1. Administración servidores Linux
Centos 5.3
Ing. David Guevara A, Msc
UTA
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 1 / 52
2. Sistema de Archivos
El sistema operativo GNU/Linux, usa los sistemas de archivos ext2, ext3,
ext4, swap.
Existen tres tipos de archivos
Directorio
Comúnes
Especiales
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 2 / 52
4. Usuarios
Existen tres tipos de usarios
Superusuario root
Comúnes
Especiales
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 4 / 52
5. Comandos básicos
Comandos Básicos
pwd, ls, cd, mkdir, rmdir, touch, nano, cat, cp, mv
pwd
Nos muestra el PATH donde nos encontramos en el sistema de archivos
[david@david ~]$ pwd
/home/david
[david@david ~]$
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 5 / 52
6. Comandos básicos
ls
Lista el contenido de una carpeta. Podemos usar este comando con las
siguientes opciones:
-l
-a
-F
Ayuda
Para conocer más sobre cualquier comando usamos el comando man o
mostramos una ayuda corta de cualquier comando de la siguiente manera:
man ls
ls --help
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 6 / 52
7. Comandos básicos
mkdir
El comando mkdir permite crear una carpeta en el PATH que nos
encontremos.
Se puede usar también para crear varios directorios de forma simultánea:
mkdir -p dir1/dir2
mkdir -p dir1/{dir11,dir12}
Precaución
Al usar PATHS tanto para crear archivos o acceder a los mismos
SIEMPRE es importante darnos cuenta si usamos un PATH absoluto o un
PATH relativo
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 7 / 52
8. Comandos básicos
cd
Para cambiarnos de directorio usamos el comando cd
rmdir
Para borrar directorios que se encuentren sin contenido usamos rmdir
touch
El comando touch lo usaremos para crear un archivo en blanco
nano
Para crear o modificar archivos de texto usamos el comando nano, aunque
también es muy utilizado para este mismo fin el comando vi
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 8 / 52
9. Comandos básicos
Archivos de Texto
Cuando vamos a configurar servicios en el servidor GNU/Linux, todos
estos usan archivos de texto para poder realizar cambios en su
configuración, y para ello es necesario manejar los archivos de texto.
Los comandos más utilizados son: cat, more, less, head, tail
Comandos para visualizar archivos de texto
cat /etc/protocols
more /etc/services
less /etc/protocols
head -n 5 /etc/services
tail -n 20 /etc/protocols
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 9 / 52
10. Comandos básicos
Manejo de archivos
Una de las tareas más comúnes que realizamos en cualquier sistema
operativo son las de copiar, mover, renombrar y borrar. Para esto usamos
los comandos cp, mv, rm. La sintáxis tanto para cp, y mv es:
cp origen destino ó mv origen destino
Para borrar usamos el comando rm, el cual permite borrar tanto archivos
como directorios
Ejemplos
cp /etc/services /home/usuario
cp -a /home/usuario/documentos /home/usuario/personal
mv /home/usuario/documentos /home/usuario/personal/docs
mv directorio musica
rm a*
rm -rf /home/usuario/docs
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 10 / 52
11. Comandos de monitoreo
Una de las tareas más comúnes de la administración es conocer el estado
del sistema, esto es saber cuanto de memoria disponemos, cuanto de disco
duro usamos, y como estan trabajando los diferentes componentes con que
cuenta el servidor
Comandos de monitoreo
Para ver el estado de la memoria usamos el comando free, el comando df
para ver la disponibilidad del disco duro, para ver los procesos y tareas,
además de un resumen del consumo de procesador y memoria el comando
top
Para visualizar entre otras cosas los datos técnicos del procesador:
cat /proc/cpuinfo
Ejemplos
df -h
free -m
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 11 / 52
12. runlevels
Los sistemas GNU/Linux tienen 7 runlevels
runlevels
0 - halt (Do NOT set initdefault to this)
1 - Single user mode
2 - Multiuser, without NFS (The same as 3, if you do not have networking)
3 - Full multiuser mode
4 - unused
5 - X11
6 - reboot (Do NOT set initdefault to this)
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 12 / 52
13. Actualización e instalación de paquetes
Centos usa RPM que es el mismo sistema de manejo de paquetes de la
distribución RedHat, por lo que todos los paquetes de instalación tienen la
extensión .rpm
La actualización e instalación de paquetes se lo puede hacer a través del
comando rpm
rpm -ivh paquete.rpm (instala el paquete paquete.rpm)
rpm -Uvh paquete.rpm (Actualiza el paquete)
rpm -e paquete (Borra el paquete)
YUM
Otra forma de actualizar e instalar paquetes es con el uso del comando
yum. Este permite conectarse a repositorios (Sitios en la red local o en
Internet que cuentan con una lista de paquetes actualizados del sistema).
