Académique Documents
Professionnel Documents
Culture Documents
PEC 2
Por:
EDUARDO ALEJANDRO GALLO
Armenia Colombia
2015
Administracin Avanzada de Sistemas Gnu/Linux Pec2 2015
Programa Mster en Software Libre
Contenido
Servicios y Servidores en GnuL. PEC 2 ...................................................................................................................... 3
Descripcin de la PEC a realizar ............................................................................................................................ 3
CONFIGURACIONES INICIALES .................................................................................................................................. 4
EJERCICIO 1 .............................................................................................................................................................. 4
CONFIGURACION SERVICIOS DNS DHCP ............................................................................................................ 4
SERVICIOS NIS NFS.............................................................................................................................................. 5
SERVICIO DE CORREO ........................................................................................................................................... 7
SERVICIO DE BACKUPS.......................................................................................................................................... 8
EJERCICIO 2 ............................................................................................................................................................ 10
SERVIDOR WEB ................................................................................................................................................... 10
SERVICIO WEBDAV ............................................................................................................................................. 11
SERVICIO CONEXIN INTERACTIVA SSH ............................................................................................................. 13
SERVICIO IMAP CONSULTAS DE CORREO ........................................................................................................... 15
EJERCICIO 3 ............................................................................................................................................................ 16
SERVICIO DE PROXY SQUID ................................................................................................................................ 16
WEBGRAFIA ............................................................................................................................................................ 18
2
Administracin Avanzada de Sistemas Gnu/Linux Pec2 2015
Programa Mster en Software Libre
1. Servicios que deber incluir para la misma red (se debern probar estos servicios con un cliente Linux
dentro del mismo segmento de red): Archivos (NFS), informacin de usuarios y passwd (NIS),
informacin de nombres (DNS), informacin de boot (DHCP), mail y copias de resguardos (backups).
2. Servicios que deber incluir para clientes externos y protocolos seguros (para probar estos servicios se
deber utilizar el host si la mquina es virtualizada o una mquina externa que tenga conectividad con la
que dispone los servidores): web (que disponga un vitualhost con conexin http y otro con https),
webdav (por https y control de acceso con usuario y passwd), conexin interactiva (ssh, con posibilidad
de acceder a aplicaciones grficas remotamente) y imap (para consulta del mail).
3. Se deber instalar un servidor proxy (p.e. Squid) para que los usuarios clientes de la red interna puedan
navegar solo por el dominio uoc.edu pero no por ejemplo por lavanguardia.es o cualquier otro dominio
que el usuario desee bloquear.
Consideraciones:
i. El servidor y el cliente pueden ser mquinas diferentes o utilizar mquinas virtuales (recomendado
VirtualBox) para generar la infraestructura cliente servidor (recordar que en esta ltima opcin se debe
configurar la interfaz de red para que el acceso sea directo -es decir que no se haga NAT- ya que sino las
mquinas no se vern desde la interfaz de red).
ii. el servidor de correo debe ser configurado para soportar el protocolo imap para su consulta externa. El
alumno debe seleccionar el software que considere adecuado para ello y probarlo con un cliente imap
(por ejemplo thunderbird).
iii. el servicio de webdav debe ser accedido con usuario y passwd y permitir lectura y escrituras.
iv. el servicio de conexin interactiva debe permitir conexin sin passwd por clave pblica-privada y
posibilidad de ejecutar aplicaciones X por tuneling del protocolo.
v. el servidor de backups debe funcionar tanto para mquinas en la misma red como mquinas externas y
se puede utilizar el software que considere adecuado.
vi. el servidor de DNS deber funcionar como servidor cache de DNS.
El alumno presentar un informe con las evidencias que la ejecucin de los servicios en la/las mquinas clientes
haciendo pruebas que verifiquen el total funcionamiento de cada uno de ellos. Para generar las evidencia en las
capturas de pantallas incluir el comando uname -a en un terminal para verificar la identidad de la mquina y
versin del SO.
3
Administracin Avanzada de Sistemas Gnu/Linux Pec2 2015
Programa Mster en Software Libre
CONFIGURACIONES INICIALES
SERVIDOR
EQUIPO EXTERNO CLIENTE
Nombre maquina (debianj)
Nombre Maquina DSK-ALEJO Nombre maquina (guest)
Debian 8 - Kernel 4.2
Windows 8 Debian 8 - Kernel 3.16
eth0 192.168.1.4
eth 192.168.1.2 eth0 192.168.0.124
eth1 192.168.0.1
EJERCICIO 1
Servicios que deber incluir para la misma red (se debern probar estos servicios con un cliente Linux dentro del
mismo segmento de red): Archivos (NFS), informacin de usuarios y passwd (NIS), informacin de nombres
(DNS), informacin de boot (DHCP), mail y copias de resguardos (backups).
