Resumen Ejecutivo

Misin
Linux Latin Amrica es la empresa pionera y lder en servicios globales de TI basados en
plataforma Linux y software libre. Proveemos servicios de capacitacin, consultora, soluciones,
soporte tcnico e integracin de productos innovadores y de primer nivel en base a Sistema Operativo
LINUX para asegurar, resguardar y rentabilizar los procesos tecnolgicos de grandes y medianas
organizaciones, quienes nos premian con relaciones de largo plazo.
Visin
Linux Latin Amrica ser el proveedor latinoamericano lder de servicios globales de TI en
plataforma Linux. Tecnologa que ser altamente demandada por los gobiernos y principales empresas
de la regin. Para lograrlo, nos concentraremos en elevados niveles de calidad, innovacin y
especializacin de nuestros profesionales.
Principios que nos inspiran
- Enfoque al cliente
- Liderazgo Especializado
- Participacin del personal
- Mejora Continua
- Relaciones Beneficiosas con el proveedor
- Responsabilidad Social
Presentacin Corporativa Linux Latin Amrica 2008
Presentacin Corporativa Linux Latin Amrica 2008
Su poltica de Calidad
Linux Latin America logra la s atisfaccin de sus clientes a traves de la entrega de servicios de
soporte e ingeniera en forma efectiva, ajustando a los requerimientos, buscando estar de acuerdo a
su misin y visin y atendiendo a nuestro compromiso permanente de mejora continua.
Sus objetivos de Calidad
- Lograr que el indicador satisfaccin de sus clientes tenga un valor igual o superior a
los planificados por la alta gerencia.
- Que sus tcnicos y profesionales tengan una evaluacin, por parte de sus clientes,igual
o superior a lo planificado por la alta gerencia.
- Cumplir satisfactoriamente los tiempos estipulados.
- Que sus ejecutivos comerciales tengan una evaluacin por parte de sus clientes igual
o superior a la estipulada por la alta gerencia.
Qu servicios ofrecemos?
Consultora
Los proyectos de migracin realizados por Linux Latin America estn basados en un anlisis previo
del impacto de la migracin y una planificacin detallada de cada una de las fases.
Dada la envergadura y diseo de estos proyectos, es que se encuentran integrados con diferentes
y mltiples servicios que en su totalidad permiten conseguir una implantacin final satisfactoria.
Levantamiento y Detalle de Requerimientos - Fase Inicial de Asesora
Diseo e Implementacin de la solucin - Fase de Ejecucin
Capacitacin de S.O. Linux - Fase Capacitacin
Soporte y Asistencia Tcnica - Fase Soporte y Asistencia
Estudios de viabilidad tcnica y econmica '95 Planes de Migracin '95 Pilotos y Prototipos
Presentacin Corporativa Linux Latin Amrica 2008
Presentacin Corporativa Linux Latin Amrica 2008
Implementacin de Soluciones Opensource
- Mensajera. - Servidores de Correo con herramientas de colaboracin - Agenda
Compartida Webmail - Mensajera Instantnea Encriptada - Foros de Discusin -
Libreta de Direcciones Corporativa.
- Soluciones de Telefona y Voz sobre IP con Asterisk.
- Servidores de Archivos - Controladores de Dominio (Samba / OpenLDAP) - Single
Sign - On.
- Seguridad. Firewall - VPNs - Detector de Intrusos - Anlisis Forense - Proxy -
Filtros de Internet.
- Herramientas de Monitoreo de Servidores y Red. Nagios - Cacti - MRTG - Ethereal
- NTOP.
- Mon - Tunni ng para servi dores de bases de datos Oracl e y Sybase.
- Clusterizacin de Servidores : Alta Disponibilidad - Balanceo de Carga - Oracle RAC.
Implementacin de Soluciones Comerciales para Linux
Novell Groupwise - Novell e-Directory - Oracle - RedHat Cluster Suite - RedHat GFS -
Solucin Corporativa Retail Novell Linux Point-of-Sales.
Soporte y Asistencia Tcnica
Asistencia Telefnica - Presencial en dependencias del cliente - Acceso remoto seguro -
Asistencia va e-mail.
Capacitacin y Certificacin
Contamos con una amplia gama de cursos en plataformas Linux y Software libre, con salas
totalmente equipadas para realizar una capacitacin prctica e interactiva. Todos nuestros cursos
cuentan con Franquicia Sence.
Por otro lado el reconocimiento que Red Hat nos ha entregado por ser el nico centro de
capacitacin en Chile que puede entregar los cursos de certificacin (RHCE-RHCT), nos sitan como
principal proveedor de capacitacin y consultoras relativas al software libre en Chile y Latinoamrica.
Por qu elegir Linux Latin Amrica?
- Dado su concentrado foco de negocios, somos slo especialistas en ofrecer soluciones
de infraestructura basadas en plataforma linux y herramientas de software libre.
- Es la empresa chilena con ms experiencia en soluciones linux en el mercado nacional.
Es la que posee el mayor nmero de ingenieros certificados RHCE (Certified Engineer)
y RHCX (Certified Examiner). Business Partner RedHat (http://www.redhat.com).
- Cuenta con la base de servidores linux instalados ms amplia en el sector corporativo.
- Para ofrecer los ms altos estndares de calidad, Linux Latin America se encuentra
certificada ISO9001/2000.
- La solidez de nuestras alianzas con los ms importantes fabricantes de tecnologa y otras
empresas especializadas, nos permiten abordar todo tipo de proyectos.
http://www.linuxlatinamerica.com
Argentina:
Victoria Ocampo N 360, 3 Piso - Puerto Madero - Buenos Aires.
Tel: +54 (11) 45156332.
Chile:
Mariano Snchez Fontecilla # 310, 2do Piso - Edificio Birmann 24 Las Condes - Santiago
Tl : +56 2 4834000 - Fax : +56 2 4834050 - Call Center Soporte 600 4834100
Mexico:
Insurgentes Sur N 2384 Col. Chimalistac. Deleg. lvaro Obregn. Mexico D.F.
Tl: +52 55 53507487.
servicioalcliente@linuxlatinamerica.com
Presentacin Corporativa Linux Latin Amrica 2008
Sea libre, use Linux.
Sistemas Operativos
Linux Bsico LC ADM 101
Los participantes aprendern los conceptos de Linux, este curso esta dirigido a usuarios que desean usar Linux en sus actividades diarias.
Duracin: 12 Hrs
Administracin Linux -LC ADM 100
Proporciona al participante los conocimientos y procedimientos para administrar un servidor Linux y servicios de red asociados, como
administracin, correo, web, servicio de archivo, DNS, FTP.
Duracin: 40 hrs.
Resolucin de problemas- LC ADM 200
Proporciona al participante los conocimientos y procedimientos para la administracin avanzada de un servidor Linux, incluyendo los
tpicos de red y ruteo, lista de control de acceso, respaldos y recuperacin, programacin de Scripts, SSH y resolucin de problemas.
Duracin: 24 hrs.
Seguridad Linux LC SEG 200
El participante sera capaz de dominar la operacin, configuracin de Linux con las caractersticas necesarias para mantener actualizado
y seguro un servidor proxy, router y/o firewall Linux
Duracin: 36 hrs.
Infraestructura LC INF 300
Los participantes podrn disear, implementar los servicios de infraestructura sobre Linux
Duracin: 36 Hrs
Aplicaciones
Samba Ldap - Postfix
Este curso esta orientado a la centralizacin de autentificacin de servicios de la red corporativa
Duracin: 24 Horas
Monitoreo de Red LC SEG 201
El participante podr monitorear el estado de la red (trficos de paquetes, estado de servicios, utilizacin ancho de banda).
Duracin: 24 horas.
VPN- LC SEG 200
El participante ser capaz de crear redes primarias virtuales, es decir, interconectar dos redes remotas a travs de un tnel seguro.
Duracin: 24 hrs
Cluster- LC CLU 300
El participante lograr realizar el balanceo de carga y alta disponibilidad de servicios de Red.
Duracin 12 hrs.
Asterisk - LC AST 300
El participante lograr integrar plantas telefnicas anlogas y digitales, PABXS virtuales, Routers de llamada, discadores automticos
IVR, tarificacin todo implementado con tecnologa open Source
Duracin: 40 hrs.
Ofimtica
Open office LC ADM 102
Proporciona a los participantes un manejo bsico de los conceptos prcticos, tericos, fundamentales para la utilizacin de esta suite
ofimtica compuesta por: procesador de texto, planilla de calculo y base de dato.
Duracin: 24 horas
OpenOffice.org
Asterisk
www. l i n u x l a t i n a me r i c a . c o m
V P N
MEXICO
Insurgentes Sur N 2384 Col. Chimalistac
Delg. lvaro Obregn - C.P 01070. Mexico, D.F.
