Académique Documents
Professionnel Documents
Culture Documents
Network
Infrastructure en
CentOS 6.4
Server
Configurando DNS
Server
Configurando DHCP
Server
Configurando WWW
Server
Configurando Mail
Server
Configurando Samba
Server
Descripcin
Bind con soporte
chroot
Dhcp de ISC
Estado
[HECHO]
[HECHO]
[HECHO]
[HECHO]
[PENDIENTE]
DETALLE
Pedro Piminchumo Salinas
14.07.2013
14.07.2013
Linux Avanzado
2. Infraestructura Base:
3. Asunciones Generales
Los servicios implementados en este documento se encuentran bajo
la infraestructura descrita en el diseo de la seccin Infraestructura
Base.
La implementacin se realiza bajo una infraestructura Vmware con
almenos 3 mquinas virtuales.
La infraestructura VMWare fue implementada en clase.
Los sistemas operativos fueron instalados de acuerdo a las
indicaciones del trainer definidas en clase.
Cada servidor tiene una direccin IP configurada estticamente.
Existe conectividad entre LAN DMZ , DMZ LAN, LAN-WAN , DMZ
WAN. Esto requiere cambios en Endian Firewall.
Para validar la conectividad se debe realizar lo siguiente:
Que Hacer
Probar conectividad
- DMZ
Probar conectividad
LAN
Probar conectividad
WAN
Probar conectividad
WAN
LAN
Como hacerlo
Desde wks01 realizar ping a server01
DMZ
LAN
DMZ
Como hacerlo
yum update
Como hacerlo
yum install -y telnet
yum install -y wireshark wiresharkgnome
yum install -y gedit
Que Hacer
Eliminar
NetworkManager
Como hacerlo
yum remove -y NetworkManager
Como hacerlo
yum provides CA.pl
Como hacerlo
setup Firewall Configuration
cutomize Seleccionamos DNS
Close OK QUIT
yum install -y bind-chroot bind bindutils
4.2Implementacin
Pas
o
1
Que Hacer
Como hacerlo
Establecer
nombre del
equipo
nano /etc/sysconfig/network
NETWORKING=yes
HOSTNAME=server01
NOZEROCONF=yes
* Los cambios de hostname toman efecto tras reiniciar el equipo.
Para trabajar sin reiniciar podramos usar el comando.
hostname server01
4
5
Cargar bind en
los niveles de
ejecucin 3 y 5
Trabajar
nicamente
sobre ipv4.
Iniciar el
demonio
Agregar las
zonas
acl
acl
acl
acl
LAN { 172.16.10.0/24; };
DMZ { 172.16.20.0/24; };
DNSSVR { 127.0.0.1; 172.16.20.10; };
DNS_SERVERS { 172.16.20.10; };
options {
listen-on port 53 { DNSSVR; };
listen-on-v6 { none; };
directory
"/var/named";
dump-file
"/var/named/data/cache_dump.db";
statistics-file
"/var/named/data/named_stats.txt";
memstatistics-file
"/var/named/data/named_mem_stats.txt";
allow-query
{ localhost; LAN;
DMZ; };
allow-transfer { localhost;
DNS_SERVERS; };
recursion yes;
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory
"/var/named/dynamic";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
view "interno" {
match-clients { localhost; LAN;
DMZ; };
zone "." IN {
type hint;
file "named.ca";
};
zone "lima.com" IN {
type master;
file "lima.com.interno";
};
zone "20.16.172.in-addr.arpa" IN {
type master;
file "172.16.20.interno";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
Configurar las
cd /var/named/
Zonas
cp named.localhost lima.com.interno
nano lima.com.interno
$TTL 1D
@
IN SOA server01.lima.com.
admin.lima.com. (
0
; serial
1D
; refresh
1H
; retry
1W
; expire
3H ) ; minimum
IN NS server01.lima.com.
IN A 172.16.20.10
server01 IN A
172.16.20.10
cd /var/named/
cp named.loopback 172.16.20.interno
nano 172.16.20.interno
$TTL 1D
@
IN SOA server01.lima.com.
admin.lima.com. (
0
; serial
1D
; refresh
1H
; retry
1W
; expire
3H ) ; minimum
IN NS server01.lima.com.
IN PTR lima.com.
IN A 255.255.255.0
10
IN PTR
server01.lima.com.
cd /var/named/
cp lima.com.interno lima.com.externo
nano lima.com.externo
$TTL 1D
@
IN SOA server01.lima.com.
admin.lima.com. (
0
; serial
1D
; refresh
1H
; retry
1W
; expire
3H ) ; minimum
IN NS server01.lima.com.
