Implementando

Network
Infrastructure en
CentOS 6.4

Server
Configurando DNS
Server
Configurando DHCP
Server
Configurando WWW
Server
Configurando Mail
Server
Configurando Samba
Server

Descripcin
Bind con soporte
chroot
Dhcp de ISC

Estado
[HECHO]

Servidor Web con

soporte LAMP
(Apache/MySQL)
ZIMBRA Community
Edition
SAMBA 4

[HECHO]

[HECHO]

[HECHO]
[PENDIENTE]

1. Propiedades del Documento

ITEM
Autor
Fecha
Creacin
Fecha
Ult.Modifica
cin
Curso

DETALLE
Pedro Piminchumo Salinas
14.07.2013
14.07.2013

Linux Avanzado

2. Infraestructura Base:

3. Asunciones Generales
Los servicios implementados en este documento se encuentran bajo
la infraestructura descrita en el diseo de la seccin Infraestructura
Base.
La implementacin se realiza bajo una infraestructura Vmware con
almenos 3 mquinas virtuales.
La infraestructura VMWare fue implementada en clase.
Los sistemas operativos fueron instalados de acuerdo a las
indicaciones del trainer definidas en clase.
Cada servidor tiene una direccin IP configurada estticamente.
Existe conectividad entre LAN DMZ , DMZ LAN, LAN-WAN , DMZ
WAN. Esto requiere cambios en Endian Firewall.
Para validar la conectividad se debe realizar lo siguiente:
Que Hacer
Probar conectividad
- DMZ
Probar conectividad
LAN
Probar conectividad
WAN
Probar conectividad
WAN

LAN

Como hacerlo
Desde wks01 realizar ping a server01

DMZ

Desde server01 realizar ping a wks01

LAN

Desde wks01 realizar ping al

www.google.com
Desde server01 realizar ping a
www.google.com

DMZ

Actualizacin del sistema:

Que Hacer
Actualizar paquetera

Para trabajar ms cmodamente es sugerente instalar herramientas

adicionales
Que Hacer
Instalar telnet cliente
para pruebas
Instalar Wireshark
Instalar gedit

Como hacerlo
yum update

Como hacerlo
yum install -y telnet
yum install -y wireshark wiresharkgnome
yum install -y gedit

Eliminacin de Paqueteria innecesaria:

Que Hacer
Eliminar
NetworkManager

Como hacerlo
yum remove -y NetworkManager

Si por alguna razn necesitamos de algn archivo /librera o script

que no sea encontrado en la paquetera descrita en este documento
podramos usar el comando:
Que Hacer
Buscar archivos de un
paquete cuyo nombre de
paquete no se conoce.

Como hacerlo
yum provides CA.pl

4. Implementando DNS Server

4.1
Requisitos
Instalacin de paquetes requeridos
Que Hacer
Aperturar Puerto en el
firewall
Instalar bind

Como hacerlo
setup Firewall Configuration
cutomize Seleccionamos DNS
Close OK QUIT
yum install -y bind-chroot bind bindutils

4.2Implementacin
Pas
o
1

Que Hacer

Como hacerlo

Establecer
nombre del
equipo

nano /etc/sysconfig/network
NETWORKING=yes
HOSTNAME=server01
NOZEROCONF=yes
* Los cambios de hostname toman efecto tras reiniciar el equipo.
Para trabajar sin reiniciar podramos usar el comando.
hostname server01

4
5

Cargar bind en
los niveles de
ejecucin 3 y 5
Trabajar
nicamente
sobre ipv4.
Iniciar el
demonio
Agregar las
zonas

chkconfig --level 35 named on

echo 'OPTIONS="-4"' >> /etc/sysconfig/named

service named start

cp /etc/named.conf /etc/named.conf.bkg
nano /etc/named.conf
//
// named.conf
//
// Provided by Red Hat bind package to configure
the ISC BIND named(8) DNS
// server as a caching only nameserver (as a
localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example
named configuration files.
//

acl
acl
acl
acl

LAN { 172.16.10.0/24; };
DMZ { 172.16.20.0/24; };
DNSSVR { 127.0.0.1; 172.16.20.10; };
DNS_SERVERS { 172.16.20.10; };

options {
listen-on port 53 { DNSSVR; };
listen-on-v6 { none; };
directory
"/var/named";
dump-file
"/var/named/data/cache_dump.db";
statistics-file
"/var/named/data/named_stats.txt";
memstatistics-file
"/var/named/data/named_mem_stats.txt";
allow-query
{ localhost; LAN;
DMZ; };
allow-transfer { localhost;
DNS_SERVERS; };
recursion yes;
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory
"/var/named/dynamic";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
view "interno" {
match-clients { localhost; LAN;
DMZ; };
zone "." IN {

type hint;
file "named.ca";
};
zone "lima.com" IN {
type master;
file "lima.com.interno";
};
zone "20.16.172.in-addr.arpa" IN {
type master;
file "172.16.20.interno";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

