Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
1
Administración de Servidores Linux
Segunda Unidad: Administración de Red con Linux Sesión 1 – Networking con Linux – Protocolo TCP/IP – Dispositivos de Red Sesión 2 – Introducción a IP Versión 4 – Comunicaciones con Linux – Colisiones y Broadcast – Equipos de Red Sesión 3 – Protocolo Seguro: SSH – Sincronización Horaria: NTP – Generación de un Repositorio Local Sesión 4 – Servicio SAMBA – Características y Parámetros de Configuración Sesión 5 – Servicio NFS – Características y Parámetros de Configuración Sesión 6 – Servicio DHCP – Características y Parámetros de Configuración Sesión 7 – Servidor Proxy – Cache: SQUID – ACL, Squidguard, Sarg y Bloqueo de Advertising Apéndices – Descargar las imágenes ISO y grabarlas en CD/DVD – Comando: alias – Listado de distribuciones y LiveCD – Instalación de Openbox: Escritorio rápido y ligero – Actualizar de Debian 4.0 Etch a Debian 5.0 Lenny
Universidad Nacional de Ingeniería – Facultad de Ingeniería Mecánica Centro de Cómputo INFOUNI REVALORA - Perú
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
2
Administración de Servidores Linux Segunda Unidad: Administración de Red con Linux
R. Pfuyo Docente L. Muga Docente Linux Registered User # 487284
Software: Debian 5 Linux, CentOS 5.5 Composición: OpenOffice Versiones: Versión 1.0 : Publicación del manual.
Copyright (c) 2010 Centro de Cómputo INFOUNI. Permission is granted to copy, distribute and/or modify this document under the terms of the * GNU Free Documentation License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled "GNU Free Documentation License". Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
3
Indice General 1. Segunda Unidad: Sesión 1 1.1 Introducción a TCP/IP
5 5
1.1.1 Niveles de Pila
6
1.1.1.1 Modelo TCP/IP
5
1.1.1.2 Modelo OSI
11
2. Segunda Unidad: Sesión 2 2.1 Introducción a IP Versión 4 3. Segunda Unidad: Sesión 3 3.1 Servidor SSH 3.11 Servidor SSH en Debian 3.2 Servidor de Repositorio Local 3.2.1 Servidor de Repositorio en Debian 3.3 Servidor NTP 3.3.1 Servidor NTP en Debian 4. Segunda Unidad: Sesión 4 4.1 Servidor Samba 4.1.1 Servidor Samba en Debian 5. Segunda Unidad: Sesión 5 5.1 Servidor NFS 5.1.1 Servidor NFS en Debian 6. Segunda Unidad: Sesión 6 6.1 Servidor DHCP 6.1.1Servidor DHCP en Debian
7. Segunda Unidad: Sesión 7
12 12 17 17 17 18 18 19 20 21 21 21 25 25 25 27 27 27
29 Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
7.1 Servidor PROXY – CACHE
4
29
7.1.1Servidor Proxy en Debian
35
7.1.1.1 ACL: Lista de Control de Acceso
36
7.1.1.2 Squidguard Squid
36
7.1.1.3 Sarg Squid
41
7.1.1.4 Bloqueo de Advertising
42
7.1.1.5 Squid Transparente
43
7.1.1.6 Agilizando Squid
43
Apéndice A
44
Apéndice B
45
Apéndice C
46
Apéndice D
62
Apéndice E
63
* Licencia de Publicación
65
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
5
Segunda Unidad Sesión 1 1.1 Introducción a TCP/IP TCP/IP fue desarrollado y presentado por el Departamento de Defensa de EE.UU. en 1972 y fue aplicado en ARPANET (Advanced Research Projects Agency Network), que era la red de área extensa del Departamento de Defensa como medio de comunicación para los diferentes organismos de EE.UU. La transición hacia TCP/IP en ARPANET se concretó en 1983. Se conoce como familia de protocolos de Internet al conjunto de protocolos de red que son implementados por la pila de protocolos sobre los cuales se fundamenta Internet y que permiten la transmisión de datos entre las redes de computadoras. Los dos protocolos más importantes, y que fueron también los primeros en definirse y también los más utilizados, son TCP (Protocolo de Control de Transmisión o Transmission Control Protocol) e IP (Protocolo de Internet o Internet Protocol), de ahí que se denomine también como Conjunto de Protocolos TCP/IP. Los tipos de protocolos existentes superan los cien, ente los cuales podemos mencionar como los más conocidos a HTTP, FTP, SMTP, POP, ARP, etc. TCP/IP es la plataforma que sostiene Internet y que permite la comunicación entre diferentes sistemas operativos en diferentes computadoras, ya sea sobre redes de área local (LAN) o redes de área extensa (WAN).
1.1.1 Niveles de pila En la actualidad continúa la discusión respecto a si el modelo TCP/IP de cinco niveles encaja dentro del modelo OSI (Interconexión de Sistemas Abiertos u OpenSystems Interconnection) de siete niveles. Modelo TCP/IP
OSI
Niveles 5 Aplicación 4 Transporte 3 Red 2 Enlace 1 7 Físico. Aplicación 6 Presentación 5 Sesión 4 Transporte 3 Red 2 Enlace de datos 1 Físico Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
6
1.1.1.1 Modelo TCP/IP Utiliza encapsulamiento para proveer la abstracción de protocolos y servicios hacia diferentes capas en la pila. La pila consiste de cinco niveles: Nivel Nombre 5 Aplicación
Descripción Se compone de diversos protocolos de servicios como: DNS (Domain Name System) TLS/SSL (Transport Layer Security) TFTP (Trivial File Transfer Protocol) FTP (File Transfer Protocol) HTTP (Hyper Text Transfer Protocol) IMAP (Internet Messsage Access Protocol) IRC (Internet Relay Chat) NNTP (Network News Transfer Protocol) POP3 (Post Office Protocol) SIP (Session Iniciation Protocol) SMTP (Simple Mail Transfer Protocol) SNMP (Simple Network Management Protcol) SSH (Secure Shell) TELNET BitTorrent RTP (Real-time Transport Protocol) rlogin ENRP (Endpoint Handlespace Redundancy Protocol)
4
Transporte
Los protocolos de encaminamiento como BGP (Border Gateway Protocol) y RIP (Routing Information Protocol) que utilizan transporte por TCP y UDP respectivamente pueden ser considerados como parte de este nivel. Se compone de diversos protocolos de servicios como: TCP (Transmision Control Protocol) UDP (User Datagram Protocol), DCCP (Datagram Congestion Control Protocol)
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
Nivel Nombre
7
Descripción SCTP (Stream Control Transmision Protococol) IL (Internet Link Protocol, similar a TCP pero más simple) RUDP (Reliable User Datagram Protocol), etc. Los protocolos como OSPF (Open Shortest Path First), que corren sobre IP, pueden ser también considerados como parte de esta capa. ICMP (Internet Control Message Protocol) e IGMP (Internet Group Management Protocol) que también utilizan IP, pueden ser considerados parte del Nivel de Red.
3
Red
2
Enlace
Se compone de diversos protocolos de servicios como IP (incluyendo IPv4 e IPv6). Protocolos como ARP (Address Resolution Protocol) y RARP (Reverse Address Resolution Protocol) que operan por debajo de IP, pero arriba del Nivel de enlace, de modo que pertenecen a un punto intermedio entre el Nivel de Red y el Nivel de Enlace. Compuesto de protocolos como: Ethernet Wi-Fi Token ring PPP (Point-to-Point Protocol) SLIP (Serial Line Internet Protocol) FDDI (Fiber Distributed Data Interface) ATM (Asynchronous Transfer Protocol) Frame Relay SMDS (Switched Multi-megabit Data Services)
1
Físico
Medio físico.
Los niveles más cercanos altos son los más cercanos al usuario, mientras que los que están más hacia abajo se encuentran más cercanos a la transmisión física de los datos. Salvo por evidentes razones en el primer y último niveles, cada nivel tiene un nivel superior y un nivel inferior que, respectivamente, o bien utilizan un servicio del nivel o proveen un servicio. Un método de abstracción para entender esto es mirar los niveles como proveedores o consumidores de servicios. Ejemplo: TCP en el nivel de transporte requiere un protocolo del nivel de Red, como sería IPv4, el cual a su vez requiere de un protocolo del nivel de enlace, siendo TCP un proveedor de servicio para los protocolos del nivel de aplicación. Nivel de aplicación Es el nivel que utilizan los programas de red más comunes a fin de comunicarse a través de una red. La comunicación que se presenta en este nivel es especifica de las aplicaciones y los datos transportados desde el programa que están en el formato utilizado por la aplicación y van encapsulados en un protocolo del Nivel de Transporte. Siendo que el modelo TCP/IP no tiene niveles intermedios, el nivel de Aplicación debe incluir cualquier protocolo que actúe del mismo modo que los protocolos del Nivel de Presentación y Nivel de Sesión del Modelo OSI. Los protocolos del Nivel de Transporte más comúnmente utilizados son TCP y UDP, mismos que requieren un puerto disponible y específico para el servicio para los servidores y puertos efímeros. Aunque los encaminadores (routers) e
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
8
interruptores (switches) no utilizan este nivel, las aplicaciones que controlan el ancho de banda si lo utilizan. Nivel de Transporte Este nivel principalmente provee lo necesario para conectar aplicaciones entre si a través de puertos. Mientras que IP (Internet Protocol),del Nivel de Red, provee solamente la mejor forma de entrega, el nivel de transporte es el primer nivel que se encarga de la fiabilidad. De entre todos los protocolos de este nivel, tanto TCP como UDP son utilizados para transportar un gran número de aplicaciones de alto nivel. Las aplicaciones en cualquier nivel se distinguen a través de los puertos TCP o UDP que utilicen. TCP. El mejor ejemplo de este nivel es TCP, que es un protocolo orientado hacia conexión que resuelve numerosos problemas de fiabilidad para proveer una transmisión de bytes fiable, ya que se encarga de que los datos lleguen en orden, tenga un mínimo de correcciones de errores, se descarten datos duplicados, se vuelvan a enviar los paquetes perdidos o descartados e incluya control de congestión de tráfico. La conexiones a través de TCP tienen tres fases: I. Establecimiento de la conexión Antes de que el cliente intente conectarse con el servidor, éste último debe primero ligarse hacia el puerto para abrirlo para las conexiones, es decir, una apertura pasiva. Una vez establecida, el cliente puede iniciar la apertura activa. Se requiere de un saludo de tres etapas: 1. La apertura activa se realiza enviando un paquete SYN (sincroniza) hacia el servidor. 2. En respuesta, el servidor responde con un paquete SYN-ACK (conformación de sincronización). 3. Finalmente el cliente envía un paquete ACK (confirmación) de regreso hacia el servidor. En este punto tanto cliente como servidor han recibido una conformación de la conexión. II. Transferencia de datos Hay tres funciones clave que diferencian a TCP de UDP: 1. 2. 3. 4. 5.