Tel: +52 (55) 53507487 / +52 (55) 53507496.
ARGENTINA
Victoria Ocampo N 360, 3 piso
C1107BGA - Puerto Madero - Buenos Aires
Tel: +54 (11) 45156332
CHILE
Mariano Snchez Fontecilla 310,
Edificio Birmann - 2 piso
CP7550515 - Las Condes - Santiago
Tel: +56 2 483 4000 - Fax: +56 2 4834050
Desarrollo
UML- LC UML 100
El participante conocer los conceptos propios del modelo orientado al objeto, tambin aplicar las diversas tcnicas del anlisis y diseo
orientado a objeto. Construir la especificacin de un sistema utilizando objetos.
Duracin: 24 hrs.
XML- lC XML 100
El objetivo es familiarizar al participante con el uso XML en Internet, se mostrara como escribir documentos XML , como presentarlas
usando hojas de estilo o aplicndole transformaciones.
Duracin: 36 hrs.
Java LC JAV 200
Prepara al participante en tcnicas y herramientas de programacin JAVA
Duracin: 30 hrs.
J2EE LC J2E 400
Proporciona toda la informacin necesaria para crear aplicaciones basadas en el estndar J2EE, adoptado globalmente por las grandes
empresas como plataformas de desarrollo.
Duracion: 40 hrs.
Desarrollo
PHP LC PHP 100
Este curso entrega los conocimientos necesarios para crear paginas web dinmicas. A travs del uso de PHP el cual permite el acceso a
mltiples repositorios de datos.
Duracin: 30 hrs.
PHP MYSQL LC PHP 200
Comprender los fundamentos de MYSQL y el acceso a este motor de base de datos a travs de PHP
Duracin: 30 hrs.
PHP POSTGRE SQL LC PHP 201
Los participantes lograran conocer, administrar e implementar Postgre SQL en la empresa. As como programar en los principales
lenguajes para desarrollar aplicaciones estables.
Duracin 30 horas
Perl LC PER 100
El participante dominar el uso del lenguaje para generar reportes a travs de la conexin a una base de datos o el procesamiento de
archivos(expresiones regulares).
Duracin: 25 hrs.
Base de datos
Mysql (Intermedio y Avanzado)
Aprender a Manejar, Administrar y migrar base de datos a MySQL
Duracin: 30 Hrs.
Administracin de PostgreSQL (Intermedio y Avanzado)
Prepara al alumno para administrar sistemas con PostgreSQL y depurar los errores posibles frente a fallas del sistema.
Duracin: 30 hrs
Certificaciones
Red Hat:
Introduccin a Redhat Linux (RH033) - Administracin del
sistema Red Hat Linux y examen RHCT (RH133) - Red Hat Linux
Networking y seguridad (RH253) - Rapid Track (RH-300).
w w w . l i n u x l a t i n a m e r i c a . c o m
Novell - Suse:
Fundamental de SUSE LINUX (curso 3071) - administracion de
Suse Linux (Curso 3072) - Administracin avanzada Suse
Linux (3073) - Examen profesional del practicum de la certificacin
(Novell CLP)
XML

TITULO I
REGLAMENTO INTERNO
CENTRO LINUX S.A.


Disposiciones GeneraIes
ArtcuIo l: Para efectos del presente reglamento se entender por:
"AIumno o Participante": Toda persona natural que participe en actividades de
capacitacin. Pueden ser empresarios, trabajadores o pblico en general, que deseen
capacitarse en temas propios del quehacer empresarial.
"SENCE": Servicio Nacional de Capacitacin y Empleo; organismo pblico que entre
otras cosas tiene la responsabilidad de: aprobar programas y otorgar cdigo Sence;
fiscalizar la ejecucin de los cursos; y finalmente aprobar o autorizar la devolucin de los
fondos invertidos por los participantes con cargo a su correspondiente franquicia tributaria.
"OTEC" Organismo Tcnico de Capacitacin, Las personas jurdicas que tengan como
nico objeto social el Servicio de Capacitacin. Se extiende a Universidades, lnstitutos
Profesionales y Centros de Formacin Tcnica, inscritos en el Registro Nacional de
Organismos Tcnicos de Capacitacin del Servicio Nacional de Capacitacin y Empleo.
ArticuIo 2:La responsabilidad sobre la planificacin, ejecucin y evaluacin de las
actividades de capacitacin contenidas en el programa de capacitacin corresponden al
Organismo Tcnico de Capacitacin Centro Linux S.A.
ArticuIo 3:El Organismo Tcnico de Capacitacin se compromete a velar por la calidad
del servicio ofrecido.
TITULO II
De Ia admisin aI programa de capacitacin
ArtcuIo 4: Las actividades de capacitacin organizadas por Centro Linux estn dirigidas
a empresarios y trabajadores de la Gran, Mediana y pequea empresas y a todas
aquellas personas que se interesen por las temticas que abarcamos.
ArticuIo 5: El rea comercial ser la responsable del proceso de difusin, postulacin e
inscripcin de participantes a las actividades de capacitacin de nuestra OTEC.
ArtcuIo 6: El Organismo Tcnico de Capacitacin se guarda el derecho a negar el
servicio cuando, quien asista no cumpla con las medidas disciplinarias mnimas, exigidas
por nuestro organismo. Estas medidas son:
Quien asista a una actividad de capacitacin no debe estar bajo la
influencia del alcohol.
Quien asista a una actividad de capacitacin no debe encontrarse bajo los efectos
de las drogas, ni consumirlas en las dependencias donde se realiza la
actividad de capacitacin.
Quien asista debe guardar una actitud de respeto hacia sus compaeros y hacia el
lnstructor.

Quien asista a una actividad de capacitacin no debe manifestar conductas
inmorales u obscenas.

Otra causal para negar el servicio es, para quien asista a una actividad
de capacitacin y no se encuentre previamente inscrito, con sus datos registrados
en la ficha de inscripcin u ordenes de compras.
El Organismo Tcnico de Capacitacin, solicita a quienes se inscriban en cursos y/
o seminarios, llegar puntualmente a la actividad, considerndose hasta l5 minutos
despus de iniciada la clase, como perodo lmite apropiado para ingresar al saln.
Se solicita a los participantes mantener los telfonos mviles apagados o sin
volumen durante las clases, a fin de no interrumpir o distraer al relator y/o a los
dems participantes a la actividad.
TITULO III
DeI pago por concepto de capacitacin
ArtcuIo 7: Los costos asociados a las actividades de capacitacin contemplan la forma
prevista en el prrafo 4 de la Ley N l9.5l8.
ArtcuIo 8: El valor del programa es fijado de acuerdo a la cantidad de horas de
duracin, y las condiciones requeridas para impartir la actividad.
ArtcuIo 9: Aquellos contribuyentes que tengan una planilla anual de remuneraciones
menor a 45 UTM y mayor de 35 UTM, que registren cotizaciones provisionales
efectivamente pagadas, podrn deducir hasta 7 UTM en el ao. Aquellos contribuyentes
que tengan una planilla anual de remuneraciones imponibles que sea inferior a 35 UTM,
no tendrn derecho al crdito fiscal por costos de capacitacin efectuados para sus
trabajadores, con carga a la franquicia tributaria por capacitacin.
ArtcuIo l0:El pago del valor del programa se podr efectuar bajo alguna de las
siguientes formas:
a) Pago total al contado al momento de inscribirse.
b) Pago contra factura
c) Pago con cheque; un cheque al da, ms un cheque a 30 das.
d) Otros.
ArtcuIo ll: La renuncia a la actividad de capacitacin de algn participante, cualquiera
sea la causal, debe hacerse 48 horas antes del inicio de la actividad, de lo contrario, se
obliga al pago del l00% del valor de este.
ArtcuIo l2: El participante asistente en las actividades de capacitacin puede
manifestar de manera formal, su descontento con la actividad dentro de las primeras tres
clases del curso, detallando las razones de su descontento , para ello tiene a su
disposicin el correo servicioalcliente@linuxlatinamerica.com, donde podr expresar su
molestia y esta ser atendendida.
TITULO IV
De Ias evaIuaciones y certificaciones
ArtcuIo l3: Los participantes deben cumplir con las evaluaciones pertinentes a la
actividad de capacitacin, siempre y cuando esta as lo requiera.
ArtcuIo l4: Los participantes deben tener una asistencia mnima a las actividades de
capacitacin del 75%.