Los repositorios con que cuenta Centos son:[base], [updates], [addons],
[contrib], [centosplus], [extras], [testing].
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 13 / 52
14. Actualización e instalación de paquetes
Existe en el Internet varios repositorios adicionales para cada distribución
que contienen una lista muy importante de aplicaciones que por lo general
no vienen en los cds de instalación
Ejemplo de uso de yum
yum install paquete
yum update paquete
yum list paquete
yum remove paquete
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 14 / 52
15. Configuración de parámetros de red
Las tareas más habituales del Administrador del Sistema Opertativo es la
configuración de los parámetros de red, esto es la actualización del
direccionamiento IP, las puertas de enlace o rutas, los servidores de DNS,
el nombre del servidor, además de habilitar características en el server
como por ejemplo que éste sea un ruteador.
Direccionamiento IP
Para configurar la dirección IP del server se puede usar varias opciones.
Vía consola se puede modificar directamente los archivos que contienen
esa información, o usar el comando setup (este comando solo está en
distribuciones basadas en RedHat)
Archivo de configuración direccionamiento ip
cd /etc/sysconfig/network-scripts/
nano ifcfg-eth0
§ ¤
Todas las tareas de administración se deben realizar con el usuario root
¦ ¥
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 15 / 52
16. Configuración de parámetros de red
Puerta de enlace predeterminada
La puerta de enlace predeterminada se la puede configurar en el mismo
archivo de configuración para el direccionamiento IP. El parámetro a
utilizar es GATEWAY=IP.
Otro forma de hacerlo es usar el mismo parámetro en el archivo
/etc/sysconfig/network. Este archivo es usado también para
configurar un nuevo nombre de host. Es posible ingresar puerta de enlace
predeterminado por comandos, pero será un cambio temporal, hasta
reiniciar el servicio de red o reiniciar el equipo
Servidores DNS
La configuración de los servers dns a utilizar por nuestro servidor se lo
hace modificando el archivo /etc/resolv.conf colocando el parámetro
namesever IP.
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 16 / 52
17. Configuración de parámetros de red
No olvidar
El servicio de red se puede iniciar, parar, ver su estado o reiniciar usando el
comando service network restart [stop, start, status]
Los servicios en otras distribuciones así como en Centos se pueden detener,
reiniciar o ver su estado desde /etc/init.d usando
./network restart
El comando service y el directorio /etc/init.d es usado para todos los
servicios que tiene el sistema. Además se puede establecer si estos servicios
van o no a iniciar cuando el servidor se enciende de la siguiente manera
chkconfig network on
chkconfig network off
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 17 / 52
18. SSH Server
OpenSSH (Open Secure Shell) conjunto de aplicaciones que permiten
realizar comunicaciones cifradas a través de una red, basado en el
protocolo SSH usando tcp por el puerto por default 22.
[root@david ~]# rpm -q openssh
openssh-4.3p2-29.el5
OpenSSH incluye:
ssh permite shell remoto a otra máquina, reemplaza a rlogin y
telnet
scp permite copiar archivos entre una máquina local a una
remota, reemplaza a rcp
sftp para copiar archivos entre dos computadoras, reemplaza a ftp
sshd es el demonio SSH (servicio sshd server)
ssh-keygen, sshagent, ssh-add, ssh-keygen, herramientas para manejo
de claves RSA, DSA que son usadas en la autenticación
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 18 / 52
19. SSH Server
Configuración SSH server
Archivos importantes
Configuración
/etc/ssh/sshd_config
/home/usuario/.ssh/know_hosts
Monitoreo del servicio
tail -f /var/log/secure
last
lastlog
tail -f /var/log/audit/audit.log
Habilitar e iniciar el servicio
chkconfig sshd on
service sshd start
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 19 / 52
20. SSH Server
Parámetros archivo principal de configuración
nano /etc/ssh/sshd_config
Port 222
Listen Address 0.0.0.0
Protocol 2
PermitRootLogin no
AllowUsers usuario1 usuario2
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 20 / 52
21. SSH Server
Parámetros archivo principal de configuración
nano /etc/ssh/sshd_config
Port 222
Listen Address 0.0.0.0
Protocol 2
PermitRootLogin no
AllowUsers usuario1 usuario2
Ejemplo de acceso
ssh -X 192.168.100.1 -l david
ssh david@192.168.100.1 -p 222
scp -r -P 222 directorio david@192.168.100.1:/home/david
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 20 / 52
22. DNS server
Un servidor DNS (Domain Name System) permite conectarse con una
máquina sin necesidad de conocer su dirección IP. Los usuarios no se
comunican directamente con el servidor DNS, la resolución de nombres se
hace de forma transparente por las aplicaciones del cliente.
