Manual del usuario
Contents
1. Capitulo 7 Servidor de Web Apache 50 LoadModule dbm_auth_module usr lib apache 1 3 mod_auth_dbm so LoadModule db_auth_module usr lib apache 1 3 mod_auth_db so LoadModule proxy_module usr lib apache 1 3 libproxy so LoadModule digest_module usr lib apache 1 3 mod_digest so LoadModule cern meta module usr lib apache 1 3 m 1 3 m 1 3 m 1 3 m 1 3 m 1 3 m 1 3 m LoadMod LoadMod 1 3 m Loa 1 3 m Loa 1 3 m Loa 1 3 m Loa 1 3 m 1 3 m Exten O d O d O dMod O d O d Mod Mod z O o d_throttle so d_eaccess so od_cern_meta so LoadModule expires_module usr lib apache od_expires so LoadModule headers_module usr lib apache od_headers so LoadModule usertrack_module usr lib apache od_usertrack so LoadModule unique_id_module usr lib apache od_unique_id so LoadModule setenvif_module usr lib apache od_setenvif so LoadMod od_a ule sys_auth_module usr lib apache uth_sys so ule put_module usr lib apache 1 3 mod_put so ule throttle_module usr lib apache ule allowdev_module usr lib apache d_allowdev so ule auth_mysql_module usr lib apache uth_mysql so ule pgsql_auth_module usr lib apache uth_pgsql so ule eaccess_module usr lib apache ule roaming_module usr lib apache od_roaming so dedStatus on ErrorLog2. Asi denegamos el acceso al puerto 80 Existen muchas mas posibilidades las cuales se pueden consultar en el manual de referencia de SQUID La configuraci n que trae por defecto el servidor incluye algunas listas ya creadas y algunos accesos permitidos y denegados acl all sre 0 0 0 0 0 0 0 0 acl manager proto cache_object acl localhost sre 127 0 0 1 255 255 255 255 acl SSL_ports port 443 563 acl Safe_ports port 80 21 443 563 70 210 1025 65535 acl purge method PURGE acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny Safe_ports http_access deny CONNECT SSL_ports ibe eas deny all Es importante el orden en el que se coloquen los controles de acceso ya que si en primer lugar colocamos http_access deny all el resto de las directivas allow ya no tendrian efecto ya que todas estas directivas se procesan en orden consecutivo 8 4 Configuraciones avanzadas En esta secci n se van a comentar algunas de las posibilidades que ofrece SQUID stas se pueden concretar en la propia documentaci n el servidor Entre las m ltiples opciones caben destacar Posibilidad de limitar los recursos a utilizar en la m quina memoria espacio en disco procesos etc e Posibilidad de configurar la pol tica de reemplazo de los datos almacenados en el cach e SQUID est preparado para usarse co
3. Los DNS no s lo traducen nombres a direcciones IP tambi n pueden traducir direcciones IP a sus nombres correspondientes haciendo lo que se denomina traducci n inversa El dominio especial in addr arpa se emplea para realizar esta traducci n como veremos en los ejemplo Adem s los servidores de nombres suministran otros tipos de informaci n relacionada con los nombres como por ejemplo e Nombre del DNS responsable de un determinado dominio e Nombres de servidores de correo electr nico correspondientes a un dominio pudiendo existir varios con distinta prioridad e Nombres alternativos correspondientes a un nombre principal por ejemplo para hacer que tanto las direcciones www dte us es como teclix dte us es correspondan a la misma m quina 10 2 Instalaci n del servicio de nombres en Debian El servidor de nombres m s utilizado con amplia diferencia en Linux y en la mayor a de los sistemas UNIX es BIND En Debian la versi n 9 se instala con el paquete bind9 y su documentaci n con el paquete bind9 doc Por tanto basta con que hagamos apt get install bind9 bind9 doc para tener instalado nuestro flamante servidor de nombres 10 3 Configuraci n de un DNS Cach La operaci n mas sencilla de un DNS es la actuaci n como simple cach o intermediario hacia otros servidores de nombres sin ser responsable de ning n dominio en concreto Al pedir un nombre a nuestro DNS ste simplemente preguntar a otros servidores
4. etc init d apache stop De la misma forma si lo que queremos es simplemente reiniciar el servidor tras haber modificado sus ficheros de configuraci n bastaria con hacer etc init d apache restart Capitulo 4 Control de servicios de red 18 La forma de iniciar estos servicios durante el arranque del sistema es mediante la creaci n de enlaces simb licos que apunten hacia los scripts en los directorios etc rc d Donde el signo representa alguno de los runlevels configurados normalmente el 2 Por ejemplo la existencia del enlace etc rce2 d S9lapache gt init d apache indica que el servidor web Apache sera iniciado al arrancar el sistema La S significa que script correspondiente ser ejecutado con la opci n start y el 91 indica un orden relativo entre todos los procesos a iniciar De la misma forma la presencia del enlace etc rc0 d K20apache gt init d apache indica que el servicio ser detenido K al parar la m quina con n mero de orden 20 M s informaci n sobre el proceso de inicio y parada del sistema puede encontrarse en la Guia de administraci n de Debian GNU Linux y a partir del fichero etc init d README Cuando se instalan servidores a partir de paquetes de la distribuci n Debian el propio mecanismo de instalaci n se encarga de crear estos scripts y los enlaces necesarios Es m s el sistema de actualizaci n de Debian es lo bastante inteligente para en la mayor a
5. A veces un excesivo retraso en establecer una conexi n cuando se especifica el nombre de una maquina remota puede significar un mal funcionamiento del servidor de nombres Puede suceder que el servidor de nombres principal no funcione y se produzca un retraso hasta que la petici n se manda al servidor secundario Si no es posible establecer conexiones indicando nombres pero si indicando direcciones IP entonces es que ninguno de los servidores de nombres configurados funciona Puede comprobarse si los servidores de nombres estan accesibles usando el comando ping sobre los servidores configurados en el fichero etc resolv conf Tambi n pueden hacerse peticiones a los servidores de nombres para que traduzcan un nombre en una direcci n IP o viceversa usando el comando host 1 Por ejemplo S host www debian org 150 214 4 34 www debian org A 198 186 203 20 host 150 214 4 34 Name erik cica es Address 150 214 4 34 Capitulo 3 Configuraci n de la red 13 Usado con un s lo argumento consulta a los servidores de nombres definidos en etc resolv conf pero puede especificarse un servidor de nombres concreto indicando un segundo argumento El comando host dispone de m ltiples opciones adicionales para realizar todo tipo de consultas a los servidores de nombres Para saber m s sobre estas opciones puede consultar la pagina de manual del comando 3 3 3 Estado de los interfaces de red La configuraci n de los interfaces de r
6. If you want to create files with group rw permissions set next parameter to 0775 create mask 0700 Capitulo 6 Servidor de ficheros SAMBA 40 Directory creation mask is set to 0700 for security reasons If you want to p create dirs with group rw permissions set next parameter to 0775 directory mask 0700 printers comment All Printers browseable no path tmp printable yes public yes writable no create mode 0700 A sample share for sharing your CD ROM with others cdrom comment Samba server s CD ROM A writable no 7 locking no path cdrom p public yes The next two parameters show how to auto mount a CD ROM when the cdrom share is accesed For this to work etc fstab must contain p an entry like this i dev scado cdrom iso9660 defaults noauto ro user O O The CD ROM gets unmounted automatically after the connection to the If you don t want to use auto mounting unmounting make sure the CD E is mounted on cdrom i E preexec bin mount cdrom postexec bin umount cdrom En el fichero de configuraci n de SAMBA se definen los recursos mediante un nombre puesto entre corchetes Cada uno de estos recursos aparecer en la red de forma independiente pudiendo tener cada uno de ellos su propia configuraci n Esta configuraci n se realiza mediante directivas Es destacable la existencia de un recurso denominado global el cual re
7. No obstante podemos indicar que si reenviaremos correo para ciertos dominios Esto se usa en caso de que nuestro servidor est configurado como servidor secundario de reserva de alg n otro dominio para lo que de nuevo deberemos coordinar nos con el servidor de nombres del dominio correspondiente En nuestro caso elegimos la opci n por defecto none e Ahora podemos elegir para qu dominios queremos actuar como servidor de correo electr nico adem s de para nuestro propio dominio Esto es til si por ejemplo somos servidor de correo secundario de otro dominio Si elegimos mx nuestro sistema aceptar correo para aquellos dominios para los que haya una entrada MX en el servidor de nombres que indique a nuestro servidor como servidor de correo para esos dominios En el caso m s simple podemos responder simplemente none e Ahora podemos elegir para que m quinas o rango de m quinas queremos actuar como servidor de correo electr nico Por ejemplo si actuamos como servidor de correo electr nico para el dominio lab es cuyas direcciones IP son de la forma 150 215 x x y 150 216 7 x podemos indicar aqu estas subredes como 150 215 0 0 16 y 150 216 7 0 24 Los n meros 16 y 24 representan el n mero de unos 1 s que tiene la m scara de subred Tambi n podemos indicar nombres con comodines por ejemplo lab es Si los usuarios siempre mandan correo con clientes que corren en el propio g 66 servid
8. La instalaci n y configuraci n son tan f ciles como en el caso anterior Basta con instalar los paquetes ipopd ssl y uw imapd ss1 que sustituir n a las versiones inseguras si est n instaladas Estos paquetes tambi n soportan conexiones inseguras por lo que no es necesario tener instaladas ambas versiones Los paquetes incluyen certificados autogenerados que se almacenan en etc ssl certs y que pueden ser sustituidos por certificados oficiales o generados por nosotros Para mejorar la seguridad es muy recomendable deshabilitar la conexi n insegura a los servicios lo cual puede hacerse f cilmente comentando las l neas adecuadas en el fichero etc inetd conf Por ejemplo MAIL Mail news and uucp services smtp stream tcp nowait mail usr sbin exim ex im bs imap2 stream tcp nowait root usr sbin tcpd usr sbin im imap3 stream tcp nowait root usr sbin tcpd usr sbin im imaps stream tcp nowait root usr sbin tcpd usr sbin imap pop2 stream tcp nowait root usr sbin tcpd usr sbin ipop2d pop3 stream tcp nowait root usr sbin tcpd usr sbin ipop3d pop3s stream tcp nowait root usr sbin tcpd usr sbin ipop3d Instalaci n y configuraci n de sslwrap sslwrap hace de interfaz seguro mediante SSL para m ltiples servicios entre ellos POP e IMAP Este programa act a como un servidor a la espera de conexiones POP e IMAP seguras servicios pop3s e imaps hace las funciones de cifrado de la conexi n y reenv a la conexi n ya des
9. de nombres El primero SOA es obligatorio y contiene informaci n administrativa como el nom bre del servidor de nombres ns linux aula la direcci n de correo electr nico del administrador que aparece como root linux aula pero que debe interpretarse como root linux aula y diversos tiempos est ndar para coordinarse con otros servidores de nombres Cada definici n de registro comienza con un nombre de dominio se sustituye por el dominio a que corresponde el fichero Si se omite el nombre en una l nea se toma el de la l nea anterior as como el IN de ah que no aparezcan en las definiciones de los registros NS y MX Es importante saber que los nombres de dominio que no acaben en se completan con el subdominio correspondiente al fichero Asi mail se convierte en mail linux aula sta es una causa frecuente de error puesto que un nombre como mail us es se convertir a a mail us es linux aula si olvidamos el punto final El registro NS define el nombre del servidor de nombres para que valga ns linux aula Los registros MX definen los nombres de las m quinas que se encargan del correo electr nico de este dominio Se definen dos m quinas unamail linux aula con prioridad 10 y otramail us es con prioridad 20 Los registros m s comunes son los A que definen la direcci n IP correspondiente a cada nombre No hay que olvidar los nombres que se han usado m s arriba para el propio servidor de nombres y para el servidor de co
10. de nuestro sistema que es el que aparecer como remite en los mensajes enviados En nuestro caso este nombre es frodo lab es Si quisi ramos disponer de un remite de la forma lab es tendr amos que solicitar al administrador del servidor de nombres del dominio lab es que configurara la m quina frodo lab es como servidor de correo del dominio lab es En este caso podr amos emplear lab es como nombre visible del sistema Lo importante aqu es saber que no podemos hacer esto sin la colaboraci n del servidor de nombres En nuestro ejemplo elegimos frodo lab es e A continuaci n se nos pregunta si nuestro sistema es conocido por otro nombre adem s del ante rior En nuestro ejemplo no hay nombres adicionales y elegiremos la opci n por defecto none En caso de cooperaci n con el servidor de nombres si antes hemos indicado como nombre visi ble lab es aqu podr amos indicar adem s frodo lab es de esta forma el sistema reconocer como propio el correo electr nico enviado a ambos dominios e Ahora se nos informa que en la configuraci n por defecto nuestro agente de correo aceptar correo que venga de Internet con destino a frodo o bien correo generado localmente en frodo con destino a Internet pero nuestra m quina no har relay esto es no har reenv o de correo para otros que se conecten de forma externa a la m quina As se evita que puedan usar nuestro servidor para el reenv o masivo de correo publicidad etc spamming
11. que se inicie el servidor Apache bastar a con entrar en el directorio etc rc2 d y hacer mv S9lapache XS9lapache Capitulo 4 Control de servicios de red 19 El hecho de que el enlace no comience por S impide que se ejecute durante el arranque del sistema e Cuando instalemos nuestros propios scripts en el directorio etc init des conveniente darles nombres de forma que resulte facil identificar que que estos scripts no pertenecen a la distribuci n por ejemplo comenzando los nombres con local como en local_webserver 4 2 Servicios activados bajo demanda inetd Otro mecanismo con que cuenta UNIX Linux para activar servidores es la activaci n bajo demanda En este caso un solo servidor el inetd 8 escucha en muchos puertos simult neamente a la espera de conexiones y cuando detecta actividad en alguno de estos puertos arranca el servidor correspondiente al servicio solicitado Este sistema es conveniente por dos razones evita tener en continuo funcionamiento un gran n mero de servidores que s lo se emplean ocasionalmente y permite conceder o denegar el acceso en funci n del origen de la conexi n antes de iniciar el servidor correspondiente Este sistema se emplea para muchos servicios est ndar que se utilizan de forma ocasional y que consisten en conexiones generalmente de corta duraci n telnet ftp correo electr nico etc Cuando se trata de servicios con una gran demanda de conexiones o de servidores
12. 122 netmask 255 255 255 0 network 150 214 141 0 broadcast 150 214 141 255 gateway 150 214 141 1 Las l neas que comienzan con son comentarios Las dos primeras l neas reales configuran una interfaz de red virtual el lazo local local loopback que siempre ha de estar presente y que se configura autom ticamente al instalar el sistema El resto de l neas configuran los par metros para una tarjeta Eth ernet direcci n IP address mascara de subred netmask y direcci n del router por defecto gateway Las directivas network y broadcast son opcionales y especifican la direcci n de la subred y la direcci n de broadcast En este caso tienen los valores por defecto con todos los bits de la parte del host a 0 para la direcci n de la subred y a 1 para la direcci n de broadcast Las directivas auto indican que los interfaces mencionados deben configurarse automaticamente al arrancar el sistema En la p gina de manual interfaces 5 y enel fichero usr share doc netbase examples interfaces pueden encontrarse ejemplos de configuraci n de diferentes tipos de interfaces 3 2 2 Nombre de la m quina El nombre de la m quina se configura en el fichero etc hostname cuyo contenido es simplemente el nombre de la m quina sin indicaci n del dominio De este fichero es le do el nombre durante el arranque del sistema Para cambiar el nombre inmediatamente se emplea el comando hostname 1 indicando c
13. Activaci n desactivaci n de interfaces Los interfaces de red configurados en el fichero etc network interfaces pueden activarse y desactivarse usando los comandos ifup 8 e ifdown 8 respectivamente Para ello basta con in dicar el nombre del interfaz despu s del comando Por ejemplo ifdown ethO desactivar a el primer interfaz Ethernet El uso de estos comandos es til cuando queremos cortar temporalmente la conexi n a red o bien queremos cambiar los par metros de configuraci n Para ello modificaremos en el fichero etc network interfaces los par metros pertinentes y luego eje cutaremos sucesivamente los comandos ifdown e ifup indicando el nombre del interfaz de red que hemos modificado Por ejemplo ifdown eth0 ifup ethO0 Podemos comprobar que los cambios han tenido efecto usando el comando ifconfig como se de scribi anteriormente Los comandos ifdown e ifup se encargan adem s de configurar los interfaces de establecer las rutas necesarias y otras tareas en funci n de los par metros indicados en el fichero interfaces 5 por lo que no suele ser necesario ejecutar manualmente los comandos ifconfigo route Use Ifa O eth O eth Capitulo 3 Configuraci n de la red 15 3 5 Configuraci n de una conexi n PPP m dem En este apartado veremos como configurar una conexi n a un proveedor de Internet a trav s de m dem Para ello se emplea el protocolo PPP Aunque aqu s lo veremos la parte de la co