}; # Finaliza Vista interna

view "externo" {
match-clients { any; };
allow-query { any; };
recursion no;
zone "lima.com" IN {
type master;
file "lima.com.externo";
allow-update { none; };
};
zone "1.2.200.in-addr.arpa" IN {
type master;
file "200.2.1.externo";
allow-update { none; };
};
}; # Finaliza Vista Externa

Configurar las

Bind puede trabajar como maestro, esclavo, roothint.

cd /var/named/

Zonas

cp named.localhost lima.com.interno
nano lima.com.interno
$TTL 1D
@
IN SOA server01.lima.com.
admin.lima.com. (
0
; serial
1D
; refresh
1H
; retry
1W
; expire
3H ) ; minimum
IN NS server01.lima.com.
IN A 172.16.20.10
server01 IN A

172.16.20.10

cd /var/named/
cp named.loopback 172.16.20.interno
nano 172.16.20.interno
$TTL 1D
@
IN SOA server01.lima.com.
admin.lima.com. (
0
; serial
1D
; refresh
1H
; retry
1W
; expire
3H ) ; minimum
IN NS server01.lima.com.
IN PTR lima.com.
IN A 255.255.255.0
10

IN PTR

server01.lima.com.

cd /var/named/
cp lima.com.interno lima.com.externo
nano lima.com.externo
$TTL 1D
@
IN SOA server01.lima.com.
admin.lima.com. (
0
; serial
1D
; refresh

1H
; retry
1W
; expire
3H ) ; minimum
IN NS server01.lima.com.
IN A 200.2.1.100
server01 IN A

200.2.1.189

cd /var/named/
cp 172.16.20.interno 200.2.1.externo
nano 200.2.1.externo
$TTL 1D
@
IN SOA server01.lima.com.
admin.lima.com. (
0
; serial
1D
; refresh
1H
; retry
1W
; expire
3H ) ; minimum
IN NS server01.lima.com.
IN PTR lima.com.
IN A 255.255.255.248
100
7

8
9

Aplicamos
permisos a los
archivos de zona
Validamos los
archivos de
configuracin y
de zona

Reiniciamos el
demonio BIND
Establecer el
servidor DNS a
la ip local del
equipo

IN PTR server01.lima.com.

chown -R root.named lima.com.* 200.2.1.externo

172.16.20.interno
named-checkconf /etc/named.conf
named-checkconf -t /var/named/chroot
/etc/named.conf
named-checkzone lima.com lima.com.interno
named-checkzone lima.com lima.com.externo
named-checkzone 20.16.172.in-addr.arpa
172.16.20.interno
named-checkzone 1.2.200.in-addr.arpa
200.2.1.externo
service named restart
nano /etc/resolv.conf
nameserver 127.0.0.1

4.3

Validacin
Que Hacer
Validar que tengamos el
puerto en el firewall
abierto (OJO: desde
equipo cliente).
Validamos Logs de
sistema por cualquier
error generado (en el
servidor DNS)
Validamos transferencia
de zona (nicamente
desde el mismo DNS
Server)
Validamos resolucin de
nombres desde los
clientes.
Validamos resolucin
desde el Internet (***
Requiere forwarding de
puertos)

4.4

Como hacerlo
telnet 172.16.20.10 53

tail -f /var/log/messages

dig lima.com AXFR @172.16.20.10

nslookup server01.lima.com

nslookup server01.lima.com

Captura de Trfico para consulta DNS

5. Implementando DHCP Server

5.1Requisitos
Instalacin de pre-requisitos
Que Hacer
Aperturar

Como hacerlo
setup firewall configuration

los puerto
DHCP en
el firewall
Instalar
software
base
Fijar el
demonio
en los
nivel 35