Transferencia de datos libre de errores. Transferencia de datos ordenada. Retransmisión de paquetes perdidos. Descartado de paquetes duplicados. Ajuste en la congestión de la transmisión de datos. III. Terminación de la conexión.
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
9
Esta etapa utiliza un saludo de tres vías, con cada extremo de la conexión terminando independientemente. Cuando uno de los extremos desea detener su parte de la conexión, envía un paquete FIN, que la otra parte confirma con un paquete ACK. Por tanto, una interrupción de la conexión requiere un par de paquetes FIN y ACK desde cada lado de la conexión TCP. Una conexión puede quedar abierta a medias cuando uno de los extremos ha terminado la conexión desde su lado pero el otro extremo no. El extremo que terminó la conexión ya no puede enviar datos en la conexión, pero el el otro extremo sí. El método más común es un saludo de tres etapas donde un anfitrión A envía un paquete FIN y el anfitrión B responde con un paquete FIN y un ACK (en el mismo paso) y el anfitrión A responde con un paquete ACK. TCP realiza las siguientes etapas en su zócalo: 1. LISTEN 2. SYN-SENT 3. SYN-RECEIVED 4. ESTABLISHED 5. FIN-WAIT-1 6. FIN-WAIT-2 7. CLOSE-WAIT 8. CLOSING 9. LAST-ACK 10.TIME-WAIT 11.CLOSED LISTEN representa la conexión en espera de peticiones desde cualquier puerto TCP remoto. SYN-SENT representa la espera del TCP remoto para enviar de regreso el paquete TCP estableciendo banderas SYN y ACK. SYN-RECIVED representa la espera para el TCP remoto para enviar de regreso la confirmación después de haber enviado de regreso otra confirmación de conexión al TCP remoto (establecido por el servidor TCP). ESTABLISHED representa que el puerto está listo para recibir/enviar datos desde/hacia el TCP remoto (lo hacen tanto clientes como servidores TCP). TIME-WAIT representa el tiempo de espera necesario para asegurar que el TCP remoto ha recibido la confirmación de su solicitud de terminación de la conexión. UDP. UDP, a veces referido sarcásticamente como Unreliable Datagram Protocol (Protcolo no fiable de datagrama), es un protocolo de datagrama sin corrección; no provee las garantía de fiabilidad y ordenamiento de TCP a los protocolos del Nivel de Aplicación y los datagramas pueden llegar en desorden o perderse sin notificación. Como consecuencia de lo anterior es que UDP es un protocolo más rápido y eficiente para tareas ligeras o sensibles al tiempo una interfaz muy simple entre el Nivel de Red y Nivel de Aplicación. Si se requiere algún tipo de fiabilidad para los datos transmitidos, ésta debe ser implementada en los niveles superiores de la pila. Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
10
Al igual que IP, y a diferencia de TCP, es un protocolo de mejor esfuerzo o no-fiable. El único problema de fiabilidad que resuelve es la corrección de errores en la cabecera y datos transmitidos a través de un campo de 16 bits para suma de verificación (checksum), una forma de control de redundancia con la finalidad de proteger la integridad de datos verificando que no hayan sido corrompidos. La estructura de paquetes UDP consiste de 4 campos. Puerto de origen. Encargado de identificar el puerto que envía y que se asume será el puerto hacia donde se envía la respuesta si se necesita. Este campo es opcional: si no se utiliza, el valor del campo debe ser 0. Puerto de destino. Identifica el puerto de destino. Es obligatorio. Longitud. Un campo de 16 bits que especifica la longitud del datagrama completo: cabecera y datos. La longitud mínima es de 8 bytes ya que es la longitud misma de la cabecera. Suma de verificación. Un campo de 16 bits que se utiliza para verificar errores en cabecera y datos. Las aplicaciones más comunes que hacen uso de este tipo de protocolo son DNS, aplicaciones de transmisión de medios, voz sobre IP (VoIP), TFTP y juegos en línea. SCTP. SCTP es un mecanismo de transporte fiable orientado hacia conexión. Está orientado también hacia transmisión de datos pero no está orientado hacia bytes como TCP. Provee múltiples transmisiones distribuidos sobre una misma conexión. Puede además representar una conexión con múltiples direcciones IP de modo que si una IP falla, la conexión no se interrumpe. Se desarrolló inicialmente para aplicaciones de telefonía pero se puede utilizar en otras aplicaciones. DCCP. DCCP se encuentra en fase de desarrollo y bajo la tutela de la IETF (Internet Engineering Task Force) que pretende proveer la semántica de control de flujo de TCP y el modelo de servicio de datagrama de UDP a la vista del usuario. RTP. RTP es un protocolo de datagrama que fue diseñado para datos en tiempo real como la transmisión de audio y vídeo. Es un nivel de sesión que utiliza el formato de paquetes de UDP como base. Sin embargo se considera que este protocolo pudiera acomodar debajo del nivel de transporte del modelo TCP/IP.
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
11
Nivel de Red Este nivel resuelve el problema de capturar los datos a través de una red única. IP (Internet Protocol) realiza la tarea básica de capturar los paquetes de datos desde una fuente hacia un destino. IP puede transportar datos para una gran cantidad de protocolos del nivel superior (Nivel de Transporte). Otro ejemplo de protocolo de este nivel es X.25, que es un conjunto de protocolos para redes WAN utilizando líneas telefónicas o sistema ISDN. Nivel de Enlace Este nivel no es realmente parte del Conjunto de Protocolos TCP/IP, sino que es el método utilizado para pasar paquetes desde el Nivel de Red sobre dos diferentes anfitriones. Este proceso puede ser controlado a través del sustento lógico utilizado como controlador del dispositivo para una tarjeta de red así como también sobre la Programación en firme (Firmware) o circuitos integrados auxiliares (chipsets). Estos procesos realizarán funciones de enlace de datos tales como añadir una cabecera de paquete para preparar la transmisión, y entonces transmitir el todo a través de un medio físico. Este nivel es donde los paquetes son interceptados y enviados hacia una Red Privada Virtual (VPN). Cuando esto se lleva a acabo, los datos del Nivel de Enlace se consideran como los datos de la aplicación y procede descendiendo por la pila del modelo TCP/IP para realizar la verdadera transmisión. En el extremo receptor, los datos suben por la pila del modelo TCP/IP dos veces, una para la VPN y otra para el encaminamiento (routing). Nivel Físico Al igual que el Nivel de Enlace, no es realmente parte del Conjunto de Protocolos TCP/IP. Contempla todas las características físicas de la comunicación como la naturaleza del medio, detalles de conectores, código de canales y modulación, potencias de señal, longitudes de onda, sincronización y tiempo de vida así como distancias máximas.
1.1.1.2 Modelo OSI El Conjunto de Protocolos TCP/IP (y su correspondiente pila) han sido utilizados antes de que se estableciera el modelo OSI (Interconexión de Sistemas Abiertos u Open Systems Interconnection) y desde entonces el modelo TCP/IP ha sido comparado con el modelo OSI tanto en libros como en instituciones educativas. Ambas se relacionan pero no son equiparables. El modelo OSI utiliza siete niveles, mientras que el modelo TCP/IP utiliza cinco. Los dos niveles que hacen la diferencia en el Modelo OSI son el Nivel de Presentación y el Nivel de Sesión, mismos que podrían ser equivalentes al Nivel de Aplicación del modelo TCP/IP.
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
12
Del mismo modo que la pila del modelo TCP/IP, el modelo OSI no es lo suficientemente diverso en los niveles inferiores para abarcar las verdaderas capacidades del Conjunto de Protocolos TCP/IP. Un claro ejemplo es que falta un nivel intermedio para acomodar entre el Nivel de Red y el Nivel de Transporte para poder determinar donde corresponden los protocolos ICMP e IGMP, y otro nivel intermedio entre el Nivel de Red y el Nivel de Transporte para determinar donde corresponden los protocolos ARP y RARP. Nivel 7
Nombre Aplicación
Descripción
6
Presentación
5
Sesión
4 2 1
Transporte Enlace de datos Ethernet, Token ring, HDLC, Frame relay, ISDN, ATM, 802.11 WiFi, FDDI, PPP Define todas las especificaciones físicas y eléctricas de los dispositivos, como son Físico
HTTP, SMTP, SNMP, FTP, Telnet, SIP, SSH, NFS, RTSP, XMPP (Extensible Messaging and Presence Protocol), ENRP Telnet.ASN.1 (Abstract Syntax Notation 1), SMB XDR (External DataWhois, Representation), (Server Message Block),AFP (Apple FilingProtocol), Protocol), TLS, NCPSSH, (NetWare Core/Protocol) ASAP (Aggregate Server Access ISO 8327 CCITT X.225, RPC (Remote Procedure Call), NetBIOS, ASP (Appletalk Session Protocol), Winsock, BSD sockets TCP, UDP, RTP, SCTP, SPX, ATP, IL
disposición de pines, voltajes, especificaciones de cableado, concentradores, repetidores, adaptadores de red, etc. Ejemplo: Cable, Radio, fibra óptica, Red por palomas.
Los niveles 7 al 4 se clasifican como niveles de anfitrión, mientras que los niveles inferiores del 1 al 3 se clasifican como niveles de medios.