14. The location of the error log file If this does not start wit h ServerRoot is prepended to it ErrorLog var log apache error log LogLevel Control the number of messages logged to the error_log Capitulo 7 Servidor de Web Apache 51 Possible values include debug info notice warn error crit alert emerg LogLevel warn The following directives define some format nicknames for use with a CustomLog directive see below LogFormat Sh 1 Su bt Sr gt s bb S Referer i User Agent i T Sv full LogFormat Sh 1 u t Sr gt s sb S Referer i User Agent i combined LogFormat Sh 1 u t Sr gt s b common ormat S Referer i gt U referer ormat S User agent i agent LogF LogE The location of the access logfile Common Logfile Format If this does not start with ServerRoot is prepended to it CustomLog var log apache access log common If you would like to have an agent and referer logfile uncomment the following directives CustomLog var log apache referer log referer CustomLog var log apache agent log agent If you prefer a single logfile with access agent and referer information Combined Logfile Format you can use the following directive CustomLog var log apache access log combined PidFile The file the server should log
15. cuyo tiempo de arranque es elevado es preferible la iniciaci n en el arranque de estos servicios servidor web ftp an nimo etc 4 2 1 Configuraci n de inetd inetd se configura editando el fichero etc inetd conf cuya p gina de manual puede consultarse en inetd conf 5 Cada l nea del fichero sirve para iniciar un servicio Las l neas que comienzan con son comentarios y se ignoran A continuaci n mostramos un ejemplo MAIL Mail news and uucp services smtp stream tcp nowait mail usr sbin exim exim bs STANDARD These are standard services ftp stream tcp nowait root usr sbin tcpd usr sbin in ftpd La primera l nea sirve para iniciar el servidor de correo electr nico en concreto el agente de transporte de correo MTA o servidor de correo saliente El nombre del servicio es smtp y el programa a ejecutar es usr sbin exim que se ejecutar como usuario mail Los par metros adicionales tras el nombre del programa son la l nea de comandos que se ejecutar para arrancar el servidor La segunda l nea sirve para activar el servidor para transferencia de ficheros FTP La diferencia m s interesante con el anterior es que ahora el programa a ejecutar es usr sbin tcpd a pesar de que la l nea de comandos ejecutar el servidor FTP in ftpd La finalidad de esto es pasar el control inicialmente al programa tcpd antes de ejecutar la l nea de comandos La misi n de t cpd es controlar el acceso a los servicios como v
16. de los casos actualizar los servidores existentes e instalar los nuevos parando y reiniciando los servicios seg n se necesite sin intervenci n del usuario Este es uno de los puntos fuertes de la distribuci n Debian que la han hecho popular para su uso en sistemas servidor Cuando se instalan servidores no incluidos en la distribuci n Debian el administrador es responsable de situar los scripts apropiados en los directorios correspondientes Si el script de control no viene con el servidor a instalar el propio administrador deber crear uno para lo que dispone de un modelo en el fichero etc init d skeleton Para crear los enlaces adecuados la distribuci n Debian proporciona un comando f cil de usar por ejemplo si queremos crear los enlaces para un servidor cuyo script tiene por nombre local_server y darle orden de secuencia 50 har amos update rc d local_server defaults 50 Si se omite el orden de secuencia se toma 20 por defecto Otras opciones del comando update rc d 8 pueden consultarse en su p gina de manual Finalmente daremos un par de consejos pr cticos para cuando modifiquemos a mano la disposici n de los scripts de iniciaci n e Si queremos que durante el arranque no se inicie un determinado servicio pero no queremos desinstalar el servidor mejor que borrar el enlace simb lico que lo inicial podemos renombrarlo As recordaremos f cilmente qu hab a antes de nuestra modificaci n Por ejemplo para evitar
17. de nombre pero almacenar las ltimas respuestas acelerando considerablemente posteriores consultas a las mismas direcciones En Debian bind viene configurado de serie para funcionar de esta forma as que lo nico que queda por hacer para beneficiarnos de nuestro propio servidor de nombres es configurar el sistema para que le pregunte a nuestro propio DNS en vez de a un DNS externo mediante la configuraci n adecuada del fichero etc resolv conf search dte us es us es nameserver 127 0 0 1 donde simplemente se ha indicado la direcci n IP 127 0 0 1 que siempre corresponde a la propia m quina como direcci n del servidor de nombres Si disponemos de conexi n a Internet podemos comprobar la configuraci n con los comandos host 1 odig 1 Capitulo 10 Servicio de Nombre de Dominio DNS 81 host www debian org www debian org A 198 186 203 20 dig www debian org 7 lt lt gt gt DiG 9 2 1 lt lt gt gt www debian org 7 global options printcmd j Got answer 5 gt gt HEADER lt lt opcode QUERY status NOERROR id 62570 flags qr rd ra QUERY 1 ANSWER 1 AUTHORITY 8 ADDITIONAL 5 7 QUESTION SECTION www debian org IN A 7 ANSWER SECTION www debian org 10795 IN A 198 186 203 20 Por defecto nuestro DNS cach preguntar a alguno de los servidores ra z cuando no conozca un nom bre pero es una buena idea configurarlo para que pregunte a un DNS m s pr ximo por ejem
18. definir localmente la correspondencia entre nombres y direcciones IP De esta forma se puede acelerar la traducci n de nombres a direcciones para aquellos nombres que se utilicen frecuentemente y se pueden asignar alias sencillos a m quinas de inter s Esta correspondencia se define en el fichero etc hosts El formato es muy sencillo y se muestra en el ejemplo siguiente correspondiente a la m quina figaro dte us es 1270 Ol localhost 150 214 149 100 figaro dte us es figaro 150 214 141 122 lorenzo fie us es lorenzo Las dos primeras l neas se crean por defecto en la instalaci n La primera asigna el nombre est ndar localhost a la direcci n 127 0 0 1 que corresponde por definici n a la direcci n del lazo local Esto quiere decir que siempre podemos hacer referencia a la propia m quina empleando el nombre localhost La segunda l nea define la correspondencia entre la direcci n IP y el nombre de la propia m quina De esta forma se evita tener que acceder a un servidor de nombres externo cuando se hace referencia a la propia m quina por su nombre Puede observarse que se ha definido tanto el nombre completo con el dominio como un nombre abreviado Es importante cambiar los datos de esta l nea si en el futuro se cambia el nombre de la m quina o su direcci n IP La tercera l nea ha sido a adida por el administrador por conveniencia al tratarse de una m quina que se referencia frecuentemente Capitulo 3 Con
19. dem Hay una opci n para detectarlo autom ticamente en cuyo caso debemos encender el m dem previamente si ste es externo Si conocemos el puerto podemos especificarlo manualmente Ejemplo dev ttyS1 Finalmente salvaremos los cambios Existe un men de opciones avanzadas que normalmente no ten dremos que modificar 3 5 3 Activar desactivar conexiones PPP Para activar o desactivar una conexi n PPP se emplean los comandos pon 1 y poff 1 respecti vamente El comando pon a secas inicia la conexi n al proveedor de nombre provider proveedor por defecto pero se puede indicar como par metro el nombre de otro proveedor para la conexi n por ejemplo pon eresmas De la misma forma funciona el comando pof f pero para la desconexi n Si no se especifica nombre de proveedor se desconecta del que est activo Para que un usuario pueda usar estos comandos ha de tener los permisos apropiados sobre los ficheros dev ttyS Esto se consigue f cilmente a adiendo el los usuario s adecuados al grupo dialout Por ejemplo adduser pedro dialout Existen muchos programas gr ficos para ejecutar autom ticamente los comandos pony poff u otros equivalentes Por ejemplo aplique Monitor M dem de la secci n de red del escritorio GNOME es bastante f cil de configurar para esta funci n 17 Capitulo 4 Control de servicios de red En este capitulo veremos c mo activar los servicios de red esto es como iniciar y
20. detener los diferentes servidores web FTP etc Veremos que una forma de controlar los servicios es mediante scripts dedicados que se sit an en el directorio etc init d Esto hace normalmente que los servicios se inicien al arrancar la maquina y permanezcan activos indefinidamente en espera de conexiones salvo que el administrador los detenga manualmente La otra alternativa es configurar el programa inetd para que active los servicios bajo demanda cuando se detecta actividad en el puerto correspondiente Tambi n veremos c mo controlar y restringir de forma global el acceso a los servicios en funci n del origen de la conexi n Finalmente daremos algunos consejos generales sobre seguridad de servicios en Internet 4 1 Servicios independientes stand alone Una de las formas de controlar el inicio y parada de los servicios de red es mediante el uso de scripts situados en el directorio etc init d De hecho en este directorio se encuentran todos los scripts que intervienen en el arranque y parada del sistema Todos los scripts que aparecen allf funcionan de forma similar se deben ejecutar indicando un s lo par metro que puede ser start O stop y opcionalmente otros como restart reloado force reload El significado de estos par metros es bastante obvio Por ejemplo un sistema Debian que tenga el servidor web Apache instalado dispondra de un script llamado apache en el directorio etc init d Para detener el servidor basta con ejecutar
21. grok a basic 1 1 response se e e SHE BrowserMatch RealPlayer 41 0 force response 1 0 BrowserMatch Java 1 0 force response 1 0 BrowserMatch JDK 1 0 force response 1 0 Alias doc usr doc The above line is for Debian Policy 3 0 1 FHS which specifies that doc is usr share doc Packages should symlink to share doc apacheconfig En este archivo es posible indicar la ubicaci n en nuestro sistema de ficheros de la URL con la directiva DocumentRoot var www Con la directiva DirectoryIndex index html indicamos cual es el docu mento por defecto que se debe abrir cuando se acceda a una URL sin indicar el archivo Las directivas AddlIcon permiten indicar los iconos que se deben mostrar en el caso de en el que se realiza la explo raci n de los archivos de un directorio via Web Tambi n es posible indicar cual es la pagina que se debe mostrar en caso de error en el servidor mediante la directiva ErrorDocument 7 6 mbitos El servidor Apache permite servir diferentes partes del Web cada una de configurada de forma diferente Para ello usa un mecanismo que permite definir mbitos en los cuales se pueden colocar directivas siendo estas directivas solo aplicable al mbito en el que esta incluida La declaraci n de un mbito se hace mediante dos directivas una de apertura de mbito y otra de cierre lt Directory usr lib cgi bin gt AllowOverride None Options ExecCGI FollowSymLinks lt Directory
22. gt en el ejemplo se abre un mbito con lt Directory usr lib cgi bin gt en el cual se colocan una serie de di rectivas aplicables en este caso a un directorio concreto Tras esto se cierra el mbito con lt Directory gt Un ejemplo del uso de estos mbitos o contextos se encuentra en el archivo apache access conf el cual se muestra a continuaci n access conf Global access configuration Online docs at http www apache org Capitulo 7 Servidor de Web Apache 63 se Oe e e e H This file defines server settings which affect which types of services are allowed and in what circumstances Each directory to which Apache has access Can be configured with respect to which services and features are allowed and or disabled in that directory and its subdirectories Originally by Rob McCool This should be changed to whatever you set DocumentRoot to lt Directory var www gt Sse de e 3 This may also be None All or any combination of Indexes Includes FollowSymLinks ExecCGI or MultiViews Note that MultiViews must be named explicitly Options All doesn t give it to you or at least not yet Options Indexes FollowSymLinks SH e de e HE This controls which options the htaccess files in directories Can override Can also be All or any combination of Options Filelnfo AuthConfig and Limit AllowOverride None Controls who
23. incluir en el fichero httpd conf las siguientes directivas Listen 80 Listen 8080 ServerName www miservidor com DocumentRoot var www webl lt VirtualHost 192 168 1 3 8080 gt DocumentRoot var www web2 lt VirtualHost gt En el ejemplo se puede observar que es indiferente el uso de nombres como puede ser www miservidor com o directamente la direcci n IP 7 9 Caracter sticas avanzadas Apache posee una serie de caracter sticas avanzadas para la administraci n de servidores Web que re quieran funcionalidades complejas Todas ellas se pueden consultar en la documentaci n de Apache A continuaci n se van a enumerar solo desde un nivel descriptivo aquellas que se consideran mas intere santes Capitulo 7 Servidor de Web Apache 67 e Virtual Hosting Es una de las partes mas potentes de Apache la cual permite tener e un mis mo servidor varios sitios Web es capaz de mostrar uno u otro segtin se haga el acceso de una determinada forma por nombre por puerto por direcci n ip desde determinados or genes etc e Creaci n de subdominios Es posible la creaci n de subdominios en el servidor Por ejem plo para el dominio www miservidor com podemos a adir nombres de la forma brroservicio miservidor com e Redirecci n Se puede hacer la redirecci n de peticiones al servidor Por ejemplo Redirect soporte http www soporte com con esto conseguir amos que una petici n al servidor de la forma http www mis
24. more mask del open rm mkdir md rmdir rd prompt recurse translate lowercase print Capitulo 6 Servidor de ficheros SAMBA 43 printmode queue cancel quit a exit newer archive tar blocksize tarmode setmode help history l smb gt Otra forma de acceder a los ficheros compartidos en otras maquinas consiste en montar un recurso remoto en el sistema de ficheros de la maquina local Esto es posible mediante el comando sbmmount mkdir prueba smbmount pclab5 publico prueba De esta forma se consigue tener en un directorio proprio llamado prueba montado un recurso compartido con el servidor SAMBA recurso de red Este comando suele estar disponible para todos los ususarios de la m quina Capitulo 6 Servidor de ficheros SAMBA 44 45 Capitulo 7 Servidor de Web Apache Apache es un servidor Web Este servidor permite responder a las peticiones http seg n la configuraci n indicada al servidor Toda la documentaci n referente al servidor se puede encontrar en apacne org Apache es un servidor modular es decir posee nicamente una funcionalidad muy b sica La ampliaci n de esta funcionalidad se consigue cargando m dulos de forma din mica para cada uno de los servicios que se quiera ofrecer 7 1 Instalaci n del servidor Para instalar el servidor bajo la distribuci n Debian hay que instalar el paquete apache bien desde el programa dselect o con apt get como es habitual En ambos casos surgir n depend
25. nea de tipo ALL ALL en el fichero hosts deny y permitiendo accesos concretos en el fichero hosts allow Por ejemplo fichero etc hosts deny ALL ALL fichero etc hosts allow ALL LOCAL ALL fie us es EXCEPT alumnos fie us es 4 3 2 Nombres especiales Ya hemos visto que el nombre ALL puede usarse para identificar cualquier servicio o cualquier origen De la misma forma EXCEPT sirve para introducir una lista de excepciones como hemos visto en los ejemplos anteriores Un nombre de servicio especial es portmap y hace referencia al proceso portmap 8 La mayor a de los servicios que hemos visto tienen asignado un n mero de puerto fijo relacionado en el fichero etc services Pero algunos servicios de red no poseen puertos fijos asociados sino que se accede a ellos por nombre Estos servicios se denominan servicios RPC Remote Procedure Call Un proceso especial el Portmapper portmap se encarga de traducir para los clientes el nombre al n mero de puerto que emplea en ese momento el servicio deseado Cuando se controla el acceso al servicio portmap es necesario indicar los or genes mediante direcciones IP no valen nombres Un nombre especial de cliente es PARANOID Hace referencia a cualquier ordenador cuyo nombre no coincida con su direcci n IP seg n la informaci n que pueda recopilarse del servidor de nombres Este es un mecanismo para protegerse de ante posibles conexiones por parte de m quinas que inte