IN A 200.2.1.100
server01 IN A
200.2.1.189
cd /var/named/
cp 172.16.20.interno 200.2.1.externo
nano 200.2.1.externo
$TTL 1D
@
IN SOA server01.lima.com.
admin.lima.com. (
0
; serial
1D
; refresh
1H
; retry
1W
; expire
3H ) ; minimum
IN NS server01.lima.com.
IN PTR lima.com.
IN A 255.255.255.248
100
7
8
9
Aplicamos
permisos a los
archivos de zona
Validamos los
archivos de
configuracin y
de zona
Reiniciamos el
demonio BIND
Establecer el
servidor DNS a
la ip local del
equipo
IN PTR server01.lima.com.
4.3
Validacin
Que Hacer
Validar que tengamos el
puerto en el firewall
abierto (OJO: desde
equipo cliente).
Validamos Logs de
sistema por cualquier
error generado (en el
servidor DNS)
Validamos transferencia
de zona (nicamente
desde el mismo DNS
Server)
Validamos resolucin de
nombres desde los
clientes.
Validamos resolucin
desde el Internet (***
Requiere forwarding de
puertos)
4.4
Como hacerlo
telnet 172.16.20.10 53
tail -f /var/log/messages
nslookup server01.lima.com
nslookup server01.lima.com
Como hacerlo
setup firewall configuration
los puerto
DHCP en
el firewall
Instalar
software
base
Fijar el
demonio
en los
nivel 35
5.2Implementacin
1
Que Hacer
Establecer
la interfaz
servidor
dhcp
Realizar la
configuraci
n del
servidor
dhcp
Como hacerlo
sed -i 's/DHCPDARGS=/DHCPDARGS=eth0/g' /etc/sysconfig/dhcpd
cp /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.bkg
cp -vf /usr/share/doc/dhcp-4.1.1/dhcpd.conf.sample
/etc/dhcp/dhcpd.conf
# dhcpd.conf
# Archivo de configuracion ISC dhcpd
#
# Configuraciones Generales
option domain-name "lima.com";
# Nombre del
Dominio
option domain-name-servers 172.16.20.10; # IP del DNS
default-lease-time 600;
# tiempo de alquiler
minimo 10 minutos
max-lease-time 7200;
# tiempo de alquiler
maximo 2 horas
authoritative;
# DHCP autorizativo
para la red local
log-facility local7;
# Syslog
#ddns-update-style none;
# Actualizaciones
dinamicas
# Declarando el Scope (Ambito) a servir
subnet 172.16.10.0 netmask 255.255.255.0 {
range 172.16.10.10 172.16.10.20;
option domain-name-servers server01.lima.com;
5.3
Iniciar el
servicio
dhcp
Colocar
endian en
modo DHCP
Relay
host wks01 {
hardware ethernet 00:0c:29:99:f3:10;
fixed-address 172.16.10.19;
}
service dhcpd start
Validacin
Que Hacer
Validar que tengamos el
puerto en el firewall
abierto (OJO: desde
equipo cliente).
Como hacerlo
dhclient
Desde un Windows Basta con colocar
la tarjeta va dhcp. y/o ejecutar el
comando
ipconfig /renew
Validamos Logs de
sistema por cualquier
error generado (en el
servidor DHCP)
Validamos asignacin de
direcciones IP
tail -f /var/log/messages
ifconfig (linux)
ipconfig (Windows)
5.4
Captura de Trfico tpico para arriendo de Alquiler de
direcciones va DHCP
Que Hacer
Aperturar los
puerto DHCP en el
firewall
Como hacerlo
setup Firewall Configuration cutomize
Seleccionamos WWW Close OK QUIT
* Cuando se realizaron cambios frecuentes el proceso cambiara
de close-ok-quit por OK YES QUIT
6.2
Instalar software
base
Fijar el demonio
en los nivel 35
Implementacin Base
Que Hacer
Configuraciones
bsicas MySQL
Como hacerlo
/etc/init.d/mysqld start
/usr/bin/mysql_secure_installation
Opcin
Enter current password for root (enter for
none):
Set root password? [Y/n]
New password:
Re-enter new password:
Remove anonymous users? [Y/n]
Disallow root login remotely? [Y/n]
Remove test database and access to it? [Y/n]
Reload privilege tables now? [Y/n]
2
3
Configuraciones
bsicas apache/php
Configuracin
Apache
Accin
<Enter>
Y
Passw0rd
Passw0rd
y
Y
Y
Y
Listen
LoadModule
Descripcin
Establece la carpeta raz para el servidor
apache. Ejemplo:
ServerRoot "/etc/httpd"
Define la IP y el puerto por donde escucha el
servidor Web. Ejemplo
Listen 12.34.56.78:80
Carga mdulos que agregan funcionalidad al
servidor. Ejemplo
Include
User/Group
ServerAdmin
ServerName
DocumentRoot
Clusula
<Directory>
</Directory>
LoadModule nombre_modulo
modules/mod_nombre_modulo.so
Sirve para incluir archivos de configuracin en
lugar de escribirlos dentro http.conf.