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
13
Segunda Unidad Sesión 2 2.1 Introducción a IP Versión 4 IPv4 es la versión 4 del Protocolo de Internet (IP o Inernet Protocol) y constituye la primera versión de IP que es implementada de forma extensiva. IPv4 es el principal protocolo utilizado en el Nivel de Red del Modelo TCP/IP para Internet. Fue descrito inicial mente en el RFC 791 elaborado por la Fuerza de Trabajo en Ingeniería de Internet (IETF o Internet Engineering Task Force) en Septiembre de 1981, documento que dejó obsoleto al RFC 760 de Enero de 1980. IPv4 es un protocolo orientado hacia datos que se utiliza para comunicación entre redes a través de interrupciones (switches) de paquetes (por ejemplo a través de Ethernet). Tiene las siguientes características: • Es un protocolo de un servicio de datagramas no fiable (también referido como de mejor esfuerzo). • No proporciona garantía en la entrega de datos. • No proporciona ni garantías sobre la corrección de los datos. • Puede resultar en paquetes duplicado o en desorden. Todos los problemas mencionados se resuelven en el nivel superior en el modelo TCP/IP, por ejemplo, a través de TCP o UDP. El propósito principal de IP es proveer una dirección única a cada sistema para asegurar que una computadora en Internet pueda identificar a otra. Direcciones. IPv4 utiliza direcciones de 32 bits (4 bytes) que limita el número de direcciones posibles a utilizar a 4,294,967,295 direcciones únicas. Sin embargo, muchas de estas están reservadas para propósitos especiales como redes privadas, Multidifusión (Multicast), etc. Debido a esto se reduce el número de direcciones IP que realmente se pueden utilizar, es esto mismo lo que ha impulsado la creación de IPv6 (actualmente en desarrollo) como reemplazo eventual dentro de algunos años para IPv4. Representación de las direcciones. Cuando se escribe una dirección IPv4 en cadenas, la notación más común es la decimal con puntos. Hay otras notaciones basadas sobre los valores de los octetos de la dirección IP. Utilizando como ejemplo: www.alcancelibre.org que tiene como dirección IP 201.161.1.226 en la notación decimal con puntos:
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
Notación
Valor
14
Conversión desde decimal con puntos
Decimal con 201.161.1.226 puntos Hexadecimal 0xC9.0xA1.0x01.0xE2 con puntos
-
Decimal
3382772194
La forma hexadecimal convertida a decimal.
Octal
31150200742
La forma hexadecimal convertida a octal.
Binario
11001001101000010000000111100010
La forma hexadecimal convertida a binario.
Cada octeto de la dirección es convertido individualmente a hexadecimal. Cada octeto es convertido Octal con puntos 0311.0241.0001.0342 individualmente a octal. octeto es convertido Binario con 11001001.10100001.00000001.11100010 Cada individualmente a binario puntos Concatenación de los octetos de Hexadecimal 0xC9A101E2 hexadecimal con puntos.
avegadores Teóricamente, todos estos formatos mencionados deberían ser reconocidos por los navegadores (sin combinar). Además, en las formas con puntos, cada octeto puede ser representado en combinación de diferentes bases. Ejemplo: 201.0241.0x01.226. Asignación Desde 1993 rige el esquema CIDR (Classless Inter-Domain Routing o Encaminamiento InterDominios sin Clases) cuya principal ventaja es permitir la subdivisión de redes y permite las entidades sub-asignar direcciones IP, como haría un ISP con un cliente. El principio fundamental del encaminamiento (routing) es que la dirección codifica información acerca de localización de un dispositivo dentro de una red. Esto implica que una dirección asignada a una parte de una red no funcionará en otra parte de la red. Existe una estructura jerárquica que se encarga de la asignación de direcciones de Internet alrededor del mundo. Esta estructura fue creada para el CIDR, y hasta 1998 fue supervisada por la IANA (Internet Assigned Numbers Authority o Agencia de Asignación de Números Internet) y sus RIR (Regional Internet Registries o Registros Regionales de Internet). Desde el 18 de Septiembre de 1998 la supervisión está a cargo de la ICANN (Internet Corporation for Assigned Names and Numbers o Corporación de Internet para los Nombres y Números Asignados). Cada RIR mantiene una base de datos WHOIS disponible al publico y que permite hacer búsquedas que proveen información acerca de las asignaciones de direcciones IP. La información obtenida a partir de estas búsquedas juega un papel central en numerosas herramientas las cuales se utilizan para localizar direcciones IP geográficamente.
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
15
Bloques reservados. Bloques de direcciones reservadas Bloque de direcciones CIDR Descripción Referencia 0.0.0.0/8 Red actual (solo válido como dirección de RFC 1700 origen) 10.0.0.0/8 14.0.0.0/8 39.0.0.0/8 127.0.0.0/8 128.0.0.0/16
Red Privada Red de datos públicos Reservado Anfitrión local (localhost) Reservado
RFC 1918 RFC 1700 RFC 1797 RFC 1700
Bloque de direcciones CIDR 169.254.0.0/16 172.16.0.0/12 191.255.0.0/16 192.0.0.0/24 192.0.2.0/24 192.88.99.0/24 192.168.0.0/16 198.18.0.0/15 223.255.255.0/24 224.0.0.0/4 240.0.0.0/4 255.255.255.255
Descripción Red Privada (Zeroconf) Red Privada
Referencia RFC 3927 RFC 1918
Red de pruebas Retransmisión desde IPv6 hacia IPv4 Red Privada Pruebas de desempeño de red Reservado Multidifusión (Multicast, antes red Clase D) Reservado (Antes red Clase E) Difusiones (Broadcast)
RFC 3330 RFC 3068 RFC 1918 RFC 2544 RFC 3330 RFC 3171 RFC 1700
Redes privadas. De los más de cuatro mil millones de direcciones permitidas por IPv4, tres rangos están especialmente reservados para utilizarse solamente en redes privadas. Estos rangos no tienen encaminamiento fuera de una red privada y las máquinas dentro de estas redes privadas no pueden comunicarse directamente con las redes públicas. Pueden, sin embargo, comunicarse hacia redes públicas a través de la Traducción de Direcciones de Red o NAT (Network Address Translation). Bloques reservados para redes privadas Nombre Bloque de 24bits Bloque de 20bits Bloque de 16bits
Numero Rango de direcciones IP direcciones IP 10.0.0.0 – 10.255.255.255 16,777,215 172.16.0.0 – 172.31.255.255 1,048,576 192.168.0.0 – 192.168.255.255 65,535
de Bloque CIDR Tipo de clase mayor Única clase A 10.0.0.0/8 16 clases B contiguas 172.16.0.0/12 256 clases C contiguas 192.168.0.0/16
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
16
Anfitrión local (Localhost) Además de las redes privadas, el rango 127.0.0.0 – 127.255.255.255, o 127.0.0.0/8 en la notación CIDR, está reservado para la comunicación del anfitrión local (localhost). Ninguna dirección de este rango deberá aparecer en una red, sea pública o privada, y cualquier paquete enviado hacia cualquier dirección de este rango deberá regresar como un paquete entrante hacia la misma máquina. Referencia de sub-redes de IP versión 4. Algunos segmentos del espacio de direcciones de IP, disponibles para la versión 4, se especifican y asignan a través de documentos RFC (Request For Comments, o Solicitud De Comentarios), que son conjuntos de notas técnicas y de organización que se elaboran desde 1969 donde se describen los estándares o recomendaciones de Internet, antes ARPANET. Ejemplos de esto son los usos del Retorno del sistema (loopback, RFC 1643), las redes privadas (RFC 1918) y Zeroconf (RFC 3927) que no están bajo el control de los RIR (Regional Internet Registries o Registros Regionales de Internet). La máscara de sub-red es utilizada para separar los bits de un identificados de una red a partir de los bits del identificados del anfitrión. Se escribe utilizando el mismo tipo de notación para escribir direcciones IP. CIDR Máscara de sub-red Anfitriones /8
255.0.0.0
16777216
/9 /10 /11 /12 /13 /14 /15 /16 /17 /18 /19 /20
255.128.0.0 255.192.0.0 255.224.0.0 255.240.0.0 255.248.0.0 255.252.0.0 255.254.0.0 255.255.0.0 255.255.128.0 255.255.192.0 255.255.224.0 255.255.240.0
8388608 4194304 2097152 1048576 524288 262144 131072 65536 32768 16384 8192 4096
/21
255.255.248.0
2048
/22
255.255.252.0
1024
Nombre de la clase Uso típico Bloque más grande definido Clase A por la IANA
Clase B ISP / negocios grandes ISP / negocios grandes ISP / negocios grandes ISP pequeños / negocios grandes ISP pequeños / negocios grandes
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
/23 /24 /25 /26 /27 /28 /29
255.255.254.0 255.255.255.0 255.255.255.128 255.255.255.192 255.255.255.224 255.255.255.240 255.255.255.248
512 256 128 64 32 16 8
/30
255.255.255.252
4
/31
255.255.255.254
2
/32
255.255.255.255
1
Clase C
17
LAN grande LAN grande LAN pequeña LAN pequeña LAN pequeña Redes de unión (enlaces punto a punto) Red no utilizable, sugerida para enlaces punto a punto (RFC 3021) Ruta del anfitrión
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
18
Segunda Unidad Sesión 3 3.1 Servidor SSH 3.1.1 Servidor SSH en Debian Una vez ya instalado este servicio (apt-get install openssh-server), procedemos a editar las opciones que trae por defecto para evitar problemas de seguridad: 1. Respaldamos y abrimos el siguiente archivo: 1. cp /etc/ssh/sshd_config /etc/ssh/sshd_config.old 2. vim /etc/ssh/sshd_config 2. El puerto conocido para el servidor SSH es el TCP 22, o puerto 22 mayormente conocido. Es recomendable cambiar el puerto para tratar de ocultar el servicio que corre sobre nuestro servidor: Port 22. Hacemos un cambio al puerto 2222 por ejemplo: Port 2222. 3. Podemos deshabilitar el logueo como root: PermitRootLogin yes. Cambiamos el yes por no: PermitRootLogin no. 4. Por defecto el servidor escucha sobre todas la redes, podemos configurarlo por ejemplo para que solo permita los accesos desde nuestra red local (considerando que nuestro servidor tiene configurado en su interfaz para la red local la IP: 192.168.50.1): ListenAddress 0.0.0.0, por: ListenAddress 192.168.50.1. 5. Podemos también restringir el acceso de usuarios mediante el parámetro AllowUsers (en caso de que no se encuentre en el archivo de configuración lo creamos al final): AllowUsers admlinux admlinux2. Adicionalmente restringimos el acceso de los usuarios solo desde sus terminales o ciertos host de la red: AllowUsers admlinux@192.168.50.10 admlinux2@192.168.50.11. 6. Reiniciamos nuestro servicio: 1. /etc/init.d/ssh restart Nota : Un cliente SSH muy cómodo desde entornos Windows es: PuTTY.