26. s S dE OH e Ae e e OHH H AddLanguage en en AddLanguage fr fr AddLanguage de de Capitulo 7 Servidor de Web Apache 59 AddLanguage da da AddLanguage it it AddLanguage es es AddLanguage br br AddLanguage ja ja AddLanguage dk dk AddLanguage pl pl AddLanguage kr kr LanguagePriority allows you to give precedence to some languages in case of a tie during content negotiation Just list the languages in decreasing order of preference LanguagePriority en fr de Default charset preference see http www apache org info css security AddDefaultCharset on AddDefaultCharsetName iso 8859 e e e H se SE e e H Redirect allows you to tell clients about documents which used to exist in your server s namespace but do not anymore This allows you to tell the clients where to look for the relocated document Format Redirect fakename url Aliases Add here as many aliases as you need with no limit The format is Alias fakename realname Note that if you include a trailing on fakename then the server will require it to be present in the URL So icons isn t aliased in this example Alias icons usr share apache icons ScriptAlias This controls which directories contain server scripts Format ScriptAlias fakename realname Capitulo 7 Servidor de Web Apache 60 ScriptAlias cgi bin usr lib cgi
27. tarjetas de los fabricantes importantes est n soportadas ver el Ethernet HOWTO enhttp www linuxdoc org HOWTO Ethernet HOWTO html Si disponemos de una tarjeta PCI casi seguro que bastar con insertar el m dulo correspondiente en el kernel sin indicar ning n par metro adicional En caso de que se trate de una tarjeta ISA es recomendable conocer previamente la interrupci n irq y la direcci n del puerto de entrada salida empleado por la tarjeta io para indic rselo al programa modconf a la hora de instalar el driver En el caso de tarjetas Ethernet cada m dulo cargado asignar un nombre de dispositivo a la tarjeta empezando por ethO y siguiendo con eth etc Esto debe en equipos con varias tarjetas 3 2 Configuraci n de TCP IP Aqu veremos c mo configurar los datos descritos en el apartado anterior Capitulo 3 Configuraci n de la red 10 3 2 1 Direcci n IP mascara y Gateway Esta informaci n se configura para todos los interfaces de red en el fichero etc network interfaces A continuaci n mostramos un ejemplo etc network interfaces configuration file for ifup 8 ifdown 8 The loopback interface automatically added when upgrading auto lo iface lo inet loopback The first network card this entry was created during the Debian in stallation network broadcast and gateway are optional automatically added when upgrading auto eth0 iface ethO inet static address 150 214 141
28. var con los permisos adecuados para ello desde la cuenta de root hacemos lo siguiente mkdir var ftp chown ftp var ftp por ltimo para indicar el directorio al que accede el usuario an nimo basta con incluirlo en la cabecera donde se define el mbito del usuario an nimo lt Anonymous var ftp gt lt Anonymous gt Capitulo 9 Servidor FTP 78 79 Cap tulo 10 Servicio de Nombre de Dominio DNS En el cap tulo Introducci n a Internet en la p gina B hablamos brevemente de los nombres de dominio y como permiten identificar a m quinas en Internet mediante un nombre como teclix dte us es en vez de la correspondiente direcci n IP Los ordenadores encargados de hacer esta traducci n de nombres en direcciones IP son los Servidores de Nombres de Dominio o DNS En este cap tulo veremos como se instala y configura un servidor DNS en Debian Este cap tulo no es una descripci n exhaustiva de los DNS para ello existe documentaci n mucho m s adecuada como el DNS HOWTO que se instala junto con otros documentos similares con el paquete doc 1inux html o su traducci n al castellano no tan actualizada instalada con el paquete doc linux es En estos documentos puede encontrar as mismo enlaces a la versi n m s reciente en Internet Por nuestra parte nos centraremos en dos ejemplos la configuraci n de un DNS cach y la de un DNS para un dominio hipot tico que llamaremos linux aula 10 1 Conceptos fu
29. ventana se nos mostrar n algunos consejos sobre el uso de ss1wragp con algunos servicios e Ahora podemos elegir qu servicios proteger con sslwrap Elegiremos imaps y pop3s que son la opci n por defecto Caducidad y regeneraci n del certificado Al iniciarse sslwrap por primera vez generar un nuevo fichero de certificado si ste no exist a La primera vez que los clientes se conecten recibir n una advertencia ya que el certificado generado es autofirmado y no est avalado por una autoridad de certificaci n Los clientes tambi n recibir n una advertencia cuando caduque el certificado que por defecto es un mes Para regenerarlo basta con ejecutar el script de inicio de sslwrap etc init d sslwrap start Podemos hacer que este script se ejecute diariamente para que compruebe la validez del certificado si incluimos este comando en un script dentro del directorio etc cron daily Bloquear acceso directo a POP e IMAP Una vez instalado sslwrap no debemos permitir el acceso directo a los servicios POP e IMAP sino a las versiones seguras suministradas por sslwrap Para ello podemos usar la siguiente configuraci n de los ficheros hosts deny y hosts allow donde se supone una pol tica de seguridad tipo casi todo cerrado fichero etc hosts deny ALL ALL fichero etc hosts allow ipop3d imapd localhost sslwrap ALL Activar soporte SSL en los clientes Para acceder a los servicios POP e IMAP en su versi n segura es ne
30. 2 Desactivar servicios controlados por inetd 20 A ontrol de acceso a Servicios PWIAPDCI oo 21 4 3 Pol ticas de seguridad a 22 4 3 Nombres especiales LEO 23 4 3 omandos asociados a reglas 23 4 4 onsejos sobre seguridad LL LL 24 Correo electr nico 27 D I Servidor de correo saliente SMTP 27 S I onfiguraci n inicial de exi 27 5 1 ontrol del relay por host de origen 0 0 000000 eee 29 S I ontrol del relay por direcci n de correo de origen 30 30 31 31 31 31 35 35 36 7 6 onfiguracion de SAMBA 36 NDICE GENERAL iii ade da caida Geely ae a 41 6 emplo de uso del servidor SAMBA 2 00 000 ee eee eee 41 42 45 45 AN 45 eae ee ee ee re ia dea 46 114 Dire OSs se eae koe oe oe a ae Ge a a we Hoe a de God Bee 46 he Re ee ee ee Be hele ee ee ee 55 AE A 62 AE E A O 65 S plo d o a le ec ete Bda tenes dde oe ee ay ee 66 Z9 Caracter sticas avanzadas A AR A RA 66 69 RJE instalacionl 2 ee aa a g a a A ea a a ea a Aa e AA da 69 8 onfiguraci n del servida 69 eee we PAS Gone an ee ee ee es 70 8 4 onfiguraciones avanzadag lt s lt sssaaa naa ETER EA RR RERA 72 Y Servidor FTP 73 A A EG K RE Ee RA Ge SEG BAS 4 ed 73 O onfiguraciOn cocos eR ia e ai 73 9 emplo con servidor an nimo e LL IL LL LL LL a 76 10 Servicio de Nombre de Dominio DNS 79 oy 9 79 10 2 Instal
31. 3 With this setting turned on whenever Apache needs to construct a self referencing URL a url that refers back to the server the response is coming from it will use ServerName and Port to form a canonical name With this setting off Apache will use the hostname port that the client supplied when possible This also affects SERVER_NAME and SERVER_PORT in CGIs Capitulo 7 Servidor de Web Apache 53 UseCanonicalName on s S e e e e e CacheNegotiatedDocs By default Apache sends Pragma no cache with each document that was negotiated on the basis of content This asks proxy servers not to cache the document Uncommenting the following line disables this behavior and proxies will be allowed to cache the documents CacheNegotiatedDocs Timeout The number of seconds before receives and sends time out Timeout 300 Se de e H KeepAlive Whether or not to allow persistent connections more than one request per connection Set to Off to deactivate KeepAlive On S e e e MaxKeepAliveRequests The maximum number of requests to allow during a persistent connection Set to 0 to allow an unlimited amount We reccomend you leave this number high for maximum performance MaxKeepAliveRequests 100 KeepAliveTimeout Number of seconds to wait for the next request KeepAliveTimeout 15 de e de e e Server pool size regulation Rather than ma
32. 68 0 0 192 168 255 255 Capitulo 2 Introducci n a Internet 7 Por razones obvias nunca deberia aparecer trafico en Internet correspondiente a estas direcciones 2 4 Puertos y servicios Mediante un nombre o una direcci n IP puedo localizar un ordenador concreto en Internet pero adem s necesito un mecanismo para poder conectar a un servicio concreto dentro de ese ordenador correo electr nico p ginas web FTP etc La conexi n a un servicio concreto o mejor dicho a un proceso concreto que se ejecute en un ordenador se realiza especificando un n mero de puerto As por ejemplo los programas que se encargan de enviar el correo electr nico escuchan en el puerto 25 y los servidores web en el puerto 80 Estos puertos son conocidos por los clientes correspondientes lector de correo electr nico o navegador web Existen muchos servicios conocidos que tienen asignados puertos fijos por ejemplo Servicio Puerto Descripci n ftp 21 transferencia de ficheros ssh 22 conexi n remota segura telnet 23 conexi n remota smtp 25 transferencia de correo finger 79 identificaci n de usuarios WWW 80 WEB pop3 110 servicio de correo sunrpc 111 portmapper Otros servicios est ndar como el sistema de ficheros en red NES no poseen un puerto fijo sino que se les asigna din micamente por un servicio especial el portmapper Los puestos 1 a 1024 se denominan privilegiados y s lo pueden ser em
33. Guia de administraci n de red de Debian GNU Linux Jorge Juan Chico lt j jchico imse cnm es gt Paulino Ruiz de Clavijo V zquez lt paulino imse cnm es gt Version 0 4 3 julio 2002 Resumen Este documento es una gu a de introducci n a la configuraci n y administraci n de red de Debian GNU Linux correspondiente a la versi n 3 0 woody de la distribuci n Nota de Copyright Copyright 2001 los Autores Este manual es software libre puedes redistribuirlo y o modificarlo bajo los t rminos de Licencia Gen eral de GNU publicada por la Free Software Foundation ya sea la versi n 2 o a tu opinion cualquier versi n posterior Indice General 2 1 Redes de rea Tocall Z ementos de configuraci n de un ordenador en Internet Z ementos de configuraci n de un host 23 ementos de configuraci n adicionales en un route de Direcciones IP especiales 2 200084 NA 2 4 Puertos y Servicios Direcci n IP m scara y Gateway 3 2 Nombre de la m quina Do Dominio y servidores de nombre 3 omprobaci n de la red Di Omprobacion de servidores de nombre 3 4 omprobaci n de la tabla de ruta Activacion desactivacion de inte YN DH O A A U U UQ NDICE GENERAL ii 15 15 15 3 3 3 Activar desa 16 17 oh eae A bok ees oes ee 17 A ervicios activados bajo demanda InetdAl LL LLE 19 A Z onfiguracion de inetd oaao 19 EZZ AT MA 20 4
34. a forma es quiz m s c moda y eficiente ya que consiste en mandar una se al a proceso actual para que relea la configuraci n sin necesidad de detenerlo El nombre de la se al a enviar es HUP y puede enviarse con el comando killall 1 killall HUP inetd 4 2 3 Desactivar servicios controlados por inetd Si en alg n momento queremos desactivar alguno de los servicios controlados por inetd pero no queremos desinstalar el servidor correspondiente podemos hacerlo simplemente comentando la linea adecuada en el fichero etc inetd conf afiadiendo un s lo al principio de la linea deseada De esta forma el sistema sabr que se trata de una modificaci n manual del usuario y no activar esta l nea en el futuro Capitulo 4 Control de servicios de red 21 Es importante no modificar l neas comentadas con la cadena lt off gt pues es la marca que emplea el sistema cuando un servicio se desactiva autom ticamente Es importante tambi n no modificar las cabeceras de las secciones que comienzan con Tras modificar el fichero etc inetd conf debemos reiniciar el proceso inetd como se ha indi cado anteriormente Tambi n debemos tener en cuenta que cambiar la configuraci n de inetd para un servidor no significa que se detenga la copia de ese servidor actualmente en curso Para ello tendr amos que matar el proceso Por ejemplo para detener exim arrancado desde inetd har amos killall exim Esto mismo si
35. a mayor a de los casos Otra modalidad m s antigua pero todav a en uso no emplea ning n dispositivo externo sino que un cable coaxial une en forma de cadena todos los ordenadores a trav s de sus tarjetas de red De uno u otro modo cada ordenador conectado a la red puede intercambiar datos con los dem s en forma de paquetes que se insertan en la red local Para organizar este intercambio cada ordenador dispone de una direcci n nica que viene grabada de f brica en cada tarjeta por lo que se suele llamar direcci n f sica La direcci n f sica en las redes Ethernet se compone de un conjunto de 6 bytes 48 bits que se suelen representar en hexadecimal Por ejemplo 08 00 2b 4c 59 23 Otro mecanismo muy com n para conectarse a una red es mediante una conexi n punto a punto a otro ordenador por ejemplo mediante el uso de un m dem En este caso la red local est formada por s lo dos ordenadores los que se encuentran a ambos extremos del cable o de la l nea telef nica La tecnolog a equivalente a las redes Ethernet para este tipo de conexiones se denomina PPP Point to Point Protocol 2 2 Internet La tecnolog a de redes de rea local a secas limita el intercambio de informaci n a la propia red local que no pueden extenderse m s all de las dimensiones de un laboratorio un edificio o a lo sumo un campus Capitulo 2 Introducci n a Internet 4 y se componen de un n mero del orden de cien ordenadores Para permitir la
36. aci n del servicio de nombres en Debian o 80 O onfiguraci n de un DNS Cachd LL LL LL LL a 80 0 4 Configuraci n de un dominio simple 2 2 a 82 OAA Tabla directa 4 ea ok eS CR ee Res ee REE OER Ee 82 NDICE GENERAL Capitulo 1 Introduccion Este documento comprende los aspectos b sicos de la configuraci n y administraci n de lo que podria ser un peque o servidor en Internet junto con los procedimientos para poner en marcha diferentes servicios como correo electr nico paginas web FTP an nimo etc Este documento pretende ser una guia pr ctica y concisa para la configuraci n y administraci n de la red en un sistema Debian GNU Linux Dado el car cter conciso de este documento ning n tema se tratar con profundidad pero si de forma suficiente para configurar y mantener los servicios m s comunes sin necesidad de consultar documentaci n adicional Para profundizar m s en cualquiera de los temas se recomiendan especialmente los documentos HOW TO C MO que pueden encontrarse en www linuxdoc ordg Estos documentos son gu as pr c ticas sobre temas concretos entre ellos hay varios dedicados a redes como el The Linux Networking Overview HOWTO y el Linux Networking HOWTO que proporcionan una excelente informaci n introductoria sobre las capacidades de red de Linux y la configuraci n b sica adem s de numerosos enlaces m s especializados En general debe t
37. allows your host to be used as a mail relay on ly by localhost it locks out the use of your host as a mail relay by any other host See the section of the manual entitled Control of relaying for more info Valor original host_accept_relay 127 0 0 1 1 Nuevo valor host_accept_relay 127 0 0 1 1 etc exim host_accept_relay Ahora creamos el fichero et c exim host_accept_relay y escribimos all la lista de m quinas y redes que pueden usarnos como servidor de correo electr nico Por ejemplo 150 21 150 21 pcl lab l7 fac es 5 0 0 16 6 7 0 24 es 150 214 141 10 Vemos que es posible indicar tanto direcciones IP concretas 150 214 141 10 subredes 150 216 7 0 24 subdominios lab es y nombres de m quinas pc17 fac es Cuando es posible es preferible el formato num rico pues as no dependemos del servidor de nombres Capitulo 5 Correo electr nico 30 5 1 3 Control del relay por direcci n de correo de origen Cuando los usuarios del correo electr nico se conectan siempre desde unas direcciones IP fijas es posi ble darles acceso al servidor usando el m todo anterior pero este m todo no se puede aplicar cuando los usuarios utilizan direcciones IP din micas conexi n por m dem o desean poder enviar correo usando cualquier m quina de Internet como cliente En este caso podemos autorizar el relay en funci n de la direcci n de correo del usuario client
38. ation LoadModule vhost alias module usr lib apache 3 mod_vhost_alias so LoadModule env_module usr lib apache 1 3 mod_env so LoadModule config_log_module usr lib apache 1 3 mod_log_config so LoadModule mime_magic_module usr lib apache 1 3 mod_mime_magic so LoadModule mime_module usr lib apache 1 3 mod_mime so LoadModule negotiation_module usr lib apache 1 3 mod_negotiation so LoadModule status_module usr lib apache 1 3 mod_status so LoadModule info_module usr lib apache 1 3 mod_info so n e SF LoadModule includes_module usr lib apache 1 3 nod_include so oadModule autoindex_module usr lib apache 1 3 mod_autoindex so LoadModule dir_module usr lib apache 1 3 mod_dir so LoadModule cgi_module usr lib apache 1 3 mod_cgi so LoadModule asis_module usr lib apache 1 3 mod_asis so LoadModule imap_module usr lib apache 1 3 mod_imap so n n LoadModule action_module usr lib apache 1 3 nod_actions so LoadModule speling_module usr lib apache 1 3 nod_speling so LoadModule userdir_module usr lib apache 1 3 mod_userdir so LoadModule alias module usr lib apache 1 3 mod_alias so LoadModule rewrite_module usr lib apache 1 3 mod_rewrite so LoadModule access_module usr lib apache 1 3 mod_access so LoadModule auth_module usr lib apache 1 3 mod_auth so LoadModule anon_auth_module usr lib apache 1 3 mod_auth_anon so
