241 -3047 3650+nagiosrack911 128138188172 2 u 17 64 1 159292 -4013 9109
El servidor NTP estaacute listo para ser utilizado
Utilizacioacuten
Para poner en punto la hora y fecha de un sistema cliente es suficiente con usar el comando ntpdate (ver Protocolo NTP) indicando la direccioacutenate del servidor
rootlaptop~ ntpdate -u 1921681100 4 Feb 223801 ntpdate[15071] adjust time server 1921681100 offset -0027193 sec
Servidor de Intranet
Una vez terminada la configuracioacuten de base del servidor es hora de expandir su funcionalidad para que pueda proveer un conjunto de servicios para la red interna
DNS
DNS es la sigla inglesa de Domain Name System (Sistema de Nombres de Dominios) Este sistema correlaciona el nombre de una paacutegina electroacutenica con una direccioacuten IP y viceversa Por ejemplo gracias al DNS sabemos que el servidor ldquowwwdebianorgrdquo tiene la direccioacuten IP ldquo21312923218rdquo y viceversa
El protocolo DNS
Sistema de Nombres de Dominios
Siempre que se utiliza un nombre para designar a un servidor como sucede con wwwdebianorg eacuteste debe traducirse en la forma de una direccioacuten IP uacutenica del mismo servidor Este proceso se conoce como resolucioacuten y es efectuado gracias al Domain Name System (DNS) (o en espantildeol Sistema de Nombres de Dominios)
Este sistema estaacute constituido por una red global de servidores organizados en un aacuterbol donde cada servidor contiene una tabla de asociaciones entre los nombres de los servidores y sus respectivas direcciones IP
Coacutemo funciona el DNS
Supongamos que se pretende contactar el servidor wwwgooglecom El sistema iniciaraacute una serie de contactos entre otros sistemas diversos para encontrar cuaacutel es la direccioacuten asociada a la direccioacuten pretendida
Una versioacuten muy simplificada seriacutea la siguiente posiblemente el sistema tendraacute que contactar a su servidor de DNS que a su vez contactaraacute los servidores DNS de tope para indagar acerca del dominio ldquogoogleconrdquo y enseguida contactar el servidor DNS de google para saber la direccioacuten IP de wwwgooglecom
Aunque cada investigacioacuten o resolucioacuten tarda soacutelo milisegundos la visualizacioacuten de una paacutegina web en un browser puede resultar bastante penalizada por este proceso Especialmente cuando es posible que varios elementos de la paacutegina esteacuten alojados en diversos servidores cuyas direcciones deban ser resueltas individualmente
Cache DNS
Objetivo
Aunque las direcciones Internet tengan nombres ldquolegiblesrdquo (wwwgooglecom) eacutestos deben ser traducidos a la direccioacuten IP (21312923218) del respectivo servidor Esa conversioacuten es efectuada realizando una buacutesqueda en el DNS (Domain Name System)
Una cache DNS guardia localmente los resultados de esa buacutesqueda para utilizacioacuten futura evitando la repeticioacuten de buacutesquedas y aumentando draacutesticamente la velocidad de respuesta
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La configuracioacuten generada durante la instalacioacuten es perfectamente funcional no requiere modificaciones Sin embargo vamos personalizar la instalacioacuten en 2 aspectos principales vamos a definir a cuaacuteles servidores consultaraacute el nuestro para pedir ayuda en la resolucioacuten de nombres si no es posible hacer esto localmente (forwarders) y vamos a fortalecer algunos aspectos de seguridad
Como forwarders podemos optar por varias hipoacutetesis una es utilizar los servidores DNS de nuestro proveedor de acceso a Internet
Otra posibilidad muy interesante es utilizar uno de los diversos servicios puacuteblicos de DNS disponibles en la actualidad como
OpenDNS (httpwwwopendnscom)
Google Public DNS (httpcodegooglecomspeedpublic-dns)
Estos servicios prometen suministrar no soacutelo resoluciones maacutes raacutepidas sino tambieacuten diversos servicios adicionales de seguridad como filtros de direcciones maliciosos y otros maacutes
En este caso utilizaremos los servidores OpenDNS (httpwwwopendnscom) Para tener otra opcioacuten tambieacuten se antildeadiraacute el del router ADSL
Por seguridad soacutelo seraacuten recibidas conexiones por la interfaz local o por la destinada a la red interna (listen-on 127001 1921681100 ) Asiacute mismo soacutelo seraacuten contestados los pedidos de resolucioacuten que partan del propio puesto o de la red interna (allow-query 127001 1921681024 ) Todos los otros pedidos seraacuten ignorados para evitar eventuales utilizaciones abusivas de nuestro servidor DNS por parte de terceros
La configuracioacuten estaacute guardada en el archivo etcbindnamedconfoptions
options directory varcachebind
If there is a firewall between you and nameservers you want to talk to you may need to fix the firewall to allow multiple ports to talk See httpwwwkbcertorgvulsid800113