Cutomize forward add

Port : 67-68
Protocol : udp
OK Close close
yum install -y dhcp

chkconfig --level 35 dhcpd on

5.2Implementacin
1

Que Hacer
Establecer
la interfaz
servidor
dhcp
Realizar la
configuraci
n del
servidor
dhcp

Como hacerlo
sed -i 's/DHCPDARGS=/DHCPDARGS=eth0/g' /etc/sysconfig/dhcpd

cp /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.bkg
cp -vf /usr/share/doc/dhcp-4.1.1/dhcpd.conf.sample
/etc/dhcp/dhcpd.conf
# dhcpd.conf
# Archivo de configuracion ISC dhcpd
#
# Configuraciones Generales
option domain-name "lima.com";
# Nombre del
Dominio
option domain-name-servers 172.16.20.10; # IP del DNS
default-lease-time 600;
# tiempo de alquiler
minimo 10 minutos
max-lease-time 7200;
# tiempo de alquiler
maximo 2 horas
authoritative;
# DHCP autorizativo
para la red local
log-facility local7;
# Syslog
#ddns-update-style none;
# Actualizaciones
dinamicas
# Declarando el Scope (Ambito) a servir
subnet 172.16.10.0 netmask 255.255.255.0 {
range 172.16.10.10 172.16.10.20;
option domain-name-servers server01.lima.com;

option domain-name "lima.com";

option broadcast-address 172.16.10.255;
option routers 172.16.10.1;
default-lease-time 86400; # 1 Da
max-lease-time 691200; # 8 Das
}
subnet 172.16.20.0 netmask 255.255.255.0 { } # Considerando
que eth0 esta en DMZ.

5.3

Iniciar el
servicio
dhcp
Colocar
endian en
modo DHCP
Relay

host wks01 {
hardware ethernet 00:0c:29:99:f3:10;
fixed-address 172.16.10.19;
}
service dhcpd start

Se debe ingresar en consola de Endian FW :

Presionar : 0
[efw01]: login root
roots password: Passw0rd
[efw01] root: /bin/bash
Bash-3.00# dhcrelay 172.16.20.10

Validacin
Que Hacer
Validar que tengamos el
puerto en el firewall
abierto (OJO: desde
equipo cliente).

Como hacerlo
dhclient
Desde un Windows Basta con colocar
la tarjeta va dhcp. y/o ejecutar el
comando
ipconfig /renew

Validamos Logs de
sistema por cualquier
error generado (en el
servidor DHCP)
Validamos asignacin de
direcciones IP

tail -f /var/log/messages

En Linux configuramos el equipo para

que reciba configuracin dhcp :
nano /etc/network/interfaces

iface eth0 inet dhcp

reiniciamos el servicio networking

/etc/init.d/networking restart
Ejecutamos
dhclient
Validamos la nueva
configuracin IP

ifconfig (linux)
ipconfig (Windows)

5.4
Captura de Trfico tpico para arriendo de Alquiler de
direcciones va DHCP

6. Implementando Web Server (con soporte MySQL/PHP y HTTPS)

6.1
Requisitos
Instalacin de pre-requisitos
1

Que Hacer
Aperturar los
puerto DHCP en el
firewall

Como hacerlo
setup Firewall Configuration cutomize
Seleccionamos WWW Close OK QUIT
* Cuando se realizaron cambios frecuentes el proceso cambiara
de close-ok-quit por OK YES QUIT

6.2

Instalar software
base

Fijar el demonio
en los nivel 35

yum install -y mysql mysql-server httpd php

php-mysql php-gd php-imap php-ldap phpmbstring php-odbc php-pear php-xml phpxmlrpc
chkconfig --level 35 httpd on
chkconfig --level 35 mysqld on

Implementacin Base

Que Hacer
Configuraciones
bsicas MySQL

Como hacerlo
/etc/init.d/mysqld start
/usr/bin/mysql_secure_installation
Opcin
Enter current password for root (enter for
none):
Set root password? [Y/n]
New password:
Re-enter new password:
Remove anonymous users? [Y/n]
Disallow root login remotely? [Y/n]
Remove test database and access to it? [Y/n]
Reload privilege tables now? [Y/n]