39. ation Format Action handler name cgi script location Customizable error response Apache style these come in three flavors 1 plain text ErrorDocument 500 The server made a boo boo n b the marks it as text it does not get output 2 local redirects ErrorDocument 404 missing html to redirect to local url missing html ErrorDocument 404 cgi bin missing_handler pl n b can redirect to a script or a document using server side includes 3 external redirects ErrorDocument 402 http some other_server com subscription_info html mod_mime_magic allows the server to use various hints from the file itself to determine its type MimeMagicFile conf magic The following directives disable keepalives and HTTP header flushes The first directive disables it for Netscape 2 x and browsers which spoof it There are known problems with these The second directive is for Microsoft Internet Explorer 4 0b2 which has a broken HTTP 1 1 implementation and does not properly support keepalive when it is used on 301 or 302 redirect responses Se de de de SHE de e e e e BrowserMatch Mozilla 2 nokeepalive BrowserMatch MSIE 4 0b2 nokeepalive downgrade 1 0 1 force response 1 0 Capitulo 7 Servidor de Web Apache 62 The following directive disables HTTP 1 1 responses to browsers which are in violation of the HTTP 1 0 spec by not being able to
40. bin If you want to use server side includes or CGI outside ScriptAliased directories uncomment the following lines Se e e 3 AddType allows you to tweak mime types without actually editing it or to make certain files to be certain types Format AddType type subtype ext1 Se e e 3 For example the PHP3 module a separate Debian package will typically use AddType application x httpd php3 phtml AddType application x httpd php3 source phps AddHandler allows you to map certain file extensions to handlers actions unrelated to filetype These can be either built into the server or added with the Action command see below Format AddHandler action name ext1 SH e e e To use CGI scripts AddHandler cgi script cgi To use server parsed HTML files AddType text html shtml AddHandler server parsed shtml Uncomment the following line to enable Apache s send asis HTTP file feature AddHandler send as is asis If you wish to use server parsed imagemap files use AddHandler imap file map To enable type maps you might want to use AddHandler type map var Action lets you define media types that will execute a script whenever Capitulo 7 Servidor de Web Apache 61 a matching file is called This eliminates the need for repeated URL pathnames for oft used CGI file processors Format Action media type cgi script loc
41. can get stuff from this server order allow deny allow from all lt Directory gt usr lib cgi bin should be changed to whatever your ScriptAliased Capitulo 7 Servidor de Web Apache 64 CGI directory exists if you have that configured lt Directory usr lib cgi bin gt AllowOverride None Options ExecCGI FollowSymLinks lt Directory gt Allow server status reports with the URL of http servername server status Change the your_domain com to match your domain to enable lt Location server status gt SetHandler server status order deny allow deny from all fallow from your_domain com lt Location gt Allow server info reports with the URL of http servername server info Change the your_domain com to match your domain to enable lt Location server info gt SetHandler server info order deny allow deny from all fallow from your_domain com lt Location gt Debian Policy assumes usr doc is doc at least from the localhost lt Directory usr doc gt Options Indexes FollowSymLinks AllowOverride None order deny allow deny from all allow from localhost lt Directory gt This sets the viewable location of the mod_throttle status display Capitulo 7 Servidor de Web Apache 65 lt location throttle info gt SetHandler throttle info lt location gt Se de e SHE Do not allow users to browse foreign fil
42. cesario configurar las conexiones POP e IMAP de los clientes para que usen conexi n segura mediante SSL La mayor a de los clientes actuales soportan esta opci n como Netscape Communicator mozilla evolution o Microsoft Outlook En cada caso se deber consultar la documentaci n del cliente que se desee usar Capitulo 5 Correo electr nico 34 35 Capitulo 6 Servidor de ficheros SAMBA Samba es un paquete de software de dominio p blico que permite compartir recursos por la red compat ible con la red de Microsoft Los principales servicios que ofrece son cuatro 1 Servicios de archivos e impresoras 2 Servicios de autentificaci n 3 Servicios de resoluci n de nombres 4 Servicios de listado browsing Se puede encontrar la documentaci n en http www samba org 6 1 Instalaci n En la distribuci n debian el paquete de instalaci n es samba la instalaci n ser a apt get install samba Durante el proceso de instalaci n se nos preguntar sobre el modo en el que se desea que se inicie el servicio SAMBA e Como demonio del sistema e Arranque bajo demanda inetd En el caso de tener instalado el servicio bajo demanda cuando realicemos cambios en la configuraci n sera necesario reiniciar el servicio inetd de la forma Ver documento de administraci n del sistema Capitulo 6 Servidor de ficheros SAMBA 36 killall HUP inetd El tratamiento de los usuarios de este servicio se hace de mane
43. ci n etc inetd conf y ejecutar el servidor de forma permanente cada vez que se inicie la sesi n Capitulo 5 Correo electr nico 31 Control del estado de exim Con el programa grafico eximon 8 que se encuentra en el paquete del mismo nombre podemos ver el estado de las colas de mensajes de correo electr nico los ltimos errores generados y hacer operaciones sobre los mensajes pendientes de forma sencilla El uso de este programa es de especial utilidad para saber por qu no se ha enviado aquel mensaje que enviamos hace dos dias ademas de otras manipulaciones posibles sobre los mensajes Para realizar una acci n sobre un mensaje se debe mantener pulsada la tecla shift mientras se pulsa el primer bot n del rat n sobre el mensaje seleccionado 5 1 5 Para saber m s exim es un programa muy complejo y altamente configurable y viene con una extensa documentaci n sta viene en dos versiones formato info que se puede consultar desde dentro del editor emacs o desde el visor de ayuda del entorno GNOME y en formato html El primer formato se instala con el paquete exim doc y el segundo con el paquete exim doc html 5 2 Servidor de correo entrante POP IMAP Para poder leer remotamente el correo electr nico que ha llegado a nuestro servidor de correo se emplean protocolos para recuperar correo como POP e IMAP Estos protocolos est n soportados por multitud de clientes como Netscape Communicator o Microsoft Outlook 5 2 1 Insta
44. cifrada a los servidores reales El paquete Debian se llama sslwrap y es f cil de configurar sslwrap es muy flexible porque permite gestionar de forma centralizada la conexi n segura a diversos servicios no s lo POP e IMAP y permite que los servicios se ejecuten en m quinas diferentes a donde funciona el programa sslwrap A continuaci n veremos como configurar los servicios POP e IMAP de forma segura empleando este paquete Al instalar el paquete sslwrap entraremos en un asistente para su configuraci n controlado por el sistema de configuraci n de Debian Debconf Los pasos a seguir son los siguientes e En la primera pantalla elegiremos activaci n por inetd e En la pantalla siguiente dejaremos la opci n por defecto 127 0 0 1 e En la pantalla siguiente diremos que SI queremos usar sslwrap con certificados Esto es nece sario para un correcto funcionamiento de los clientes e Si disponemos de un certificado propio creado con anterioridad podemos indicar su localizaci n aqu En caso contrario dejamos el valor por defecto para que el certificado sea creado por sslwrap Capitulo 5 Correo electr nico 33 e El la siguiente ventana si vamos a generar nuestro propio certificado elegimos que SI para que sslwrap compruebe el certificado en el inicio y genere uno nuevo en cado de que ste haya cadu cado e Elegimos que SI a sobreescribir el certificado antiguo si sslwrap encuentra que estaba corrupto e En la siguiente
45. cios estan deshabilitadas Por omisi n SQUID funciona con unos puertos predeter minados para cada uno de sus servicios Esto puede ser problem tico en muchos casos ya que puede haber alg n otro servicio funcionando en el puerto por defecto Un caso en el que sucede esto es cuando tenemos en la misma maquina el servidor Apache y Squid Ambos para se colocan en el puerto 80 por defecto de forma que si otra maquina usa el proxy en el puerto 80 el resultado es que siempre responde con la pagina que tenga por defecto Apache en el puerto 80 no pudiendo acceder a ningtin otro sitio de Internet Existen directivas que nos permiten colocar los diferentes servicios en diferentes puertos nicamente hay que ir descoment ndolos En el caso del servicio http se puede colocar en otro puerto de la siguiente forma http_port 3128 con esto la colocamos en el puerto 3128 Tras reiniciar el servicio tenemos en el puerto 3128 el proxy funcionando para ofrecer servicios http Otro problema es que en la configuraci n por defecto solo se permite el uso local es decir ning n ordenador de la red lo puede usar nuestra m quina como servidor proxy Para habilitar el acceso a otras m quinas es necesario manipular las listas de acceso las cuales se explican en la siguiente secci n 8 3 Control de acceso SQUID tiene un complejo sistema de control de acceso Este es una de las caracter sticas m s dificil de utilizar en el servidor si se consigue una buena
46. conexi n de ordenadores en reas m s amplias se desarroll Intenet B sicamente Intenet proporciona un mecanismo para la interconexi n de redes de rea local entre s y para la transferencia de informaci n entre ellas De este modo es posible el intercambio de informaci n entre ordenadores muy distantes conectados a redes de rea local diferentes De esta forma Internet se compone de un conjunto heterog neo de redes de rea local repartidas por todo el mundo interconectadas entre ellas por m quinas especiales denominadas routers que se encargan de traspasar los paquetes de datos de unas redes a otras seg n sea necesario como se muestra en el ejemplo 421 H_2 H3 HA H 9 4H 10 4 11 LAN_1 LAN_3 router_1 router_2 LAN_2 LAN_4 2 3 Elementos de configuraci n de un ordenador en Internet Cada ordenador conectado a internet necesita conocer cierta informaci n sobre si mismo y sobre la propia red para que pueda funcionar correctamente Esta informacion depende de si se trata de un ordenador com n host o un router 2 3 1 Elementos de configuraci n de un host Direcci n IP y m scara de subred La direcci n IP est formada por cuatro bytes 32 bits e identifica a un ordenador de forma un voca en Internet Un ordenador puede poseer varias direcciones IP si dispone de varios interfaces de red como en el caso de un router asignando una direcci n IP a cada interfaz La forma habitual de representa
47. configuraci n podr a llegarse a usar como firewall Este sistema de control de acceso se basa en las denominadas listas de control de acceso ACL Estas listas de control de acceso se declaran en el archivo de configuraci n mediante la directiva acl A continuaci n se muestra un ejemplo de una lista de acceso acl dte srcdomain dte us es Esta lista de acceso contiene todos los clientes que se conecten desde el dominio dte us es Cuando ya tenemos declarada una lista ACL se puede utilizar para permitir o denegar el acceso al proxy Por ejemplo si queremos permitir el acceso a la lista ACL dte escribir amos la siguiente directiva en el archivo de configuraci n de SQUID http_access allow dte Cada uno de los servicios de SQUID se configura con su propio conjunto de directivas En este caso se ha habilitado el acceso al servicio http al dominio dte us es De forma general la sintaxis la directiva acl es de la siguiente forma acl aclname acltype string donde acltname es el nombre que se le da a la lista y acltype indica el tipo de lista que se puede hacer Los diferentes tipos ser an Capitulo 8 Servidor Proxy SQUID 71 e src Mira la IP del cliente Para crear una lista que contenga toda la red 192 168 1 0 escribirfamos acl laboratorio 192 168 1 0 24 Si quisi ramos usar una sola IP o varias bastaria con escribirlas seguidas acl laboratorio 192 168 1 4 192 168 1 6 e dst Crearia una lista en la que estar an
48. creta o detallada sobre el sistema versi n del kernel distribuci n instalada programas instalados etc Esta informaci n es vital para los que buscan agujeros de seguridad e Mantener actualizado el sistema Continuamente se encuentran fallos de seguridad en los pro gramas que r pidamente se hacen conocidos stos se solucionan r pidamente pero para ello tenemos que tener el sistema actualizado En Debian se puede estar al d a de los parches de seguridad incluyendo una l nea como esta en el fichero etc apt sources list Capitulo 4 Control de servicios de red 25 deb http security debian org stable updates main contrib non free El sistema debe actualizarse al menos una vez a la semana Para obtener informaci n puntual sobre problemas de seguridad detectados en Debian puede consultarse la pagina web de la Distribuci n suscribirse a la lista de difusi n de errores de seguridad debian security announce e Revisar los ficheros de registro logs peri dicamente en busca de conexiones denegadas o direc ciones de origen extra as En especial los ficheros auth log daemon log messages y syslog todos ellos en var log e Proteger los ficheros y directorios con informaci n sensible de la mirada de los usuarios comunes como por ejemplo var log etc ssh inetd conf hosts allow y hosts deny e Poner fecha de caducidad a las cuentas de usuario con el comando chage 1 Una cuenta activa y desatendida es una pu
49. ctiva limitar a el acceso al servidor al dominio dte us es Otra forma de controlar el acceso a partes del Web se indic en el apartado anterior mediante el uso de mbitos de directorio y archivo e indicando en estos mbitos directivas de acceso Por ultimo mencionar la existencia de unos archivos especiales llamados htaccess Estos archivos permiten descentralizar la administraci n del Web y se pueden colocar a lo largo del sistema de archivos Estos archivos est n formados por directivas que se aplican s lo al directorio en el cual se encuentren y a los subdirectorio que partan de l Con esto tambi n se consigue que un usuario pueda administrar de manera independiente una parte del un Web y adem s pueda controlar el comportamiento de la parte que administra 7 8 Ejemplo de uso Como ejemplo de uso de Apache se van a crear dos webs dentro de la misma m quina La forma que tendr el usuario de acceder a una u otra ser indicando en el URL el puerto de la m quina al que quiere conectarse Situaremos el primer sitio Web en siendo este el Web por defecto y en el puerto 8080 colocaremos otro de forma que desde un explorador de Internet habr a que acceder con la URL http www miservidor com 8080 Para hacer esto en primer lugar se deben crear dos directorios diferentes en los que se albergar n los dos sitios Web Para este ejemplo se han creado los directorios llamados var www webl1 y var www web2 Para conseguir esto es necesario
50. de crear mbitos de manera similar a como se hac a en el servidor Apache lt Directory gt AllowOverwrite on lt Directory gt Recordemos que esto nos permit a colocar directivas que s lo se aplican al mbito en el que estan incluidas De hecho en el archivo de configuraci n se puede observar que el control del usuario an nimo se realiza mediante la declaraci n de un mbito lt Anonymous ftp gt lt Directory gt lt Limit WRITE gt DenyAll lt Limit gt lt Directory gt lt Anonymous gt incluso en un mbito es posible anidar otro como se hace en el ejemplo anterior Se consigue poner restricciones a directorios solamente para el usuario an nimo 9 3 Ejemplo con servidor an nimo Por defecto cuando se habilita durante el proceso de instalaci n el acceso an nimo al servidor ftp se crea un usuario llamado ftp para el cual se crea una cuenta en el directorio home ft p Es posible habilitar la escritura de este usuario de manera que se pueden subir archivos al servidor an nimo incluyendo en el archivo de configuraci n lo siguiente lt Anonymous ftp gt Capitulo 9 Servidor FTP 77 lt Directory gt lt Limit WRITE gt AllowAll lt Limit gt lt Directory gt lt Anonymous gt Pero esto tiene un problema todos los archivos que se est n subiendo al servidor quedan ubicados en el directorio home ftp y esto no es conveniente Lo ideal ser a ubicar un directorio ftp en
51. de la subred 150 214 142 0 2 Si ninguna regla en etc hosts allow concuerda con la conexi n se pasa a buscar reglas que concuerden en el fichero etc hosts deny Si alguna regla de este fichero concuerda el acceso es denegado inmediatamente Por ejemplo fichero etc hosts deny in ftpd fie us es EXCEPT mipc fie us es La l nea de este fichero niega el acceso al servicio FTP desde el dominio fie us es excepto para la m quina mipc fie us es Debe tenerse en cuenta que el fichero hosts allow tiene preferencia sobre el hosts deny de modo que un acceso permitido en el primero nunca podr ser negado en el segundo 4 3 1 Pol ticas de seguridad El control de acceso basado en los ficheros hosts allow y hosts deny suele emplearse para implementar dos pol ticas de seguridad t picas casi todo abierto 0 casi todo cerrado Pol tica de seguridad casi todo abierto En este esquema todo lo que no est expresamente denegado est permitido Se implementa dejando vac o el fichero hosts allow y denegando el acceso a servicios concretos en el hosts deny Por ejemplo fichero etc hosts allow aqui no ponemos nada fichero etc hosts deny ALL some host name some domain in fingerd other host name other domain Capitulo 4 Control de servicios de red 23 Politica de seguridad casi todo cerrado En este esquema de seguridad todo lo que no est expresamente permitido esta denegado Se imple menta con una l