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
19
3.2 Servidor de Repositorios Local Si nos encontramos ante el caso de instalar un número elevado de computadoras en nuestra red, las cuales no cuentan con un ancho de banda hacia Internet suficiente, es posible que la instalación de paquetes y la actualización del sistema se efectúe en periodos elevados de tiempo. Seria necesario el poder contar con una réplica local en nuestra red local (LAN) para la descarga, instalación y actualización de paquetes sobre los equipos clientes.
3.2.1 Servidor de Repositorios en Debian Nota: Todos los comandos son ejecutados como root. 1. Necesitamos descargar y/o adquirir los DVD de la distribución (http://www.debian.org). 2. Adicionalmente necesitamos unos 14 o 15 GB de espacio en disco duro (o preferiblemente una partición con el espacio mencionado). 3. Dpkg-dev y servidor web Apache (apt-get install apache/apache2) instalado (ruta por defecto /var/www). 4. En el espacio asignado para la tarea crearemos una carpeta denominada y dentro de la ruta para la publicación de Apache: /repo. 1. mkdir -p /ruta.previa/repo 5. Creamos un enlace simbólico del directorio creado a la ruta donde Apache apunta (/var/www/): 1. ln -s /ruta.previa/repo /var/www/repo 6. Ahora copiamos todo el contenido de los 3 DVDs de la siguiente manera (debemos montar cada uno de los discos que utilicemos: mount /dev/cdrom y para desmontarlo: mount /dev/cdrom). 1. cp -R /cdrom/dists/ /ruta.previa/repo 2. cp -R /cdrom/pool/ /ruta.previa/repo 7. Ahora eliminamos los siguientes archivos: 1. rm -rf /ruta.previa/repo/dists/etch/main/debian-installer/ 2. rm /ruta.previa/repo/dists/etch/Release 8. Ahora nos dirigimos al directorio donde copiamos los paquetes: 1. cd /ruta.previa/repo/ 9. Procedemos a escanear y comprimir los paquetes (main) y (dists): 1. dpkg-scanpackages pool/main/ /dev/null > dists/etch/main/binary-i386/Packages 2. gzip dists/etch/main/binary-i386/Packages 3. dpkg-scanpackages pool/contrib/ /dev/null > dists/etch/contrib/binary-i386/Packages 4. gzip dists/etch/contrib/binary-i386/Packages 10. Si todo culminó correctamente verifiquemos si puede ser accedido via web: 1. http://127.0.0.1/repo 11. Procedemos a editar en los clientes el listado de repositorios, agregamos nuestro Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
20
repositorio local editando el archivo: /etc/apt/sources.list, insertamos: 1. deb http://ip.del.servidor/repo/ etch main contrib 12. Y ejecutamos el comando: 1. apt-get update Nota 2: Si deseamos podemos eliminar todo el contenido del archivo de repositorios en los clientes con el siguiente comando (previo respaldo del mismo): 1. cp /etc/apt/sources.list /etc/apt/sources.list.old 2. echo /etc/apt/sources.list Nota 3: Podemos además agregar a la lista de repositorios los DVD de instalación de Debian para el uso de cada equipo individual con el siguiente comando (una recomendación personal es agregar los 3 DVD de la distribución para evitarnos de dependencias incompletas): 1. apt-cdrom add
3.3 Servidor NTP Network Time Protocol (NTP) es un protocolo de red para sincronizar el reloj de un computador con la hora de una fuente de referencia, logrando una precisión de orden de milisegundos con respecto a la Hora Universal Coordinada (UTC). La hora UTC, que ha sido adoptado como la escala de tiempo estándar por la mayoría de las naciones del mundo, es basada en la rotación de la Tierra alrededor de su eje y en el calendario Gregoriano, que a su vez es basado en la rotación de la Tierra alrededor del Sol. La hora UTC es diseminada a través de receptores especiales, como radios, satélites o módems, manejados por los gobiernos de varias naciones del mundo. Un número limitado de computadores están equipados con estos receptores y actúan como servidores de tiempo primarios (stratum 1), usados para sincronizar un número mucho mayor de servidores secundarios (stratum 2), que a su vez sincronizan a clientes ternarios (stratum 3) a través de protocolos de sincronización, como NTP, cuyos daemons a la vez actúan como servidores para sincronizar aún más clientes. Esto crea una cascada de servidores sincronizados. ¿Por qué sincronizar el reloj? Las ventajas son muchas y las desventajas ninguna. El reloj sincronizado con NTP está siempre a la hora oficial y no es necesario ajustarlo cada cierto tiempo. Los problemas asociados a un reloj desincronizado son múltiples. Por ejemplo, el sello de tiempo cuando se crea o modifica un archivo puede quedar con la hora y fecha equivocada. El correo electrónico que envías desde el computador podría llevar un sello de tiempo equivocado. ¿No te ha sucedido que has recibido correo con fechas totalmente erróneas? Los computadores poseen en su circuito un reloj bastante inexacto, llamado reloj CMOS o reloj del hardware. Hemos comprobado que el drift típico del reloj del hardware en nuestros computadores es de unos 20 segundos por día. Esa es la inexactitud típica de un reloj de hardware que funciona correctamente. No es raro en computadores viejos que éste reloj esté defectuoso, probablemente debido a una batería descargada. Cuando el computador arranca, el reloj del sistema (el que ves en Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
21
la barra del escritorio) se coloca según el reloj del hardware. Por eso sucede que al arrancar el computador, el reloj del sistema aparece a una hora y fecha descolocada, a pesar de haber sido puesto a la hora correcta recientemente. Esto se debe a la inexactitud o defecto del reloj del hardware. Referencia: http://ftp.cl.debian.org/man-es
3.3.1 Servidor NTP en Debian 1. Verificamos la variable UTC en el archivo /etc/default/rcS (UTC=yes, si el equipo cuenta con Windows, en caso contrario UTC=no). 2. Configuramos nuestra zona horaria con el comando: 1. tzselect 3. Colocamos una hora referencial en el reloj del hardware con el siguiente comando (fecha en formato inglés (mm/dd/aaaa)): 1. hwclock -set -date="07/25/2009 23:23:02" 4. Enviamos el reloj de hardware al reloj de software: 1. hwclock -hctosys 5. Instalamos el paquete ntpdate:
1. apt-get install ntpdate
6. Modificamos la siguiente opción NTPDATE_USE_NTP_CONF=yes a NTPDATE_USE_NTP_CONF=no del archivo de configuración de ntpdate: 1. vim /etc/default/ntpdate 2. NTPDATE_USE_NTP_CONF=no 7. Luego sincronizamos la hora del sistema con el comando: 1. ntpdate-debian
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
22
Segunda Unidad Sesión 4 4.1 Servidor Samba Samba es un paquete que brinda a los usuarios Linux la posibilidades de interactuar con equipos Windows que estén coexistiendo en redes heterogéneas. Permitiéndonos: 1. Compartir impresoras, instaladas tanto en el servidor como en los clientes. 2. Compartir uno o más sistemas de archivos. 3. Samba permite compartir entre máquinas Windows y Linux recursos. Referencia: http://www.linuxparatodos.net/
4.1.1 Servidor Samba en Debian Veremos 3 escenarios: - Compartiendo un recurso para un usuario en Microsoft Windows: 1. Creamos la carpeta a compartir: 1. mkdir -p /home/conf1 2. Creamos el usuario que será asociado con la carpeta: 1. adduser conf1 Enter new UNIX password: conf1 Retype the new UNIX password: conf1 3. Con motivos de prueba estableceremos todos los permisos sobre la carpeta: 1. chmod 777 /home/conf1 4. Cambiamos el propietario del recurso a conf1: 1. chown conf1 /home/conf1 5. Agregamos el usuario a la base de datos de Samba: 1. smbpasswd -a conf1 New SMB password: conf1 Retype SMB password: conf1 6. Respaldamos y abrimos el archivo de configuración. Agregamos las siguientes líneas al final: 1. cp /etc/samba/smb.conf /etc/samba/smb.conf.old 2. vim /etc/samba/smb.conf
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
23
security = user [conf1] comment = Config conf1 writable = yes path = /home/conf1 public = yes browseable= yes 7. Ahora en nuestro equipo con sistema operativo Windows XP, presionamos la tecla: Windows+R (Ejecutar) e intentamos conectarnos al recurso compartido: \\ip.del.servidor - Compartiendo un recurso para un grupo de usuarios, acceso desde Windows: 1. Creamos la carpeta a compartir: 1. mkdir -p /home/conf2 2. Creamos 2 usuarios que pertenecerán al grupo "conf2" y configuramos como propietario de la carpeta "/home/conf2" al grupo de usuarios: 1. addgroup conf2 2. adduser conf2a -ingroup conf2 Enter new UNIX password: conf2a Retype the new UNIX password: conf2a 3. adduser conf2b -ingroup conf2 Enter new UNIX password: conf2b Retype the new UNIX password: conf2b 3. Agregamos los usuarios a la base de datos de Samba: 1. smbpasswd -a conf2a New SMB password: conf2a Retype SMB password: conf2a 2. smbpasswd -a conf2b New SMB password: conf2b Retype SMB password: conf2b 4. Ahora establecemos como propietario de la carpeta al grupo "conf2": 1. chown -R root:conf2 /home/conf2 5. Con motivos de prueba estableceremos todos los permisos sobre la carpeta: 1. chmod 777 /home/conf2 6. Abrimos el archivo de configuración. Agregamos las siguientes líneas al final: 1. cp /etc/samba/smb.conf /etc/samba/smb.conf.old 2. vim /etc/samba/smb.conf security = user [conf2] comment = Config conf2 path = /home/conf2 valid users = @conf2 Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
24