If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all-0s placeholder
forwarders OpenDNS servers 20867222222 20867220220
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
DNS es la sigla inglesa de Domain Name System (Sistema de Nombres de Dominios) Este sistema correlaciona el nombre de una paacutegina electroacutenica con una direccioacuten IP y viceversa Por ejemplo gracias al DNS sabemos que el servidor ldquowwwdebianorgrdquo tiene la direccioacuten IP ldquo21312923218rdquo y viceversa
El protocolo DNS
Sistema de Nombres de Dominios
Siempre que se utiliza un nombre para designar a un servidor como sucede con wwwdebianorg eacuteste debe traducirse en la forma de una direccioacuten IP uacutenica del mismo servidor Este proceso se conoce como resolucioacuten y es efectuado gracias al Domain Name System (DNS) (o en espantildeol Sistema de Nombres de Dominios)
Este sistema estaacute constituido por una red global de servidores organizados en un aacuterbol donde cada servidor contiene una tabla de asociaciones entre los nombres de los servidores y sus respectivas direcciones IP
Coacutemo funciona el DNS
Supongamos que se pretende contactar el servidor wwwgooglecom El sistema iniciaraacute una serie de contactos entre otros sistemas diversos para encontrar cuaacutel es la direccioacuten asociada a la direccioacuten pretendida
Una versioacuten muy simplificada seriacutea la siguiente posiblemente el sistema tendraacute que contactar a su servidor de DNS que a su vez contactaraacute los servidores DNS de tope para indagar acerca del dominio ldquogoogleconrdquo y enseguida contactar el servidor DNS de google para saber la direccioacuten IP de wwwgooglecom
Aunque cada investigacioacuten o resolucioacuten tarda soacutelo milisegundos la visualizacioacuten de una paacutegina web en un browser puede resultar bastante penalizada por este proceso Especialmente cuando es posible que varios elementos de la paacutegina esteacuten alojados en diversos servidores cuyas direcciones deban ser resueltas individualmente
Cache DNS
Objetivo
Aunque las direcciones Internet tengan nombres ldquolegiblesrdquo (wwwgooglecom) eacutestos deben ser traducidos a la direccioacuten IP (21312923218) del respectivo servidor Esa conversioacuten es efectuada realizando una buacutesqueda en el DNS (Domain Name System)
Una cache DNS guardia localmente los resultados de esa buacutesqueda para utilizacioacuten futura evitando la repeticioacuten de buacutesquedas y aumentando draacutesticamente la velocidad de respuesta
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La configuracioacuten generada durante la instalacioacuten es perfectamente funcional no requiere modificaciones Sin embargo vamos personalizar la instalacioacuten en 2 aspectos principales vamos a definir a cuaacuteles servidores consultaraacute el nuestro para pedir ayuda en la resolucioacuten de nombres si no es posible hacer esto localmente (forwarders) y vamos a fortalecer algunos aspectos de seguridad
Como forwarders podemos optar por varias hipoacutetesis una es utilizar los servidores DNS de nuestro proveedor de acceso a Internet
Otra posibilidad muy interesante es utilizar uno de los diversos servicios puacuteblicos de DNS disponibles en la actualidad como
OpenDNS (httpwwwopendnscom)
Google Public DNS (httpcodegooglecomspeedpublic-dns)
Estos servicios prometen suministrar no soacutelo resoluciones maacutes raacutepidas sino tambieacuten diversos servicios adicionales de seguridad como filtros de direcciones maliciosos y otros maacutes
En este caso utilizaremos los servidores OpenDNS (httpwwwopendnscom) Para tener otra opcioacuten tambieacuten se antildeadiraacute el del router ADSL
Por seguridad soacutelo seraacuten recibidas conexiones por la interfaz local o por la destinada a la red interna (listen-on 127001 1921681100 ) Asiacute mismo soacutelo seraacuten contestados los pedidos de resolucioacuten que partan del propio puesto o de la red interna (allow-query 127001 1921681024 ) Todos los otros pedidos seraacuten ignorados para evitar eventuales utilizaciones abusivas de nuestro servidor DNS por parte de terceros
La configuracioacuten estaacute guardada en el archivo etcbindnamedconfoptions
options directory varcachebind
If there is a firewall between you and nameservers you want to talk to you may need to fix the firewall to allow multiple ports to talk See httpwwwkbcertorgvulsid800113
If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all-0s placeholder
forwarders OpenDNS servers 20867222222 20867220220