ArtcuIo l5: El Organismo Tcnico de Capacitacin slo entregar los certificados
pertinentes a los participantes habiendo estos cumplidos con los requisitos sealados en
el artculo l3 y l4 de este reglamento.
ndicedecontenido
UNIDAD1...................................................................................................................................................2
VerificacindeIRQ............................................................................................................................3
VerificacindeTarjetas......................................................................................................................4
Verificacindeenrutamiento...............................................................................................................5
ConfiguracindeservidorDHCP.....................................................................................................7
UNIDAD2................................................................................................................................................11
DNS................................................................................................................................................12
Mantenimiento.................................................................................................................................15
Vistas...............................................................................................................................................16
Herramientas....................................................................................................................................17
UNIDAD3.................................................................................................................................................19
Filtradodecorreo...........................................................................................................................20
CuotasdeCasillas...........................................................................................................................21
Antispamyantivirus.......................................................................................................................23
Vmpop3d........................................................................................................................................24
UNIDAD4.................................................................................................................................................26
SSL.................................................................................................................................................27
Usodeclavesycertificadospreexistentes.....................................................................................28
Tiposdecertificados.......................................................................................................................29
Generarunaclave...........................................................................................................................30
GenerarunapeticindecertificadoparaenviarlaaunCA............................................................31
Creacindeuncertificadoautofirmado........................................................................................33
UNIDAD5.................................................................................................................................................36
Configurarssh................................................................................................................................37
sftp..................................................................................................................................................38
scp...................................................................................................................................................38
sshreverso......................................................................................................................................39
Resolucin de Problemas 1
UNIDAD 1
Redes con Linux
Resolucin de Problemas 2
VerificacindeIRQ(InterruptReQuest)
Cadadispositivoquedeseacomunicarseconelprocesadorporinterrupcionesdebetenerasignadaunalneanica
capazdeavisarastedequelerequierenparaunaoperacin.EstalneaeslallamadaIRQ("InterruptReQuest",
peticindeinterrupcin).
Lasinterrupcionessurgendelanecesidadesquetienenlosdispositivosperifricosdeenviarinformacinal
procesadorprincipaldeuncomputador.Laprimeratcnicaqueseemplefuequeelpropioprocesadorse
encargaradesondear(polling)eldispositivocadaciertotiempoparaaveriguarsitenapendientealguna
comunicacinparal.Estemtodopresentabaelinconvenientedesermuyineficiente,yaqueelprocesador
constantementeconsumatiempoenrealizartodaslasinstruccionesdesondeo.
LasIRQsonlneasquelleganalcontroladordeinterrupciones,uncomponentehardwarededicadoalagestin
delasinterrupciones,yquepuedeestarintegradoenelprocesadorprincipaloseruncircuitoseparadoconectado
alprocesadorprincipal.
Elmecanismodeinterrupcioneseslasolucinquepermitealprocesadordesentendersedeesteproblema,y
delegareneldispositivolaresponsabilidaddecomunicarseconelprocesadorcuandolonecesite.Elprocesador,
enestecaso,nosondeaaningndispositivo,sinoquequedaalaesperadequelo"interrumpan"cuandotengan
algoquecomunicarle(yaseaunevento,unatransferenciadeinformacin,unacondicindeerror,etc.).
VerificacindeIRQ
cat/proc/interrupts
CPU0
0:5597655XTPICtimer
1:7936XTPICi8042
2:0XTPICcascade
5:15505XTPICALI5451
7:4XTPICyenta
8:573409XTPICrtc
9:280XTPICacpi
10:0XTPICohci_hcd
11:95602XTPICeth0
12:965515XTPICi8042
14:45839XTPICide0
15:13226XTPICide1
NMI:0
ERR:0
Resolucin de Problemas 3
ConfigurarIRQyparmetrosderedespecficos
modprobenatsemiirq=13io=0x300
natsemieselmoduloquevamosausar,irq=12eselIRQnmero12queusalatarjeta,deberamosteneren
cuentaqueningnotrodispositivouseeseIRQparaevitarconflictos,io=0x300yaquelatarjetausaladireccin
dememoria(tambinllamadaIO)300,sepone0x300porqueelnmeroestenhexadecimal.
Siestonoescorrectoveremosunmensajedeerror.SiporotroladosinosabemosqueIRQniIOusalatarjeta,
esaqudondedebemosirprobando,losIRQpuedenserdel5al15msomenosylasdireccionesdememoria
del200al400contandode10en10.Losmshabitualessuelenser:irq=5,irq=10,io=0x300,io=0x320.
VerificacindeTarjetas:Determinarelestadodelatarjetadered
Estecomandonospermitirverlavelocidaddelatarjetaysuestado,estecomandosolosirveenmaquinas
reales,enlasvirtualesdaerror.
#miitooleth0
Determinardeconfiguracindetarjeta
NosmostraralaconfiguracingeneraldeunaomsdispositivosdeRed
#ifconfigeth0
ForzandoTarjetas
#ethtoolseth0speed10duplexfullautonegoff
seth0,seespecificalainterfase
speed10,sedefinelavelocidaddetransmicion
duplexfull,sedefinemododetransmisin
autonegoff,seindicaquefrenteaunswitchnonegociolavelocidaddetransmisin
sideseaquelaconfiguracinseapermanentesedebeeditarelarchivodelainterfaseyagregarcomo
valordelavariableETHTOOL_OPTSlosparmetros
vi/etc/sysconfig/networkscripts/ifcfgeth0
ETHTOOL_OPTS="autonegoffspeed100duplexfull"
Resolucin de Problemas 4
AsignandoDireccionesdeenrutamiento
#ifconfigeth0192.168.0.200netmask255.255.255.0
#routeadddefaultgw192.168.0.1deveth0
Estoscambios,sontemporalessisedeseanpermanentesdebenindicarseenlosarchivosrespectivos;el
comandoroutenossirveparamanipularlatabladeenrutamientodenuestroservidoreifconfigpara
definirlosparmetrosdelatarjeta.
Verificartabladeenrutamiento
Deacuerdoaloindicadoenlosejemplosanterioresseobtiene
#routen
KernelIProutingtable
DestinationGatewayGenmaskFlagsMetricRefUseIface
192.168.0.00.0.0.0255.255.255.0U000eth0
169.254.0.00.0.0.0255.255.0.0U000eth0
0.0.0.0192.168.0.10.0.0.0UG000eth0
Cadalineacorrespondeaunaredosegmentoylaultimacorrespondeatodasaquellasquenose
especificaronantes.
ConfigurarTabladeenrutamiento
#routeaddnet192.56.76.0netmask255.255.255.0deveth0
nosdejaralatablacomosigue:
#routen
KernelIProutingtable
DestinationGatewayGenmaskFlagsMetricRefUseIface
192.168.0.00.0.0.0255.255.255.0U000eth0
192.56.76.00.0.0.0255.255.255.0U000eth0
169.254.0.00.0.0.0255.255.0.0U000eth0
0.0.0.0192.168.0.10.0.0.0UG000eth0
tambinpodemosindicarunnombre
#routeadddefaultgwmangogw
Resolucin de Problemas 5
enestecasodeberesolverpordnslaipcorrespondiente.
FlagsComunes
U(Larutaestaactiva)
H(eldestinoesunequipo)
G(pasarelaenuso)
R(definidamanualmenteparaunarutadinmica)
D(dinmicamenteinstaladaporundemonioodireccionada)
M(modificadapararutearundemoniooredireccion)
A(instaladaporaddrconf)
C(entradacache)
!(rutarechazada)
VerificarConfiguracinDNS
cat/etc/resolv.conf
searchdominio.cl
nameserver192.168.1.1
laopcinsearch completaagregandoeldominioqueseindiqueacontinuacin,ejemplo:
#pingcorreo
harquesebusquelamaquinacorreo.dominio.cl
Resolucin de Problemas 6
DHCP
DHCPsonlassiglaseninglsdeProtocolodeconfiguracindinmicadeservidores(Dynamic
HostConfigurationProtocol).Esunprotocoloderedenelqueunservidorproveelosparmetros
deconfiguracinalascomputadorasconectadasalaredinformticaquelosrequieran(mscara,
puertadeenlaceyotros)ytambinincluyeunmecanismodeasignacindedireccionesdeIP.
ElprotocoloDHCPincluyetresmtodosdeasignacindedireccionesIP:
Asignacinmanual:dondelaasignacinsebasaenunatablacondireccionesMAC(acronimodeMedia
AccessControlAddress)
Asignacinautomtica:dondeunadireccindeIPlibreobtenidadeunrangodeterminadoporeladministrador
seleasignapermanentementealacomputadoraquelarequiere.
Asignacindinmica:elnicomtodoquepermitelareutilizacindinmicadelasdireccionesIP.El
administradordelareddeterminaunrangodedireccionesIPycadacomputadoraconectadaalaredest
configuradaparasolicitarsudireccinIPalservidorcuandolatarjetadeinterfazderedseinicializa.El
procedimientousaunconceptomuysimpleenunintervalodetiempocontrolable.Estofacilitalainstalacinde
nuevasmquinasclientesalared.