52. e Como en el apartado anterior vamos a crear un fichero donde escribiremos las direcciones de los usuarios para los que se hace relay Primero incluimos las l neas siguientes en el fichero etc exim exim conf en un sitio apropiado por ejemplo tras la configuraci n de la opci n host_accept_relay Lista de direcciones origen para las que se hace relay relay_match_host_or_sender sender_address_relay etc exim sender_address_relay Ahora incluimos en el fichero etc exim sender_address_relay las direcciones necesarias por ejemplo direcciones de paco paco frodo lab es paco lab es direcciones de pepe pepe frodo lab es pepe lab es donde se han incluido las direcciones de los usuarios paco y pepe indicando los diferentes nombres de dominio que pueden utilizar Como puede verse pueden incluirse lineas de comentario comenzando con 5 1 4 Controlde exim Control del m todo de inicio Por defecto exim se inicia bajo demanda controlado por inetd Esta es la configuraci n adecuada para sistemas con poco tr fico de correo pues evita tener el servidor corriendo constantemente y consumiendo recursos Para sistemas con mucho tr fico de correo es mejor tener el servidor activo todo el tiempo Para ello basta con comentar la linea que arranca el servicio smtp en el fichero etc inetd conf con una simple y ejecutar el script de iniciaci n independiente etc init d exim start El script detectar la configura
53. e Internet debe contemplar adem s los siguientes puntos e Debe asignarse una direcci n IP por cada interfaz f sico conexi n de red e Debe definirse una tabla de rutas que indique por que interfaz deben enviarse los paquetes seg n su direcci n de destino puesto que ahora existe m s de una conexi n a la red e Si la m quina va a actuar como router caso m s com n debe configurarse para que haga el reenv o de los paquetes recibidos por un interfaz hacia el interfaz de salida correspondiente for warding 2 3 3 Direcciones IP especiales Aparte de las direcciones IP que identifican una subred o bien una direcci n de broadcast existen otras direcciones especiales Las m s interesantes son aquellas destinadas a redes que emplean lo protocolos de Internet redes IP pero que no est n directamente conectadas a la red global esto es no pertenecen a la Internet Estas redes se denominan a menudo redes privadas o intranets En principio en redes aisladas de Internet podr an usarse las direcciones IP que el administrador considerara oportuno siempre que fueran localmente distinguibles pero por razones de seguridad y organizaci n se definen rangos de direcciones IP para estas redes Estos son los siguientes DIRECCIONES RESERVADAS PARA REDES PRIVADAS Clase M scara Direcciones de red de red A 255 0 0 0 10 0 0 0 10 200 2902909 B 2557299 040 172 16 0 0 172 31 255 255 25957255725570 192 1
54. e emplea para configurar los interfaces de red pero en la mayor a de los casos no es necesario su uso directo ya que el proceso est automatizado en la distribuci n Debian mediante el uso del fichero etc network interfaces descrito en apartados anteriores 3 3 4 Comprobaci n de la tabla de rutas En sistemas sencillos esto es con una nica conexi n a la red La tabla de rutas es muy sencilla y casi nunca tendremos que consultarla salvo para asegurarnos que el router por defecto gateway Capitulo 3 Configuraci n de la red 14 es el adecuado La tabla de rutas puede consultarse con el comando route 8 o con el comando netstat 8 indicando la opci n r Por ejemplo S sbin route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref localnet ZIJAD LODO U 0 0 default 150 214 141 1 0 0 00 UG 0 0 La informaci n suministrada indica b sicamente dos cosas que la red local localnet es la que se obtiene aplicando la m scara 255 255 255 0 a la direcci n IP de la m quina y que a ella se accede a trav s del interfaz ethO y que el gateway para el resto de destinos default est en la direcci n IP 150 214 141 1 El comando route tambi n se emplea para modificar manualmente la configuraci n de la tabla de rutas pero en la mayor a de los casos esta tarea es realizada autom ticamente por el sistema a partir de la informaci n contenida en los ficheros de configuraci n de la red 3 4
55. ed se puede comprobar con el comando ifconfig 8 Aunque se encuentra en el directorio sbin cualquier usuario puede ejecutarlo para esta tarea Por ejemplo sbin ifconfig etho Link encap Ethernet HWaddr 00 4F 4E 05 FA 35 inet addr 150 214 141 122 Bcast 150 214 141 255 Mask 255 255 255 0 UP BROADCAST RUNNING MULTICAST MTU 1500 Metric 1 RX packets 9373307 errors 1801 dropped 993 overruns 80 frame 0 TX packets 8026804 errors 3583 dropped 0 overruns 0 carrier 7166 collisions 224583 txqueuelen 100 RX bytes 1764525259 1682 7 Mb TX bytes 3841778389 3663 8 Mb Interrupt 9 Base address 0x4000 lo Link encap Local Loopback inet addr 127 0 0 1 Mask 255 0 0 0 UP LOOPBACK RUNNING MTU 16436 Metric 1 RX packets 1193232 errors 0 dropped 0 overruns 0 frame 0 TX packets 1193232 errors 0 dropped 0 overruns 0 carrier 0 collisions 0 txqueuelen 0 RX bytes 316189089 301 5 Mb TX bytes 316189089 301 5 Mb muestra la configuraci n de los interfaces activos en este caso una tarjeta Ethernet eth0 y el lazo local lo que siempre debe estar presente Adem s se muestra otra informaci n como n mero de errores registrados hasta el momento y cantidad de informaci n recibida y transmitida Si en consultas sucesivas vemos que el n mero de errores aumenta constantemente y que no hay conexi n es muy probable que exista un fallo f sico cable en mal estado concentrador desconectado etc El comando ifconfig tambi n s
56. el servidor e suexec Cambia el usuario que ejecuta procesos del servidor 7 3 Configuraci n del servidor La configuraci n del servidor se realiza mediante la edici n de los ficheros que se encuentran en el directorio etc apache Esta configuraci n se realiza mediante el uso de directivas que se colocan en estos archivos de configuraci n Estos archivos son e httpd conf Es la configuraci n global del servidor Contiene el conjunto de opciones comunes a todo el servicio http e access conf Contiene las directivas globales de control de acceso a los diferentes puntos del Web e srm conf En este fichero se puede realizar la configuraci n de las diferentes partes del Web que tengamos en el servidor as como de los diferentes webs que tengamos e mime types Contiene informaci n sobre el modo en que el servidor debe interpretar los diferentes tipos de archivos existentes en el Web 7 4 Directivas Como se mencion anteriormente los archivos de configuraci n del servidor est n formadas por direc tivas Existen una serie de reglas generales a la hora de incluir nuevas directivas en estos archivos de configuraci n En primer lugar solo se puede colocar un directiva por linea teniendo la posibilidad de ocupar varias lineas mediante el uso del car cter al final de la misma de esta forma indicamos que la linea no termina Para poner un comentario se utiliza el car cter al principio del comentario En este pu
57. encias con el paquete apache common por lo que tambi n se instalara apt get install apache Es recomendable instalar tambi n la documentaci n disponible en el paquete de Debian llamado apache doc 7 2 Comandos de Apache Tras la instalaci n del servidor se instalan una serie de comandos a continuaci n descritos e httpd Servidor de paginas Web e apachectl Es una utilidad de control del servidor Permite detener o iniciar el servidor as como permite comprobar la sintaxis de los ficheros de configuraci n en busca de errores Tambi n es posible comprobar el estado del servicio a trav s de este comando Capitulo 7 Servidor de Web Apache 46 e ab Es una utilidad que permite comprobar el rendimiento del servidor instalado Principalmente es til para ver las peticiones servidas por unidad de tiempo e apxs Esta utilidad permite instalar m dulos de extension en el servidor de forma din mica Para poder hacer esto es necesario habilitar esta posibilidad en el momento en que se inicie mediante el comando httpd l e dbmmanage htdigest htpasswd Permite crear y modificar los archivos usados para guardar usuar ios y contrase as para la autentificaci n b sica de usuarios http e logresolve Permite hacer la resoluci n de nombres para las direcciones IP que se encuentran el los archivos de log e rotatelogs Permite continuar los archivos de seguimiento logs en otros archivos sin necesidad de reiniciar
58. enerse en cuenta que tanto los documentos HOWTO como la documentaci n general de los programas no suele estar referida a una distribuci n de Linux concreta De hecho en la distribu ci n Debian muchas de las tareas de configuraci n e instalaci n descritas en dicha documentaci n se hacen de forma autom tica sin que el usuario administrador tenga que preocuparse por los detalles Uno de los objetivos de la presente gu a es precisamente describir los mecanismos concretos que propor ciona la distribuci n Debian GNU Linux para la configuraci n de la red y la instalaci n de los servicios m s comunes Capitulo 1 Introducci n Capitulo 2 Introducci n a Internet En este capitulo damos una breve introducci n al funcionamiento de Intenet y a los elementos de con figuraci n de un ordenador que opere en internet 2 1 Redes de rea local Para la interconexi n f sica de varios ordenadores se emplea alg n tipo de tecnolog a de red de rea local LAN La tecnolog a m s com n con diferencia son las redes Ethernet Para construir una red de este tipo cada ordenador debe poseer una tarjeta de red interfaz de red en lenguaje m s t cnico que se inserta dentro del ordenador y alg n dispositivo de conexi n externo Este dispositivo externo suele ser un concentrador o hub al que se conectan las tarjetas de red de los diferentes ordenadores mediante un cable espec fico cable de pares trenzados con conectores RJ45 en l
59. eremos un poco m s abajo En la distribuci n Debian el mantenimiento del fichero etc inetd conf se hace de forma pr c ticamente autom tica El sistema se encarga de instalar las l neas adecuadas cuando instalamos los Capitulo 4 Control de servicios de red 20 programas de la distribuci n que las necesitan y de eliminarlas o desactivarlas cuando ya no se necesi tan El sistema guarda una lista de los nombres de servicios declarados que pueden usarse por ejemplo en el fichero inetd conf Esta lista se encuentra en el fichero etc services cuya descripci n se encuentra en la p gina de manual services 5 El fichero muestra los nombres de los servicios y el protocolo o protocolos que emplea y el puerto asignado por ejemplo ftp data 20 tcp ftp 21 tcp ssh 22 tcp SSH Remote Login Protocol ssh 22 udp SSH Remote Login Protocol telnet 23 tcp finger 79 tcp www 80 tcp WorldWideWeb HTTP www 80 udp HyperText Transfer Protocol 4 2 2 Reiniciar inetd Cuando se hacen cambios en el fichero et c inetd conf es necesario notificar este cambio al pro ceso inetd en ejecuci n para que sea rele da la nueva configuraci n Existen dos formas la primera consiste en reiniciar el servidor inetd tal y como har amos con cualquier servidor activado mediante un script en etc init d esto es etc init d inetd restart Esto detiene el proceso inetd actual e inicia uno nuevo que leer la nueva configuraci n La segund
60. erentes proveedores y nos pregunta todos los datos necesarios paso a paso Lo nico que se necesita es disponer de la informaci n necesaria del proveedor y ejecutar el programa A continuaci n mostramos un ejemplo de la informaci n necesaria para la conexi n a un proveedor de Internet Datos necesarios para la configuraci n e Nombre del proveedor El nombre por defecto es provider y es el proveedor de conexi n por defecto Debe usarse ste si s lo vamos a tener un proveedor Ejemplo provider e Servidor de nombres con la mayor a de los casos puede elegirse un servidor din mico que ser suministrado por el proveedor en la conexi n Si esto falla debemos contactar con el proveedor para que nos suministre la IP de un servidor est tico Ejemplo dynamic e El m todo de autentificaci n es PAP en la mayor a de los casos Ante la duda contactar con el proveedor Ejemplo PAP e Nombre de usuario en nuestra cuenta del proveedor Ejemplo 050 alehop Capitulo 3 Configuraci n de la red 16 e Clave del usuario password Ejemplo gratis e Velocidad del puerto serie del m dem En la mayor a de los casos podemos dejar la opci n por defecto Ejemplo 115200 e M todo de marcaci n En la actualidad pr cticamente todos los tel fonos utilizan tonos Ejemplo Tone e N mero de tel fono del proveedor Ejemplo 955000123 e Puerto serie al que se conecta el m
61. erta de entrada al sistema e Comprobar de vez en cuando los puertos TCP y UDP que est n abiertos con los comandos netstat 1p y nmap e Si se cree necesario instalar un filtro de paquetes firewall con una pol tica de denegar todas las conexiones salvo a los servicios que deseemos prestar y que sepamos que son seguros Capitulo 4 Control de servicios de red 26 27 Capitulo 5 Correo electr nico Para una mayor claridad vamos a considerar el caso en que queremos configurar servicios de correo electr nico en un servidor concreto llamado frodo lab es para una serie de usuarios El servidor podr usarse desde un cliente de correo remoto como Netscape o Microsoft Outlook tanto para enviar correo servidor de correo saliente como para recibir correo servidor de correo entrante Los usuarios tendr n direcciones de correo del tipo pedro frodo lab es donde en la direcci n aparece el nombre del servidor pero tambi n veremos c mo hacer para que nuestro servidor gestione el correo del dominio y poder usar direcciones del tipo pedro O lab es Para crear las cuentas de correo electr nico no hay que hacer nada especial Cualquier usuario del sistema posee una cuenta de correo por lo que basta con a adir un usuario al sistema para crearle una cuenta de correo 5 1 Servidor de correo saliente SMTP El programa que se encarga del correo saliente es el servidor SMTP En realidad estos programas act an como aut ntic
62. ervidor com soporte se redirija a la direcci n http www soporte conl Capitulo 7 Servidor de Web Apache 68 69 Capitulo 8 Servidor Proxy SQUID SQUID es un proxy para los servicios ftp http https Toda la documentaci n sobre el este servidor proxy la podemos encontrar en las siguientes direcciones de Internet e http www squid cache org e http squid nlanr net e http cache 1is co za squid Haciendo un pequefio resumen inicialmente los servidores proxy se utilizaban como cach s de Internet Actualmente ofrecen gran cantidad de servicios El uso mas habitual consiste en colocarlo en un orde nador que tenga dos conexiones de red una hacia Internet y otra hacia una red local de forma que a trav s del proxy se consigue dar acceso a Internet a toda la red local 8 1 Instalaci n El paquete de instalaci n en la distribuci n de Linux Debian es squid la instalaci n ser a apt get install squid Tras la instalaci n se instala el servicio correspondiente al servidor proxy SQUID en etc init d squid La configuraci n del servidor queda centralizada en el fichero etc squid conf 8 2 Configuraci n del servidor En el archivo de configuraci n etc squid conf hay una serie de directivas que definen el comportamiento del servidor proxy Capitulo 8 Servidor Proxy SQUID 70 Si editamos el archivo de configuraci n tras la instalaci n se puede observar que todas las directivas de control de los servi
63. es using symlinks in their private webspace public_html Note This should be changed if you modify the UserDir Option We would really like to use LocationMatch but the Option we want is ignored with that directive Se OH de de e e e lt DirectoryMatch home public_html gt Options Indexes SymLinksIfOwnerMatch AllowOverride None lt DirectoryMatch gt Do not allow retrieval of the override files a standard security measure lt Files htaccess gt order allow deny deny from all lt Files gt You may place any other directories or locations you wish to have access information for after this one Con estas definiciones que puede conseguir un concreto comportamiento del Web por ejemplo es posi ble denegar el acceso a ciertos archivos del mismo modo que se hace en el ejemplo anterior lt Files htaccess gt order allow deny deny from all lt Files gt con esto se consigue que ning n archivo htaccess pueda ser le do o descargado por http 7 7 Seguridad Apache posee una serie de directivas que permiten limitar los accesos al servidor de diferentes maneras Todas ellas pueden ser colocadas a lo largo del archivo de configuraci n o en un mbito determinado de forma que solo se aplique a una zona del Web Es destacable la directiva BindAddress la cual limita las maquinas que pueden acceder al servidor Capitulo 7 Servidor de Web Apache 66 BindAddress dte us es esta dire
64. es ra z de esta zona ya que no es una zona real autorizada en Internet Si lo fuera quitar amos esta l nea En la ltima l nea se indica el nombre del fichero donde se guarda la tabla de correspondencias directa esto es de nombres a direcciones IP El nombre del fichero es arbitrario pero es conveniente seguir ciertos convenio Para construir el fichero etc bind db linux aula podemos partir de una copia del fichero etc bind db local que es uno de los que incluye el sistema por defecto para definir una de las zonas est ndar en este caso la que se refiere al nombre localhost Haciendo algunas modificaciones nos queda BIND data file for zone linux aula i STTL 604800 IN localhost gw ns mail WWW labtec25 labtec26 labtec27 labtec28 SOA NS MX MX ns linux aula root linux aula 1 Serial 604800 Refresh 86400 Retry 2419200 Expire 604800 Negative Cache TTL ns servidor de nombres 10 mail MTA primario 20 mail us es MTA secundario 127 0 0 1 Ola LS gateway Deol Loe 2 0 13 43 ns alias para ns LO Lo 195 29 MESAS 10 labtec26 20 mail 107 L 15 27 1020515228 Capitulo 10 Servicio de Nombre de Dominio DNS 84 Como puede verse lo escrito tras el s mbolo es tratado como comentario La primera l nea TTL es obligatoria para todos los ficheros de zona El resto de lineas describen diversos registros en el servidor
