Académique Documents
Professionnel Documents
Culture Documents
GRUPO: A
ndice
Pg.
Configuracin del dns ...................................................................................................................... 3 Servidor de correo ............................................................................................................................ 8 Servidor ftp ...................................................................................................................................... 16 CMS .................................................................................................................................................. 19 Comenzando la instalacin de joomla 2.5 .................................................................................. 26 Configuracin de servidor DHCP................................................................................................. 32 Configuracin de servidor samba ................................................................................................ 36 Configuracin del SSH. ................................................................................................................. 42 Configuracin del servidor RADIUS ............................................................................................ 45 Manual de http con virtualizacin con host ................................................................................ 48 Configuracin bsica de squid ..................................................................................................... 51
Maestritos
Pgina 2
/var/named/chroot/var/named/$f ./ Al termino de esto te debe de aparecer esto para que nosotros sepamos que la instalacin fue correcta done
Maestritos Pgina 3
4.- Despus de esto vamos a la siguiente ruta para continuar con la generacin de llaves cd /etc for f in named.* rndc.key do mv $f /var/named/chroot/etc/ ln -s /var/named/chroot/etc/$f ./ done 5.- Los siguientes comandos nos van a servir para darles permiso al nuestros servidor de nombre de dominio. cd /root setsebool -P named_write_master_zones 1 chcon -u system_u -r object_r -t named_conf_t /var/named/chroot/etc/named.conf 6.- Despus de haber hecho todo esto procedemos a abrirel Puerto donde se va comunicar nuestro dns normalmente se comunica en el puerto 53 tanto tcp como udp tambin abrimos el puerto 80 para visualizar la pgina web. Utilizando el nombre de dominio. iptables -I INPUT -p tcp --dport 53 -j ACCEPT iptables -I INPUT -p udp --dport 53 -j ACCEPT iptables -I INPUT -p tcp --dport 80 -j ACCEPT 7.- Para verificar nuestro dominio solo hay que teclear la siguiente linea de comando vim /etc/resolv.conf y nos deber aparecer como esto.
8.- Despus de haber hecho lo anterior procederemos a configurar nuestros zonas para eso tenemos que teclear el siguiente comando.
Maestritos Pgina 4
Vim /var/named/chroot/etc/named.conf
options { directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; forwarders { 200.33.146.209; 200.33.146.216; 8.8.8.8; 8.8.4.4; }; forward first; }; include "/etc/rndc.key"; logging { channel default_debug { file "data/named.run"; severity dynamic; }; }; controls { inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndc-key"; }; }; view "local" { match-clients { 127.0.0.0/8; // 10.0.0.0/8; 172.16.0.0/16; // 192.168.0.0/16; }; recursion yes; include "/etc/named.rfc1912.zones"; zone "." IN { type hint; file "named.ca"; }; zone "intranet.com" { type master; file "data/intranet.com.zone"; allow-update { none; }; }; zone "20.16.172.in-addr.arpa" { type master; file "data/20.16.172.in-addr.arpa.zone"; allow-update { none; }; }; Maestritos Pgina 5
}; view "public" { match-clients { any; }; recursion no; zone "." IN { type hint; file "named.ca"; }; zone "maestritos.com" { type master; file "data/maestritos.com.zone"; allow-update { none; }; }; zone "100.16.172.in-addr.arpa" { type master; file "data/100.16.172.in-addr.arpa.zone"; allow-update { none; }; };
}; 9.- Ahora vamos a configurar las Zona de reenvo de intranet o red local para poder
configurar el archivo tecleamos el siguiente comando
Vim /var/named/chroot/var/named/data/intranet.com.
$TTL 86400 @ IN SOA dns.intranet.com. maestritos.hotmail.com. ( 2009091001; nmero de serie 28800 ; tiempo de refresco 7200 ; tiempo entre reintentos de consulta 604800 ; tiempo tras el cual expira la zona 86400 ; tiempo total de vida ) IN NS dns.intranet.com. IN MX 10 mail IN TXT "v=spf1 a mx -all" IN A 172.16.20.1 IN A 172.16.20.1 IN A 172.16.20.1 IN A 172.16.20.1 IN CNAME intranet IN CNAME intranet
10.- Ahora vamos a configurar la Zona de resolucin inversa intranet o red local
$TTL 86400 @ IN SOA dns.intranet.com. maestritos.hptmail.com. ( 2009091001 ; nmero de serie 28800 ; tiempo de refresco 7200 ; tiempo entre reintentos de consulta 604800 ; tiempo tras el cual expira la zona 86400 ; tiempo total de vida ) IN NS dn.intranet.com. PTR servidor intranet.com.