4
Administracin Avanzada de Sistemas Gnu/Linux Pec2 2015
Programa Mster en Software Libre
Verificando el tiempo de la consulta, se observo que en la primera consulta el tiempo fue de 122 ms y en al
segunda fue de 0 msec pues ya se encontraba almacenada en el cache-dns.
El servivio funciono como se esperaba.
Servicio NIS NFS, se realiz la prueba en conjunto de ambos servicio montando en la maquina cliente los
directorios personales de los usuarios creados en el NIS.
Instalamos el servicios NFS apt-get install nfs-kernel-server, con el objetivo de hacer las pruebas se cre
el usuario uocpru, useradd uocpru -d /home/uocpru -m,
La configuracion del servicio se realiz en el archivo
/etc/exports se definieron las opciones de las carpetas
compartidas, elegimos los directorios de cada usuario con el
fin de montarlos posteriormente en el cliente al configurar los
usuarios en el NIS, se definieron permisos de lectura-escritura,
acceso como root equivalente cliente-servidor para cada directorio, en el cliente se instal apt-get install nfs-
common.
NIS se instalaron en el servidor los paquetes necesarios apt-get install nis rpcbind, en la configuracin se
eligieron los siguientes parmetros, NIS domain: alejouoc.
Modificamos el archivo de configuracin /etc/default/nis, las lneas NISSERVER=master, NISCLIENT=true, esta
ltima para que el inicio de sesin del servidor tambin se
haga por NIS, en el archivo /etc/ypserv.securenets se
restringi la red a las interfaces externa e interna
modificando la lnea 0.0.0.0 0.0.0.0 por
255.255.254.0 192.168.0.1. .
5
Administracin Avanzada de Sistemas Gnu/Linux Pec2 2015
Programa Mster en Software Libre
Para probar el servidor se cre el usuario pecuoc, se actualizaron las tablas NIS ejecutando make en el directorio
/var/yp, se comprobaron los usuarios mediante la orden ypcat passwd obteniendo el siguiente resultado.
Se reinici y compro el funcionamiento de los dos servicios iniciando sesin y revisando los archivos para los
usuarios alejo y uocpru desde la maquina guest, se realiza la prueba en modo texto y modo grafico obteniendo el
resultado esperado.
6
Administracin Avanzada de Sistemas Gnu/Linux Pec2 2015
Programa Mster en Software Libre
Observamos que se encuentran accesibles los directorios y fichero de los usuarios alejo y uocpru, la sesin iniciada
correctamente en el equipo guest, con esto finalmente verificamos el correcto funcionamiento del servicio NIS y
el servicio NFS.
SERVICIO DE CORREO
Este servicio se implement usando el paquete exim4, se instal sobre el servidor usando el comando apt-get
install exim4-daemon-heavy posteriormente se configuro usando el comando dpkg-reconfigure exim4-config
Seleccionado las siguientes opciones:
7
Administracin Avanzada de Sistemas Gnu/Linux Pec2 2015
Programa Mster en Software Libre
Internet site; el correo se enva mediante un <<smarthost>>; se recibe directamente usando SMTP.
Nombre del sistema de correo: debianj.pecuoc
Direcciones IP en las que recibir conexiones SMTP entrantes:192.168.0.1
Otros destinos para los que se acepta el correo: guest.pecuoc;debianj.pecuoc
Dominios para los que se reenva correo:
Mquinas para los cuales reenviar correo:
Direccin IP o nombre de equipo para el smarthost saliente: debianj.pecuoc
formato maildir en el directorio personal
Dividir la configuracin en pequeos ficheros? <No>
SERVICIO DE BACKUPS
Para el servicio de backups se us el paquete BackupPc, se instal con el comando apt-get install backuppc,
el servidor apache estaba instalado previamente, se cambi el passwd por facilidad con la instruccin htpasswd
/etc/backuppc/htpasswd backupc.
Se mont una unidad nueva vaca en el directorio de copias de seguridad /var/lib/backuppc con el fin de que no
queden en la misma unidad del sistema operativo.
En el cliente Linux se verifico que estuviera en funcionamiento el servicio rsync el cual es utilizado para las copias
de seguridad, se instal este servicio pues no se encontraba en ejecucin por lo cual no se poda realizar el backup.
Se configuro la conexin del servidor para que pudiera acceder como root a las maquinas donde se iba a realizar
el backup, se usaron las siguientes instrucciones para generar y copiar la llave para conexin sin contrasea.