2
3

Configuraciones
bsicas apache/php
Configuracin
Apache

Accin
<Enter>
Y
Passw0rd
Passw0rd
y
Y
Y
Y

service httpd start

Pmetros bsicos
Parmetro
ServerRoot

Listen

LoadModule

Descripcin
Establece la carpeta raz para el servidor
apache. Ejemplo:
ServerRoot "/etc/httpd"
Define la IP y el puerto por donde escucha el
servidor Web. Ejemplo
Listen 12.34.56.78:80
Carga mdulos que agregan funcionalidad al
servidor. Ejemplo

Include

User/Group

ServerAdmin

ServerName

DocumentRoot

Clusula
<Directory>
</Directory>

LoadModule nombre_modulo
modules/mod_nombre_modulo.so
Sirve para incluir archivos de configuracin en
lugar de escribirlos dentro http.conf.
Ejemplo
Include conf.d/*.conf
Usuario y grupo con los que correr el demonio
Ejemplo:
User apache
Group apache
El nombre del correo electrnico de referencia.
Ejemplo
ServerAdmin root@localhost
Nombre y puerto que el servidor usa para
identificarse a si mismo. Ejemplo:
ServerName www.example.com:80
Carpeta virtual donde se almacenar el
contenido de la pgina web.
DocumentRoot "/var/www/html"
Esta clusula define servicios y caractersticas
por carpeta virtual. Lo que este dentro de estas
clusulas primar a los parmetros generales
<Directory "/var/www/html">
</Directory >

DirectoryIndex

ErrorLog
LogLevel

AddDefaultChar
set
NameVirtualHos
t

Paginas que seran autocargadas si no se

especifica una extensin en la website.
Ejemplo
DirectoryIndex index.html index.html.var
index.php
La ubicacin de los archivos de error. Ejemplo:
ErrorLog logs/error_log
Nivel de mensajes de error que se registraran en
los logs. Ejemplo:
LogLevel warn
El juego de caracteres que se servirn en la
website. Ejemplo:
AddDefaultCharset UTF-8
Virtual Hosting basado en nombres.
Ejemplo
#<VirtualHost *:80>
# ServerAdmin webmaster@dummyhost.example.com
# DocumentRoot /www/docs/dummyhost.example.com
# ServerName dummy-host.example.com
# ErrorLog logs/dummy-host.example.comerror_log
# CustomLog logs/dummy-host.example.comaccess_log common
#</VirtualHost>

6.3

Validacin Base
Que Hacer
Validar que tengamos el
puerto en el firewall
abierto (OJO: desde
equipo cliente).
Validamos Logs de
sistema por cualquier
error generado (en el
servidor DHCP)
Verificar soporte de
mdulos PHP

Como hacerlo
telnet 172.16.20.10 80

tail -f /var/log/messages

nano /var/www/html/info.php
<?php
phpinfo();
?>

6.4

Captura de Trfico Client/Server Web

6.5
Soporte HTTPS
6.5.1 Funcionamiento de SSL
Implementar SSL en apache requiere tener en claro algunos
fundamentos para poder realizar con xito la configuracin lo que
incluye pero no limita a conocer
o
o
o
o

Como es que funciona el proceso de

encriptacin/desencriptacin,
Mtodos de cifrado,
mecanismos de seguridad relacionados,
etc.

Como funciona SSL

El funcionamiento esta especificado en gran medida en el siguiente
grfico

Linux implementa SSL/apache empleando el mdulo mod_ssl este

mdulo soporta SSLv2/SSLv3 y TLSv1. Sin embargo para lograr esta
funcionalidad el mdulo emplea a openssl como motor criptogrfico.
El mdulo soporta creacin de certificados auto firmados o firmados por
entidades autorizadas conocidas como Certification Authority (CA)
Nota: Solo podemos tener una direccin IP amarrada a un
certificado digital por esta razn no podramos habilitar
mltiples websites seguros en un servidor con una sola IP.