DHCPusalosmismospuertosasignadosporelIANA(AutoridaddeNmerosAsignadosenInternetsegn
siglaseningls)enBOOTP(BootstrapProtocol,BootPesresponsabledeenviarpaquetesTCP/IPdirigidosala
informacindeconfiguracindelhost):
67/udpparalascomputadorasservidor(BOOTPS)
68/udpparalascomputadorascliente(BOOTPC)
Resolucin de Problemas 7
DHCPDISCOVER
Lacomputadoraclienteemitepeticionesmasivamenteenlasubredlocalparaencontrarunservidordisponible,
medianteunpaquetedebroadcast.ElrouterpuedeserconfiguradopararedireccionarlospaquetesDHCPaun
servidorDHCPenunasubreddiferente.
DHCPOFFER
Elservidordeterminalaconfiguracinbasndoseenladireccindelsoportefsicodelacomputadoracliente
especificadaenelregistroCHADDRvbnv.ElservidorespecificaladireccinIPenelregistroYIADDR.Como
lacualsehadadoenlosdemsparmetros.
DHCPREQUEST
ElclienteseleccionalaconfiguracindelospaquetesrecibidosdeDHCPOffer.Unavezms,elclientesolicita
unadireccinIPespecficaqueindicelservidor.
DHCPACKNOWLEDGE
Elservidorconfirmaelpedidoylopublicamasivamenteenlasubred.Seesperaqueelclienteconfiguresu
interfasederedconlasopcionesqueselesotorgo.
Resolucin de Problemas 8
ConfigurandoDHCP
ConfigurandoCLIENTE
Solomodificarlaconfiguracindelatarjeta
vi/etc/sysconfig/networkscripts/ifcfgeth0
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=dhcp
ConfigurandoSERVIDOR
Usandounasolatarjeta
1Debetenerintaladoelrpmdhcp
2verificarqueexistaelarchivo/var/lib/dhcpd/dhcpd.lease
3copiarelejemplodedhcpservera/etc/dhcpd.conf
#cp/usr/share/doc/dhcp*/dhcpd.conf.sample/etc/dhcpd.conf
4Modificarelarchivodeconfiguracindhcpserver
#vi/etc/dhcpd.conf
Resolucin de Problemas 9
ddnsupdatestyleinterim;indicamtododeactualizacinDNSautomticaconvalores
deIPasignados.
subnet10.0.0.0netmask255.255.255.0{
#indicalosroutesdelared
optionrouters10.0.0.1;
#indicalamascaradelared
optionsubnetmask255.255.255.0;
#indicarnombresdedominio
optiondomainname"dominio.cl";
optiondomainnameservers10.0.0.1;
#RangodeDireccionesparaasignardinmicamente
rangedynamicbootp10.0.0.12810.0.0.254;
#tiempodeprstamodeippordefecto
defaultleasetime21600;
#cuantotiempoestarprestadalaip
maxleasetime43200;
#Asignacinfijaparaunhost
hosthost1{
nextserverdominio.cl;#quedaraconnombrehost1.dominio.cl
hardwareethernet12:34:56:78:AB:CD;
fixedaddress10.0.0.2;
}
}
ParaqueDhcpsolofuncioneatravsdelainterfazderedutilizadaporlaLAN
OPCION1:#vi/etc/sysconfig/dhcpd
DHCPDARGS=eth0
OPCION2:vi/etc/init.d/dhcpdlinea58
daemon/usr/sbin/dhcpd${DHCPDARGS}eth12>/dev/null
Resolucin de Problemas 10
APUNTES:
Resolucin de Problemas 11
UNIDAD 2
DNS
Resolucin de Problemas 12
DNS(DomainNameSystem).
DNS(acrnimodeDomainNameSystem)esunabasededatosdistribuidayjerrquicaquealmacenala
informacin necesaria para los nombre de dominio. Sus usos principales son la asignacin de nombres de
dominio adirecciones IP yla localizacinde los servidores decorreoelectrnico correspondientes para cada
dominio.ElDNSnacidelanecesidaddefacilitaralossereshumanoselaccesohacialosservidoresdisponibles
atravsdeInternetpermitiendohacerloporunnombre,algomsfcilderecordarqueunadireccinIP.
LosServidoresDNS utilizanTCP yUDP enelpuerto53pararesponderlasconsultas.Casitodaslas
consultasconsistendeunasolasolicitudUDP desdeunClienteDNS seguidaporunasolarespuestaUDP del
servidor. TCP intervienecuandoeltamaodelosdatosdelarespuestaexcedenlos512bytes,talcomoocurre
contareascomotransferenciadezonas.
TiposdeDNS:
BindPower,DNSMara,DNSdjbdnspdnsdMyDns
TiposdeResolucindeNombresdeDominio
Existentrestiposdeconsultasqueuncliente(resolver)puedehaceraunservidorDNS:
Recursiva
Iterativa
inversa
RPMrequeridos
bind:
IncluyeelServidorDNS(named)yherramientasparaverificarsufuncionamiento.
bindlibs:
Bibliotecacompartidaqueconsisteenrutinasparaaplicacionesparautilizarsecuandoseinteractecon
ServidoresDNS.
bindchroot:
Contieneunrboldeficherosquepuedeserutilizadocomounajaulachrootparanamedaadiendo
seguridadadicionalalservicio
Resolucin de Problemas 13
bindutils:
ColeccindeherramientasparaconsultarServidoresDNS.
cachingnameserver:
FicherosdeconfiguracinqueharnqueelServidorDNSactecomouncachparael
servidordenombres.
ConfiguracindeBIND
Ficherosdeconfiguracin
named.conf,named.ca,rndc.conf
Informacinsobrelaconfiguracin
ConfiguraremosBINDparaqueseejecuteenunajaulachrootcomousuariosinprivilegios(named).Esta
configuracinesmssegurapuesuncompromisoenelDNSslopuedeafectaraunospocosficherosenel
directorioHOMEdelusuarionamed.
named.conf:
Enelcualnamedleerlalocalizacindelosficherosdezona,servidoresraicesdenombresyllavesDNS
seguras.
Elficheronamed.ca:
esunalistadeservidoresraicesdenombres.Esteficherodebeactualizarseperidicamenteconlautilidaddig.
Elficherorndc.conf:
contieneinformacinparacontrolarlasoperacionesdenamedconlautilidadrndc
/var/named
AquseencontrarantodoslosarchivosdeconfiguracinparalaszonasdelDNS,sinoutilizamos
chroot,porelcontrario,siutilizamoschrootencontraremosloslinkssimblicosdeestosarchivosasu
rutaquecorrespondaa/var/named/chroot/var/named.
Resolucin de Problemas 14
Archivodezona
$TTL86400
@INSOA@root (
2007120300 ;nmerodeserie
3H ;tiempoderefresco
15M ;tiempoentrereintentosdeconsulta
1W ;tiempotraselcualexpiralazona
1D ;tiempototaldevida
)
INNSns.linuxcenterla.com.
INMX20mail.linuxcenterla.com.
INA172.16.1.1
ns INA172.16.1.1
mail INA172.16.1.2
Archivodereverso
$TTL86400
@INSOAlinuxcenterla.com.root(
2006031601;nmerodeserie
28800;tiempoderefresco
7200;tiempoentrereintentosdeconsulta
604800;tiempotraselcualexpiralazona
86400;tiempototaldevida
)
INNSns.linuxcenterla.com.
1 INPTRns.linuxcenterla.com.
2 INPTRmail.linuxcenterla.com.
Archivos
/etc/sysconfig/named
seespecificalugardondeseencuetraelhambientechroot
/etc/named.conf
enestearchivoseespecificanlaszonas.
Resolucin de Problemas 15
EjemplodeZonaMaestra
zone"linuxcenterla.com"{
typemaster;
file"linuxcenterla.com.zone";
allowupdate{none;};
};
zone"1.16.172.inaddr.arpa"{
typemaster;
file"1.16.172.inaddr.arpa.zone";
allowupdate{none;};
};
EjemplodeZonaEsclava
zone"linuxcenter.cl"{
typeslave;
file"linuxcenter.cl.zone";
masters{172.16.1.254;};
};
zone"1.168.192.inaddr.arpa"{
typeslave;
file"1.16.172.inaddr.arpa.zone";
masters{172.16.1.254;};
};
Mantenindoloenfuncionamiento.
Hayunatareademantenimientoquetienesquerealizarconnamed,ademsdemantenerloenfuncionamiento.
Estatareaesmantenerelarchivonamed.caactualizado.
Laformamsfcilesusardig,primeroejecutadigsinargumentos,conseguirsnamed.cadeacuerdocontu
propioservidor.
Entoncespreguntaaalgunodelosservidoresrazlistadoscondig@rootserver.