writable = yes browseable= yes 7. Ahora en nuestro equipo con sistema operativo Windows XP, presionamos la tecla: Windows+R (Ejecutar) e intentamos conectarnos al recurso compartido: \\ip.del.servidor - Accediendo a un recurso compartido desde un cliente Linux: 1. Para acceder a un servidor SAMBA desde un cliente Linux, necesitamos tener instalado el paquete: samba-client. 2. Primero determinamos los recursos compartidos por el servidor: smbclient -L //IP.del.servidor -U Usuario Password: Clave.de.usuario 3. Una vez determinado el recurso a ser accedido (por ejemplo: files), ejecutamos el siguiente comando: smbclient //IP.del.servidor/files -U Usuario Password: Clave.de.usuario 4. Una vez ejecutado el comando anterior nos aparecerá un prompt como el siguiente: smb: \. Para realizar operaciones sobre los archivos debemos ejecutar los mismos comandos que para el cliente FTP: help [comando] : Muestra los comandos a ejecutar o la utilización de un comando si se especifica. ls dir: lista los ficheros del directorio actual. get fichero.remoto fichero.local : Transfiere un fichero desde el servidor al cliente guardándolo opcionalmente con el nombre especificado en el segundo argumento. mget patrón : Transfiere desde el servidor al cliente todos ficheros que satisfagan el patrón especificado. put fichero.local fichero.remoto : Transfiere un fichero desde el cliente al servidor guardándolo opcionalmente con el nombre especificado en el segundo argumento. mput patrón : transfiere desde el cliente al servidor todos los ficheros que satisfagan el patrón especificado. recurse : Activa y desactiva la transferencia recursiva de directorios para los comandos mget y mput. También determina que la salida de los comandos ls y dir sea recursiva o no. prompt : Activa y desactiva el modo interactivo al hacer las transferencias múltiples con mget y mput. rm, rd y rmdir : Permiten borrar ficheros y directorios en el servidor. Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
25
exit y quit : Cierran la conexión con el servidor. Enlace: http://www.ispcmw.rimed.cu/sitios/digbiblio/cont/EI/SO_Linux/Avanzadohtml/node116.html
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
26
Segunda Unidad Sesión 5 5.1 Servidor NFS NFS proviene de las siglas Network File System (Sistema de Archivos en Red) que es un sistema de archivos distribuido para un entorno de área local (LAN), permitiendo a diversas máquinas acceder a un recurso como si se tratase de uno local. Podemos utilizar NFS para los siguientes casos por ejemplo: 1. Si contamos con varias máquinas de trabajo y todas ellas conectadas en red; podemos contar en cada una de ellas con el mismo software y configuración exportando desde un servidor los directorios /usr y /etc. 2. Si contamos con equipos clientes en la red con espacio en disco duro reducido y ellos necesitan ejecutar aplicaciones de gran tamaño, permitiéndonos a nosotros compartir dichas aplicaciones en la red y ejecutarlas en los equipos clientes como si fueran locales.
5.1.1 Servidor NFS en Debian Ahora vamos a proceder con la configuración de NFS: 1. Para el servidor necesitamos tener instalados los siguientes paquetes: nfs-kernel-server nfscommon portmap (apt-get install nfs-kernel-server nfs-common portmap). 2. Para nuestro cliente necesitamos los siguientes paquetes: nfs-common portmap. 3. En el servidor creamos el recurso a ser exportado: 1. mkdir -p /home/export 4. Ahora cambiaremos de usuario a nobody y de grupo a nogroup al directorio /home/export, para el acceso de todos los equipos que deseen hacerlo (personalmente no recomiendo cambiar de propietario a "nobody", debido a que vamos a leer y escribir sobre /home/export.) 5. Respaldamos y editamos ahora: 1. cp /etc/exports /etc/exports.old 2. vim /etc/exports 3. /home/export *.*(rw) 6. Ahora indicamos al sistema lea nuevamente el fichero y ejecute los cambios: exportfs -ra 7. En el cliente creamos el punto de montaje para los directorios NFS: 1. mkdir -p /media/nfs Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
27
8. Ahora ejecutamos el siguiente comando como root: 1. mount IP.del.servidor:Directorio.compartido Punto.de.montaje 9. Pongamos como ejemplo: IP del servidor: 192.168.50.34, directorio NFS: /home/export, IP del equipo cliente: 192.168.50.35, punto de montaje: /media/nfs: 1. mount 192.168.50.34:/home/export /media/nfs 10. Podemos ver en el cliente el directorio NFS montado con el comando: 1. df -h 11. Si deseamos que el recurso NFS sea montado a iniciar el equipo, debemos modificar el archivo /etc/fstab y agregamos la siguiente línea: 1. vim /etc/fstab 2. 192.168.50.34:/home/export /media/nfs nfs rw 0 0
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
28
Segunda Unidad Sesión 6 6.1 Servidor DHCP El servicio de DHCP requiere de un servidor el cual asignará direcciones IP de manera dinámica a todo equipo (host) que se conecte a esa red o segmento de red, el protocolo entrega información a la redes de área local (LAN) o LAN Virtuales (VLAN); reduciendo el tiempo y trabajo de administración de manera considerable ya que los adaptadores de red de los equipos clientes no necesitan configurarse de manera manual o estática la dirección IP, máscara, puerta de enlace, etc.
6.1.1 Servidor DHCP en Debian 1. Debemos tener instalado el paquete dhcp3-server: 1. apt-get install dhcp3-server 2. Podemos optar por eliminar todo el contenido del archivo de configuración (recordar siempre guardar un backup o respaldo de cada archivo de configuración que edite) o modificar el existente. Para nuestro caso respaldaremos el archivo, eliminaremos todo el contenido y crearemos el nuestro. 1. cp /etc/dhcp3/dhcpd.conf /etc/dhcp3/dhcpd.conf.old 2. echo /etc/dhcp3/dhcpd.conf 3. vim /etc/dhcp3/dhcpd.conf 3. Ingresamos el siguiente texto: subnet 192.168.50.0 netmask 255.255.255.0 { range 192.168.50.10 192.168.50.100; option domain-name ïnfouni.com"; option domain-name-servers 208.67.222.222; option subnet-mask 255.255.255.0; default-lease-time 3600; max-lease-time 7200; option routers 192.168.50.1; option broadcast-address 192.168.50.255; } - subnet 192.168.50.0 netmask 255.255.255.0 { }: define el segmento de red al que asignará direcciones. - range 192.168.50.10 192.168.50.100;: El rango de direcciones IP que asignará el servidor. Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
29
- option domain-name ïnfouni.com";: El domino por defecto en la red. - option domain-name-servers 208.67.222.222;: establece el servidor DNS para navegación web de los clientes. - option subnet-mask 255.255.255.0;: Especifica la máscara de red asignada a los clientes. - default-lease-time 3600;: Indica el tiempo de asignación en segundos. - max-lease-time 7200;: Tiempo máximo de asignación en segundos. - option routers 192.168.50.1;: La puerta de enlace para los equipos de la red. - option broadcast-address 192.168.50.255;: Dirección de difusión de la red. 4. Podemos además establecer clientes DHCP con direcciones IP fijas. DHCP también se puede utilizar para asignar una dirección estática predefinida a un cliente específico para cada petición. Para identificar cada cliente de la red se utiliza la dirección MAC (dirección física) de cada host, que es un código numérico fijo y único. host computadora1 { hardware ethernet 00:00:45:12:EE:F4; fixed-address 192.168.50.21; } - host computadora1 { }: definimos el nombre del host de la red. - hardware ethernet 00:00:45:12:EE:F4;: dirección MAC del equipo. - fixed-address 192.168.50.21;: dirección IP asignada al equipo con la dirección MAC definida anteriormente. 5. Podemos decir también que nuestro servidor DHCP nos permite la negación de direcciones IP a ciertos equipos por su dirección MAC: host equipo.dañino { hardware ethernet 00:00:00:00:00:00; deny booting; } - deny booting;: el servidor no entrega una dirección IP al equipo con la MAC especificada arriba. 6. Tenemos el caso en que nuestro servidor necesita asignar direcciones IP a 2 o más segmentos de red en conectados en interfaces de red distintas. Para ello vamos a definir los interfaces de red (eth0, eth1) en el parámetro INTERFACES del archivo : 1. cp /etc/default/dhcp3-server /etc/default/dhcp3-server.old 2. vim /etc/default/dhcp3-server 7. Una vez realizados los cambios sobre el archivo de configuración reiniciamos el servicio: 1. /etc/init.d/dhcp3-server restart Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
30
Segunda Unidad Sesión 7 7.1 Servidor PROXY - CACHE El término proxy hace referencia a un programa o dispositivo que realiza una acción en representación de otro. Su finalidad más habitual es la de servidor proxy, que sirve para permitir el acceso a Internet a todos los equipos de una organización cuando sólo se puede disponer de un único equipo conectado, esto es, una única dirección IP. En general la palabra proxy se usa en muchas situaciones en donde tiene sentido un intermediario: El uso más común es el de servidor proxy, que es un ordenador que intercepta todas las conexiones
de
red
que
un
cliente
hace
a
un
servidor
de
destino.
De ellos, el más famoso es el servidor proxy de web (comúnmente conocido solamente como «proxy»). Intercepta la navegación de los clientes por páginas web, por varios motivos posibles: seguridad, También
rendimiento, existen
proxies
para
otros
anonimato, protocolos,
como
el
etc. proxy
de
FTP.
El proxy ARP puede hacer de enrutador en una red, ya que hace de intermediario entre ordenadores. Como se ve, proxy tiene un significado muy general, aunque siempre es sinónimo de intermediario. También se puede traducir por delegado o apoderado (el que tiene el poder). En general, los proxies hacen posibles varias cosas nuevas: Control: El intermediario hace el trabajo real, por tanto se pueden limitar y restringir los derechos de los usuarios, y dar permisos sólo al proxy. Ahorro: Por tanto, sólo uno de los usuarios (el proxy) ha de estar equipado para hacer el trabajo real. Velocidad: Si varios clientes van a pedir el mismo recurso, el proxy puede hacer caché: guardar la respuesta de una petición para darla directamente cuando otro usuario la pida. Así no tiene que volver a contactar con el destino, y acaba más rápido.