6.5.2 Pre-requisitos
Ite
m
0

Que
Hacer
Que es
un CA

Instalar
CA.perl
Instalar
un CA
local

Como Hacerlo/Descripcin
Un CA (Certification Authority) es la entidad autorizada para
firmar certificados Digitales en entornos pblicos. En el
planeta existen bien conocidos CA que previo pago firmarn
los certificados de una compaa.
Verisign
Thawte
Globalsign
Comodo
En estas prcticas crearemos nuestro propio CA privado y
pediremos que el CA firme nuestro certificado.
yum install -y openssl-perl
/etc/pki/tls/misc/CA.pl -newca
CA certificate filename (or enter to create)
Making CA certificate ...
Generating a 2048 bit RSA private key
..................+++
...........+++
writing new private key to
'/etc/pki/CA/private/cakey.pem'
Enter PEM pass phrase: Passw0rd$$.
Verifying - Enter PEM pass phrase: Passw0rd$$.
----You are about to be asked to enter information that will
be incorporated
into your certificate request.
What you are about to enter is what is called a
Distinguished Name or a DN.
There are quite a few fields but you can leave some
blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
----Country Name (2 letter code) [XX]:PE
State or Province Name (full name) []:lima
Locality Name (eg, city) [Default City]:lima
Organization Name (eg, company) [Default Company
Ltd]:acme.com
Organizational Unit Name (eg, section) []:Finanzas

Common Name (eg, your name or your server's

hostname) []:server01.lima.com
Email Address []:admin@lima.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:Trujill0
An optional company name []:Trujill0
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for /etc/pki/CA/private/cakey.pem:
Passw0rd$$.
Check that the request matches the signature
Signature ok
Certificate Details:
Serial Number:
b8:1c:bb:4e:88:87:45:8b
Validity
Not Before: Jul 21 18:33:57 2013 GMT
Not After : Jul 20 18:33:57 2016 GMT
Subject:
countryName
= PE
stateOrProvinceName
= lima
organizationName
= acme.com
organizationalUnitName = finanzas
commonName
= server01.lima.com
emailAddress
= admin@lima.com
X509v3 extensions:
X509v3 Subject Key Identifier:
1E:BC:32:D6:76:BC:27:45:8A:91:3E:2B:73:FC:3C:0E:81:
2D:61:EF
X509v3 Authority Key Identifier:
keyid:1E:BC:32:D6:76:BC:27:45:8A:91:3E:2B:73:FC:3C:
0E:81:2D:61:EF
X509v3 Basic Constraints:
CA:TRUE
Certificate is to be certified until Jul 20 18:33:57 2016
GMT (1095 days)

Validar

Write out database with 1 new entries

Data Base Updated
El nuevo CA buscar la informacin de certificados bajo la

Directorio
CA

siguiente ruta:
/etc/pki/CA/
ls -lh /etc/pki/CA
total 44K
-rw-r--r--. 1 root root 4.4K Jul 21 11:33 cacert.pem
-rw-r--r--. 1 root root 1.1K Jul 21 11:33 careq.pem
drwxr-xr-x. 2 root root 4.0K Mar 4 14:17 certs
drwxr-xr-x. 2 root root 4.0K Mar 4 14:17 crl
-rw-r--r--. 1 root root 3 Jul 21 11:31 crlnumber
-rw-r--r--. 1 root root 128 Jul 21 11:33 index.txt
-rw-r--r--. 1 root root 21 Jul 21 11:33 index.txt.attr
-rw-r--r--. 1 root root 0 Jul 21 11:31 index.txt.old
drwxr-xr-x. 2 root root 4.0K Jul 21 11:33 newcerts
drwx------. 2 root root 4.0K Jul 21 11:31 private
-rw-r--r--. 1 root root 17 Jul 21 11:33 serial

Nota: el archive cacert.pem es el certificado de

nuestro CA que usaremos para firmar el certificado

6.5.3 Implementacin de SSL /Apache (HTTP+SSL = HTTPS)

Ite
m
4.

5.

Que Hacer

Como hacerlo

Instalar
mdulos de
soporte ssl
Validar que
exista el
directorio
de
certificados
Creamos la
clave SSL

yum install -y openssl mod_ssl

Solicitamos
una CSR
(Certificate

ls -l /etc/ssl/certs/
cd /etc/ssl/certs/

openssl genrsa -des3 -out lima-com-key.pem 2048

Colocamos una fuerte contrasea:
Generating RSA private key, 2048 bit long modulus
...........+++
....+++
e is 65537 (0x10001)
Enter pass phrase for lima-com-key.pem:
Verifying - Enter pass phrase for lima-com-key.pem:
openssl req -new -key lima-com-key.pem -out lima-comkey.csr

Signing
Request) a
partir de la
clave

Enter pass phrase for lima-com-key.pem:

You are about to be asked to enter information that will
be incorporated
into your certificate request.
What you are about to enter is what is called a
Distinguished Name or a DN.
There are quite a few fields but you can leave some
blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
----Country Name (2 letter code) [XX]:PE
State or Province Name (full name) []:lima
Locality Name (eg, city) [Default City]:lima
Organization Name (eg, company) [Default Company
Ltd]:acme.com
Organizational Unit Name (eg, section) []:Finanzas
Common Name (eg, your name or your server's
hostname) []:www.lima.com
Email Address []:admin@lima.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:Passw0rd
An optional company name []:Lima Consulting SAC
Los valores de la solicitud pueden ser variables sin embargo
es totalmente mandatorio que el Common Name (CN)
se exactamente igual al FQDN de tu servidor (en este
caso el web) caso contrario el certificado fallar.