Podrsobservarquelasalidasepareceterriblementealarchivonamed.caexceptoporunpardenmerosextras.
Esosnmerosnoocasionanproblemas;Gurdaloenunarchivo
Resolucin de Problemas 16
OPCION1:
#dig@e.rootservers.net.ns>named.ca.nuevo
ysustituyeelantiguonamed.caconl.
Recuerdareiniciarnameddespusdesustituirelarchivo.
OPCION2:
Elarchivoqueutilizaestazonanamed.cadebeseractualizadoporeladministradordelSistema,
estearchivosepuedeencontrarenftp://ftp.rs.internic.net
Vistas
Lasvistas(delingls,views)sonunanuevacaractersticadeBind9quepermitemostraralasmquinasinternas
unavisindistintadelajerarquadenombresdeDNSdelaquesevedesdeelexterior(seentiende"interior"y
"exterior"respectodelrouterquedasalidaalaempresaaInternet).Porejemplo,lepermiterevelartodoslos
hostsalosusuariosinternosperorestringirlavistaexternaaunospocosservidoresdeconfianza.Opodra
ofrecerlosmismoshostsenambasvistasperoproporcionarregistrosadicionales(odiferentes)alosusuarios
internos.
Losclienteslocalesapuntabanalosservidoresdedistribucinquecontenanlaversininternadelazona,
mientrasquelosregistrosNSdelazonapadreapuntabanaservidoresquecorranlaversinexterna.Lasentencia
viewdeBind9simplificalaconfiguracinpermitiendotenerjuntosambosconjuntosdedatosenlamismacopia
denamed.namedbuscacorrespondenciasenlistasdedireccionesparaadivinarquclientesdebenrecibirqu
datos.
Lasentenciaviewempaquetaunlistadeaccesoquecontrolaquinvelavista,algunasopcionesqueseaplicana
todaslaszonasenlavistay,finalmente,laspropiaszonas.Lasintaxises:
view"nombredelavista"{
matchclients{address_match_list;};
opciondevista;...
sentenciadezona;...
};
Laclusulamatchclientscontrolaquinpuedeverlavista.Lasvistassonprocesadasenordensecuencial,porlo
quelasmsrestrictivasdebenirprimero.Laszonasendistintasvistaspuedentenerelmismonombre.Lasvistas
sonunaproposicindetodoonada;silasusa,todaslassentenciaszoneensuficheronamed.confdebenaparecer
dentrodelcontextodeunavista.
Resolucin de Problemas 17
Ejemplo:
view"interno"{
matchclients{192.168.1.0/24;127.0.0.1;};
recursionyes;
zone".......
}
view"externo"{
matchclients{any;};
recursionno;
zone".....
}
Herramientasdelservidordenombres
nslookup
#nslookupquery=mxwww.linuxcenterla.com
dig
#dig@172.16.1.1linuxcenterla.comMX
host
#hostwww.linuxcenterla.com
#hostwww.linuxcenterla.com172.16.1.1

Resolucin de Problemas 18
Apuntes:
Resolucin de Problemas 19
UNIDAD 3
POSTFIX
Resolucin de Problemas 20
QueesPostfix?
PostfixesunAgentedeTransportedeCorreos(MTA)decdigoabierto,unprogramainformticoparael
enrutamientoyenviodecorreoelectrnico,quetienelaintencindeserunaalternativamsrpida,fcilde
administraryseguradelampliamenteutilizadoSendmail.FormalmenteconocidocomoVMailereIBMSecure
Mailer,fueoriginalmenteescritoporWietseVenemadurantesuestadaenelThomasJ.WatsonResearchCenter
deIBM,ycontinasiendodesarrolladoactivamente.Postfixeselagentedetransporteporomisinendiversas
distribucionesdeLinuxyenlasdosltimasversionesdelMacOSX(PantheryTiger).
Seactivalasiguientelineaenelmain.cf
#header_checks=regexp:/etc/postfix/header_checks
Luegosecreaelarchivo
vi/etc/postfix/header_check
Estoinduceunagrancantidaddefalsospositivosporlaspersonasquenoescribenelasunto.
#/^Subject:.*A/REJECT
#/^Subject:.*E/REJECT
#/^Subject:.*I/REJECT
#/^Subject:.*O/REJECT
#/^Subject:.*U/REJECT
#LosiguientebloquearalosSpamsconmuchosespaciosenelasunto.
/^Subject:.*/REJECT
#AcontinuacinsonlistadoalfabticamenteporcontenidodelAsuntoquesernbloqueado:
/^Subject:.*$Paid/REJECT
/^Subject:.*$$Paid/REJECT
/^Subject:.*1stPosition/REJECT
/^Subject:.*AFunnyGame/REJECT
/^Subject:.*AdultSupersite/REJECT
Secrealasiguientelineaenelmain.cf
body_checks=regexp:/etc/postfix/body_checks
Luegosecreaelarchivobody_checks
Resolucin de Problemas 21
#Hayunaseriedemtodosespecficosparafiltrarlosarchivosadjuntos.
#Porfavor,elijaunaolosquemejorseadapteasusnecesidades,ycomenteelresto.
/(filename|name)=".*(asd|bat|chm|com|dll|exe|hta|lnk|js|jse|ocx|pif|scr|shb|shm|shs|vb|vbe|vbs|vxd|wsf|wsh)"/
REJECT
/(filename|name)=".*\.(asd|bat|chm|com|dll|exe|hta|lnk|js|jse|ocx|pif|scr|shb|shm|shs|vb|vbe|vbs|vxd|wsf|wsh)"/
REJECT
/(filename|name)=([AZ,az,09]*)\.(asd|bat|chm|com|dll|exe|hta|lnk|js|jse|ocx|pif|scr|shb|shm|shs|vb|vbe|vbs|vxd|
wsf|wsh)/REJECT
/(filename|name)="template.htm"/REJECT
#Loquesigueesunalistaenordenalfabticodelcontenidodelcuerpoqueharqueunmensajedecorreo
electrnicosearechazado.
/0BusinessFaxNumbers/REJECT
/1[\]TimeMailling/REJECT
/30daymoneybackguarantee/REJECT
#EstoparalorecibidodesdeConnectix
/AFriendOfYoursHasEnteredYourNameIntoOur/REJECT
Cuotasdecorreo
LasCuotaslimitanelespaciodeldiscoduroparalosusuariosygrupos,lascuotassiempreseaplicanenunfile
system/particin.
Lascuotassonposiblessobrebloquesytambinsobreinodos.
Areasdeutilizacin:
fileserver
mailserver
FTPserver
Resolucin de Problemas 22
Editar/etc/fstab,reemplacedefaultspor(oagrega)usrquota,grpquotaalfilesystemapropiado
/dev/hda6 /home ext3 defaults,usrquota,grpquota 12
/dev/hda4 /var ext3 usrquota,grpquota 12
Volveramontarelfilesystem
mountoremount/home
Inicializaelsystemadequota
quotacheckavug
aChequeatodoslosfilesystemmontados
uusuario
ggrupo
vChequearsielarchivoaquota.useryaquota.groupestancreadosenelpuntodemontajeapropiado
Iniciaelserviciodecuotaparaelfilesystem
/usr/sbin/quotaon/home
sisequieredetenerelservicioparaelfilesystem
/usr/sbin/quotaoff/home
Editalasquotasusandoedquota
edquotauuser1

edquotaggroup1
Elformatoes:
filesystemblocksofthardinodessofthard
edquotatEditaelperiododegracia
edquotapCopialaquotadeunusuario
edquotapuser1user2
Informacinsobreescrituradelasquotasusadas
repquotaaug
Resolucin de Problemas 23
Instalarspamassassingamavisdnew
EstaversindeAMaViS(AMailVirusScanner)sediferenciadelaanteriorenquerecogeelcorreodesdeun
puertodelservidordecorreoylodevuelveaotropuerto,ademsdequesabeusarSpamAssassin.
LoquehayqueconseguiresquePostfixenveelcorreoaestepuertoantesdehacerlaentrega.
Luego,amavisdnewdevuelveelmensajeaPostfixyestehacelaentregadefinitiva.
Modificar/etc/postfix/master.cfyaadir,alfinal:
amavissmtpunix y 2 smtp
osmtp_data_done_timeout=1200s
osmtp_never_send_ehlo=yes
odisable_dns_lookups=yes
localhost:10025inet n y smtpd
ocontent_filter=
olocal_recipient_maps=
osmtpd_helo_restrictions=
osmtpd_client_restrictions=
osmtpd_sender_restrictions=
osmtpd_recipient_restrictions=permit_mynetworks,reject
omynetworks=127.0.0.0/8
Modificar/etc/postfix/main.cfyaadir:
content_filter=amavissmtp:localhost:10024
Modificar/etc/amavis/amavisd.conf
Loscambiosenesteficherodeconfiguracinsonbastantetrivialesysebasacasiexclusivamenteendescomentar
algunaslneas,comentarotrasyalgnqueotrocambio.Paraelquequieratenerelcontroldelasituaciny
ajustarloasusnecesidades,sloalgunasindicaciones:
Ladireccindecorreodeladministrador(despamsodevirus)debesercompleta,osea,coneldominioincluido.