65. figuraci n de la red 12 El uso de este fichero resulta conveniente en los casos en que no se dispone de servidores de nombres para suplir en parte esta carencia 3 3 Comprobaci n de la red 3 3 1 Existencia de conexi n La forma m s sencilla de comprobar si tenemos conexi n es usando el comando ping 8 Este co mando manda paquetes sucesivos a una m quina indicando su nombre o su direcci n IP y mide el tiempo empleado por cada paquete en llegar a su destino y volver Por ejemplo ping 150 214 141 PING 150 214 141 1 150 214 141 1 56 data bytes 64 bytes from 150 214 141 1 icmp_seg 0 tt1l 255 time 2 3 ms 64 bytes from 150 214 141 icmp_seg 1 tt1 255 time 3 9 ms 64 bytes from 150 214 141 icmp_seg 2 tt1 255 time 1 9 ms 64 bytes from 150 214 141 icmp_seq 3 tt1 255 time 1 3 ms 64 bytes from 150 214 141 icmp_seq 4 ttl 255 time 0 9 ms En caso de problemas de conexi n debemos probar primero con m quinas de nuestra misma red local que sepamos que est n funcionando Preferentemente debemos usar direcciones IP cuando estemos haciendo comprobaciones pues el comando puede fallar simplemente porque no tengamos acceso a los servidores de nombres El comando ping dispone de una serie de opciones para controlar el n mero y tama o de paquetes enviados Consultar su pagina de manual para mas informaci n 3 3 2 Comprobaci n de servidores de nombres
66. for by default Format ReadmeName name The server will first look for name html include it if found and it will then look for name and include it as plaintext if found HeaderName is the name of a file which should be prepended to directory indexes Capitulo 7 Servidor de Web Apache 58 ReadmeName README HeaderName HEADER IndexIgnore is a set of filenames which directory indexing should ignore Format IndexIgnore namel name2 IndexIgnore HEADER HEADER html README README html RCS CVS AccessFileName The name of the file to look for in each directory for access control information AccessFileName htaccess DefaultType is the default MIME type for documents which the server cannot find the type of from filename extensions DefaultType text plain AddEncoding allows you to have certain browsers Mosaic X 2 1 uncompress information on the fly Note Not all browsers support this AddEncoding x compress Z AddEncoding x gzip gz AddLanguage allows you to specify the language of a document You can then use content negotiation to give a browser a file in a language it can understand Note that the suffix does not have to be the same as the language keyword those with documents in Polish whose net standard language code is pl may wish to use AddLanguage pl po to avoid the ambiguity with the common suffix for perl scripts
67. ias anonymous ftp RequireValidShell off Limit the maximum number of anonymous logins MaxClients 10 We want welcome msg displayed at login and message displayed in each newly chdired directory DisplayLogin welcome msg DisplayFirstChdir message Limit WRITE everywhere in the anonymous chroot lt Directory gt lt Limit WRITE gt DenyAll lt Limit gt lt Directory gt Uncomment this if you re brave lt Directory incoming gt lt Limit READ WRITE gt DenyAl1 lt Limit gt lt Limit STOR gt AllowAll lt Limit gt lt Directory gt lt Anonymous gt Entre las primeras directivas que se encuentran se pueden configurar par metros globales como son el nombre del servidor el archivo que contiene el mensaje de bienvenida al servidor y el puerto en el que Capitulo 9 Servidor FTP 76 se va a colocar Cuando se est utilizando el servidor ftp an nimo es importante revisar la directiva umask Esta directiva controla los permisos con los que se crear n los nuevos archivos que se suban al servidor Por defecto tenemos la siguiente configuraci n Umask 022 022 El primer par metro es la mascara de permisos para los archivos y el segundo corresponde a los directo rios Con esto se consigue que se tenga s lo permiso de lectura sobre los nuevos archivos creados Otro detalle importante que se observa en la configuraci n es la posibilidad
68. ignarse f cilmente a otras direcciones por cambio de localizaci n de un servidor o aver a e incluso puede resultar conveniente asignar varios nombres a un mismo ordenador En este punto baste decir que los nombres se organizan en una jerarqu a de dominios y subdominios El nombre de un ordenador se compone del nombre propio de la m quina seguido por los nombres de los subdominios a los que pertenece dentro de la jerarqu a hasta llegar a uno de los dominios globales como com org O es Lo que nos interesa saber aqu es que podemos utilizar nombres de dominio en vez de di recciones siempre que indiquemos en la configuraci n de Internet las direcciones de unos servidores de nombres que se encargan de traducir los nombres a las direcciones IP correspondientes Normalmente pueden indicarse varios servidores de nombres por si alguno de ellos falla Capitulo 2 Introducci n a Internet 6 Nombre de la maquina y del dominio Como parte del servicio de nombres un host debe conocer cual es su propio nombre y el dominio al que pertenece Estos no son arbitrarios sino que han de estar registrados en el servidor de nombres que corresponda a nuestro dominio Por ejemplo Nombre del host klecker Dominio debian org Nombre completo klecker debian org 2 3 2 Elementos de configuraci n adicionales en un router Si el ordenador en cuesti n se conecta simult neamente a m s de una red y por tanto puede actuar como router la configuraci n d
69. isten herramientas gr ficas como gnosambef Existe tambi n un programa llamado sambaconfig el cual permite reconfigurar SAMBA en cualquier momento pudi ndose cambiar el modo de funcionamiento de demonio a inetd Tras la instalaci n nos encontramos una configuraci n por defecto la cual permite a los usuarios de la maquina UNIX acceder a sus cuentas Adem s instala el servidor de impresi n A continuaci n se muestra un ejemplo de configuraci n 2En la distribuci n Debian el paquete es gnosamba Capitulo 6 Servidor de ficheros SAMBA 37 global printing bsd printcap name etc printcap load printers yes guest account nobody invalid users root map to guest bad password security user is always a good idea This will require a Unix account p in this server for every user accessing the server security user Change this for the workgroup your Samba server will part of workgroup DTE server string th server Samba v If you want Samba to log though syslog only then set the following parameter to yes Please note that logging through syslog in 7 Samba is still experimental syslog only no We want Samba to log a minimum amount of information to syslog Everything should go to var log smb nmb instead If you want to log through E syslog you should set the following parameter to something higher syslog 0 This socket options really speed
70. its pid to PidFile var run apache pid ScoreBoardFile File used to store internal server process information Not all architectures require this But if yours does you ll know because Capitulo 7 Servidor de Web Apache 52 this file is created when you run Apache then you must ensure that no two invocations of Apache share the same scoreboard file ScoreBoardFile logs apache_runtime_status The LockFile directive sets the path to the lockfile used when Apache is compiled with either USE_FCNTL_SERIALIZED_ACCEPT or USE _FLOCK_SERIALIZED_ ACCEPT This directive should normally be left at its default value The main reason for changing it is if the logs directory is NFS mounted since the lockfile MUST BE STORED ON A LOCAL DISK The PID of the main server process is automatically appended to the filename LockFile var run apache lock ServerName allows you to set a host name which is sent back to clients for your server if it s different than the one the program would get i e use www instead of the host s real name Note You cannot just invent host names and hope they work The name you define here must be a valid DNS name for your host If you don t understand this ask your network administrator ServerName new host name SF de OSE de SHE e e e e e UseCanonicalName new for 1
71. king you guess how many server processes you need Apache dynamically adapts to the load it sees that is it tries to maintain enough server processes to handle the current load plus a few spare Capitulo 7 Servidor de Web Apache 54 Se e e OSE de de de e e e SE servers to handle transient load spikes e g multiple simultaneous requests from a single Netscape browser It does this by periodically checking how many servers are waiting for a request If there are fewer than MinSpareServers it creates a new spare If there are more than MaxSpareServers some of the spares die off These values are probably OK for most sites MinSpareServers 5 MaxSpareServers 10 Number of servers to start should be a reasonable ballpark figure StartServers 5 s S OSE A e e e e H Limit on total number of servers running 1 e limit on the number of clients who can simultaneously connect if this limit is ever reached clients will be LOCKED OUT so it should NOT BE SET TOO LOW It is intended mainly as a brake to keep a runaway server from taking Unix with it as it spirals down MaxClients 150 MaxRequestsPerChild the number of requests each child process is allowed to process before the child dies The child will exit so as to avoid problems after prolonged use when Apache and maybe the libraries it uses leak On most systems this isn t really needed b
72. laci n de los servidores POP e IMAP Existen varios servidores POP e IMAP incluidos con Debian Unos de los m s sencillos se encuentran en los paquetes ipopd e uw imapd Para ponerlos en marcha no se necesita configuraci n alguna basta con instalar los paquetes El inicio de los servidores es controlado por inetd El paquete ipopd incluye tanto el servidor de la versi n 2 POP2 como de la versi n 3 POP3 En la actualidad pr cticamente no se utiliza el POP2 por lo que es recomendable desactivarlo comentando la l nea correspondiente del fichero etc inetd conf 5 2 2 Conexi n segura a POP e IMAP En la conexi n a los servidores POP e IMAP es necesario suministrar la clave del usuario para conectar al servicio Ninguno de estos servidores emplea mecanismos de conexi n segura por lo que la conexi n remota desde redes que no controlemos entra a graves riesgos de seguridad pues cualquier m quina en las redes de origen o destino podr a escanear la red y averiguar las claves suministradas Para evitar esto es muy recomendable emplear conexiones seguras mediante el protocolo SSL para conectar a los servidores POP e IMAP Existen dos alternativas y probablemente m s de dos de hacer esto instalar versiones con soporte SSL de los servidores POP e IMAP o instalar un paquete que haga de interfaz con los servidores inseguros tradicionales Comentaremos ambas opciones Capitulo 5 Correo electr nico 32 Versiones seguras POP e IMAP
73. las direcciones IP indicadas pero como destino Es til para poder denegar accesos a determinadas direcciones IP e srcdomain Squid puede averiguar el dominio del cliente haciendo lo que se denomina DNS inverso Con esto podemos crear listas de acceso que identifiquen a los clientes del servidor con un determinado dominio acl dte srcdomain dte us es La lista dte identifica a todos los clientes que se conectan al proxy desde el dominio dte us es e dsidomain Identifica los dominios destino hacia los cuales intentan acceder los clientes Son tiles para denegar o permitir ciertos dominios completos acl terra dstdomain terra es http_access deny terra Con esto conseguimos que nadie pueda conectarse a los dominios de terra e srcdom_regex dstdom_regex Funcionan de forma similar a srcdomain y dstdomain s lo que en vez de identificar a un dominio completo lo que hace es buscar una expresi n determinada dentro del la URL a la que se esta accediendo Si quisi ramos denegar el acceso a todas aquellas direcciones que contuvieran la palabra sex habria que incluir lo siguiente acl sex dstdom_regex sex http_access deny sex e time Permite crear listas para poder poner restricciones de hora acl ACLTIME time M 9 00 17 00 Esta lista referencia los lunes de 9 a 17 e port Con esto conseguimos controlar los accesos a los diferentes puertos acl puertohttp port 80 http_access deny puertohttp Capitulo 8 Servidor Proxy SQUID 72
74. las direcciones de la forma 10 1 15 X donde las componentes de la direcci n IP figuran en orden inverso para ser coherentes con el orden jer rquico que requieren los nombres de dominio La tabla de correspondencias se guarda en el fichero etc bind db 10 1 15 que puede construirse a partir de etc bind db linux aula ya que comparten el mismo registro SOA En nuestro ejemplo queda de la siguiente forma BIND data file for zone linux aula inverse STTL 604800 IN SOA ns linux aula hostmaster linux aula 1 Serial 604800 Refresh 86400 Retry 2419200 Expire 604800 Negative Cache TTL NS ns linux aula ojo linux aula no es la zona 1 PTR gw linux aula 7 O7FO con el Tew Trial 2 PTR ns linux aula 3 PTR mail linux aula 25 PTR labtec25 linux aula 26 PTR labtec26 linux aula 27 PTR labtec27 linux aula La nica novedad con respecto a la tabla directa es que ahora se emplean registros PTR para hacer corre sponder las direcciones IP a los nombres Hay que tener en cuenta que ahora la zonaes 15 1 10 in non addr arpa por lo que hay que escribir los nombres de dominio completos y terminados en mientras que las direcciones IP pueden abreviarse a s lo la componente que falta Una vez salvado el fichero y reiniciado el servidor de nombres podemos comprobar la configuraci n host 10 1 15 27 Name labtec27 linux aula Address 10 1 15 27
75. lista de servidores puede ser uno o m s nombres separados por espacios o por comas Pueden usarse caracteres de sustituci n para referirse a un conjunto de nombres Tambi n puede emplearse la palabra ALL para indicar cualquier servidor La lista de clientes es una lista de direcciones IP ej 150 214 141 122 subredes ej 150 214 141 nombres de m quinas fabio fie us es o subdominios ej fie us es separados por comas o espacios En la lista de clientes tambi n se pueden usar las palabras LOCAL para especificar conexiones locales desde la misma m quina y la palabra EXCEPT para hacer exclusiones de la lista como veremos en algunos ejemplos m s adelante El funcionamiento es el siguiente Capitulo 4 Control de servicios de red 22 1 cuando un servicio arranca se comprueba el contenido del fichero etc hosts allow en busca de reglas apropiadas Si alguna regla concuerda con las caracter sticas de la conexi n se permite el acceso Por ejemplo fichero etc hosts allow in tftpd LOCAL fie us es sshd ALL EXCEPT crackers com ipop3d 212 79 132 243 150 214 142 La primera l nea permite el acceso al servidor TFTP in tftpd desde la propia m quina y desde cualquier m quina del dominio fie us es La segunda permite la conexi n desde cualquier lugar al servicios de shell seguro sshd excepto desde el dominio crackers com La ltima l nea permite el acceso al servidor POP desde una m quina concreta y des
76. n It assumes that you have a user group nobody and ftp for normal operation and anon Capitulo 9 Servidor FTP 74 ServerName Debian ServerType standalone DeferWelcome off ShowSymlinks on MultilineRFC2228 on DefaultServer on ShowSymlinks on AllowOverwrite on TimeoutNoTransfer 600 TimeoutStalled 600 TimeoutIdle 1200 DisplayLogin welcome msg DisplayFirstChdir message LsDefaultOptions a E Port 21 is the standard FTP port Port 21 Umask 022 is a good standard umask to prevent new files and dirs second parm from being group and world writable Umask 022 022 To prevent DoS attacks set the maximum number of child processes to 30 If you need to allow more than 30 concurrent connections at once simply increase this value Note that this ONLY works in standalone mode in inetd mode you should use an inetd server that allows you to limit maximum number of processes per service such as xinetd MaxInstances 30 Set the user and group that the server normally runs at User nobody Group nogroup Normally we want files to be overwriteable lt Directory gt Capitulo 9 Servidor FTP 75 AllowOverwrite on lt Directory gt A basic anonymous configuration no upload directories lt Anonymous ftp gt User ftp Group nogroup We want clients to be able to login with anonymous as well as ftp UserAl
77. ndamentales de DNS Un servidor DNS puede ser responsable de uno o m s dominios Por ejemplo el DNS responsable o autorizado en t rminos de DNS del dominio linux org posee la informaci n necesaria para traducir los nombres de hosts que terminen en linux org como www linux org A un servidor DNS podemos preguntarle cualquier nombre El DNS entonces comprobar si ese nombre est en su lista de nombres m s solicitados ltimamente cach en cuyo caso responder inmediata mente con la direcci n IP correspondiente Tambi n pude ocurrir que el nombre solicitado sea de un dominio para el que este servidor est autorizado Entonces en la mayor a de los casos el servidor s lo tendr que buscar la direcci n IP correspondiente en su tabla local respondiendo directamente En mu chos casos el servidor de nombre no conocer la direcci n IP correspondiente en cuyo caso preguntar a alguno de los servidores de nombres generales que est n distribuidos por Internet stos se denominan servidores ra z root servers Estos servidores se encargar n de buscar la informaci n solicitada pre guntando a otros servidores de nombres si es necesario y generar n una respuesta que el primer DNS devolver a su vez De esta forma el servicio de nombre se organiza como un rbol que parte de los servidores ra z y se extiende hacia los servidores de los distintos dominios y subdominios Capitulo 10 Servicio de Nombre de Dominio DNS 80