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
31
Filtrado: El proxy puede negarse a responder algunas peticiones si detecta que están prohibidas. Modificación: Un proxy puede falsificar información, o modificarla siguiendo un algoritmo. Anonimato: Si todos los usuarios se identifican como uno sólo, es difícil que el recurso accedido pueda diferenciarlos. Pero esto puede ser malo, por ejemplo cuando hay que hacer necesariamente la identificación.
El uso de un intermediario puede provocar: Abuso: Al estar dispuesto a recibir peticiones de muchos usuarios y responderlas, es posible que haga algún trabajo que no toque. Por tanto, ha de controlar quién tiene acceso y quién no a sus servicios, Carga:
cosa Un
que
proxy
ha
normalmente
de
hacer
el
es
trabajo
muy de
muchos
difícil. usuarios.
Intromisión: Es un paso más entre origen y destino, y algunos usuarios pueden no querer pasar por
el
proxy.
Y
menos
si
hace
de
caché
y
guarda
copias
de
los
datos.
Incoherencia. Si hace de caché, es posible que se equivoque y dé una respuesta antigua cuando hay una más reciente en el recurso de destino. En realidad este problema no existe con los servidores proxy actuales, ya que se conectan con el servidor remoto para comprobar que la versión que tiene en cache sigue siendo la misma que la existente en el servidor remoto. Irregularidad: El hecho de que el proxy represente a más de un usuario da problemas en muchos escenarios, en concreto los que presuponen una comunicación directa entre 1 emisor y 1 receptor (como TCP/IP). Su funcionamiento: Un proxy permite a otros equipos conectarse a una red de forma indirecta a través de él. Cuando un equipo de la red desea acceder a una información o recurso, es realmente el proxy quien realiza la comunicación y a continuación traslada el resultado al equipo inicial. En unos casos esto se hace así porque no es posible la comunicación directa y en otros casos porque el proxy añade una funcionalidad adicional, como puede ser la de mantener los resultados obtenidos (p.ej.: una página web) en una caché que permita acelerar sucesivas consultas coincidentes. Con esta denominación
general
de
proxy
se
agrupan
diversas
técnicas.
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
32
Proxy de web / Proxy cache de web: El proxy para el acceso a la web. Aparte de la utilidad general de un proxy, proporciona una caché para las páginas web y los contenidos descargados, que es compartida por todos los equipos de la red, con la consiguiente mejora en los tiempos de acceso para consultas coincidentes. Al mismo tiempo libera la carga de los enlaces hacia Internet.
Funcionamiento: El cliente realiza una petición (mediante un navegador web) de un recurso de Internet (una página web o cualquier otro archivo) especificado por una URL. Cuando el proxy caché recibe la petición, busca la URL resultante en su caché local. Si la encuentra, contrasta la fecha y hora de la versión de la página demanda con el servidor remoto, si la página no ha cambiado desde que se cargo en caché la devuelve inmediatamente, ahorrándose de esta manera mucho tráfico pues solo intercambia un paquete para comprobar la versión, si la versión es antigua o simplemente no se encuentra en la caché, lo captura del servidor remoto, lo devuelve al que lo pidió y guarda o actualiza una copia en su caché para futuras peticiones. El caché utiliza normalmente un algoritmo para determinar cuándo un documento está obsoleto y debe ser eliminado de la caché, dependiendo de su antigüedad, tamaño e histórico de acceso. Dos de esos algoritmos básicos son el LRU (el usado menos recientemente, en inglés Least Recently Used ) y el LFU (el usado menos frecuentemente, Least Frequently Used ). Los proxies web también pueden filtrar el contenido de las páginas Web servidas. Algunas aplicaciones que intentan bloquear contenido Web ofensivo están implementadas como proxies Web. Otros tipos de proxy cambian el formato de las páginas web para un propósito o una audiencia específicos, para, por ejemplo, mostrar una página en un teléfono móvil o una PDA. Algunos operadores de red también tienen proxies para interceptar virus y otros contenidos hostiles servidos por páginas Web remotas.
Ejemplo: Un cliente de un ISP manda una petición a Google la cual llega en un inicio al servidor Proxy que tiene este ISP, no va directamente a la dirección IP del dominio de Google. Esta página concreta suele ser muy solicitada por un alto porcentaje de usuarios, por lo tanto el ISP la retiene en su Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
33
Proxy por un cierto tiempo y crea una respuesta en mucho menor tiempo. Cuando el usuario crea una búsqueda en Google el servidor Proxy ya no es utilizado; el ISP envía su petición y el cliente recibe su respuesta ahora sí desde Google. Otros Usos: Como método extra y de ayuda en las descargas mediante aplicaciones P2P; el cual es usado en Lphant y algunos Mods del Emule.
Ventajas: Ahorro de Tráfico: Las peticiones de páginas Web se hacen al servidor Proxy y no a Internet directamente. Por lo tanto, aligera el tráfico en la red y descarga los servidores destino, a los que llegan menos peticiones. Velocidad en Tiempo de respuesta: El servidor Proxy crea un caché que evita transferencias idénticas de la información entre servidores durante un tiempo (configurado por el administrador) así que el usuario recibe una respuesta más rápida. Demanda a Usuarios: Puede cubrir a un gran número de usuarios, para solicitar, a través de él, los contenidos Web. Filtrado de contenidos: El servidor proxy puede hacer un filtrado de páginas o contenidos basándose en criterios de restricción establecidos por el administrador dependiendo de valores y características de lo que no se permite, creando una restricción cuando sea necesario. Modificación de contenidos: Basándose en la misma función del filtrado, y llamado Privoxy, tiene el objetivo de proteger la privacidad en Internet, puede ser configurado para bloquear direcciones y Cookies
por
expresiones
regulares
y
modifica
en
la
petición
el
contenido.
Desventajas: Las páginas mostradas pueden no estar actualizadas si éstas han sido modificadas desde la última carga que realizó el proxy caché. Un diseñador de páginas web puede indicar en el contenido de su web que los navegadores no hagan una caché de sus páginas, pero este método no funciona habitualmente para un proxy. El hecho de acceder a Internet a través de un Proxy, en vez de mediante conexión directa, impide Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
realizar
operaciones
avanzadas
a
través
de
algunos
puertos
34
o
protocolos.
Almacenar las páginas y objetos que los usuarios solicitan puede suponer una violación de la intimidad para algunas personas. Proxy Transparente: Muchas organizaciones (incluyendo empresas, colegios y familias) usan los proxies para reforzar las políticas de uso de la red o para proporcionar seguridad y servicios de caché. Normalmente, un proxy Web o NAT no es transparente a la aplicación cliente: debe ser configurada para usar el proxy, manualmente. Por lo tanto, el usuario puede evadir el proxy cambiando simplemente la configuración. Una ventaja de tal es que se puede usar para redes de empresa. Un proxy transparente combina un servidor proxy con NAT de manera que las conexiones son enrutadas dentro del proxy sin configuración por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia. Este es el tipo de proxy que utilizan los proveedores de servicios de internet (ISP). En España, la compañía más expandida en cuanto a ADSL se refiere, ISP Telefónica, dejó de utilizar proxy transparente con sus clientes a partir de Febrero de 2006. Reverse Proxy: Un reverse proxy es un servidor proxy instalado en el domicilio de uno o más servidores web. Todo el tráfico entrante de Internet y con el destino de uno de esos servidores web pasa a través del servidor proxy. Hay varias razones para instalar un reverse proxy :
Seguridad: el servidor proxy es una capa adicional de defensa y por lo tanto protege los servidores web. Cifrado / Aceleración SSL: cuando se crea un sitio web seguro, habitualmente el cifrado SSL no lo hace el mismo servidor web, sino que es realizado por el reverse proxy , el cual está equipado con un hardware de aceleración SSL (Security Sockets Layer). Distribución de Carga: el reverse proxy puede distribuir la carga entre varios servidores web. En ese caso, el reverse proxy puede necesitar reescribir las URL de cada página web (traducción de la URL externa a la URL interna correspondiente, según en qué servidor se encuentre la información solicitada).
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
35
Caché de contenido estático: Un reverse proxy puede descargar los servidores web almacenando contenido estático como imágenes u otro contenido gráfico.
Proxy NAT (Network Address Translation) / Enmascaramiento: Otro mecanismo para hacer de intermediario en una red es el NAT. La traducción de direcciones de red (NAT, Network Address Translation) también es conocida como enmascaramiento de IPs. Es una técnica mediante la cual las direcciones fuente o destino de los paquetes IP son reescritas, sustituidas por otras (de ahí el enmascaramiento ). Esto es lo que ocurre cuando varios usuarios comparten una única conexión a Internet. Se dispone de una única dirección IP pública, que tiene que ser compartida. Dentro de la red de área local (LAN) los equipos emplean direcciones IP reservadas para uso privado y será el proxy el encargado de traducir las direcciones privadas a esa única dirección pública para realizar las peticiones, así como de distribuir las páginas recibidas a aquel usuario interno que la solicitó. Estas direcciones privadas se suelen elegir en rangos prohibidos para su uso en Internet como 192.168.x.x, 10.x.x.x, 172.16.x.x y 172.31.x.x Esta situación es muy común en empresas y domicilios con varios ordenadores en red y un acceso externo a Internet. El acceso a Internet mediante NAT proporciona una cierta seguridad, puesto que en realidad no hay conexión directa entre el exterior y la red privada, y así nuestros equipos no están expuestos a ataques directos desde el exterior. Mediante NAT también se puede permitir un acceso limitado desde el exterior, y hacer que las peticiones que llegan al proxy sean dirigidas a una máquina concreta que haya sido determinada para tal fin en el propio proxy. La función de NAT reside en los Cortafuegos y resulta muy cómoda porque no necesita de ninguna configuración especial en los equipos de la red privada que pueden acceder a través de él como si fuera un mero encaminador.