Laarrobadeladireccinsedebeindicarcomo\@(p.e.spam\@dominio.com).
Resolucin de Problemas 24
Sinoseusaanlisisvricodelosmensajes,sedebencomentartodaslaslneasenlascualeshacereferencia.Aqu
seasumequesehacreadounacuentallamadaspamqueserlaquerecogertodoslosmensajesclasificados
comotal.Yparaelmsprctico.Sedebecambiar"dominio.com"poreldominiocorrecto.
Envi:
:%s/dominio.com/minombrededominio.org/g
Estearchivodeconfiguracinenvatodoslosmensajesdespamaunanicacuentadecorreo.
Losusuariosnorecibirnestosmensajesenningnmomento.Paraqueseaelusuarioelquecontrolesusspams
estearchivonosirveyhayqueenviarloamano.Luegoiniciamoslosservicios.
vmpop3d
Sedebeagregarlalinea
virtual_maps=hash:/etc/postfix/virtualenelarchivomain.cf
Luegoenelarchivovirtual
usuario@test.clusuario.test.cl
usuario@dominio.clusuario.dominio.cl
creamosen/var/spool/virtualeldirectoriodeldominio
mkdir/var/spool/virtual/test.cl
modificamosel/etc/aliases
usuario.test.cl: /var/spool/virtual/test.cl/usuario
usuario.dominio.cl: /var/spool/virtual/dominio.cl/usuario
ejecutamospostalias
luegocreamosen/etc/virtualeldirectoriodeldominioquevaacontenerlaspassworddeesosusuarios
mkdir/etc/virtual/test.cl
Entramosaldirectorioyluegocreamoslapassperl
cd/etc/virtual/test.cl
/etc/postfix/pop_pass.plusuario>>passwdclave
Resolucin de Problemas 25
Elprogramapop_pass.pl
#!/usr/bin/perl
#pop_passwdusernamepassword>>passwordfile
$name=$ARGV[0];
@salt_chars=('a'..'z','A'..'Z','0'..'9');
$salt=$salt_chars[rand(62)].$salt_chars[rand(62)];
$passwd=crypt($ARGV[1],$salt);
print"$name:$passwd\n";
Resolucin de Problemas 26
Apuntes:
Resolucin de Problemas 27
UNIDAD 4
APACHE
Resolucin de Problemas 28
ConfiguracindelServidorSeguroApacheHTTP
Elmdulomod_sslesunmdulodeseguridadparaelServidorApacheHTTP.
Elmdulomod_sslusalasherramientasproporcionadasporelProyectoOpenSSLparaaadirunacaracterstica
muyimportantealServidorApacheHTTPlahabilidaddetenercomunicacionesencriptadas.Encontraste,
usandoHTTPnormal,lascomunicacionesentreelnavegadoryelservidorWebsonenviadasentextoplano,lo
cualpuedeserinterceptadoyledoporalgunapersonanoautorizada.
Elarchivodeconfiguracinmod_sslestubicadoen/etc/httpd/conf.d/ssl.conf.
Paraqueestearchivoseacargado,yporendeparaquemod_sslfuncione,debetenerlasentenciaInclude
conf.d/*.confen/etc/httpd/conf/httpd.conf
Paraactivarelservidorseguro,necesita,comomnimo,tenerinstaladoslossiguientestrespaquetes:
httpd
Elpaquetehttpdcontieneeldemoniohttpdyotrasutilidadesrelacionadas,archivosdeconfiguracin,
iconos,ServidorApacheHTTPmdulos,pginasdemanualyotrosarchivosutilizadosporServidor
ApacheHTTP.
mod_ssl
Elpaquetemod_sslincluyeelmdulomod_ssl,queproporcionacriptografafuerteparaelservidorweb
ServidorApacheHTTPatravsdelosprotocolosSSL,SecureSocketsLayeryTLS,TransportLayer
Security.
openssl
ElpaqueteopensslcontieneelconjuntodeherramientasdeOpenSSL.Elconjuntodeherramientasde
OpenSSLimplementalosprotocolosSSLyTLSytambinincluyeunalibreracriptogrficadepropsito
general.
Suservidorproporcionaseguridadusandounacombinacindelprotocolo:
SSLSecureSocketsLayery(enlamayoradeloscasos)uncertificadodigitaldeunaAutoridadde
Certificacin(CA).SSLmanejalascomunicacionesencriptadasylamutuaautentificacinentrenavegadoresy
suservidorseguro.
ElcertificadodigitalaprobadoporunaCAproporcionaautentificacinparasuservidorseguro(elCAponesu
reputacindetrsdelacertificacindelaidentidaddesuorganizacin).
Resolucin de Problemas 29
CuandosunavegadorseestcomunicandousandolaencriptacinSSL,verelprefijo
https://alprincipiodelaURL(LocalizadordeRecursosUniformeladireccindeinternet)enlabarrade
navegacin.
Laencriptacindependedelusodeclaves(imagnesecomoanilloscodificador/decodificadorenformatode
datos).
Encriptografaconvencionalosimtrica,ambaspartesdelatransaccintienenlamismaclave,lacualusanpara
decodificarlatransmisindelotro.
Encriptografapblicaoasimtrica,coexistendosclaves:unapblicayunaprivada.Unapersonaouna
organizacinguardasuclaveprivadaensecreto,ypublicasuclavepblica.
Losdatoscodificadosconlallavepblicaslopuedenserdecodificadosconlaclaveprivada;ylosdatos
codificadosconlaclaveprivadaslopuedenserdecodificadosconlallavepblica.
Paraconfigurarsuservidorseguro,usarcriptografapblicaparacrearunpardeclavespblicayprivada.
Enmuchoscasos,enviarsupeticindecertificado(incluyendosuclavepblica),demostrandolaidentidadde
sucompaaypagoalaCA.LaCAverificarlapeticindelcertificadoysuidentidad,yentoncesmandarun
certificadoparasuservidorseguro.
Unservidorsegurousauncertificadoparaidentificarseasmismoalosnavegadoresweb.Puedegenerarsu
propiocertificado(llamadocertificadoautofirmado)opuedeconseguirlodeunaAutoridaddeCertificacino
CA.UncertificadodeunaCAconbuenareputacingarantizaqueunsitiowebestasociadoaunacompaau
organizacinparticular.
Alternativamente,puedecrearsupropiocertificadoautofirmado.Note,sinembargo,queestoscertificados
autofirmadosnodebenserusadosenmuchosentornosdeproduccin.Dichoscertificadospuedennoser
aceptadosautomticamenteporelnavegadordeunusuarioelusuarioserpreguntadoporelnavegadorsi
quiereaceptarelcertificadoycrearlaconexinsegura.
UnavezquetengauncertificadoautofirmadoofirmadoporlaCAdesueleccin,necesitarinstalarloensu
servidorseguro.
Usodeclavesycertificadospreexistentes
SiestcambiandosudireccinIPosunombrededominioNopodrusarsuviejaclaveycertificadosi
estcambiandoladireccinIPoelnombrededominio.Loscertificadosseemitenparaunparconcretode
direccinIPynombrededominio.Necesitarunnuevocertificadosiloscambia.
SitieneuncertificadodeVeriSignyestcambiandoelsoftwaredesuservidorVeriSignesunCA
ampliamenteusado.SiyatieneuncertificadoVeriSignparaotropropsito,puedeestarconsiderandousarsu
Resolucin de Problemas 30
certificadoVeriSignexistenteconsunuevoservidorseguro.Sinembargo,nopodrhacerlo,yaquelos
certificadosVeriSignseemitenparaunsoftwareservidordeterminadoyunacombinacindedireccinIPy
nombrededominio.
Sicambiaunodeestosparmetros(porejemplo,sipreviamentehausadootroproductodeservidorweb
seguro,elcertificadoVeriSignqueobtuvoparausarconlaconfiguracinprevia,nofuncionarconla
nuevaconfiguracin.Necesitarobtenerunnuevocertificado.
Siyatieneunaclaveyuncertificadoexistentequequierausar,notendrquegenerarunanuevaclaveni
obtenerunnuevocertificado.Sinembargo,necesitarmoveryrenombrarlosarchivosquecontienensuclavey
sucertificado.