@ 1
IN
Maestritos
Pgina 6
11. Ahora configuraremos este archivo de Zona de reenvo de maestritos.com este archivo va a ser la pblica es para que lo nuestro servidor DNS tenga salida a internet a para que los clientes del exterior puedan entrar con el nombre del dominio. Vim /var/named/chroot/var/named/data/maestritos.com.zone
$TTL 86400 @
IN SOA dn.maestritos. maestritos.hotmail.com. ( 2009091001; nmero de serie 28800 ; tiempo de refresco 7200 ; tiempo entre reintentos de consulta 604800 ; tiempo tras el cual expira la zona 86400 ; tiempo total de vida ) IN NS dn.maestritos.com IN MX 10 mail IN TXT "v=spf1 a mx -all" IN A 172.16.100.212 IN A 172.16.100.212 IN A 172.16.100.212 IN A 172.16.100.212 IN CNAME servidor IN CNAME servidor
12.-Como la anterior vamos a configurar nuestra zona de resolucin inversa de mestritos.com para poder configurarlo hay comando
Vim /var/named/chroot/var/named/data/100.16.172.in-addr.arpa.zone
$TTL 86400 @
@ 1
IN
IN SOA dn.maestritos.com. mestritos.hotmail.com. ( 2009091001 ; nmero de serie 28800 ; tiempo de refresco 7200 ; tiempo entre reintentos de consulta 604800 ; tiempo tras el cual expira la zona 86400 ; tiempo total de vida ) IN NS fqdn.dominio.tld. PTR servidor.mestritos.com.
13 para iniciar nuestro servicio DNS tecleamos lo siguiente Service named start 14.- para que arranque cuando inicia el nuestro servidor Chkconfig names on
Maestritos Pgina 7
Servidor de correo
1. - yum -y install sendmail sendmail-cf dovecot m4 make 2.-yum y install cyrus-sasl cyrus-sasl-plain Nota: Si acaso estuviese instalado, elimine el paquete cyrus-saslgssapi y cyrus-sasl-md5. Con este comando se elimina el paquete antes mencionado yum remove cyrus-sasl-gssapi cyrus-sasl-md5 3.- alternatives --config mta Nota: Se utiliza para ver qu programa utilizar para nuestro servidor de correo
4.- Este comando se utiliza para que nuestro servicio de correo corra cuando inicia el sistema chkconfig saslauthd on 5.- este conando nos va a servir para iniciar nuestro servicio service saslauthd 6.- para poder utilizar nuestro servidor de correo debemos de crear dos usuarios para realizar las pruebas, para crear nuestros usuarios se utiliza el siguiente comando.
8.- Despus de haber aadido la r reiniciamos nuestro servicio. service saslauthd restart
9.- Establezca los dominios locales que sern administrados.
vim /etc/mail/local-host-names
mestritos.com
10.- Establezca los nombres de los dominios que tendrn permitido re- transmitir correo electrnico desde el servidor
vim /etc/mail/relay-domains
maestritos.com
Connect: 172.16.100.212
RELAY
Si se desea utilizar listas negras para mitigar el correo chatarra (spam), pueden aadir la siguiente lnea para definir la lista negra de SpamCop.net.
Maestritos
Pgina 10
15.- Despus de haber des comentado las lneas antes mencionada hay que reiniciar el servicio sendmail .
18 . vim /etc/dovecot/conf.d/10-auth.conf
Descomente la siguiente line a De modo predeterminado Dovecot slo permite autenticar con texto simple sin SSL/TLS desde el anfitrin local
disable_plaintext_auth = no
19 Terminando eso hay ke reinicirar nuestro dovecot chkconfig dovecot on service dovecot start
Maestritos
Pgina 11
.20.- para que nuestro servidor de correo pueda comunicarse con un cliente es necesario abrir los siguientes puertos. iptables I INPUT p tcp --dport 25 j ACCEPT iptables I INPUT p tcp --dport 110 j ACCEPT iptables I INPUT p tcp --dport 143 j ACCEPT iptables I INPUT p tcp --dport 465 j ACCEPT iptables I INPUT p tcp --dport 587 j ACCEPT iptables I INPUT p tcp --dport 993 j ACCEPT iptables I INPUT p tcp dport 995 j ACCEPT
21.- despues de haber echo reiniciamos nuestro iptables service iptables save service iptables restart
Instalacin y configuracin de SquirrelMail SquirrelMail es un interesante, extensible, funcional y robusto software para correo y que permite acceder al usuario a su correo electrnico desde el navegador de su predileccin, 1.- Descargu el software squirrelmail-1.4.22-1.el6.noarch.rpm 2.- Una vez descargada el paquete precedermos a Instalarlo.
yum -y install squirrelmail httpd
3.- Cambie al directorio /usr/share/squirrelmail/config/ y ejecute el guin de configuracin que se encuentra en el interior:
cd /usr/share/squirrelmail/config/ ./conf.pl
Lo anterior le devolver una interfaz de texto muy simple de utilizar, como la mostrada a continuacin:
Maestritos
Pgina 12
empresa, el logotipo y sus dimensiones, El mensaje en la barra de ttulo de la ventana del navegador, el idioma a utilizar, URL y el ttulo de la pgina principal del servidor de red.