Ejemplo
Include conf.d/*.conf
Usuario y grupo con los que correr el demonio
Ejemplo:
User apache
Group apache
El nombre del correo electrnico de referencia.
Ejemplo
ServerAdmin root@localhost
Nombre y puerto que el servidor usa para
identificarse a si mismo. Ejemplo:
ServerName www.example.com:80
Carpeta virtual donde se almacenar el
contenido de la pgina web.
DocumentRoot "/var/www/html"
Esta clusula define servicios y caractersticas
por carpeta virtual. Lo que este dentro de estas
clusulas primar a los parmetros generales
<Directory "/var/www/html">
</Directory >
DirectoryIndex
ErrorLog
LogLevel
AddDefaultChar
set
NameVirtualHos
t
6.3
Validacin Base
Que Hacer
Validar que tengamos el
puerto en el firewall
abierto (OJO: desde
equipo cliente).
Validamos Logs de
sistema por cualquier
error generado (en el
servidor DHCP)
Verificar soporte de
mdulos PHP
Como hacerlo
telnet 172.16.20.10 80
tail -f /var/log/messages
nano /var/www/html/info.php
<?php
phpinfo();
?>
6.4
6.5
Soporte HTTPS
6.5.1 Funcionamiento de SSL
Implementar SSL en apache requiere tener en claro algunos
fundamentos para poder realizar con xito la configuracin lo que
incluye pero no limita a conocer
o
o
o
o
6.5.2 Pre-requisitos
Ite
m
0
Que
Hacer
Que es
un CA
Instalar
CA.perl
Instalar
un CA
local
Como Hacerlo/Descripcin
Un CA (Certification Authority) es la entidad autorizada para
firmar certificados Digitales en entornos pblicos. En el
planeta existen bien conocidos CA que previo pago firmarn
los certificados de una compaa.
Verisign
Thawte
Globalsign
Comodo
En estas prcticas crearemos nuestro propio CA privado y
pediremos que el CA firme nuestro certificado.
yum install -y openssl-perl
/etc/pki/tls/misc/CA.pl -newca
CA certificate filename (or enter to create)
Making CA certificate ...
Generating a 2048 bit RSA private key
..................+++
...........+++
writing new private key to
'/etc/pki/CA/private/cakey.pem'
Enter PEM pass phrase: Passw0rd$$.
Verifying - Enter PEM pass phrase: Passw0rd$$.
----You are about to be asked to enter information that will
be incorporated
into your certificate request.
What you are about to enter is what is called a
Distinguished Name or a DN.
There are quite a few fields but you can leave some
blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
----Country Name (2 letter code) [XX]:PE
State or Province Name (full name) []:lima
Locality Name (eg, city) [Default City]:lima
Organization Name (eg, company) [Default Company
Ltd]:acme.com
Organizational Unit Name (eg, section) []:Finanzas
Validar
Directorio
CA
siguiente ruta:
/etc/pki/CA/
ls -lh /etc/pki/CA
total 44K
-rw-r--r--. 1 root root 4.4K Jul 21 11:33 cacert.pem
-rw-r--r--. 1 root root 1.1K Jul 21 11:33 careq.pem
drwxr-xr-x. 2 root root 4.0K Mar 4 14:17 certs
drwxr-xr-x. 2 root root 4.0K Mar 4 14:17 crl
-rw-r--r--. 1 root root 3 Jul 21 11:31 crlnumber
-rw-r--r--. 1 root root 128 Jul 21 11:33 index.txt
-rw-r--r--. 1 root root 21 Jul 21 11:33 index.txt.attr
-rw-r--r--. 1 root root 0 Jul 21 11:31 index.txt.old
drwxr-xr-x. 2 root root 4.0K Jul 21 11:33 newcerts
drwx------. 2 root root 4.0K Jul 21 11:31 private
-rw-r--r--. 1 root root 17 Jul 21 11:33 serial
5.