$ su - backupc
$ ssh-keygen t dsa
$ ssh-copyid root@guest.pecuoc
Puesto que en la red externa se tiene un cliente Windows (192.168.1.2) para realizar el backup de este se debe
compartir las carpetas de las cuales se desea realizar, se deben configurar los permisos o contraseas
correspondientes, se cre la carpeta backuppc con algunos archivos.
8
Administracin Avanzada de Sistemas Gnu/Linux Pec2 2015
Programa Mster en Software Libre
Se realiz el full backup para cada mquina obteniendo los siguientes resultados:
9
Administracin Avanzada de Sistemas Gnu/Linux Pec2 2015
Programa Mster en Software Libre
De esta manera comprobamos el correcto funcionamiento del servicio de backups para la red interna y externa.
EJERCICIO 2
Servicios que deber incluir para clientes externos y protocolos seguros (para probar estos servicios se deber
utilizar el host si la mquina es virtualizada o una mquina externa que tenga conectividad con la que dispone los
servidores): web (que disponga un virtualhost con conexin http y otro con https), webdav (por https y control
de acceso con usuario y passwd), conexin interactiva (ssh, con posibilidad de acceder a aplicaciones grficas
remotamente) y imap (para consulta del mail).
SERVIDOR WEB
10
Administracin Avanzada de Sistemas Gnu/Linux Pec2 2015
Programa Mster en Software Libre
Para el sitio seguro se requiere de un certificado el cual generamos con la instruccin make-ssl-cert
/usr/share/ssl-.cert/ssleay.cnf /etc/ssl/private/admindos.crt y se habilito el modulo ssl con a2enmod
ssl,
Desde el host abrimos en el navegador los sitios y observamos el resultado los dos sitios en funcionamiento.
SERVICIO WEBDAV
Se crea el usuario htpasswd -c /etc/apache2/htpasswd admuoc para acceso con contrasea al sitio.
11
Administracin Avanzada de Sistemas Gnu/Linux Pec2 2015
Programa Mster en Software Libre
Para la prueba de conexin usamos Cyberduck que es un navegador FTP, SFTP, WebDAV, S3,
Azure & OpenStack Swift para Mac and Windows.
12
Administracin Avanzada de Sistemas Gnu/Linux Pec2 2015
Programa Mster en Software Libre
Se generaron los dos archivos de llaves key.pub y key .ppk, se transfiri al servidor el archivo key .pub y se
import al directorio de calves usando las siguientes instrucciones
$ ssh-keygen -i -f key.pub >> ~/.ssh/authorized_keys
$ chmod go-rwx ~/.ssh ~/.ssh/authorized_keys
13
Administracin Avanzada de Sistemas Gnu/Linux Pec2 2015
Programa Mster en Software Libre
Finalmente se estableci la conexin dando clic en open, verificamos que se ingres correctamente sin necesidad
de contrasea, Se comprob la conexin a aplicaciones grficas, ejecutando, xclock, Observamos que funcion
correctamente.
14
Administracin Avanzada de Sistemas Gnu/Linux Pec2 2015
Programa Mster en Software Libre
mail_location = maildir:~/Maildir
El servidor funciono correctamente desde la maquina local permitiendo consultar el correo del servidor.
15
Administracin Avanzada de Sistemas Gnu/Linux Pec2 2015
Programa Mster en Software Libre
Se comprob que se puede consultar el correo desde la maquina externa usando el cliente de correo thunderbird,
el servidor imap funciona correctamente.
EJERCICIO 3
Se deber instalar un servidor proxy (p.e. Squid) para que los usuarios clientes de la red interna puedan navegar
solo por el dominio uoc.edu pero no por ejemplo por lavanguardia.es o cualquier otro dominio que el usuario
desee bloquear.
16
Administracin Avanzada de Sistemas Gnu/Linux Pec2 2015
Programa Mster en Software Libre
Al usar la lista negra se deniegan las pginas que estn en ella con la lnea
http_access deny listanegra
Estas listas tambin podran estar en ficheros adicionales de ser ms extensas para este ejercicio se definieron
directamente sobre el archivo de configuracion listablanca dstdomain .unab.edu.co (Dominio) y listanegra
url_regex http://www.infromaticahack.es (Url en particular admite expresiones regulares)
Adicionalmente se debe permitir el forwarding esto se realiz desde un principio al configurar el escenario.
adicionalmente se configuro en /etc/sysctl.conf
Y se aadieron las siguientes reglas de iptables para re direccionar el trfico por el proxy.
$ SQUIDIP=192.168.0.1
$ SQUIDPORT=3129
$ iptables -t nat -A PREROUTING -s $SQUIDIP -p tcp --dport 80 -j ACCEPT
$ iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination $SQUIDIP:$SQUIDPORT
$ iptables -t nat -A POSTROUTING -j MASQUERADE
$ iptables -t mangle -A PREROUTING -p tcp --dport $SQUIDPORT -j DROP
$ iptables-save
Se reinici el servicio y realizaron las pruebas desde el cliente, comprobamos que el dominio de la lista blanca
tiene acceso pero otros no, tambin hacemos la prueba con ping verificando que el dominio de la lista blanca es
el nico con acceso.