Maestritos
Pgina 13
5.- En las opciones de servidores defina solamente el dominio a utilizar. Si el servidor de correo va a coexistir en el mismo sistema con el servidor HTTP, no har falta modificar ms en esta seccin. Si lo desea, puede especificar otro servidor SMTP e IMAP localizados en otro equipo
6.- En las opciones de las carpetas cambie Trash por Papelera, Sent por Enviados y Drafts por Borradores.
Maestritos
Pgina 14
7.- Finalmente escoja y habilite las extensiones (plug-ins) que considere apropiados para sus necesidades:
Finalizando configuracin El servicio se agrega al arranque del sistema y se inicializa del siguiente modo:
/sbin/chkconfig dovecot on
Maestritos
Pgina 15
Servidor ftp
1.- Si utiliza CentOS, Fedora o Red Ha Enterprise Linux, ejecute lo siguiente desde una terminal: yum -y install vsftpd 2.- Para iniciar por primera vez el servicio vsftpd, ejecute el siguiente mandato: service vsftpd start 3.- Para reiniciar el servicio vsftpd o bien hacer que los cambios hechos a la configuracin surtan efecto, ejecute el siguiente mandato: service vsftpd restart 4.- Para detener el servicio vsftpd, ejecute el siguiente mandato: service vsftpd stop 5.- Para hacer que el servicio de vsftpd est activo con el siguiente inicio del sistema, en todos los niveles de ejecucin (2, 3, 4 y 5), se utiliza lo siguiente: chkconfig vsftpd on 6.- Para permitir que el servidor FTP pueda asociarse a cualquier puerto sin reservar al funcionar en modo pasivo, ejecute el siguiente mandato: setsebool -P ftpd_use_passive_mode 1 7.- Para permitir que los usuarios annimos puedan realizar procesos de escritura sobre el sistema de archivos, ejecute el siguiente mandato: setsebool -P allow_ftpd_anon_write 1 8.- Si se necesita permitir el acceso utilizando las cuentas de usuarios del anfitrin local, a fin de que stos puedan acceder a sus directorio de inicio, se debe habilitar la poltica ftp_home_dir: setsebool -P ftp_home_dir 1 9.- Para permitir que el servicio vsftpd pueda hacer uso de sistemas de archivos remotos a travs de CIFS (Samba) o NFS y que sern utilizados para compartir a travs del servicio, ejecute cualquiera de los siguientes mandatos: setsebool -P allow_ftpd_use_cifs 1 setsebool -P allow_ftpd_use_nfs 1 10.- procedemos a modificar el archivo de vsftpd.Conf Vim /etc/vsftpd/vsftpd.conf.
Maestritos Pgina 16
13.- Cambiamos o agregamos las siguientes variables segn sea el caso. Nota: Si los directorios que se sealan estn comentados, es necesario descomentarlos o en su caso aadir los que sean necesarios para el ptimo funcionamiento del servicio FTP anonymous_enable=NO #acceso aninimo al servidor local enable =YES #usuarios autenticados write_eanble =NO #permiso de escritura local_umask=664 #permiso de scritura y lectura para le propietario anon_upload_ebable=NO #permiso para subir datos ala servidor anon _mkdir_write_enable # permitir crear directorios vsftpd_banner= Bienvenido al servidor activar mensaje de bienvenida
Recluir al usuario solamente a su directorio personal o chroot_local_user=YES o chroot_list_enable=YES o chroot_list_file=/etc/vsftpd/vsftpd.chroot_list Aadir los siguientes directorios anon_max_rate=5120 local_max_rate=5120 max_clients=5 max_per_ip=5
para guardar cambios utilizamos ele siguiente comando Esc:x 11.- Creamos el siguinte archive touch /etc/vsftpd/vsftpd.chroot_list 12.- vim /etc/sysconfig/selinux Cambiar el commando: SELINUX = enforcing por SELINUX= disabled 13.- Configuracin del fichero chroot_list vim /etc/vsftpd/vsftpd.chroot_list felix mestritos Luis Esc:x 14 reiniciamos el servicio no nos deber de marcar ningn error
Maestritos Pgina 17
service vsftpd start chkconfig vsftpd on service vsftpd status 15.- Crear usuarios para ftp. mkdir p /home/ftp adduser d /home/ftp/maestritos s /sbin/nologin mestritos 16.- Para entrar al ftp solo teclear ftp://ftp.mestritos..com Los archivos a descargar se colocan en la carpeta FTP /var/ftp/
Maestritos
Pgina 18
CMS
Un CMS (es un Sistema de Gestin de Contenidos), un sistema de software para ordenador que permite organizar y facilitar la creacin de documentos y otros contenidos de un modo cooperativo.
Joomla:
Es un Sistema de Gestin de Contenidos (CMS) reconocido
mundialmente, que le ayuda a construir sitios web y otras aplicaciones en lnea potentes. Lo mejor de todo, es que Joomla es una solucin de cdigo abierto y est disponible libremente para cualquiera que desee utilizarlo. Joomla para Usuarios Finales Los archivos principales descargarse en: de la distribucin de Joomla pueden
(en
espaol)
ingls)
Maestritos
Pgina 19
Caractersticas: El paquete est diseado para ser instalado fcilmente, no es necesario ser un programador.