Crear el
certificado
del servidor
Web
empleando
el CA Local.

En este punto tenemos dos opciones o enviamos a un CA

para que nos firme el certificado (Obligatorio en entornos de
produccin) autofirmamos la solicitud a fin de tener nuestro
certificado (Ambiente Test/Desarrollo/Pre-Produccin).
openssl ca -in lima-com-key.csr -out lima-com-cert.pem
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for /etc/pki/CA/private/cakey.pem:
Passw0rd$$.
Check that the request matches the signature
Signature ok
Certificate Details:

Serial Number:
b8:1c:bb:4e:88:87:45:8c
Validity
Not Before: Jul 21 20:37:58 2013 GMT
Not After : Jul 21 20:37:58 2014 GMT
Subject:
countryName
= PE
stateOrProvinceName
= lima
organizationName
= acme.com
organizationalUnitName = Finanzas
commonName
= www.lima.com
emailAddress
= admin@lima.com
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
A5:92:22:C2:63:DE:47:96:AF:56:E4:E5:54:83:60:BC:E2:
80:6D:EC
X509v3 Authority Key Identifier:
keyid:1E:BC:32:D6:76:BC:27:45:8A:91:3E:2B:73:FC:3C:
0E:81:2D:61:EF
Certificate is to be certified until Jul 21 20:37:58 2014
GMT (365 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit?

[y/n]y
Write out database with 1 new entries
Data Base Updated

10

Instalar el
certificado
SSL
Configuram
os apache
para que

Nota: Este punto requiere que el CA este previamente

configurado de lo contrario fallar
mkdir /etc/pki/tls/certs/http
cp lima-com-cert.pem /etc/pki/tls/certs/http/
cp lima-com-key.pem /etc/pki/tls/certs/http/
cp /etc/httpd/conf.d/ssl.conf /etc/httpd/conf.d/ssl.conf.bkg
nano /etc/httpd/conf.d/ssl.conf
Validamos que escuche en el puerto 443

soporte
https

Listen 443
Y seteamos las semillas a ramdom 1024
SSLRandomSeed startup file:/dev/urandom 1024
SSLRandomSeed connect file:/dev/urandom 1024

11

Creamos la
carpeta
DocumentR
oot
Editamos el
archivo de
configuraci
n de
apache

Validar
FQDN
12

Reiniciamos
apache

Actualizamos la VirtualHost como sigue:

<VirtualHost www.lima.com:443>
SSLEngine On
SSLCertificateFile /etc/pki/tls/certs/http/lima-com-cert.pem
SSLCertificateKeyFile /etc/pki/tls/http/lima-com-key.pem
SSLProtocol All -SSLv2
SSLCipherSuite HIGH:MEDIUM:!aNULL:+MD5
DocumentRoot "/var/www/html/ssl"
ServerName www.lima.com:443
</VirtualHost>
mkdir -p /var/www/html/ssl

nano /etc/httpd/conf/httpd.conf
<Directory "/var/www/html/ssl">
SSLRequireSSL
SSLOptions +StrictRequire
SSLRequire %{HTTP_HOST} eq "www.lima.com"
ErrorDocument 403 https://www.lima.com/sslerror.html
</Directory>
hostname -f
server01.lima.com
ping www
service httpd restart
Stopping httpd:
[ OK ]
Starting httpd: Apache/2.2.15 mod_ssl/2.2.15 (Pass
Phrase Dialog)
Some of your private key files are encrypted for
security reasons.
In order to read them you have to provide the pass
phrases.
Server www.lima.com:443 (RSA)
Enter pass phrase: Passw0rd

OK: Pass Phrase Dialog successful.