17
Administracin Avanzada de Sistemas Gnu/Linux Pec2 2015
Programa Mster en Software Libre
WEBGRAFIA
DNS -DHCP
[1] Servidor DNS sencillo en Linux con dnsmasq - http://recursostic.educacion.es/observatorio/web/gl/software/software-
general/638-servidor-dns-sencillo-en-linux-con-dnsmasq
[2] HowTodnsmasq https://wiki.debian.org/HowTo/dnsmasq
[3] dnsmasq https://wiki.archlinux.org/index.php/Dnsmasq_%28Espa%C3%B1ol%29
[4] Dnsmasq http://wiki.openwrt.org/doc/howto/dhcp.dnsmasq
[5] How to set up a DHCP server using dnsmasq http://xmodulo.com/how-to-set-up-dhcp-server-using-dnsmasq.html
[6] Usar dnsmasq como servidor DNS cache y local http://blog.crespo.org.ve/2011/08/usar-dnsmasq-como-servidor-
dns-cache-y.html
[7] Mejorando la velocidad de consultas de DNS con dnsmasq y probar pruebas de diagnostico
http://blog.crespo.org.ve/2011/02/mejorando-la-velocidad-de-consultas-de.html
NIS
[8] Configure NIS Server http://www.server-world.info/en/note?os=Debian_8&p=nis
[9] Configure NIS Client. http://www.server-world.info/en/note?os=Debian_8&p=nis&f=2
[10] Sharing logins on multiple machines using NIS https://www.debian-
administration.org/article/36/Sharing_logins_on_multiple_machines_using_NIS
NFS
[11] Servidor de archivos NFS https://debian-handbook.info/browse/es-ES/stable/sect.nfs-file-server.html
[12] Instalacin de NFS en Debian http://persoal.citius.usc.es/tf.pena/ASR/Tema_4html/node7.html
[13] Configure NFS Client http://www.server-world.info/en/note?os=Debian_8&p=nfs&f=2
SSH
[14] How To: X11Forwarding https://www.cs.rochester.edu/~brown/173/resources/xforwarding.pdf
[15] Using PuTTY with Debian GNU/Linux Systems http://users.wowway.com/~zlinuxman/putty.htm
[16] Conexiones con SSH sin contrasea bajo Windows utilizando PuTTY
http://blog.jorgeivanmeza.com/2009/02/conexiones-con-ssh-sin-contrasena-bajo-windows-utilizando-putty/
WEBDAV
[17] WebDAV http://ubuntuguide.org/wiki/WebDAV
WEB SERVER
[18] Hosting multiple websites with Apache2 https://www.debian-
administration.org/article/412/Hosting_multiple_websites_with_Apache2
MAIL
[19] Configurar su sistema para utilizar el correo electrnico https://www.debian.org/releases/stable/i386/ch08s05.html.es
[20] Servidor IMAP/IMAPS https://servidordebian.org/es/jessie/email/imap/dovecot
BACKUP
[21] How To Use BackupPC to Create a Backup Server on an Ubuntu 12.04 VPS
https://www.digitalocean.com/community/tutorials/how-to-use-backuppc-to-create-a-backup-server-on-an-ubuntu-12-
04-vps
[22] BackupPC http://wiki.contribs.org/BackupPC#Backup_a_Linux_host_through_rsync
[23] How to set up a cross-platform backup server on Linux with BackupPC http://xmodulo.com/backuppc-cross-platform-
backup-server-linux.html
PROXY SQUID
[24] Linux traffic Interception using DNAT http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat
[25] Configuracin de Squid: Acceso por Autenticacin. http://www.alcancelibre.org/staticpages/index.php/19-1-como-
squid-autenticacion
[26] Using a Whitelist with a Squid Authenticating Proxy Server http://www.webdnstools.com/articles/squid-proxy-whitelist
[27] Listas negras con Squid cache proxy http://sudo.cubava.cu/2013/10/listas-negras-con-squid-cache-proxy/
[28] Control de acceso (ACL) con Squid Web Proxy http://rm-rf.es/acl-control-acceso-squid-web-proxy/
[29] Linux: Instalar un proxy transparente con Squid http://www.linux-party.com/index.php/57-seguridad/508-linux-instalar-
un-proxy-transparente-con-squid
[30] Montar proxy squid3 en Ubuntu http://principiatechnologica.com/2014/11/24/montar-proxy-squid3-en-ubuntu/
18