Los servidores DNS que reciben la petición, buscan primero en su memoria
caché, en caso de tener la información solicitada inician una búsqueda de
manera recursiva. Una vez encontrada la petición lo guarda en su memoria
caché para uso futuro.
Tipos de Dominios
Organizativos
.com .net .org .info .mil .edu
.int .gov
Geográficos
.ec .es .co .us .uk .jp ....
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 21 / 52
23. DNS server
Un servidor DNS (Domain Name System) permite conectarse con una
máquina sin necesidad de conocer su dirección IP. Los usuarios no se
comunican directamente con el servidor DNS, la resolución de nombres se
hace de forma transparente por las aplicaciones del cliente.
Los servidores DNS que reciben la petición, buscan primero en su memoria
caché, en caso de tener la información solicitada inician una búsqueda de
manera recursiva. Una vez encontrada la petición lo guarda en su memoria
caché para uso futuro.
Tipos de Dominios
Organizativos
.com .net .org .info .mil .edu
.int .gov
Geográficos
.ec .es .co .us .uk .jp ....
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 21 / 52
25. DNS Server
Tipos de servidores DNS
Primarios: Guardan los
datos en un espacio de
nombres en su archivos
Secundarios: Obtienen
los datos de los
servidores primarios a
través de una zona de
transferencia
Caché: Permiten
agilizar las peticiones
de resolución de
nombres
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 23 / 52
26. DNS Server
Tipos de servidores DNS Tipos de registros DNS
Primarios: Guardan los A Address
datos en un espacio de CNAME Canonical Name
nombres en su archivos
NS Name Server
Secundarios: Obtienen
MX (registro) Mail Exchange
los datos de los
servidores primarios a PTR Pointer
través de una zona de SOA Start of Athority
transferencia HINFO Host INFOrmation
Caché: Permiten TXT TEXT
agilizar las peticiones SPF Sender Policy Framework.
de resolución de Ayuda a combatir el Spam
nombres
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 23 / 52
27. DNS Server
BIND (Berkeley Internet Name Domain) es el servidor DNS más usado en
Internet, usa el protocolo udp por el puerto 53
[root@centos1 ~]# rpm -q bind
bind-9.3.4-10.P1.el5
Configuración de un DNS Server
Este servicio funciona bajo chroot:
Configuración
/var/named/chroot
Monitoreo del servicio
tail -f /var/log/messages
Habilitar e iniciar el servicio
chkconfig named on
service named start
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 24 / 52
28. DNS Server
cd /var/named/chroot/etc
nano named.conf
options {
directory "/var/named";
};
zone "midominio.com" IN {
type master;
file "midominio.zone";
};
zone "80.168.192.in-addr.arpa" IN {
type master;
file "inverso.zone";
};
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 25 / 52
29. DNS Server
Es necesario la creación de los archivos planteados en named.conf
cd /var/named/chroot/var/named/
nano midominio.zone
$TTL 86400
@ IN SOA localhost. root.localhost. (
20090822;
28800;
14400;
3600000;
86400 )
IN NS localhost.
IN MX 5 mail.midominio.com.
@ IN A 192.168.80.100
mail IN A 192.168.80.100
www IN A 192.168.80.100
ftp IN A 192.168.80.1
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 26 / 52
30. DNS Server
nano inverso.zone
$TTL 86400
@ IN SOA localhost. root.localhost. (
20090822;
28800;
14400;
3600000;
86400 )
IN NS localhost.