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La configuracioacuten generada durante la instalacioacuten es perfectamente funcional no requiere modificaciones Sin embargo vamos personalizar la instalacioacuten en 2 aspectos principales vamos a definir a cuaacuteles servidores consultaraacute el nuestro para pedir ayuda en la resolucioacuten de nombres si no es posible hacer esto localmente (forwarders) y vamos a fortalecer algunos aspectos de seguridad
Como forwarders podemos optar por varias hipoacutetesis una es utilizar los servidores DNS de nuestro proveedor de acceso a Internet
Otra posibilidad muy interesante es utilizar uno de los diversos servicios puacuteblicos de DNS disponibles en la actualidad como
OpenDNS (httpwwwopendnscom)
Google Public DNS (httpcodegooglecomspeedpublic-dns)
Estos servicios prometen suministrar no soacutelo resoluciones maacutes raacutepidas sino tambieacuten diversos servicios adicionales de seguridad como filtros de direcciones maliciosos y otros maacutes
En este caso utilizaremos los servidores OpenDNS (httpwwwopendnscom) Para tener otra opcioacuten tambieacuten se antildeadiraacute el del router ADSL
Por seguridad soacutelo seraacuten recibidas conexiones por la interfaz local o por la destinada a la red interna (listen-on 127001 1921681100 ) Asiacute mismo soacutelo seraacuten contestados los pedidos de resolucioacuten que partan del propio puesto o de la red interna (allow-query 127001 1921681024 ) Todos los otros pedidos seraacuten ignorados para evitar eventuales utilizaciones abusivas de nuestro servidor DNS por parte de terceros
La configuracioacuten estaacute guardada en el archivo etcbindnamedconfoptions
options directory varcachebind
If there is a firewall between you and nameservers you want to talk to you may need to fix the firewall to allow multiple ports to talk See httpwwwkbcertorgvulsid800113
If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the addresses replacing the all-0s placeholder
forwarders OpenDNS servers 20867222222 20867220220
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
ADSL router 19216811
Security options listen-on port 53 127001 1921681100 allow-query 127001 1921681024 allow-recursion 127001 1921681024 allow-transfer none
auth-nxdomain no conform to RFC1035 listen-on-v6 any
Verificar si el archivo de configuracioacuten fue correctamente editado
rootserver~ named-checkconf
Actualizar el archivo etcresolvconf para que la resolucioacuten de nombres se haga localmente
nameserver 127001
Verificar tambieacuten que en el archivo etcnsswitchconf la resolucioacuten de nombres pase tambieacuten por el servicio DNS
[]hosts files dns []
Reiniciar el servicio DNS
rootserver~ etcinitdbind9 restart
Verificacioacuten
Para verificar la configuracioacuten debe buscar la direccioacuten IP de cualquier sitio en internet El servidor DNS deberaacute mostrar nuestra direccioacuten (127001) y las direcciones IP del sitio buscado se mostraraacuten de forma correcta
rootserver~ nslookup wwwdebianorggedit Server 127001Address 12700153
Non-authoritative answerName wwwdebianorgAddress 20612197Name wwwdebianorgAddress 12831051
El proceso inverso es decir buscar un nombre a partir de una direccioacuten IP tambieacuten debe funcionar
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
rootserver~ nslookup 20612197Server 127001Address 12700153
Non-authoritative answer71912206in-addrarpa name = bellinidebianorg
Authoritative answers can be found from nameserver = croot-serversnet nameserver = droot-serversnet nameserver = hroot-serversnet nameserver = aroot-serversnet nameserver = mroot-serversnet nameserver = groot-serversnet nameserver = froot-serversnet nameserver = kroot-serversnet nameserver = iroot-serversnet nameserver = broot-serversnet nameserver = lroot-serversnet nameserver = eroot-serversnet nameserver = jroot-serversnetaroot-serversnet internet address = 1984104broot-serversnet internet address = 19222879201croot-serversnet internet address = 19233412droot-serversnet internet address = 12881090eroot-serversnet internet address = 19220323010froot-serversnet internet address = 19255241groot-serversnet internet address = 192112364hroot-serversnet internet address = 12863253iroot-serversnet internet address = 1923614817jroot-serversnet internet address = 1925812830kroot-serversnet internet address = 193014129lroot-serversnet internet address = 19978342mroot-serversnet internet address = 202122733
Configuracioacuten de los clientes
Windows
Para los sistemas Windows debe indicar las propiedades del protocolo de Internet (TCP(IP)) de conexioacuten de red y debe determinar la direccioacuten de nuestro servidor DNS (1921681100) como servidor DNS preferido
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
Linux
Para los sistemas Linux se debe editar el archivo etcresolvconf para substituir o antildeadir el nameserver con la direccioacuten IP de nuestro servidor
[]nameserver 1921681100 []
Configuracioacuten automaacutetica de clientes