Una vez que se ha instalado y configurado Joomla, resulta muy sencillo para usuarios sin conocimientos tcnicos el aadir o editar contenido, subir imgenes, y gestionar los datos principales de su compaa u organizacin. Cualquiera con conocimientos sobre un procesador de palabras bsico puede aprender fcilmente a gestionar un sitio Joomla. Mediante un navegador web ser capaz de publicar fcilmente artculos o noticias, gestionar pginas de personal, listados de trabajo, imgenes de productos, y crear una cantidad contenido en su sitio web. Joomla puede utilizarse con los principales navegadores web, ilimitada de secciones o pginas de
incluyendo: Firefox, Internet Explorer, Google Chrome, Opera etc. Estos navegadores se aprovechan de la interfaz Administrativa de Joomla.
Usuarios de Joomla
Un Usuario de Joomla tiene una serie de permisos predefinidos, es decir las tareas que puede realizar. Por eso, en el contexto de gestin de un sitio
web, dependiendo del modo en que el propietario del sitio quiera delegar las responsabilidades, se definirn unos u otros tipos de usuarios Joomla. Por ejemplo: Sper Administrador: un propietario puede tener a una nica persona administrando todos los aspectos del sitio web. En este caso se creara un usuario Sper Administrador que es el encargado de mantener el diseo
Maestritos Pgina 20
Maestritos
Pgina 21
Cuenta de Autor: En otro caso, un propietario puede querer tener el control sobre la publicacin del Contenido creado por otro y que las tareas de Administracin sean responsabilidad de una persona diferente. En este caso, se creara una cuenta de Autor para la creacin de contenidos.
Maestritos
Pgina 22
Funcionamiento
El funcionamiento de Joomla se lleva a cabo gracias a sus dos principales elementos: 1. La base de datos Mysql: all es donde se guarda toda la informacin y la mayor parte de la configuracin del sistema, de una forma ordenada y en distintas tablas, las cuales cada una de ellas almacena informacin especfica y determinada. 2. 3. Un sistema de archivos PHP: son los que ejecutan las acciones de consulta y realizan modificaciones en la base de datos convirtiendo los datos en simples pginas web interpretables por los navegadores de Internet (Browsers) y perfectamente inteligibles para los usuarios
navegantes y administradores.
Existen tambin otro tipo de archivos que realizan importantes tareas dentro de Joomla (archivos XML, scripts Javascript JS, CSS, etc), pero el motor fundamental de todo CMS (y de Joomla en particular) son los dos enunciados anteriormente.
Verificar que el servicio mysql est instalado y sino teclear yum -y install mysql mysql-server
Maestritos
Pgina 23
Una vez instalado mysql procedemos a abrir el puerto por el cual escucha y en el cual se harn peticiones que es con el siguiente comando:
Enseguida teclear los siguientes dos comandos para dar acceso a las conexiones de mysql con joomla
Una vez iniciado mysql ahora queda darle una contrasea de root al usuario de mysql para poder ingresar y permitir una conexin ya que sin ello nos seria imposible y para ello tecleamos lo siguiente: mysqladmin -h localhost -u root password 'nueva-contrasea' mysqladmin -h localhost -u root password 'qwe123'
Maestritos
Pgina 24
Ahora creamos una base de datos llamada maestritos, y ahora estamos listos para la configuracin de joomla.
Maestritos
Pgina 25
En estos das que triunfan las redes sociales, una buena idea es tener nuestro propio CMS y uno de los mejores es Joomla. Por esto hoy les mostrare como instalar y configurar Joomla en un server centos 6.2. Requerimientos Apache PHP 5 MySQL 1.- Ruta donde se va a alojar Joomala cd /var/www/html 2.- Creamos un directorio donde estara nuestro joomla instalado y lo descomprimimos mkdir Joomla 3.- Entramos a ala carpeta que creamos en el directorio ya mencionado cd Joomla tar xzvf ../Joomla_2.5.4-Stable-Full_Package.tar.gz 3.- Le damos permiso a la carpeta joomala chown -R apache.apache ../joomala 4.- Abrimos un browser y nos vamos a la ip de nuestro servidor. http://172.16.100.1/Joomala/
Maestritos
Pgina 26
5.- -Comprobacion de pre-instalacin, joomla! comprueba las versiones de php y mysql instaladas y sus configuraciones para ver que todo est correcto para su instalacin. en caso de que algo no est correcto, habr que hacer modificaciones en la configuracin del servidor.
Maestritos
Pgina 27
7.-Configuracin de
configuracin de la base de datos (en donde se va a instalar el contenido del sitio web). el hospedaje o servidor es localhost, usuario es root y contrasea es la que se configuro en mysql anteriormente, nombre de la base de datos y prefijo de las tablas que seran usadas por joomla.