100 IN PTR mail.midominio.com.
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 27 / 52
31. DNS Server
A considerar
Es importante para que la configuración no muestre errores revisar los
archivos /etc/hosts y /etc/resolv.conf.
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 28 / 52
32. DNS Server
A considerar
Es importante para que la configuración no muestre errores revisar los
archivos /etc/hosts y /etc/resolv.conf.
Comprobando la Configuración
host 192.168.80.100
host www.midominio.com
host -t MX midominio.com
Revisar también los comandos dig y nslookup
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 28 / 52
33. Web Server
Un Servidor web es una aplicación que implementa el protocolo http
(Hypertext Transfer Protocol) que usa el protocolo tcp y el puerto 80, esta
diseñado para alojar sitios web estáticos o dinámicos, que contienen
páginas html (Hypertext Markup Language), además de hipermedios y
aplicaciones web.
Apache Web Server
El servidor web utilizado en Linux es Apache, que se desarrolla dentro del
proyecto HTTP Server (httpd) de la Apache Software Fundation.
Para acceder a un Servidor Web usamos los navegadores o browsers como
IE, Firefox, Opera, Safari entre otros
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 29 / 52
34. Apache Web Server
Comprobamos si esta instalado en nuestro sistema:
[root@centos1 ~]# rpm -q httpd
httpd-2.2.3-22.el5.centos
Configuración Apache Web Server
Configuración
/etc/httpd/conf/httpd.conf
/etc/httpd/conf.d/*.conf
Monitoreo del servicio
tail -f /var/log/httpd/access_log
tail -f /var/log/httpd/error_log
Habilitar e iniciar el servicio
chkconfig httpd on
service httpd start
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 30 / 52
35. Apache Web Server
Parámetros archivos de configuración
nano /etc/httpd/conf/httpd.conf
Listen 80
Include conf.d/*.conf
ServerName www.example.com:80
DocumentRoot "/var/www/html"
UserDir disable
DirectoryIndex index.html index.html.var
ServerSignature On
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 31 / 52
36. Apache Web Server
Proteger un directorio con Apache
Creamos el directorio que vamos a proteger Ej: mkdir /var/www/aplicacion
Creamos un archivo .conf Ej: touch /etc/httpd/conf.d/aplicacion.conf
Creamos un archivo .htaccess Ej: touch /var/www/aplicacion/.htacess
Creamos los usuarios Ej: htpasswd -c usuarios david
Reiniciamos el servicio apache
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 32 / 52
37. Apache Web Server
Proteger un directorio con Apache
Creamos el directorio que vamos a proteger Ej: mkdir /var/www/aplicacion
Creamos un archivo .conf Ej: touch /etc/httpd/conf.d/aplicacion.conf
Creamos un archivo .htaccess Ej: touch /var/www/aplicacion/.htacess
Creamos los usuarios Ej: htpasswd -c usuarios david
Reiniciamos el servicio apache
aplicacion.conf
Alias /aplicacion /var/www/aplicacion
<Directory "/var/www/aplicacion">
Options Includes
AllowOverride All
Order allow,deny
Allow from all
</Directory>
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 32 / 52
38. Apache Web Server
Proteger un directorio con Apache
Creamos el directorio que vamos a proteger Ej: mkdir /var/www/aplicacion
Creamos un archivo .conf Ej: touch /etc/httpd/conf.d/aplicacion.conf
Creamos un archivo .htaccess Ej: touch /var/www/aplicacion/.htacess
Creamos los usuarios Ej: htpasswd -c usuarios david
Reiniciamos el servicio apache
aplicacion.conf .htaccess
Alias /aplicacion /var/www/aplicacion AuthName "Acceso Restringido"
<Directory "/var/www/aplicacion"> AuthType Basic
Options Includes require valid-user
AllowOverride All AuthUserFile /var/www/usuarios
Order allow,deny
Allow from all
</Directory>
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 32 / 52
39. Apache Web Server
La posibilidad de configurar servidores virtuales en el servidor Apache,
permite alojar muchos sitios web en un único servidor, compartiendo el
direccionamiento ip. Lo importante es tener configurado de manera
correcta los diferentes dominios que apuntan al servidor web y en él
configurar la opción de virtual host.