Proxy Abierto: Este tipo de proxy que acepta peticiones desde cualquier ordenador, esté o no conectado a su red. En esta configuración el proxy ejecutará cualquier petición de cualquier ordenador que pueda conectarse a él, realizándola como si fuera una petición del proxy. Por lo que permite que este tipo Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
36
de proxy se use como pasarela para el envío masivo de correos de spam. Un proxy se usa, normalmente, para almacenar y redirigir servicios como el DNS o la navegación Web, mediante el cacheo de peticiones en el servidor proxy, lo que mejora la velocidad general de los usuarios. Este uso es muy beneficioso, pero al aplicarle una configuración abierta a todo internet, se convierte en una herramienta para su uso indebido. Debido a lo anterior, muchos servidores, como los de IRC, o correo electrónicos, deniegan el acceso a estos proxys a sus servicios, usando normalmente listas negras (BlackList).
Referencia: http://es.wikipedia.org/wiki/Proxy
7.1.1 Servidor Proxy en Debian 1. Necesitamos tener instalado el paquete squid. 1. apt-get install squid 2. Definamos primero las líneas a editar dentro del archivo de configuración: 1. cp /etc/squid/squid.conf /etc/squid/squid.conf.old 2. vim /etc/squid/squid.conf 3. visible_hostname: Define el nombre del servidor. 4. http_port. Este parámetro define en que puerto responderá a las solicitudes Squid. Usaremos el puerto 3128 5. cache_mem. Memoria utilizada por Squid para ciertos procesos. 6. cache_dir. Directorio de ubicación del cache. Este parámetro incluye tres parámetros numéricos adicionales. El primero incluye el número de MB que se utilizarán en este directorio para el cache, por defecto 100MB, el segundo el número de directorios a utilizar en el primer nivel (16 por defecto) y el tercero el número de subdirectorios en el segundo nivel (256 por defecto): 7. acl: (Lista de Control de Acceso) Con ésta línea determinamos quien accederá a Internet a través del proxy y quien no. 8. http_access: Permite el acceso o denegación a las listas de control de acceso (ACL). visible_hostname ServidorProxy http_port 3128 cache_mem 128 MB Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
37
cache_dir ufs /squid 1024 16 256 acl redinterna src 192.168.50.0/255.255.255.0 http_access allow redinterna
7.1.1.1 ACL: Listas de Control de Acceso Las listas de control de acceso nos permiten controlar los recursos o los equipos que pueden tener acceso a nuestra red. Vamos a definir ahora algunos tipos de ACL: 1. src: Especifica la dirección origen de la conexión (en formato IP/Máscara). 2. dst: Especifica la dirección destino de la conexión (en formato IP/Máscara) 3. srcdomain, dstdomain: Especifica un nombre de dominio origen. Y dstdomain comprueba el dominio que se haya especificado en la petición de página web. 4. time: Permite especificar el horario en el que se tendrá acceso a Internet. 5. url_regex: Permite especificar expresiones para comprobar en una URL. Denegando la petición si coinciden con la regla.
7.1.1.2 Squidguard Squid 1. Necesitamos tener instalado el paquete de squidguard: 1. apt-get install squidguard 2. Descargamos la lista negra de direcciones web (http://urlblacklist.com): 1. http://urlblacklist.com/cgi bin/commercialdownload.pl?type=download&file =bigblacklist 3. Descomprimimos el archivo: 1. tar xvzf bigblacklist.tar.gz 4. Movemos el contenido a el directorio de base de datos de Squidguard: 1. mv blacklists/* /var/lib/squidguard/db/ 5. Ahora debemos asociar el Squidguard al Squid, añadiendo o desdocumentando las siguientes líneas: 1. vim /etc/squid/squid.conf Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
38
2. redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf 3. redirect_children 20 6. Para mayor facilidad, asignaremos todos los permisos y propietario (root) a los archivos de la base de datos de SquidGuard: 1. chmod 700 -R /var/lib/squidguard/db/* 2. chown -R root:root /var/lib/squidguard/db/* 7. Respaldamos y editamos el archivo de configuración de SquidGuard: 1. cp /etc/squid/squidGuard.conf /etc/squid/squidGuard.conf.old 2. vim /etc/squid/squidGuard.conf Ejemplo del archivo de configuración: # # CONFIG FILE FOR SQUIDGUARD # dbhome /var/lib/squidguard/db logdir /var/log/squid # # TIME RULES: # abbrev for weekdays: # s = sun, m = mon, t =tue, w = wed, h = thu, f = fri, a = sat time workhours { weekly mtwhf 08:00 - 16:30 date *-*-01 08:00 - 16:30 } # # REWRITE RULES: # #rew dmz { # s@://admin/@://admin.foo.bar.no/@i # s@://foo.bar.no/@://www.foo.bar.no/@i #} # # SOURCE ADDRESSES: # #src admin { # ip 1.2.3.4 1.2.3.5 # user root foo bar # within workhours #}
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
39
#src foo-clients { # ip 172.16.2.32-172.16.2.100 172.16.2.100 172.16.2.200 #} #src bar-clients { # ip 172.16.4.0/26 #} # # DESTINATION CLASSES: # dest good { } dest local { } dest ads { domainlist ads/domains urllist ads/urls expressionlist ads/expressions } dest adult { domainlist adult/domains urllist adult/urls } dest aggessive { domainlist aggressive/domains urllist aggressive/urls } dest artnudes { domainlist artnudes/domains urllist artnudes/urls } dest astrology { domainlist astrology/domains } dest audio-video { domainlist audio-video/domains urllist audio-video/urls } dest beerliquorsale { domainlist beerliquorsale/domains } dest beerliquorinfo { domainlist beerliquorinfo/domains } dest blog { domainlist blog/domains urllist blog/urls } dest chat { domainlist chat/domains urllist chat/urls Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
40
} dest childcare { domainlist childcare/domains urllist childcare/urls } dest clothing { domainlist clothing/domains } dest culinary { domainlist culinary/domains } dest dating { domainlist dating/domains urllist dating/urls } dest desktopsillies { domainlist desktopsillies/domains urllist desktopsillies/urls } dest dialers { domainlist dialers/domains urllist dialers/urls } dest drugs { domainlist drugs/domains urllist drugs/urls } dest ecommerce { domainlist ecommerce/domains urllist ecommerce/urls } dest entertainment { domainlist entertainment/domains urllist entertainment/urls } dest filehosting { domainlist filehosting/domains } dest games { domainlist games/domains urllist games/urls } dest gardening { domainlist gardening/domains } dest hacking { domainlist hacking/domains urllist hacking/urls } dest homerepair { domainlist homerepair/domains urllist homerepair/urls } dest hygiene { domainlist hygiene/domains Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
41
} dest instantmessaging { domainlist instantmessaging/domains urllist instantmessaging/urls } dest jewelry { domainlist jewelry/domains } dest kidstimewasting { domainlist kidstimewasting/domains urllist kidstimewasting/urls } dest marketingware { domainlist marketingware/domains } dest medical { domainlist medical/domains urllist medical/urls } dest mixed_adult { domainlist mixed_adult/domains } dest naturism { domainlist naturism/domains urllist naturism/urls } dest onlinegames { domainlist onlinegames/domains urllist onlinegames/urls } dest pets { domainlist pets/domains urllist pets/urls } dest phishing { domainlist phishing/domains urllist phishing/urls } dest porn { domainlist porn/domains urllist porn/urls expressionlist porn/expressions } dest proxy { domainlist proxy/domains urllist proxy/urls } dest radio { domainlist radio/domains urllist radio/urls } dest ringtones { domainlist ringtones/domains } dest sexuality { Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
42
domainlist sexuality/domains urllist sexuality/urls } dest shopping { domainlist shopping/domains } dest violence { domainlist violence/domains urllist violence/urls } dest virusinfected { domainlist virusinfected/domains urllist virusinfected/urls } dest warez { domainlist warez/domains urllist warez/urls } dest weapons { domainlist weapons/domains urllist weapons/urls } acl { default { pass !ads !adult !aggessive !artnudes !astrology !audio-video !beerliquorsale !beerliquorinfo !blog !chat !childcare !clothing !culinary !dating !desktopsillies !dialers !drugs !ecommerce !entertainment all redirect http://www.google.com } }
8. Convertimos las blacklists a un formato de base de datos para su consulta: 1. squidGuard -C all 9. Para verificar el estado de SquidGuard, utilizaremos el archivo de log. Si ha finalizado correctamente debe mostrarnos algo parecido a: 1. tail -f /var/log/squid/squidGuard.log create new dbfile /var/lib/squidguard/db/weapons/urls.db 10. Reiniciamos Squid: 1. /etc/init.d/squid restart
7.1.1.3 Sarg Squid Sarg es un programa que nos permite ver los informes de Squid en la red: direcciones IP, páginas web visitadas, tráfico generado, etc.
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
43
1. Necesitamos tener instalado el paquete Sarg: 1. apt-get install sarg 2. Para la generación de reportes simplemente ejecutamos: 1. sarg 3. Los reportes serán generados por defecto en: /var/www/squid-reports. 4. Podemos acceder a los reportes abriendo un navegador web desde cualquier equipo dentro de la red y colocando como dirección: http://IP.del.servidor/squid-reports. 5. Veamos ahora las principales líneas de configuración: 1. cp /etc/squid/sarg.conf /etc/squid/sarg.conf.old 2. vim /etc/squid/sarg.conf language
English
:
El
idioma
que
sarg
muestra
en
las
opciones.
access_log /var/log/squid/access.log : Indicamos el archivo de donde vamos a sacar los registros.
Por
defecto
viene
a
ser
el
archivo
de
log
de
Squid.
title Squid User Access Reports : El título que se vizualizará en la barra de título de la ventana de navegación. output_dir /var/www/squid-reports : Indicamos el archivo de salida de registros. resolve_ip yes o no : Nos permite decidir si deseamos mostrar las direcicones IP de los clientes.