Muevasuarchivodeclavesexistentea:
/etc/httpd/conf/ssl.key/server.key
Muevasuarchivodecertificadoexistentea:
/etc/httpd/conf/ssl.crt/server.crt
Despusdehabermovidosuclaveysucertificado,
Tiposdecertificados
Necesitaunaclaveyuncertificadoparaoperarsuservidorsegurolocualsignificaquepuedegenerar
uncertificadoautofirmadooadquirirunofirmadoporunaCA.Culessonlasdiferenciasentrelosdos?
UncertificadofirmadoporunaCAproporcionadosimportantescapacidadesparasuservidor:
Losnavegadores(normalmente)reconocenautomticamenteelcertificadoypermitenestablecerla
conexinsegurasinpreguntaralusuario.
CuandounaCAemiteuncertificadofirmado,ellosgarantizanlaidentidaddelaorganizacinqueest
proporcionandolaspginaswebalnavegador.
Siasuservidorseguroestsiendoaccesadoportodoelmundo,necesitaruncertificadofirmadoporunaCA,as
lagentequeaccedaasusitiowebsabrquedichositioespropiedaddelaorganizacinqueproclamaserla
duea.Antesdefirmaruncertificado,unaCAverificaquelaorganizacinpeticionariadedichocertificadoes
realmentequienproclamaser.
MuchosnavegadoreswebquesoportanSSLtienenunalistadeCAscuyoscertificadosadmitenautomticamente.

Resolucin de Problemas 31
NOTA:SielnavegadorencuentrauncertificadoautorizadoporunaCAquenoestenlalista,elnavegador
preguntaralusuariosideseaaceptarorechazarlaconexin.
Puedegeneraruncertificadoautofirmadoparasuservidorseguro,perotengaclaroquedichocertificadono
proporcionalamismafuncionalidadqueunofirmadoporunaCA.Uncertificadoautofirmadonoserreconocido
automticamenteporlosnavegadoresdelosusuarios,ademsdenoproporcionarningunagarantaconcernientea
laidentidaddelaorganizacinqueproveeelsitioweb.
UncertificadofirmadoporunaCAproporcionaambasimportantescaractersticasaunservidorseguro.Sisu
servidorseguroserusadoenunambientedeproduccin,probablementenecesiteuncertificadofirmadoporuna
CA.
ElprocesoparaconseguiruncertificadodeunaCAesbastantesencillo.Acontinuacinunvistazorpido
adichoproceso:
1. Crearunpardeclavesencriptadas,pblicayprivada.
2. Crearunapeticindecertificadobasadaenlaclavepblica.Lapeticincontieneinformacinsobresu
servidorylacompaaquelohospeda.
3. Mandelapeticindecertificado,juntoconlosdocumentosquepruebensuidentidad,aunaCA.Nole
diremosquAutoridaddeCertificacinelegir.Sueleccinpuedebasarseenexperienciasprevias,
experienciasdesusamigosoconocidososimplementeenfactoresmonetarios.
UnavezquehayadecididosobreelCA,necesitarseguirlasinstruccionesqueseleindiquenparaobtenerun
certificado.
4. CuandolaCAestsatisfechadequeustedesenrealidadquindiceser,leenviarnsucertificadodigital.
5. Instaleestecertificadoensuservidorseguroycomienceamanejartransaccionesseguras.
SiestconsiguiendouncertificadodeunaCAogenerandosupropiocertificadoautofirmado,elprimerpasoes
generarunaclave
Generarunaclave
Tienequeserrootparagenerarunaclave.
Primero,cmbiesealdirectorio/etc/httpd/conf.Eliminelaclaveyelcertificadosimuladosquesegeneraron
durantelainstalacinconlossiguientescomandos:
rmssl.key/server.key
rmssl.crt/server.crt
Resolucin de Problemas 32
Acontinuacin,necesitacrearsupropiaclavealeatoria.Cambiealdirectorio/usr/share/ssl/certsyescribael
comandosiguiente:
makegenkey
Susistemamostrarunmensajesimilaralsiguiente:
umask77;\
/usr/bin/opensslgenrsades31024>/etc/httpd/conf/ssl.key/server.key
GeneratingRSAprivatekey,1024bitlongmodulus
.......++++++
................................................................++++++
eis65537(0x10001)
EnterPEMpassphrase:
Necesitateclearunapalabradepaso.Paramayorseguridad,supalabradepasodebeincluir,almenos,ocho
caracteres,incluyendonmerosysmbolosdepuntuacin,ynoserunapalabraqueestincluidaenun
diccionario.Tambin,recuerdequesupalabradepasoessensiblealasmaysculas.
Nota
Necesitaracordarsedesupalabradepasoparapoderintroducirlacadavezque
iniciesuservidorWebseguro;asquenolaolvide.
Leserrequeridoquereintroduzcasucontrasea,paraverificarqueescorrecta.Unavezquelahaya
tecleadocorrectamente,sercreadounarchivollamado/etc/httpd/conf/ssl.key/server.key,quecontendr
dichaclave.
Observequesinoquiereteclearlapalabradepasocadavezquecomiencesuservidorseguro,necesitarusarlos
doscomandossiguientesenvezdemakegenkeyparacrearsuclave.
Utiliceelsiguientecomandoparacrearsuclave:
/usr/bin/opensslgenrsa1024>/etc/httpd/conf/ssl.key/server.key
Luego,utiliceelcomandosiguienteparaasegurarsequelospermisosdesuclaveestncorrectamenteasignados:
chmodgorwx/etc/httpd/conf/ssl.key/server.key
Resolucin de Problemas 33
Elarchivoserver.keydebeserpropiedaddelusuariorootdesusistemaynodebeseraccesiblepornadiems.
Hagaunacopiadeseguridaddedichoarchivoygurdelaenunlugarseguro.Necesitarlacopiadeseguridadpor
quesipierdeelarchivoserver.keydespusdehaberlousadoparacrearsucertificado,elsusodichocertificadono
funcionarmsylaCAnopodrayudarle.Sunicasolucinserpedir(yvolverapagarporello)unnuevo
certificado.
GenerarunapeticindecertificadoparaenviarlaaunCA
Unavezcreadalaclave,elsiguientepasoesgenerarlapeticindecertificadoquenecesitaremosenviaralCAde
nuestraeleccin.Asegresedeestareneldirectorio/usr/share/ssl/certsytecleeelsiguientecomando:
makecertreq
Susistemamostrarlasiguientesalidaylepreguntarporsucontrasea(amenosquedesactivaradichaopcin):
umask77;\
/usr/bin/opensslreqnewkey/etc/httpd/conf/ssl.key/server.key
out/etc/httpd/conf/ssl.csr/server.csr
Usingconfigurationfrom/usr/share/ssl/openssl.cnf
EnterPEMpassphrase:
Tecleelapalabradepasoqueeligicuandogenersuclave.Susistemamostraralgunasinstruccionesyle
requerirunaseriederespuestas.Dichasrespuestassernincorporadasalapeticindelcertificado.Lapantalla,
conrespuestasdeejemplo,sersimilaraesta:
Youareabouttobeaskedtoenterinformationthatwillbeincorporated
intoyourcertificaterequest.
WhatyouareabouttoenteriswhatiscalledaDistinguishedNameora
DN.
Therearequiteafewfieldsbutyoucanleavesomeblank
Forsomefieldstherewillbeadefaultvalue,
Ifyouenter'.',thefieldwillbeleftblank.

CountryName(2lettercode)[GB]:CL
StateorProvinceName(fullname)[Berkshire]:Valparaiso
LocalityName(eg,city)[Newbury]:Curauma
OrganizationName(eg,company)[MyCompanyLtd]:MiempresaLtda
OrganizationalUnitName(eg,section):Informatica
CommonName(yournameorserver'shostname):compu.ejemplo.cl
Resolucin de Problemas 34
EmailAddress:soporte@ejemplo.cl
Pleaseenterthefollowing'extra'attributes
tobesentwithyourcertificaterequest
Achallengepassword[]:
Anoptionalcompanyname[]:
Lasrespuestaspordefectoaparecernentrecorchetes[]inmediatamentedespusdecadapeticindeentrada.Por
ejemplo,laprimerainformacinrequeridaeselnombredelpasdndeelcertificadoserusado,parecidoa:
CountryName(2lettercode)[CL]:
Laentradapordefecto,entrecorchetes,esGB.Paraaceptarla,pulse,orellneconelcdigodedosletrasdesu
pas.
Tendrqueintroducirelrestodelasentradas.Todasestasentradassonautoexplicativas,peronecesitar
seguirestasdirectrices:
Noabrevielalocalidadoelestado.Escrbalasenteras(porejemplo,St.LouisdebeescribirsecomoSaint
Louis).
SiestmandandoestainformacindeunCSRaunCA,seacuidadosoenproporcionarlainformacin
correctaentodosloscampos,peroespecialmenteenelNombredelaOrganizacinyelNombrecomn.