Servidores Virtuales
Requerimientos:
Configurar correctamente el servidor dns
Habilitar virtual host en el servidor web
Crear los directorios DocumentRoot para cada dominio
Alojar los sitios web
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 33 / 52
40. Apache Web Server
Virtual Host
Editamos la parte final del archivo httpd.conf
NameVirtualHost *:80
<VirtualHost *:80>
ServerAdmin root@midominio.com
DocumentRoot /var/www/html
ServerName 192.168.10.22
ErrorLog logs/error_log
CustomLog logs/access_log common
</VirtualHost>
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 34 / 52
41. FTP Server
El servidor ftp utilizado por default en Centos es vsftpd que usa tcp y los
puerto 20 y 21. Al igual que los otros servicios comprobamos que este
instalado
rpm -q vsftpd
vsftpd-2.0.5-12.el5
El servidor FTP viene preconfigurado y listo para usar, con las siguientes
características:
Acceso con usuario anonymous solo lectura para ftp público
(/var/ftp)
Acceso con un usuario común del sistema con permisos de escritura y
lectura (/home/usuario)
No permite acceso con usuarios del sistema ni el superusuario
Permite configurar parámetros de seguridad para denegar o permitir
su acceso por usuario
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 35 / 52
42. FTP Server
Configuración FTP server
Archivos importantes
Configuración
/etc/vsftpd/vsftpd.conf
/etc/vsftpd/user_list
/etc/vsftpd/ftpusers
Monitoreo del servicio
tail -f /var/log/secure
last
lastlog
tail -f /var/log/audit/audit.log
Habilitar e iniciar el servicio
chkconfig vsftpd on
service vsftpd start
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 36 / 52
43. FTP Server
Asegurar vsftpd
Editamos el archivo /etc/vsftpd/vsftpd.conf
chroot_list_enable=YES
chroot_local_user=YES
chroot_list_file=/etc/vsftpd/chroot_list
Creamos el archivo chroot_list
touch /etc/vsftpd/chroot_list
Reiniciamos el servicio
service vsftpd restart
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 37 / 52
44. Mail Server
Centos trae varios servidores de correo electrónico entre los más
importantes tenemos sendmail y postfix. Sendmail es el más popular
agente de transporte de correo MTA. Los servidores de correo usan el
puerto 25 a través de tcp.
Un servidor de correo requiere la instalación de varios servicios como son:
smtp 25 (Simple Mail Transfer Protocol)
smtps 465
pop3 110 (Post Office Protocol)
pop3s 995
imap 143 (Internet Message Access Protocol)
imaps 993
Recordar
El servicio dovecot es un server IMAP y POP3 para Linux/Unix
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 38 / 52
45. Mail Server
Archivos importantes
Archivos importantes
Configuración
/etc/mail/access
/etc/mail/local-host-names
/etc/mail/sendmail.mc
/etc/mail/relay-domains
/etc/dovecot.conf
Monitoreo del servicio
tail -f /var/log/maillog
ls /var/spool/mail
ls /var/spool/mqueue
Habilitar e iniciar el servicio
chkconfig sendmail on
service sendmail start
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 39 / 52
46. Mail Server
Configuración Mail Server
Dentro de la carpeta /etc/mail, editamos el archivo access
Connect:192.168.80.100 RELAY
Connect:192.168.80 RELAY
Connect:midominio.com RELAY
Connect:192.168.80.200 OK
En el archivo local-host-names colocamos el dominio:
midominio.com
Creamos el archivo relay-domains y colocamos el dominio:
midominio.com
Luego debemos editar el archivo sendmail.mc
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 40 / 52
47. Mail Server
Archivo sendmail.mc
Los parámetros mínimos que se deben modificar son:
DAEMON_OPTIONS( ‘Port=smtp, Name=MTA’)dnl (descomentar)
dnl FEATURE(‘accept_unresolvable_domains’)dnl (comentar)
MASQUERADE_AS(‘midominio.com’)dnl (descomentar)
m4 sendmail.mc > sendmail.cf
dovecot.conf
Descomentamos la línea:
protocols = imap imaps pop3 pop3s
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 41 / 52
48. Mail Server
Agentes de correo
Los clientes que utilizan el Servidor de Correo son agentes de correo como:
Outlook
Eudora
Evolution
Thunderbird
La configuración de los agentes requiren:
Nombres
Dirección email
servidor de salida smtp
servidor de entrada pop o imap
Nombre de usuario y contraseña
Método de autenticación de entrada o de salida
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 42 / 52
49. Mail Server
WebMail
Centos trae squirrelmail, es un webmail escrito en php
rpm -q squirrelmail
squirrelmail-1.4.8-4.0.1.el5.centos2
Para configurar editamos el archivo:
nano /etc/squirrelmail/config.php
Parámetros de config.php
$org_name = ’Nombre de la Organización’;
$squirrelmail_default_language = ’es_ES’;
$domain = ’midominio.com’;
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 43 / 52
50. Proxy Server
El Servidor Proxy en Centos es SQUID, este es un servidor de caché de alto
rendimiento para clientes web, soporta objetos de datos de FTP y HTTP.