Maestritos
Pgina 28
8.- Configuracin de ftp, como estamos instalando joomla en local no necesitas cambiar nada, djalo todo tal cual est. haz clic en el botn siguiente para seguir con el proceso.
9.- Configuracin, aqu debes configurar algunos detalles sobre el sitio como su nombre, tu direccin de correo electrnico, establecer tu contrasea de administrador e incluso la posibilidad de migrar datos desde instalaciones previas de joomla.
Maestritos
Pgina 29
10.- Finalizacin de la instalacin de joomla, esta ltima pantalla te advierte que debes borrar la carpeta instalacin del servidor, por motivos de seguridad, para comenzar a utilizar joomla. hasta que no la borres y elimines todo su contenido no puedes comenzar a usarlo. pulsa el botn eliminar la carpeta de instalacin para que joomla se encargue tambin de esto. Si no se puede lo debes de hacer manualmente.
Esto es para eliminarlo manualmente rm -rf /var/www/html/mj/installation/ 11.- Luego de haber eliminado la carpeta de instalacin tecleamos en el
buscador la siguiente ruta http://172.16.20.1 /joomla/administrator te conduce a la zona privada de tu sitio web desde donde podrs administrar su contenido. puedes acceder en cualquier momento a la administracin del sistema.
Maestritos
Pgina 30
Maestritos
Pgina 31
Maestritos
Pgina 32
En CentOS 6.2 Verificamos si el servicio esta instalado con el comando rpm q dhcp
Si el servicio no esta instalado ejecute lo siguiente para instalar o actualizar todo necesario: yum -y install dhcp
Procedimientos Archivo de configuracin /etc/sysconfig/dhcpd. En el caso de disponer mltiples dispositivos de red en el servidor, se recomienda que el servicio dhcpd solamente funcione a travs de la interfaz de red utilizada por la LAN. Edite el archivo /etc/sysconfig/dhcpd y agregue el valor eth0, eth1, eth2, etc., como argumento(s) del parmetro DHCPDARGS o bien lo que corresponda a la interfaz desde la cual accede la red local.
Posteriormente ingresar a la siguiente direccin que es el archivo principal de configuracin del servicio dhcp
E insertar las siguientes lneas. shared-network redlocal { subnet 172.16.100.0 netmask 255.255.0.0 { option routers 172.16.100.212; option subnet-mask 255.255.0.0; option broadcast-address 172.16.255.255; option domain-name-servers 172.16.100.212; option netbios-name-servers 172.16.100.212; range 172.16.100.213 172.16.100.254; } }
Maestritos
Pgina 34
Una vez terminada la configuracin, para iniciar el servicio ejecute lo siguiente: service dhcpd start
Maestritos
Pgina 35
Equipamiento lgico necesario. Necesitar tener instalados los siguientes paquetes: samba: Servidor SMB. samba-client: Diversos clientes para el protocolo SMB. samba-common: Archivos necesarios para cliente y servidor.
Sino lo esta se necesita ejecutar lo siguiente para instalar o actualizar el equipamiento lgico necesario: yum -y install samba samba-client samba-common Permisos Para permitir SELinux al servicio smb la escritura como usuario annimo, ejecute el siguiente mandato: setsebool -P allow_smbd_anon_write 1
Maestritos Pgina 36
A fin de que SELinux permita al servicio smb funcionar como Controlador Primario de Dominio (PDC, Primary Domain Controler), ejecute el siguiente mandato: setsebool -P samba_domain_controller 1 A fin de que SELinux permita al servicio smb compartir los directorios de inicio de los usuarios locales del sistema, ejecute el siguiente mandato: setsebool -P samba_enable_home_dirs 1 A fin de que SELinux desactive la proteccin para los directorios de inicio de los usuarios a travs del servicio smb, ejecute el siguiente mandato: setsebool -P use_samba_home_dirs 1 A fin de que SELinux permita al servicio smb crear nuevos directorios de inicio para los usuarios a travs de PAM (operacin comn en Controladores Primarios de Dominio), ejecute el siguiente setsebool -P samba_create_home_dirs 1 Para definir que un directorio ser compartido a travs del servicio smb, como por ejemplo /var/samba/publico y que se debe considerar como contenido tipo Samba, se utiliza el siguiente mandato: chcon -t samba_share_t /var/samba/publico
Configuracin del servicio samba Asigne una contrasea al usuario root. sta puede ser distinta a la utilizada en el sistema. smbpasswd -a root Como la mayora de las cuentas de usuario que se utilizarn para acceder hacia Samba no requieren acceso al intrprete de mandatos del sistema, no es necesario asignar contrasea con el mandato passwd y se deber definir /sbin/nologin o bien /bin/false como intrprete de mandatos para la cuenta de usuario involucrada. useradd -s /sbin/nologin wildy smbpasswd -a wildy
Maestritos
Pgina 37
El archivo lmhosts Es necesario empezar resolviendo de manera local los nombres NetBIOS, asocindolos con las direcciones IP correspondientes, en el archivo /etc/samba/lmhosts (lmhosts es acrnimo de LAN Manager hosts). Edite el archivo /etc/samba/lmhosts con cualquier editor de texto simple. vim /etc/samba/lmhosts Si se edita el archivo /etc/samba/lmhosts, se encontrar un contenido similar al siguiente: 127.0.0.1 localhost
Se pueden aadir los nombres y direcciones IP de cada uno de los anfitriones de la red local. Como mnimo debe definirse el nombre del anfitrin del servidor Samba, junto con su correspondiente direccin IP: 127.0.0.1 localhost servidor
172.16.100.212
Parmetros principales del archivo smb.conf. Edite el archivo /etc/samba/smb.conf con cualquier editor de texto simple.