78. nfiguraci n del cliente Linux incorpora soporte PPP tanto para cliente como servidor por lo que es posible montar todo tipo de conexiones punto a punto tanto de forma directa como usando la l nea telef nica Una completa referencia sobre conexiones punto a punto con Linux puede encontrarse en el PPP HOWTO 3 5 1 Elegir un m dem Los modems se pueden clasificar b sicamente en dos tipos los modems reales que suelen ser externos e incorporan un chip que realiza las funciones del m dem y los modems software o winmodems que suelen ser internos mucho m s baratos pero en los que las funciones del m dem se realizan en su mayor a por software por parte del driver que corre en el ordenador Linux funciona perfectamente con los primeros y se lleva mal con los segundos La raz n de esto ltimo es que los fabricantes no proporcionan informaci n suficiente para realizar los drivers que necesitan los modems software En cualquier caso los modems reales dan mejores resultados y no imponen una carga adicional a la CPU del ordenador La mejor forma de asegurarse de que un m dem es realmente un m dem es comprando un m dem externo En este apartado supondremos que se tiene un m dem externo conectado a un puerto serie por ejemplo el dev ttySl 3 5 2 Configuraci n con pppconfig La configuraci n de la conexi n a un proveedor de Internet en Debian es muy sencilla usando el progra ma pppconfig 8 El programa permite definir conexiones a dif
79. nivel de usuario Para usar SAMBA en primer lugar se debe conocer el mecanismo usado para identificar las diferentes maquinas en la red Estas se identifican por un nombre el cual se indica en el archivo de configuraci n del servidor Estos nombres se preceden de doble barra Por ejemplo pclab3 identifica a la maquina llamada pclab5 Si queremos acceder a un recurso concreto basta con escribir el nombre del recurso precedido de tras el nombre de la maquina Como ejemplo la forma de identificar un directorio publico existente en pclab5 seria pclab5 publico Para el acceso a estos recursos SAMBA ofrece dos comandos El primero es smbclient el cual imple menta un cliente parecido al ftp smbclient pclab5 pub U pedro en el ejemplo se muestra la forma de acceder al recurso pub en pclab3 identific ndose como el usuario pedro En el caso de no haber indicado el modificador U smclient se identificar a como el usuario que tiene la sesi n iniciada actualmente en el terminal Tras la correcta identificaci n aparece la linea de comando con la cual se pueden ejecutar una serie de comandos para manipular los archivos A continuaci n se muestra un ejemplo en el cual se pide ayuda a smbclient sobre los comandos existentes smb gt ls Mon Jun 25 20 02 30 2001 Mon Jun 25 20 02 30 2001 D D o o 34537 blocks of size 65536 27371 blocks available smb gt help ls dir du lcd cd pwd get mget put mput rename
80. njuntamente con otras m quinas tambi n con SQUID insta lado de forma que se puede conseguir una jerarqu a de cach s en la red e Tambi n es posible usar SQUID para balancear la carga de un sitio WEB El servidor es capaz de redirigir peticiones a diferentes m quinas para no colapsar ning n servicio en una red de servi dores 73 Capitulo 9 Servidor FTP El servidor ftp que se va a usar es el llamado proftd En la distribuci n Debian el pane es proftpd La documentaci n referente a este servidor la podemos encontrar en http El dise o de este servidor es muy parecido al servidor Apache en conceptos como dise o modular y formato de los archivos de configuraci n mbitos etc 9 1 Instalaci n La instalaci n consistir a en la ejecuci n del comando apt get install proftpd Durante el proceso de instalaci n se nos pregunta si deseamos habilitar el acceso mediante ftp an nimo contestaremos s y con esto se nos crear un usuario llamado ftp Tras la instalaci n el servicio correspondiente al servidor ftp estar en el directorio etc init d es con el nombre de proftpd 9 2 Configuraci n La configuraci n del servidor se realiza mediante la edici n del archivo etc proftpd conf A continuaci n se muestra el contenido del mismo This is a basic ProFTPD configuration file rename it to proftpd conf for actual use It establishes a single server and a single anonymous logi
81. ntan usar las direcciones de otras 4 3 3 Comandos asociados a reglas Es posible asociar comandos y otras opciones a reglas de modo que el sistema puede ejecutar cualquier proceso ante por ejemplo una conexi n no deseada Los detalles pueden consultarse en la p gina de manual hosts_options 5 El siguiente ejemplo muestra la forma de invocar un comando que informa por correo electr nico al administrador ante cualquier intento de conexi n no permitido fichero etc hosts deny ALL ALL severity mail info rfc931 5 spawn echo Conexi n denegada u sh gt d p A usr bin mail s Conexi n denegada root miguel amp Capitulo 4 Control de servicios de red 24 Si por ejemplo el usuario paco intenta conectar con el servidor POP desde la maquina frodo fie us es y el acceso no esta permitido en el fichero etc hosts allow el administrador recibir un mensaje de correo electr nico como el siguiente indicando el origen de la conexi n el servicio y el n mero de proceso del servidor Subject Conexi n denegada Conexi n denegada paco frodo fie us es gt ipop3d 2521 4 4 Consejos sobre seguridad Por desgracia Internet no fue concebida en sus inicios para que fuera una red segura Afortunadamente con el tiempo han ido apareciendo alternativas seguras a muchos de los servicios cl sicos En cualquier caso el administrador de un sistema servidor debe que tener presente en todo momento la seguridad que pro
82. nto es conveniente mencionar que tras la edici n de los archivos de configuraci n del servidor es recomendable usar el comando Capitulo 7 Servidor de Web Apache 47 apachectl configtest con este comando nos aseguramos que los archivos de configuraci n no contienen errores sint cticos A continuaci n se muestra en contenido del archivo de configuraci n global del servidor httpd config This is the main server configuration file See URL http www apache org for instructions Do NOT simply read the instructions in here without understanding what they do if you are unsure consult the online docs You have been warned Originally by Rob McCool Shared Object Module Loading To be able to use the functionality of a module which was built as a Shared object you have to place corresponding LoadModule lines at this location so the directives contained in it are actually available _before_ they are used Example ServerType is either inetd or standalone ServerType standalone If you are running from inetd go to ServerAdmin Port The port the standalone listens to For ports lt 1023 you will need httpd to be run as root initially Port 80 HostnameLookups Log the names of clients or just their IP numbers e g www apache org on or 204 62 129 132 off The default is off because it d be overall better for the net if people had to Knowingl
83. omo argumento el nuevo nombre hostname figaro o bien una vez modificado el fichero etc hostname puede ejecutarse a mano el script que inicial el nombre de la maquina Capitulo 3 Configuraci n de la red 11 etc init d hostname sh start 3 2 3 Dominio y servidores de nombres El dominio y los servidores de nombres se configuran en el fichero etc resolv conf Un ejemplo de este fichero es el siguiente search dte us es fie us es nameserver 150 214 186 69 nameserver 150 214 130 15 nameserver 150 214 4 34 donde se indica que el dominio principal es dte us es Esto significa que si se indica un nombre de host sin especificar dominio se asumir que ste es dte us es En este ejemplo se indica un nombre de dominio adicional que se usar cuando no se encuentre el host en el dominio principal Por ejemplo Si iniciamos una conexi n indicando como nombre de la m quina de destino figaro se intentar la conexi n a la m quina llamada figaro dte us es En caso de que esta m quina no exista se intentar una conexi n a figaro fie us es y si esta tambi n falla se producir un mensaje de error En las l neas siguientes se indican las direcciones de varios servidores de nombres Estos ser n con sultados por orden cuando se necesite traducir un nombre a una direcci n IP Se tendr en cuenta la informaci n del primero que responda 3 2 4 Definici n de nombres locales Es posible
84. onstruye con todos los bits de la parte del host a 0 y la otra es la direcci n de broadcast que se construye con todos los bits de la parte del host a 1 La direcci n de broadcast hace referencia a todos y cada uno de los hosts de la subred al mismo tiempo Puerta de enlace Gateway Un ordenador puede enviar paquetes de datos de forma directa s lo a ordenadores que se encuentren en su propia red local El ordenador sabe que el destino est en su misma red local si la direcci n IP del ordenador de destino posee la misma parte de la red que su propia direcci n IP Si la direcci n IP de destino no est en su misma red local el paquete debe ser enviado a un router para que se encargue de su transporte hasta el destino Todo ordenador en internet tiene definido un router por defecto o puerta de enlace Gateway al que se env an todos los paquetes que van fuera de la red local Esto permite la conexi n con el resto del mundo aparte de la propia subred Aunque no es necesario por convenio se suele asignar la direcci n de host 1 al router por defecto por ejemplo 150 214 141 1 Servicio de nombres Aunque las direcciones IP son tiles para identificar los ordenadores conectados a internet resulta m s conveniente su identificaci n mediante nombres por ejemplo es m s f cil recordar el nombre www debian org que la direcci n IP 198 186 203 20 Adem s los nombres facilitan una flexibili dad adicional porque pueden reas
85. or podemos indicar aqu none e Ahora debemos elegir el nombre del usuario al que se redirige el correo del superusuario roof Esta debe ser la cuenta personal que tenga el administrador del sistema para que no sea necesario usar la cuenta de root para leer el correo del administrador Es recomendable que se emplee una Capitulo 5 Correo electr nico 29 cuenta local en la misma maquina Esta opci n se puede cambiar mas adelante editando el fichero etc aliases e Si ya ten amos un fichero etc aliases se nos preguntar si queremos conservarlo o instalar uno nuevo Si instalamos uno nuevo perderemos los cambios realizados manualmente pero el fichero antiguo se conservar con otro nombre e La ltima pantalla nos muestra un resumen de los datos que hemos suministrados y podemos elegir entre repetir el cuestionario o aceptar la configuraci n elegida 5 1 2 Control del relay por host de origen Hemos visto que el proceso de configuraci n con eximconfig podemos indicar las subredes para las que hacemos de servidor de correo electr nico Cuando el n mero de estas subredes es elevado y o los clientes son muchos y dispersos es mejor guardar la lista de los clientes para los que hacemos relay en un fichero Para ello editamos el fichero etc exim exim conf y buscamos la l nea donde se define el par metro host_accept_relay A adimos a su valor el nombre de un fichero como en el ejemplo siguiente The setting below
86. os routers para el correo electr nico por lo que se llaman Agentes de Transporte de Correo MTA El MTA que instala por defecto la distribuci n Debian es exim 8 pero hay otros disponibles como qmail 8 o el famoso sendmail 8 Aqu explicaremos la configuraci n de exim 5 1 1 Configuraci n inicial de exim El programa eximconfig 8 se encarga de la configuraci n inicial de exim Este programa se ejecuta en la instalaci n inicial de exim y puede ejecutarse posteriormente para modificar la configu raci n inicial El objetivo de este programa es poner en marcha el servidor de correo electr nico con unas opciones iniciales La configuraci n posterior del servidor se realizar haciendo las modificaciones apropiadas en el fichero de configuraci n etc exim exim conf El programa eximconfig pregunta una serie de par metros que explicamos a continuaci n e Uso y situaci n del servidor se presentan 5 opciones a elegir una Elegimos la 1 para configurar un servidor de correo electr nico en Internet En caso de instalaciones locales sin conexi n Capitulo 5 Correo electr nico 28 permanente a Internet o cuando no queremos ser un servidor de correo electr nico elegiremos la opci n 4 que s lo hace distribuci n del correo local Esto es necesario porque muchos mensajes de error generados por el sistema se distribuyen a trav s del correo local En nuestro ejemplo elegimos la 1 e Ahora se nos pregunta el nombre visible
87. pleados por procesos del admin istrador root El resto de los puertos est n disponibles y se asignan din micamente seg n es necesario Por ejemplo si usamos un navegador web en el ordenador H1 para conectar a un servidor web en el ordenador H2 se asignar un puerto disponible en H1 a nuestro navegador web por ejemplo el 1048 y tendremos una conexi n desde el puerto 1048 de H1 al puerto 80 de H2 Navegador web lt gt H1 1048 lt gt H2 80 lt gt Servidor web Capitulo 2 Introducci n a Internet Capitulo 3 Configuracion de la red En este apartado se describe c mo configurar la conexi n a la red de un ordenador Las dos tareas b sicas que conlleva la configuraci n de la red son e Configuraci n de la interfaz de red tarjeta de red o conexi n punto a punto e Configuraci n de TCP IP Protocolos de Internet direcci n IP mascara de subred etc Empezaremos por la configuraci n para redes Ethernet y los par metros para la conexi n a Internet y luego veremos como configurar conexiones punto a punto mediante m dem 3 1 Configuraci n de una tarjeta Ethernet La configuraci n de las tarjetas Ethernet consiste b sicamente en cargar el driver apropiado para la tar jeta o tarjetas de que dispongamos Los drivers de las tarjetas de red se cargan como cualquier otro m dulo del kernel ver modconf 8 El n mero de tarjetas de red soportadas por Linux es consid erable pr cticamente todas las
88. plo a uno de nuestra propia organizaci n universidad etc Podemos indicar uno o m s de estos servidores en la secci n forwarder del fichero de configuraci n de bind etc bind named conf Por ejemplo la primera parte del fichero de configuraci n por defecto con esta modificaci n queda This is the primary configuration file for the BIND DNS server named Please read usr share doc bind9 README Debian for information on the structure of BIND configuration files in Debian BEFORE you customize this configuration file options directory var cache bind If there is a firewall between you and nameservers you want to talk to you might need to uncomment the query source directive below Previous versions of BIND always asked questions using port 53 but BIND 8 1 and later use an unprivile port by default query source address port 53 If your ISP provided one or more IP addresses for stable nameservers you probably want to use them as forwarders Uncomment the following block and insert the address es replacing Capitulo 10 Servicio de Nombre de Dominio DNS 82 the all 0 s placeholder forwarders Tat 000 05 y forwarders 62 81 16 197 150 214 4 34 y Para hacer efectivos los cambios debemos reiniciar el servicio pero antes conviene ejecutar en un termi nal aparte el comando tail f var log daemon para monitorizar los men
89. porcionan los servicios que presta Cubrir todos los detalles de la seguridad de redes TCP IP comprende material suficiente para escribir un libro completo pero con un poco de sentido y siguiendo unas reglas generales es posible mejorar sustancialmente la seguridad de un sistema A continuaci n daremos una serie de recomendaciones a tener en cuenta para mejorar la seguridad del sistema que administremos e No pensar que el nuestro sistema pasar inadvertido y que los ataques siempre les ocurren a los otros Si prestamos un servicio en Internet tarde o temprano alguien analizar nuestro sistema para buscar fallos de seguridad Hay herramientas muy eficientes para hacer esto y puede hacerse desde cualquier parte del mundo e No proporcionar servicios inseguros Sobre todo aquellos que permiten mandar passwords no en criptados por la red est n totalmente prohibidos Por ejemplo telnet rsh rlogin ftp no an nimo pop imap xdm etc En muchos casos es posible emplear alternativas seguras ssh scp pop3s imaps etc e No proporcionar servicios que no se usen o que no sean necesarios por ejemplo echo ident talk finger etc No dejar el servidor correspondiente sin activar desinstalarlo completamente e Usar siempre una pol tica de denegar por defecto casi todo cerrado As en caso de ataque o intrusi n las v as estar n mucho mejor localizadas e No proporcionar en p ginas web mensaje de login etc informaci n con