Que Hacer
Como hacerlo
Instalar
mdulos de
soporte ssl
Validar que
exista el
directorio
de
certificados
Creamos la
clave SSL
Solicitamos
una CSR
(Certificate
ls -l /etc/ssl/certs/
cd /etc/ssl/certs/
Signing
Request) a
partir de la
clave
Crear el
certificado
del servidor
Web
empleando
el CA Local.
Serial Number:
b8:1c:bb:4e:88:87:45:8c
Validity
Not Before: Jul 21 20:37:58 2013 GMT
Not After : Jul 21 20:37:58 2014 GMT
Subject:
countryName
= PE
stateOrProvinceName
= lima
organizationName
= acme.com
organizationalUnitName = Finanzas
commonName
= www.lima.com
emailAddress
= admin@lima.com
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
A5:92:22:C2:63:DE:47:96:AF:56:E4:E5:54:83:60:BC:E2:
80:6D:EC
X509v3 Authority Key Identifier:
keyid:1E:BC:32:D6:76:BC:27:45:8A:91:3E:2B:73:FC:3C:
0E:81:2D:61:EF
Certificate is to be certified until Jul 21 20:37:58 2014
GMT (365 days)
Sign the certificate? [y/n]:y
10
Instalar el
certificado
SSL
Configuram
os apache
para que
soporte
https
Listen 443
Y seteamos las semillas a ramdom 1024
SSLRandomSeed startup file:/dev/urandom 1024
SSLRandomSeed connect file:/dev/urandom 1024
11
Creamos la
carpeta
DocumentR
oot
Editamos el
archivo de
configuraci
n de
apache
Validar
FQDN
12
Reiniciamos
apache
nano /etc/httpd/conf/httpd.conf
<Directory "/var/www/html/ssl">
SSLRequireSSL
SSLOptions +StrictRequire
SSLRequire %{HTTP_HOST} eq "www.lima.com"
ErrorDocument 403 https://www.lima.com/sslerror.html
</Directory>
hostname -f
server01.lima.com
ping www
service httpd restart
Stopping httpd:
[ OK ]
Starting httpd: Apache/2.2.15 mod_ssl/2.2.15 (Pass
Phrase Dialog)
Some of your private key files are encrypted for
security reasons.
In order to read them you have to provide the pass
phrases.
Server www.lima.com:443 (RSA)
Enter pass phrase: Passw0rd
14
Colocamos
contenido
https
nano /var/www/html/ssl/info.php
Accedemos
al website
via https
<?php
phpinfo();
?>
6.5.4 Validacin
Que Hacer
Validar que
tengamos el
puerto en el
firewall abierto
(OJO: desde
equipo cliente).
Validamos Logs de
sistema por
cualquier error
generado (en el
servidor DHCP)
Verificar soporte
de mdulos PHP
Como hacerlo
telnet 172.16.20.10 443
tail -f /var/log/messages
nano /var/www/html/ssl/info.php
<?php
phpinfo();
?>
[ OK ]
6.6
6.7
Captura de Trfico Client/Server Web
La captura ejecutado desde un equipo cliente hacia el servidor Web.
7.2
1
Que
Hacer
Apertura
r los
puerto
DHCP en
el
firewall
Como hacerlo
Instalar
software
base
Desinstal
ar
software
conflictiv
o
Descripcin
Implementacin
Que Hacer
Modificar
archivo
hosts
Verificar
registro MX
Como hacerlo
nano /etc/hosts
127.0.0.1 localhost localhost.localdomain
#::1 localhost localhost.localdomain localhost6
localhost6.localdomain6
172.16.20.10 mailserver.lima.com mailserver
hostname f
mail.lima.com
nslookup
set q=mx
> lima.com
Server:
172.16.20.10
Address:
172.16.20.10#53
Non-authoritative answer:
lima.com
2
3
Modifique
suoders
Deshabilitar
SELinux
Descargar
Zimbra
Extraer
instalador
Zimbra
Instalar
Zimbra
6.
Fijar
parmetros
de
instalacin
Valor
y
y
y
3
4
r
menu [r]
8
9
7.3
Cargamos
Zimbra
Estado de
Zimbra
Validacin
Que Hacer
Enviar un coreo
Frente algn problema
de acceso a la consola
web. Reiniciar Zimbra
7.4
Como hacerlo
su zimbra
zmcontrol stop
zmcontrol start
Como hacerlo
setup firewall configuration
Cutomize forward add
Port : 445
Protocol : udp
OK Close close
Se requiere apertura para los
siguientes puertos:
137,139
Instalar
software
base
Desinstala
r software
conflictivo
8.2
Implementacin
Que Hacer
Como hacerlo
1
2
2
3
8.3
Validacin
Que Hacer
Como hacerlo
8.4