Se establece el grupo de trabajo definiendo el valor del parmetro workgroup asignando un grupo de trabajo deseado: workgroup = servidores Distinto para el servidor, si acaso sto fuese necesario, pero siempre tomando en cuenta que dicho nombre deber corresponder con el establecido en el archivo /etc/samba/lmhosts: netbios name = servidor Este parmetro es de carcter descriptivo. Puede utilizarse un comentario breve que de una descripcin del servidor.
Maestritos
Pgina 38
Parmetro hosts allow. El parmetro hosts allow permite establecer seguridad adicional estableciendo la lista de control de acceso de anfitriones. hosts allow = 127., 172.16.100.213 Lo explicado anteriormente se debe ver de la siguiente manera:
En seguida teclear service smb restart para reiniciar el servicio y verificar que todo este configurado sino enva ningn error.
Para realizar si realmente funciona lo que escribimos, abrimos una sesin de cmd y tecleamos la direccin del servidor como se muestra en la siguiente imagen:
Maestritos
Pgina 39
Al realizar la siguiente accin nos enviara una pantalla en donde nos pedir que tecleemos el usuario de samba con su respectiva contrasea
Maestritos
Pgina 40
Maestritos
Pgina 41
Una forma de elevar considerablemente la seguridad al servicio de SSH, consiste en cambiar el nmero de puerto utilizado por el servicio, por otro que solo conozca el administrador del sistema. A este tipo de tcnicas se les conoce como Seguridad por Oscuridad. La mayora de los delincuentes informticos utiliza guiones que buscan servidores que respondan a peticiones a travs del puerto 22. Cambiar de puerto el servicio de SSH disminuye considerablemente la posibilidad de una intrusin a travs de este servicio. Puede elegirse cualquier otro puerto entre el 1025 y 65535. En el siguiente ejemplo, se establecer el puerto 52341. 1.4 Parmetro ListenAddress. De modo predeterminado, el servicio de SSH respondera peticiones a traves de todas las direcciones presentes en todas las interfaces de red del sistema. En el siguiente ejemplo, el servidor a configurar tiene la direccin IP 172.16.160.1, la cual es la direccin del servidor
Maestritos Pgina 42
1.5 Parmetro PermitRootLogin. Establece si se va a permitir el ingreso directo del usuario root al servidor SSH. Si se va a permitir el ingreso hacia el servidor desde redes pblicas, resultara prudente utilizar este parmetro con el valor no, de modo que sea necesario ingresar primero con una cuenta de usuario activa, con un intrprete de mandatos que permita el acceso. 1.5.1 PermitRootLogin no
1.6 Parmetro X11Forwarding. Establece si se permitir la ejecucin remota de aplicaciones graficas que utilicen el servidor X11. Resultar conveniente para algunas tareas administrativas que solo puedan llevarse a cabo con herramientas grficas, o bien si se requiere utilizar una aplicacin grafica en particular. Para este fin, este parmetro puede establecerse con el valor yes. X11Forwarding yes
1.7 Parmetro AllowUsers. Permite restringir el acceso por usuario y/o por anfitrin. El siguiente ejemplo restringe el acceso hacia el servidor SSH para que solo puedan hacerlo los usuarios fulano y mengano, desde cualquier anfitrin. AllowUsers fulano mengano
Para hacer que surtan efecto los cambios hechos a la configuracion del servicio sshd, ejecute lo siguiente: service sshd restart y para activarlo junto con el arranque del sistema ejecute lo siguiente: chkconfig sshd on
NOTA: Si se utiliza un cortafuegos con polticas estrictas, es necesario abrir el puerto 22 por TCP (SSH), o bien el puerto que se haya seleccionado para funcionar.
Maestritos
Pgina 43
Puede utilizar iptables, ejecutando lo siguiente: Iptables I INPUT p tcp - -dport 22 j ACCEPT y reinicie el servici de iptables service iptables restart
En caso de usar shorewall Edite el archivo /etc/shorewall/rules: Vim /etc/shorewall/rules Las reglas corresponderan a algo similar a lo siguiente: #ACTION SOURCE DEST PROTO DEST SOURCE # PORT PORT(S)1 ACCEPT net fw tcp 22 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE Al terminar de configurar las reglas para Shorewall, reinicie el muro cortafuegos, ejecutando el siguiente mandato Service shorewall restart
Al finalizar toda la configuracin anterior puede probar con el programa puty o cualquier otro ingresando la direccin ip del servidor y el puerto en el cual lo configuro y si todo funciona bien en seguida le pedira un usuario y posteriormente la contrasea. Una vez introducido los datos correctos nos tiene que mostrar el acceso a la carpeta del servidor y la carpeta a compartir.