rpm -q squid
squid-2.6.STABLE21-3.el5
Squid trabaja por default en el puerto tcp 3128, permite entre otras cosas:
Control de acceso por:
IP
MAC
Horario
Contenido
Dominios
Usuarios
etc.
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 44 / 52
51. Proxy Server
Archivos Principales
Configuración
/etc/squid/squid.conf
Monitoreo
/var/log/squid/access.log
Caché
/var/spool/squid
Arranque del servicio
chkconfig squid on
service squid start
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 45 / 52
52. Proxy Server
Configuración Squid :: Parámetros importantes
http_port 3128
visible_hostname localhost
cache_dir ufs /var/spool/squid 100 16 256
ACL :: Listas de control de acceso
Las acl permiten establecer un conjunto de reglas para poder
configurar diferentes formas de control de acceso para los usuarios de
la red local.
La aplicación de las reglas se deben establecer en el orden correcto
Una regla se difine de la siguiente forma:
acl nombre tipoacl (archivo o conjunto de caracteres)
las reglas se aplican con el parámetro:
http_access [allow,deny] [!]nombreacl
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 46 / 52
53. Proxy Server
Ejemplo
acl redlocal src 192.168.1.0/24
acl horario time MTWHF 10:00-11:00
acl paginas url_regex iess.gov.ec google.com
acl descargas urlpath_regex .*.zip$
http_access allow redlocal paginas
http_access deny descargas
http_access deny all
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 47 / 52
54. Firewall
En el servidor la herramienta que utilizamos para implementar un firewall
es iptables.
Tablas
Filter cuando actúa como firewall
Nat cuando actúa como router
Mangle para alterar paquetes especiales
Las tablas se designan con -t, y por default esta activa filter.
Para indicar por que interfaz actuamos:
-i interface (INPUT)
-o interface (OUTPUT)
Para especificar el protocolo
-p protocolo (tcp,udp,icmp)
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 48 / 52
55. Firewall
Para especificar la dirección de origen o de destino
-d destino (dirección)
-s origen
Por puerto (udp y tcp)
–dport (puerto destino)
–sport (puerto origen)
Por tipo de mensaje icmp
–icmp-type nombre (echo-reply, time-exceeded ...)
Por límites temporales
-m limit –limit <ratio>
Por banderas tcp
–tcp-flags (syn, ack, fin, rst, urg, psh, all, none)
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 49 / 52
56. Firewall
Por el estado de la conexión
-m state (INVALID, ESTABLISHED, NEW, RELATED)
Mensajes icmp REJECT
REJECT -reject-with tipo (icmp-net-unreachable,
icmp-host-unreachable, icmp-port-unreachable,
icmp-proto-unreachable, icmp-net-prohibited, icmp-host-prohibited,
tcp-reset)
Para generar LOG
LOG –log-level nivel –log-prefix
Negación de reglas
Las reglas se pueden negar usando [!]
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 50 / 52
57. Firewall
Listas de reglas
INPUT para la entrada
OUTOUT para la salida
FORWARD para lo que se rediriga a otra máquina
Acciones Generales
ACCEPT para aceptar
DROP para rechazar
LOG para registrar
REJECT para enviar un icmp de rechazo
Ejemplos
file:///home/david/Escritorio/seminariolinux/iptables.pdf
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 51 / 52
58. Autor
Ing. David Guevara A, Msc
dguevara@uta.edu.ec
david@ddlinux.com
http://david.ddlinux.com
Presentación desarrollada en LYX con el módulo beamer
Ing. David Guevara A, Msc (UTA) Administración servidores Linux 52 / 52