90. presenta la configuraci n global del servidor Bajo este recurso se pueden encontrar directivas tales como Capitulo 6 Servidor de ficheros SAMBA 41 e Directivas de control de la impresi n printing printcap name load printers e Directivas de control de acceso de los usuarios invalid users guest account map to guest security hosts allow etc e Nombre del grupo de trabajo workgroup permite definir el grupo de trabajo al que pertenecer la maquina e Las opciones wins nos permiten definir quien es el servidor de nombres o crear un servidor de nombres en nuestra maquina e Es posible mantener sincronizadas los cambios de contrase as de los usuarios de la m quina UNIX mediante la directiva unix password sync Para el resto de recursos que se van creando el comportamiento se define de forma similar El conjunto completo de las directivas que se pueden usar se encuentran en la documentaci n del servidor SAMBA 6 4 Control de acceso Los usuarios existentes en SAMBA se gestionan de forma diferente a los del sistema Las contrase as de estos usuarios pueden ser diferentes a las que poseen en sus cuentas Es posible mantener sincronizadas las contrase as mediante una directiva en la configuraci n global del servidor unix password sync yes Tambi n es posible gestionar estas contrase as manualmente mediante un comando smbpasswd Con este comando cada usuario puede cambiar su contrase as de acceso a los recursos del ser
91. r las direcciones IP es escribiendo cada byte por separado en decimal separ ndolos por puntos por ejemplo 150 214 141 122 En Internet se definen subredes agrupando cierto n mero de direcciones IP contiguas Todas las direc ciones dentro de una subred comparten un cierto n mero de bits Los bits de la direcci n que son propios de la subred se identifican especificando la m scara de subred que esta compuesta por 32 bits donde se ponen a 1 los correspondientes a la subred y a O los propios del host En el siguiente ejemplo Direcci n IP 150 214 141 122 Mascara de subred 255 255 255 0 Parte de la red 150 214 141 Capitulo 2 Introducci n a Internet 5 Parte del host 4 b22 Direcci n subred 150 214 141 0 Dir broadcast 150 214 141 255 la m scara de subred tiene los primeros 24 bits a 1 y el resto a 0 Esto indica que los primeros 24 bits son comunes a todos los ordenadores de la subred y que s lo los ltimos 8 bits est n disponibles para distinguir entre ordenadores dentro de la subred Cada ordenador debe conocer la m scara de la subred en que se encuentra pues por convenio todos los ordenadores en la misma subred deben pertenecer a la misma red local y por tanto son accesibles directamente sin necesidad de pasar por un router En cada subred hay dos direcciones IP especiales que no se emplean para ning n host Una es la di recci n de la propia subred que se c
92. ra diferente al de los usuarios de la maquina es por ello que durante el proceso de instalaci n tambi n se nos de la opci n de generar los usuarios y contrasefias a partir de los usuarios y contrasefias existentes en la maquina 6 2 Comandos de SAMBA A continuaci n se muestra la relaci n de comandos que instala el paquete SAMBA asi como una breve descripci n de cada uno de ellos e smbd Demonio del servidor SAMBA Provee servicios de archivos e impresoras e nmbd Demonio del servidor SAMBA Provee servicios de nombres de NetBios y exploraci n del servidor e smbclient Implementa un cliente parecido al ftp pero para SAMBA e testparm Es una simple utilidad para comprobar el fichero de configuraci n del servidor smb conf e testprns Utilidad para comprobar la capacidad de impresi n para las impresoras definidas en el fichero printcap e smbstatus Proporciona informaci n sobre las conexiones actuales al cliente smbd e nmblookup Permite obtener los nombres NetBios a partir del fichero hosts de Unix e make_smbcodepage Utilidades para crear la pagina de c digo e smbpasswd Permite cambiar las contrase as del acceso de los usuarios al servicio y agregar nuevos usuarios 6 3 Configuraci n de SAMBA Para realizar la configuraci n de SAMBA basta con editar el fichero etc samba smb conf En este fichero se pueden modificar todas las opciones que ofrece el paquete de software Para realizar esta configuraci n tambi n ex
93. rreo El registro TXT asigna una cadena de texto a un nombre en este caso a gw linux aula para hacer constar alguna informaci n que pueda ser conveniente Tambi n vemos que es posible asignar m s de un nombre a una misma direcci n IP mediante un registro CNAME que define www linux aula como un alias ans linux aula y por tanto le hace corresponder la misma IP 10 1 15 2 Hay que tener en cuenta que la definici n de un registro CNAME no puede ser otro registro CNAME Finalmente vemos como es posible asignar un gestor de correo secundario a una m quina concreta mediante registros MX Tras reiniciar el servidor podemos comprobar si funciona nuestra configuraci n host a labtec27 linux aula labtec27 linux aula A 10 1 15 27 host a labtec26 linux aula labtec26 linux aula A 10 1 15 26 labtec26 linux aula MX 20 mail linux aula labtec26 linux aula MX 10 labtec26 linux aula 10 4 2 Tabla inversa Para completar nuestra configuraci n es necesario definir la tabla de conversi n inversa de direcciones IP a nombres Para ello a adimos a etc bind named conf la siguiente definici n de zona Capitulo 10 Servicio de Nombre de Dominio DNS 85 zone 15 1 10 in addr arpa type master notify no file etc bind db 10 1 15 y Como puede verse las direcciones IP se tratan como si fueran nombres pertenecientes al dominio especial in addr arpa Estas l neas definen una zona para
94. rve para reiniciar un servicio controlado por inetd ya que la pr xima vez que haya actividad en el puerto del servidor eliminado ste volver a ejecutarse 43 Control de acceso a servicios TCP wrapper Existe un mecanismo que permite controlar el acceso a los servicios en funci n del origen de la conex i n Este mecanismo se configura con los ficheros etc hosts allow y etc hosts deny En estos ficheros se especifican unas sencillas reglas que permiten denegar o aceptar el acceso en fun ci n de los par metros de la conexi n deseada En las paginas de manual hosts_access 5 y hosts_options 5 se describe en detalle las capacidades de estos ficheros Aqui describiremos el funcionamiento b sico y pondremos algunos ejemplos Este mecanismo de control es empleado por todos los servicios que hagan uso de la librer a Libwrap como es el caso de algunos servidores como sshd 8 y de los servicios activados mediante inetd que son controlados por t cpd 8 que son la mayor a Los ficheros etc hosts allow y etc hosts deny consisten en una serie de secuencias de control de la forma daemon_list client_list shell command donde daemon_1ist es la lista de servidores nombre del ejecutable al que hace referencia la l nea de control y client_list es la lista de clientes a los que se autoriza o deniega el acceso en esa l nea de control Opcionalmente se puede incluir una l nea de comandos a ejecutar cuando se cumple una regla La
95. s AddIconByEncoding CMP icons compressed gif x compress x gzip AddIconByType TXT icons text gif text AddIconByType IMG icons image2 gif image AddIconByType SND icons sound2 gif audio AddIconByType VID icons movie gif video Capitulo 7 Servidor de Web Apache 57 AddIcon icons binary gif bin exe AddIcon icons binhex gif hqx AddIcon icons tar gif tar AddIcon icons world2 gif wrl wrl gz vrml vrm iv AddIcon icons compressed gif Z z tgz gz zip Addicon icons a gif ps ai eps AddiIcon icons layout gif html shtml htm pdf AddiIcon icons text gif txt AddIcon icons c gif c AddiIcon icons p gif pl py AddiIcon icons f gif for AddiIcon icons dvi gif dvi AddiIcon icons uuencoded gif uu Addicon icons script gif conf sh shar csh ksh stel AddIcon icons tex gif tex AddiIcon icons bomb gif core AddiIcon icons deb gif deb Debian AddIcon icons back gif AddIcon icons hand right gif README AddiIcon icons folder gif DIRECTORY Addicon icons blank gif BLANKICON DefaultIcon is which icon to show for files which do not have an icon explicitly set DefaultIcon icons unknown gif AddDescription allows you to place a short description after a file in server generated indexes Format AddDescription description filename ReadmeName is the name of the README file the server will look
96. sajes de inicio del servidor de nombres Ahora reiniciamos el servicio etc init d bind9 restart Stopping domain name service named Starting domain name service named 10 4 Configuraci n de un dominio simple A continuaci n mostraremos paso a paso c mo configurar el servidor de nombres para definir la traduc ci n directa e inversa de un hipot tico subdominio linux aula que corresponde al rango de direcci n IP 10 1 15 0 24 Se trata de una configuraci n operativa pero intencionadamente no realista ya que el dominio aula no existe en la realidad y las direcciones IP escogidas no son v lidas en Internet Debe mos tener en cuenta que para definir un dominio hemos debido obtener los par metros del mismo de la autoridad de gesti n de la red correspondiente No obstante el ejemplo es plenamente v lido para una red privada que definamos en un entorno que no tenga una conexi n directa con Internet 10 4 1 Tabla directa Primero a adiremos una secci n al final de etc bind named conf para definir nuestra zona p add entries for other zones below here zone linux aula Capitulo 10 Servicio de Nombre de Dominio DNS 83 type master notify no file etc bind db linux aula y Aqu indicamos que estamos definiendo una nueva zona correspondiente al subdominio linux aula de la que somos el servidor de nombres principal master El par metro notify no indica que no debemos informar a los servidor
97. seen a medida de los servicios que se quieran ofrecer con el servidor Con esta configuraci n b sica instalada por defecto el servidor debe funcionar sin problemas 7 5 Mapeo de URL La forma en que Apache mapea la URL que esta sirviendo se configura en el archivo etc apache srm conf el cual se muestra a continuaci n Capitulo 7 Servidor de Web Apache 56 With this document you define the name space that users see of your http server This file also defines server settings which affect how requests are serviced and how results should be formatted See the tutorials at http www apache org for more information Originally by Rob McCool Adapted for Apache DocumentRoot The directory out of which you will serve your documents By default all requests are taken from this directory but symbolic links and aliases may be used to point to other Se de e e SHE locations DocumentRoot var www UserDir The name of the directory which is appended onto a user s home directory if a user request is recieved UserDir public_html DirectoryIndex Name of the file or files to use as a pre written HTML directory index Separate multiple entries with spaces DirectoryIndex index html FancyIndexing is whether you want fancy directory indexing or standard FancyIndexing on AddiIcon tells the server which icon to show for different files or filename extension
98. ssword in the etc samba smbpasswd file is changed unix password sync true Capitulo 6 Servidor de ficheros SAMBA 39 For Unix password sync to work on a Debian GNU Linux system the following gt parameters must be set thanks to Augustin Luton p aluton hybrigenics fr for sending the correct chat script for the passwd program in Debian Potato passwd program usr bin passwd u passwd chat Enter snew sUNIX spassword n n Retype snew sUNIX spassword n n The following parameter is useful only if you have the linpopup package E installed The samba maintainer and the linpopup Maintainer are working to ease installation and configuration of linpopup and samba j message command bin sh c usr bin linpopup sf Sm Ss rm SS The default maximum log file size is 5 MBytes That s too big so this k next parameter sets it to 1 MByte Currently Samba rotates log files var log smb nmb in Debian when these files reach 1000 KBytes A A better solution would be to have Samba rotate the log file upon p reception of a signal but for now on we have to live with this max log size 1000 homes comment Home Directories browseable no By default the home directories are exported read only Change next p parameter to no if you want to be able to write to them read only yes File creation mask is set to 0700 for security reasons
99. up Samba under Linux according to my R own tests socket options IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF 4096 SO_RCVBUF 4096 Passwords are encrypted by default This way the latest Windows 95 and NT clients can connect to the Samba server with no problems encrypt passwords yes Capitulo 6 Servidor de ficheros SAMBA 38 It s always a good idea to use a WINS server If you want this server to be the WINS server for your network change the following parameter to yes Otherwise leave it as no and specify your WINS server below note only one Samba server can be the WINS server Read BROWSING txt for more details wins support no If this server is not the WINS server then specify who is it and uncomment next line wins server 150 214 141 89 Please read BROWSING txt and set the next four parameters according to your network setup There is no valid default so they are commented out os level 0 domain master no local master no preferred master no What naming service and in what order should we use to resolve host names to IP addresses name resolve order lmhosts host wins bcast This will prevent nmbd to search for NetBIOS names through DNS dns proxy no Name mangling options preserve case yes short preserve case yes This boolean parameter controlls whether Samba attempts to sync the Unix password with the SMB password when the encrypted SMB pa
100. ut a few such as Solaris do have notable leaks in the libraries MaxRequestsPerChild 30 Capitulo 7 Servidor de Web Apache 55 IP addresses and or S e e e e e Listen Allows you to bind Apache to specific ports in addition to the default See also the VirtualHost command Listen 3000 VirtualHost Listen 12 34 56 78 80 Allows the daemon to respond to requests for more than one server address if your server machine is configured to accept IP packets for multiple addresses This can be accomplished wit alias flag or th the ifconfig through kernel patches like VIF Any httpd conf or srm conf directive may go into a VirtualHost command See also the BindAddress entry lt VirtualHost host some_domain com gt ServerAdmin webmaster host some_domain DocumentRoot var www host some_domain com ServerName host some_domain com ErrorLog var log apache host some_domain com error log TransferLog var log apache host some_domain com access log lt VirtualHost gt En este archivo de configuraci n global se pueden destacar las siguientes directivas e Port 80 Indica el puerto en el que se colocara en Web e ServerRoot etc apache Con esta directiva indicamos donde se encuentran los archivos de con figuraci n y de log del servidor e LoadModule Esta es la directiva con la que se consiguen cargar en Apache los m dulos que se de
101. vidor En el comando smbpasswd cabe destacar los siguientes argumentos en la l nea de comandos e a Sirve para a adir un usuario a la lista de usuarios permitidos Aunque existan los usuarios en el sistema LINUX es necesario a adirlos de forma expl cita para poder usarlos en SAMBA d Deshabilita el acceso mediante SAMBA a un usuario e Habilita el acceso mediante SAMBA a un usuario x Eliminar un usuario de la lista de acceso 6 5 Ejemplo de uso del servidor SAMBA Como ejemplo se va a crear un directorio de acceso p blico situado en var pub de forma que cualquier usuario tenga acceso de lectura al mismo Para ello basta con crear un nuevo recurso por ejemplo publico ahora lo nico que hay que hacer es poner las directivas concretas para que sea p blico no tenga permiso de escritura y asociarlo a alg n directorio de la m quina Capitulo 6 Servidor de ficheros SAMBA 42 publico comment Directorio publico writable no locking no path var pub public yes hosts allow dte us es 192 168 2 229 Es importante no olvidar que el directorio indicado var pub contenga los permisos adecuados de lectura para que los usuarios los puedan leer Por ltimo se ha a adido la directiva hosts allow Con esta direc tiva se limita el acceso al recurso a las m quinas indicadas en esta caso solo tendrian acceso aquellas m quinas pertenecientes al dominio dte y la maquina con la IP 192 168 2 229 6 6 Uso a
102. y turn this feature on S e e e H Capitulo 7 Servidor de Web Apache 48 HostnameLookups off se Oe s e e e OH e If you wish httpd to run as a different user or group you must run httpd as root initially and it will switch User Group The name or number of the user group to run httpd as On SCO ODT 3 use User nouser and Group nogroup On HPUX you may not be able to use shared memory as nobody and the suggested workaround is to create a user www and use that user User www data Group www data ServerAdmin Your address where problems with the server should be e mailed ServerAdmin webmaster cronos dte us es s de e e e e H ServerRoot The directory the server s config error and log files are kept in NOTE If you intend to place this on a NFS or otherwise network mounted filesystem then please read the LockFile documentation you will save yourself a lot of trouble ServerRoot etc apache s S e e e e BindAddress You can support virtual hosts with this option This option is used to tell the server which IP address to listen to It can either contain an IP address or a fully qualified Internet domain name See also the VirtualHost directive BindAddress Capitulo 7 Servidor de Web Apache 49 The Debian package of Apache loads every feature as shared modules Please keep this LoadModule line here it is needed for install
Download Pdf Manuals
Related Search