Maestritos
Pgina 44
Salga de MySQL: exit; Utilizando el usuario radius, o el que haya designado para utilizar la base de datos recin creada, pruebe la base de datos que acaba de crear con los esquemas incluidos con Freeradius: teclee lo siguiene: mysql -uradius -p123qwe radius < /etc/raddb/sql/mysql/cui.sql mysql -uradius -p123qwe radius < /etc/raddb/sql/mysql/ippool.sql
Maestritos Pgina 45
mysql -uradius -p123qwe radius < /etc/raddb/sql/mysql/nas.sql mysql -uradius -p123qwe radius < /etc/raddb/sql/mysql/schema.sql mysql -uradius -p123qwe radius < /etc/raddb/sql/mysql/wimax.sql
Edite el fichero /etc/raddb/radiusd.conf: vim /etc/raddb/radiusd.conf Descomente la lnea que dice $INCLUDE sql.conf, lo cual se localiza aproximadamente alrededor de la lnea 801: $INCLUDE sql.conf Edite el fichero /etc/raddb/sql.conf: vim /etc/raddb/sql.conf Definir los valores para acceder a la base de datos, lo cual se localiza aproximadamente alrededor de la lnea 35: # Connection info: server = "localhost" #port = 3306 login = "radius" password = "123qwe" Descomente el parmetro readclients con valor yes, lo cual se localiza aproximadamente alrededor de la lnea 100: readclients = yes Edite el fichero /etc/raddb/sites-enabled/default: vim /etc/raddb/sites-enabled/default Descomente en la seccin authorize, lo cual se localiza aproximadamente alrededor de la lnea 159: sql Descomentar en la seccin accounting, lo cual se localiza aproximadamente alrededor de la lnea 365: sql Reegrese al smbolo de sistema y acceda a MySQL para dar de alta un usuario para probar:
Maestritos Pgina 46
mysql -uradius -p123qwe radius Desde el smbolo de sistema de MySQL, ejecute lo siguiente para dar de alta un usuario de pruebas (fulano) con una clave de acceso (123qwe en el ejemplo): INSERT INTO radcheck (username, attribute, value) VALUES ('fulano', 'Password', '123qwe');
Lo anterior equivale a aadir fulano Cleartext-Password := "123qwe" en el fichero /etc/raddb/users. Verifique que el usuario se dio de alta correctamente: select * from radcheck where username='fulano'; Debe regresar algo similar a lo siguiente: +----+----------+-----------+----+--------+ | id | username | attribute | op | value | +----+----------+-----------+----+--------+ | 6 | fulano | Password | == | 123qwe | +----+----------+-----------+----+--------+ 1 row in set (0.00 sec) Salga de mysql: exit; Inicie el servicio radiusd: service radiusd start Verifique que el servicio puede autenticar a travs de MySQL: radtest fulano 123qwe localhost 1812 testing123 Lo anterior debe devolver algo similar como lo siguiente: Sending Access-Request of id 222 to 127.0.0.1 port 1812 User-Name = "fulano" User-Password = "123qwe" NAS-IP-Address = 127.0.0.1 NAS-Port = 1812 rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=222, length=20
Maestritos Pgina 47
A partir de este punto, solo podr autenticar usuarios de manera local. Para poder conectar el punto de acceso hacia el servidor Freeradius, vuelva a conectarse MySQL: mysql -uradius -p123qwe radius Ejecute lo siguiente, definiendo la direccin IP del punto de acceso, nombre corto, tipo de NAS (other, cisco, livingston, computon, max40xx, multitech, natserver, pathras, patton, portslave, tc o usrhiper). Si utiliza un pinto de acceso casero, defina el tipo other. INSERT INTO ('192.168.0.1', 'Minas (nasname, shortname, type, secret) VALUES
Ruteador', 'other', '123qwe'); Para verificar, ejecute desde el smbolo de sistema de MySQL lo siguiente: select * from nas where shortname='Mi-Ruteador'; Loanterior debe regresar algo similar a lo siguiente: +----+---------------+-----------+-------+-------+--------+-----------+---------------+ | id | nasname |shortname | type | ports | secret | community | description | +----+---------------+-----------+-------+-------+--------+-----------+---------------+ | 3 | 192.168.0.1 | WRT54G | other | NULL | 123qwe | NULL | RADIUS Client | +----+---------------+-----------+-------+-------+--------+-----------+---------------+ 1 row in set (0.00 sec) Lo anterior equivale a editar el fichero /etc/raddb/clients.conf y aadir la direccin IP del punto de acceso, una clave de acceso, nombre corto y tipo de NAS como other. client 192.168.0.1 { secret = cualquier-clave-de-acceso shortname = WRT54G nastype = other } Para que surta efecto el cambio, hay que reiniciar el servicio radiusd: service radiusd restart