LasCAsverificanlosdatosparadeterminarsisuorganizacinesresponsabledequinproporcioncomo
Nombrecomn.LasCAsrechazarnlaspeticionesqueincluyaninformacinqueellospercibancomo
invlida.
ParaNombrecomn,asegresequetecleaelverdaderonombredesuservidorWebseguro(unnombre
deDNSvlido)ynounaliasqueelservidortenga.
LaDireccinemaildebeserladelwebmasteroadministradordelsistema.
Evitecaracteresespecialescomo@,#,&,!,etc.AlgunasCAsrechazarnunapeticindecertificadoque
contengauncaracterespecial.As,sielnombredesucompaacontieneuna"y"comercial(&),
escrbalocomo"y"envezde"&".
Nouselosatributosextra(OtraContraseayNombreopcionaldelacompaa).Paracontinuarsin
introducirestoscampos,simplementepulseparaaceptarlosvaloresenblancopordefecto.
Elarchivo/etc/httpd/conf/ssl.csr/server.csrescreadocuandoterminedeintroducirsuinformacin.Estearchivo
essupeticindecertificado,listoparaenviarasuCA.
Resolucin de Problemas 35
DespusdehaberdecididounaCA,sigalasinstruccionesqueellosproporcionenensusitioweb.Estas
instruccionesledirncomomandarsupeticindecertificado,cualquierotradocumentacinqueellosrequieran,
ycomopagarles.
DespusdehabersatisfecholosrequisitosdelaCA,elloslemandarnuncertificadoparausted(normalmente
poremail).Guarde(ocopieypegue)elcertificadoquelemandencomo/etc/httpd/conf/ssl.crt/server.crt.
Asegresedehacerunacopiaderespaldo.
Creacindeuncertificadoautofirmado
Ustedpuedecrearsupropiocertificadoautofirmado.Porfavor,tengaencuentaqueuncertificadoautofirmado
noproporcionalasgarantasdeseguridadqueuncertificadofirmadoporunaCAsproporciona.
Siquierecrearsupropiocertificadoautofirmado,necesitarprimerocrearunaclavealeatoria
Unavezquetengalaclaveyqueseaseguredeestareneldirectorio/usr/share/ssl/certs,utiliceelsiguiente
comando:
maketestcert
Verlasiguientesalida,selepedirqueintroduzcasupalabradepaso(amenosquehayageneradounaclavesin
contrasea):
umask77;\
/usr/bin/opensslreqnewkey/etc/httpd/conf/ssl.key/server.key
x509days365out/etc/httpd/conf/ssl.crt/server.crt
Usingconfigurationfrom/usr/share/ssl/openssl.cnf
EnterPEMpassphrase:
Despusdequeintroduzcasucontrasea(osinlapeticin,sihacreadounaclavesinella),selepedirms
informacin.Lasalidadelordenadoryelconjuntodepeticionesserparecidoalsiguiente(necesitardarla
informacincorrectadesuorganizacinydesumquina):
Youareabouttobeaskedtoenterinformationthatwillbeincorporated
intoyourcertificaterequest.
WhatyouareabouttoenteriswhatiscalledaDistinguishedNameora
DN.
Therearequiteafewfieldsbutyoucanleavesomeblank
Forsomefieldstherewillbeadefaultvalue,
Ifyouenter'.',thefieldwillbeleftblank.
Resolucin de Problemas 36

CountryName(2lettercode)[GB]:CL
StateorProvinceName(fullname)[Berkshire]:Valparaiso
LocalityName(eg,city)[Newbury]:Curauma
OrganizationName(eg,company)[MyCompanyLtd]:MiEmpresaLtda.
OrganizationalUnitName(eg,section)[]:Informatica
CommonName(yournameorserver'shostname)[]:mcompu.ejemplo.cl
EmailAddress[]:soporte@ejemplo.cl
Despusqueproporcionelainformacincorrecta,uncertificadoautofirmadosercreadoycolocadoen
/etc/httpd/conf/ssl.crt/server.crt.Necesitarreiniciarsuservidorseguro,despusdegenerarelcertificado,conel
comando:
/sbin/servicehttpdrestart
Probarsucertificado
Paraprobarelcertificadoinstaladopordefecto,uncertificadodeunaCAouncertificadoautofirmado,apuntesu
navegadorWebalasiguientepginaweb(reemplazandoserver.example.comconelnombredesudominio):
https://compu.ejemplo.cl
Resolucin de Problemas 37
Apuntes:
Resolucin de Problemas 38
UNIDAD 5
SSH
Resolucin de Problemas 39
ConfiguracinsshFicherosdeconfiguracin.
/etc/ssh/sshd_config
Ficherocentraldeconfiguracindeldaemonsshd.
Procedimientos
Tomeeleditordetextodesupreferenciayedite/etc/ssh/sshd_config.
Acontinuacinanalizaremoslosparmetrosamodificar.
ListenAddress
PordefectoSSHDescucharpeticionesportodaslasinterfacesdelsistema.
Enalgunoscasosesposiblequenosedeseeestoyseprefieralimitarelaccesosoloatravsdeunainterfazque
solosepuedaaccederdesdelaredlocal.Paratalfinpuedeestablecerselosiguiente,considerandoqueelservidor
aconfigurarposeelaIP192.168.1.254:
ListenAddress192.168.1.254
PermitRootLogin
EsteparmetrosirveparaestablecersisevaapermitirelaccesodirectodelusuariorootalservidorSSH.Siseva
apermitirelaccesohaciaelservidordesderedespblicas,resultarprudenteutilizaresteparmetroconelvalor
no.
PermitRootLoginno
X11Forwarding
Esteparmetroestablecesisepermiteonolaejecucinremotadeaplicacionesgrficas.Sisevaaaccederhacia
elservidordesderedlocal,esteparmetropuedequedarseconelvaloryes.
Sisevaapermitirelaccesohaciaelservidordesderedespblicas,resultarprudente
utilizaresteparmetroconelvalorno.
X11Forwardingyes
Resolucin de Problemas 40
Aplicandoloscambios.
Sshdpuedeinicializarse,detenerseoreinicializarseatravsdeunguinsimilaralosdelrestodelsistema.De
modotal,podrinicializarse,detenerseoreinicializarseatravsdelmandatoserviceyaadirsealarranquedel
sistemaenunnivelonivelesdecorridaenparticularconelmandatochkconfig.
Paraejecutarporprimeravezelservicio,
ejecute:
/sbin/servicesshdstart
Parahacerqueloscambioshechosalaconfiguracinsurtanefecto,ejecute:
/sbin/servicesshdrestart
Paradetenereldemonio
ejecute:
/sbin/servicesshdstop
Pordefectosshdestincluidoentodoslosnivelesdecorridaconserviciodered.
ParadeshabilitarelservicioSshddelosnivelesdecorrida2,3,4y5,
ejecute:/sbin/chkconfiglevel2345sshdoff
ProbandoOpenSSH.
Accesoporshell.Paraaccederatravsdeshellhaciaelservidor,bastaconejecutardesdeelsistemaclienteel
mandatosshdefiniendoelusuarioautilizaryelservidoralcualconectar:
sshusuario@servidor
AccesoporSFTPOpenSSHincluyeademsunservidordearchivosenmodoseguroquepermitesustituirlas
transferenciasatravsdeprotocoloFTP,elcualenvatodoslosdatosentextosimple.Paraaccederatravsde
SFTPhaciaelservidor,bastaconejecutardesdeelsistemaclienteelmandatosftpdefiniendoelusuarioautilizar
yelservidoralcualconectar:
sftpusuario@servidor
ElshellescasiidnticoaldeFTPytienelasmismasfuncionalidades.
SCPscpusuario@servidor:/ruta/archivodestino
scp/destinousuario@servidor:/ruta/archivo
Resolucin de Problemas 41
sshreverso
Estopermiteabrirunaconexinremotaparaquepuedasertomadadesdelamaquinadestino.
Bueno,yquepasasilamaquinaalaquequeremosaccederestadetrsdeunfirewallynopodemosllegarsu
puerto22?
SupongamosmaquinaAquequiereconectarconunamaquinaBqueestatrasunfirewallconunapolticaDROP
paratodoloqueentrayunapolticaACCEPTparatodoloquesale.
EnuncasoasAnoveralospuertosdeBporloquenopuedeserellaquieninicielaconexin.
LamaquinaBsipuedeverlospuertosdeAporloquehadeserellaquieninicielaconexinperoquiererecibir
ordenesdeAnoenvirselas.
SiejecutamosenB:
sshR2222:localhost:22fNusuario@maquina
UnusuarioenApodriniciarunasesinconBeludiendolarestriccindelfirewalldeestaforma:
sshusuario@localhostp2222
Resolucin de Problemas 42
Apuntes:
Resolucin de Problemas 43