13

14

Colocamos
contenido
https

nano /var/www/html/ssl/info.php

Accedemos
al website
via https

Firefox https://www.lima.com/info.php &

<?php
phpinfo();
?>

6.5.4 Validacin
Que Hacer
Validar que
tengamos el
puerto en el
firewall abierto
(OJO: desde
equipo cliente).
Validamos Logs de
sistema por
cualquier error
generado (en el
servidor DHCP)
Verificar soporte
de mdulos PHP

Como hacerlo
telnet 172.16.20.10 443

tail -f /var/log/messages

nano /var/www/html/ssl/info.php
<?php
phpinfo();
?>

[ OK ]

6.6

Aspecto final de la pgina web via https

6.7
Captura de Trfico Client/Server Web
La captura ejecutado desde un equipo cliente hacia el servidor Web.

7. Implementando Zimbra Mail Server

7.1Requisitos
Instalacin de pre-requisitos

7.2
1

Que
Hacer
Apertura
r los
puerto
DHCP en
el
firewall

Como hacerlo

Instalar
software
base

yum install -y sudo sysstat libidn

gmp libtool-ltdl compat-glib vixiecron nc perl libstdc++.i686

Desinstal
ar
software
conflictiv
o

yum -y remove postfix sendmail

Descripcin

setup firewall configuration

Cutomize forward add
Port : 25
Protocol : udp
OK Close close
Se requiere apertura para los
siguientes puertos:
25,80,110,143,389,443,465,993,99
5,7071

Implementacin
Que Hacer
Modificar
archivo
hosts

Verificar
registro MX

Como hacerlo
nano /etc/hosts
127.0.0.1 localhost localhost.localdomain
#::1 localhost localhost.localdomain localhost6
localhost6.localdomain6
172.16.20.10 mailserver.lima.com mailserver
hostname f
mail.lima.com
nslookup
set q=mx
> lima.com
Server:
172.16.20.10
Address:
172.16.20.10#53
Non-authoritative answer:

lima.com

mail exchanger = server01.lima.com.

Authoritative answers can be found from:

lima.com
nameserver = server01.lima.com.

2
3

Modifique
suoders
Deshabilitar
SELinux

Descargar
Zimbra

Extraer
instalador
Zimbra
Instalar
Zimbra

6.

Fijar
parmetros
de
instalacin

server01.lima.com internet address = 172.16.20.10

>
nano /etc/sudoers
#Defaults requiretty
nano /etc/selinux/config
SELINUX=disabled
Se requiere Reiniciar
cd /tmp
wget http://files2.zimbra.com/downloads/8.0.4_GA/zcs8.0.4_GA_5737.RHEL6_64.20130524120036.tgz
cd /tmp
tar xvf zcs-8.x.y.z.tgz
./install.sh
Opcin
Valor
Install zimbra-ldap [Y]
y
Install zimbra-logger [Y]
y
Install zimbra-mta [Y]
y
Install zimbra-snmp [Y]
n
Install zimbra-store [Y]
y
Install zimbra-apache [Y]
y
Install zimbra-spell [Y]
y
Install zimbra-memcached
n
[N]
Install zimbra-proxy [N]
y
Cambia el nombre del dominio
Cambia la contrasea admin Tipear 3 y luego 4
Opcin
Install anyway? [N]
The system will be
modified. Continue? [N]
Change domain name?
[Yes]
Address unconfigured (**)
items (? - help)
Select, or 'r' for previous
menu [r]
Select, or 'r' for previous

Valor
y
y
y
3
4
r

menu [r]

8
9

7.3

Cargamos
Zimbra
Estado de
Zimbra

firefox https://172.16.20.10 &

su zimbra
zmcontrol status

Validacin
Que Hacer
Enviar un coreo
Frente algn problema
de acceso a la consola
web. Reiniciar Zimbra

7.4

Como hacerlo
su zimbra
zmcontrol stop
zmcontrol start

Captura de Trfico tpico para Zimbra Server

8. Implementando Samba Server

8.1Requisitos
Instalacin de pre-requisitos
Que Hacer
Aperturar
los puerto
DHCP en
el firewall

Como hacerlo
setup firewall configuration
Cutomize forward add
Port : 445
Protocol : udp
OK Close close
Se requiere apertura para los
siguientes puertos:
137,139

Instalar
software
base
Desinstala
r software
conflictivo

8.2

Implementacin
Que Hacer

Como hacerlo

1
2
2
3

8.3

Validacin
Que Hacer

Como hacerlo

8.4

Captura de Trfico tpico para Zimbra Server