3. Seguridad en con el servicio iptables iptables -A INPUT -p tcp --dport 80 -j ACCEPT service iptables saves 4. Seguridad con el servicio shorewall vim /etc/shorewall/rules ACCEPT all fw tcp 80 Shorewall restart 5. Crearemos una carpeta para almacenar los directorio Mkdir p /var/www/virtualizado/maestritos1 Mkdir p /var/www/virtualizado/maestritos2 Mkdir p /var/www/virtualizado/maestritos3 Touch /var/www/virtualizado/ejemplo1/index.html Touch /var/www/virtualizado/ejemplo2/index.html Touch /var/www/virtualizado/ejemplo3/index.html 6. A continuacion se cambian los contextos de SELinux de dicho directorio, con la finalidad de sea un directorio con rol de objeto ( object_r), creado por usuario de sistema (system_u) y que se trata contenido tipo httpd_sys_content_t: chcon -u system_u /var/www/virtualizado/maestritos1 chcon -r object_r /var/www/virtualizado/maestritos1 chcon -t httpd_sys_content_t /var/www/virtualizado/maestritos1 chcon -u system_u /var/www/virtualizado/maestritos2 chcon -r object_r /var/www/virtualizado/maestritos2 chcon -t httpd_sys_content_t /var/www/virtualizado/maestritos2 chcon -u system_u /var/www/virtualizado/maestritos3 chcon -r object_r /var/www/virtualizado/maestritos3 chcon -t httpd_sys_content_t /var/www/virtualizado/maestritos3
7. Crearemos un archivo en la configuracin local de http para crear los directorios virtuales vim /etc/httpd/conf.d/virtualizacion.conf o Alias /juan /var/www/virtualizado/maestritos1 <Directory "/var/www/virtualizado/maestritos1"> Options Indexes </Directory> o Alias /juan/maria /var/www/virtualizado/maestritos2 <Directory "/var/www/virtualizado/maestritos2"> Options Indexes </Directory>
Maestritos Pgina 49
Maestritos
Pgina 50
Posteriormente realizar lo siguiente. Para crear el cache y depurar el servicio de posibles errores. service squid restart Finalmente solo resta abrir el nuevo puerto de squid. iptables -I INPUT -p tcp --dport 8080 -j ACCEPT Service httpd start iptables -I INPUT -p tcp --dport 80 -j ACCEPT 2.- SQUID + FRILTRO DE DOMINIOS crear la ACL que denegara a pginas no deseadas. vim /etc/squid/listas/denegados.txt facebook youtube radio etc, etc
Crear la nueva ACL despues de las antes ya creadas acl denegados url_regex "/etc/squid/listas/denegados.txt"
service squid reload 3.- SQUID + AUTENTICACIN DE USUARIOS touch /etc/squid/claves chmod 600 /etc/squid/claves chown squid:squid /etc/squid/claves htpasswd /etc/squid/claves l vim /etc/squid/squid.conf
Maestritos
Pgina 52
#Agregar la siguiente lnea antes de la pirmera ACL creada. auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/claves acl redlocal src 172.16.0.0/16 # Crear la siguiente ACL, para definir el tipo de autenticacin acl password proxy_auth REQUIRED #Finalmente solo basta agregar el nombre la de ACL recien creada despues de la ACL existente: http_access allow redlocal !denegados password !extencines service squid reload 4.- SQUID + DOMINIOS INOCENTES Crear la lista que contendra a los dominios inocentes. vim /etc/squid/listas/dominios-inocentes .edu .edu.mx .eluniversal.com.mx .gob.mx .gov .milenio.com .org .org.mx www.google.com www.google.com.mx # Agregar la Siguiente ACL despues de las ya creadas. acl dominios-inocentes dstdomain "/etc/squid/listas/dominios-inocentes" #Permitir el acceso a la nueva ACL http_access allow all dominios-inocentes
service squid reload 5.- SQUID + RESTRICCION POR EXTENSION Crear la lista que contendra a las extensiones que deseemos denegar. vim /etc/squid/listas/extensiones.txt
Maestritos Pgina 53
\.avi$ \.mp4$ \.mp3$ \.mp4$ \.mpg$ \.mpeg$ \.mov$ \.ra$ \.ram$ \.rm$ \.rpm$ \.vob$ \.wma$ \.wmv$ \.wav$ \.doc$ \.mbd$ \.ppt$ \.pps$ \.ace$ \.bat$ \.exe$ \.lnk$ \.pif$ \.scr$ \.sys$ \.zip$ \.rar$ Despues crear la nueva ACL, despues de las antes ya creadas. vim /etc/squid/squid.conf acl extensiones urlpath_regex "/etc/squid/listas/extensiones.txt" Permitir el Acceso a la Nueva ACL http_access allow redlocal password !extensiones una vez configurado todo reinicie el servicio squid: service squid restart
Maestritos
Pgina 54