El servidor DNS puede ser atribuido a losgedit dblo clientes automaacuteticamente a traveacutes del protocolo DHCP Para esto basta acrecentar la opcioacuten domain-name-servers como la o las direcciones de los servidores DNS al archivo etcdhcp3dhcpdconf del servidor DHCP
[]option domain-name-servers 1921681100 []
Servidor DNS
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
Objetivo
Aunque se pueda atribuir nombres a los diversos sistemas de una red estos no consiguen reconocerse entre siacute sin un sistema de resolucioacuten de nombres Para que un sistema consiga localizar la direccioacuten IP asociada al nombre de otro sistema es necesario que eacuteste esteacute registrado en un servidor DNS para permitir la resolucioacuten de nombres
NOTAAntes de instalar el servidor DNS la Cache DNS debe estar previamente configurada y verificada
Instalacioacutenrootserver~ aptitude install bind9 bind9-doc dnsutils
Configuracioacuten
La resolucioacuten de nombres traduce nombres de sistemas en sus direcciones IP y viceversa Asiacute la configuracioacuten consiste baacutesicamente en la creacioacuten de 2 zonas una (zone homelan) que convierte nombres en direcciones IP y otra (zone 1168192in-addrarpa) que convierte direcciones IP en el respectivo nombre de sistema
Zonas
Las zonas pueden declararse en el archivo etcbindnamedconflocal
Do any local configuration here
zone homelan type master file etcbinddbhomelan
zone 1168192in-addrarpa type master file etcbinddb1168192
Consider adding the 1918 zones here if they are not used in your organizationinclude etcbindzonesrfc1918
Verificar que el archivo de configuracioacuten no contiene errores
rootserver~ named-checkconfrootserver~
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
Resolucioacuten de nombres
La resolucioacuten de nombres convierte los nombres de los sistemas en sus correspondientes direcciones IPPara una zona ldquohomelanrdquo los nombres ldquoserverrdquo ldquovirtualrdquo ldquonsrdquo y ldquorouterrdquo son asociados a sus respectivas direcciones La base de datos para la resolucioacuten de nombres en la zona homelan estaacute guardada en el archivo etcbinddbhomelan
BIND zone file for homelan
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS ns Inet address of name server MX 10 mail Primary mail exchanger
ns A 1921681100mail A 1921681100homelan A 1921681100server A 1921681100virtual A 1921681101router A 19216811 router ADSLgateway CNAME routergw CNAME router
El protocolo DNS permite tambieacuten la creacioacuten de aliases o canonical names identificados por el tipo de registro CNAME Un alias es un nombre alternativo de un sistema
Al final del archivo podraacuten declararse algunos aliases donde el sistema server pasaraacute tambieacuten a ser conocido (CNAME o canonical name) como proxy y el servidor virtual responderaacute tambieacuten por los nombres www y ftp
[]proxy CNAME serverwww CNAME virtualftp CNAME virtual []
Verificar que el fichero de configuracioacuten de la zona homelan no contenga errores
rootserver~ named-checkzone homelan etcbinddbhomelanzone homelanIN loaded serial 2010111101OK
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
Resolucioacuten Inversa
La resolucioacuten inversa traduce las direcciones IP en los nombres correspondientes de los sistemas
La resolucioacuten inversa puede configurarse en el archivo etcbinddb1168192
BIND zone file for 1921681xxx
$TTL 3D IN SOA nshomelan roothomelan ( 2010111101 serial 8H refresh 2H retry 4W expire 1D ) minimum NS nshomelan Nameserver address
100 PTR serverhomelan100 PTR nshomelan100 PTR mailhomelan101 PTR virtualhomelan1 PTR routerhomelan
Verificar que el archivo de configuracioacuten de la zona 1168192in-addrarpa no contenga err
ores
rootserver~ named-checkzone 1168192in-addrarpa etcbinddb1168192zone 1168192in-addrarpaIN loaded serial 2008121701OK
Reiniciar el servicio
rootserver~ etcinitdbind9 restart
Antildeadir el dominio homelan en el archivo etcresolvconf
[]domain homelansearch homelannameserver 127001 []
De esta forma cuando nos referimos al sistema ldquoserverrdquo eacuteste seraacute buscado en el dominio ldquohomelanrdquo resultando en el nombre ldquoserver home lanrdquo
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan
Verificacioacuten
Para verificar la resolucioacuten de nombres
rootserver~ nslookup serverServer 127001Address 12700153
Name serverhomelanAddress 1921681100
Verificar que los aliases tambieacuten sean resueltos
rootserver~ nslookup gatewayServer 127001Address 12700153
gatewayhomelan canonical name = routerhomelanName routerhomelanAddress 19216811
Para concluir con esta seccioacuten verificar la resolucioacuten inversa
rootserver~ nslookup 1921681101Server 127001Address 12700153
1011168192in-addrarpa name = virtualhomelan