7.1.1.4 Bloqueo de Advertising 1. Ingresamos al siguiente enlace, copiamos toda la lista de servidores y las guardamos en el archivo ads: 1. http://pgl.yoyo.org/adservers/serverlist.php?hostformat =squid-dstdom-regex 2. vim /etc/squid/ads 2. Abrimos el archivo de configuración de Squid y agregamos las siguientes lineas en los ACL: 1. acl ads dstdom_regex -i "/etc/squid/ads" 2. http_access deny ads
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
44
7.1.1.5 Squid Transparente 1. Abrimos el archivo de configuración de Squid y agregamos la palabra: transparent, donde indicamos el puerto del servicio Squid. 1. http_port 3128 transparent 2. Habilitamos el bit de forward, NAT y el direccionamiento de puerto (de 80 a 3128): 1. echo 1 /proc/sys/net/ipv4/ip_forward 2. iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 3. iptables -t nat -A PREROUTING -i eth1 -p tcp - dport 80 -j REDIRECT -to-port 3128 3. Permitimos el acceso al puerto 80 en el servidor: 1. iptables -A INPUT -p tcp -dport 80 -j ACCEPT
7.1.1.6 Agilizando Squid 1. Deshabilatamos los logs de nuestro entorno para mejorar el throughput (volumen de trabajo o de información que fluye a través de un sistema): cache_log none cache_store_log none 2. Cambiamos el tipo de caché que vamos a utilizar por aufs. Lo que hará que Squid trabaje independiente para tareas de E/S: cache_dir aufs /squid 1024 16 256 3. Aumentamos el desempeño de las solicitudes: pipeline_prefetch on 4. Si realizamos pruebas continuamente es necesario reducir el tiempo de apagado de Squid: shutdown_lifetime 1 second
5. Montar la partición dedicada para el cache de Squid con las opciones: noatime, notail.
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
45
Apéndice A Descargar las imágenes ISO y grabarlas en CD/DVD Si hemos realizado la instalación de nuestro sistema operativo a través de una imagen NET-INST y necesitamos paquetes adicionales para su instalación, o deseamos instalar una gran variedad de equipos descargando los paquetes correspondientes a los múltiples programas que utilicen los usuarios y no contamos con el ancho de banda adecuado para dicha tarea, deberiamos contar con la primera imagen de DVD. Ya que dicha imagen contiene todos los archivos necesarios para la instalación de un sistema estándar. Y si deseamos crear un repositorio local necesitaremos todas las imágenes DVD. 1. Necesitamos tener instalado cdrecord, y una contar con una grabadora de CD/DVD en nuestro equipo. 2. Instalamos cdrecord (herramienta para la grabación de discos de datos o de audio): apt-get install cdrecord 3. Procedemos a la descarga de los archivos ISO usando el comando wget: wget http://ruta.completa/imagen.iso 4. Una vez descargada la imagen ISO, la grabamos en el medio óptico (CD/DVD), vamos a considerar la ruta donde se almacenó la imagen al directorio /isos: cdrecord -v /isos/imagen.iso 5. Si estamos descargando la imagen ISO de un DVD; dicho proceso tardará una buena cantidad de horas (dependiendo de nuestra conexión a Internet) y tendríamos que estar pendientes de la descarga de dicha imagen para proceder a su quemado. Para librarnos de ese proceso automatizaremos dichas tareas haciendo uso de &&, que nos permitirá la ejecución de los dos comandos (uno después del otros): wget http://ruta.completa/imagen.iso && cdrecord -v /isos/imagen.iso 6. Es obvio que deberemos dejar el CD/DVD introducido en nuestra grabadora de discos. Una vez terminada la tarea extraemos el disco. Nota: El comando -eject, permite expulsar el CD/DVD una vez grabado pero no es soportado por todos los dispositivos. Referencia: http://www.forat.info
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
46
Apéndice B Comando: alias Nos permite agregar un alias a los comandos que usamos más a menudo abreviando su escritura. Veamos: 1. Tenemos por ejemplo el siguiente comando: ls la, que nos permite listar archivos y directorios incluyendo los ocultos de una manera no abreviada (muestra permisos, grupo, propietario, tamaño, etc). 2. Ahora usemos un alias para dicho comando: alias la= ls la 3. A partir de ahora el comando la realizará el trabajo de ls la, siendo ahora más abreviado y reduciendonos los tiempos de escritura en el teclado. 4. Para el curso podriamos crear los siguientes alias que nos ayudarán en el desarrollo del curso: alias resq= /etc/init.d/squid restart alias resa= /etc/init.d/samba restart alias redh= /etc/init.d/dhcp3-server restart alias clone= /opt/drbl/sbin/dcs alias int= vim /etc/network/interfaces
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
47
Apéndice C Listado de distribuciones y LiveCD Un Live CD o Live DVD, más genéricamente Live Distro, (traducido en ocasiones como CD vivo o CD autónomo), es un sistema operativo (normalmente acompañado de un conjunto de aplicaciones) almacenado en un medio extraíble, tradicionalmente un CD o un DVD (de ahí sus nombres), que puede ejecutarse desde éste sin necesidad de instalarlo en el disco duro de una computadora, para lo cual usa la memoria RAM como disco duro virtual y el propio medio como sistema de ficheros. Algunos Live CD incluyen una herramienta que permite instalarlos en el disco duro. Otra característica es que por lo general no se efectúan cambios en la computadora utilizada, aunque algunos pueden almacenar preferencias si así se desea. Para usar un Live CD es necesario obtener uno (muchos de ellos distribuyen libremente una imagen ISO que puede bajarse de Internet y grabarse en disco) y configurar la computadora para que arranque desde la unidad lectora, reiniciando luego la computadora con el disco en la lectora, con lo que el Live CD se iniciará automáticamente. Características de las distribuciones GNU/Linux Live CD Son distribuciones fáciles de encontrar, ya que algunas revistas informáticas se deciden por este tipo de distribuciones para llegar al usuario de Windows. No hay instalación, por lo que no hay que tocar el disco duro, ni seguir procedimientos complicados. Además, los datos, particiones o sistemas operativos del disco duro no se pierden. Aun así algunas poseen un instalador para poder ser instaladas, pudiendo conocer el rendimiento real de la distro, pues la velocidad de transferencia de las unidades lectoras (CD/DVD) es muy inferior a la de los discos duros. Suelen tener un reconocimiento de hardware avanzado, fruto también de las últimas versiones del kernel que suelen poseer. En definitiva, las distribuciones Live CD intentan hacer llegar Linux a los usuarios de otros sistemas operativos. Referencias: http://es.wikipedia.org/wiki/CD_autónomo http://www.livecdlist.com/
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
Nombre
Tam Min
Tam Max
Función Primaria
SLAX
41
202
Desktop, OS Replacement
Kanotix
503
719
Desktop, OS Replacement
NimbleX
200
200
Desktop
PCLinuxOS
299
685
Desktop, OS Replacement
Knoppix
700
700
Desktop, OS Replacement
GoblinX
302
302
Desktop, OS Replacement
Damn Small Linux
48
48
Desktop, OS Replacement
MEPIS
693
693
Desktop, OS Replacement
Puppy Linux
60
60
Desktop
Ubuntu
699
3553
Desktop, Os Replacement
FreeSBIE
596
596
Desktop, OS Replacement
Gentoo
50
1815 OS Replacement, Rescue
dyne:bolic
444
444
Clustering, Desktop, Media Production
Ultimate Boot CD
121
186
Diagnostics, Rescue
SLAX KillBill Edition
188
188
Desktop
WHAX
574
574
Security
Elive
200
700
Desktop
GoblinX Mini Edition
149
149
Desktop
48
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
Nombre
Tam Min
Tam Max
Función Primaria
FreeBSD LiveCD
413
413
OS Replacement, Rescue
Suse Linux
1446
1451
Desktop
SystemRescueCD
92
104
Rescue
BeatrIX Linux
167
167
Desktop
GamesKnoppix
683
683
Gaming
INSERT
49
49
Rescue, Security
Knoppix STD
497
497
Security
LLGP
695
695
Gaming
BackTrack
625
625
Security
GoboLinux
634
634
Desktop
Kubuntu
572
619
Desktop
m0n0wall
5
5
Firewall
Mutagenix
99
549
Desktop, Diagnostics, OS Replacement, Rescue
Feather Linux
63
63
Desktop
Kaella
700
700
Desktop, Education
KCPenTrix
401
401
Security
LinuxDefender Live!
515
515
Rescue, Windows Antivirus
SLAMPP
285
285
Server
austrumi
50
50
Desktop
Baltix
703
703
Desktop
Benix Kanotix
189
189
Desktop
Berry Linux
425
425
Desktop
49
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
Nombre
Tam Min
Tam Max
Función Primaria
Frenzy
200
200
Rescue, Security
GeeXboX
5
5
Home Entertainment
KnoppMyth
469
469
Home Entertainment
Kurumin Games
708
708
Gaming
Morphix
203
648
Desktop, Gaming
ParallelKnoppix
550
550
Clustering
redWall Firewall
148
154
Firewall
Sabayon
697
3477
Desktop
SLAX Popcorn Edition
104
104
Desktop
SLYNUX
730
730
Desktop, OS Replacement
VectorLinux
264
264
Desktop, OS Replacement
aquamorph
382
382
Desktop
ATMission
530
530
Desktop, Server
cdlinux.pl
205
634
Desktop
Clusterix
275
275
Clustering
Crash Recovery Kit for Linux
80
80
Rescue
Freeduc-games
645
645
Gaming
Freepia
36
36
Home Entertainment
FuguIta
623
623
Desktop
Gnoppix
659
659
Desktop
GNUstep live CD
420
420
Desktop
Kate OS LIVE
681
681
Desktop
50
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
Nombre
Tam Min
Tam Max
Función Primaria
knopILS
629
629
Desktop
Knoppix-MiB
650
650
Desktop, Secure Desktop
KnoppiXMAME
120
120
Gaming
Lin4Astro
595
595
Astronomy
LiveBSD
654
654
Desktop, OS Replacement
loonix-live
495
495
Desktop
Luit Linux
50
74
Desktop
Mandriva One
674
674
Desktop
MitraX
50
50
Desktop
Musix GNU+Linux
700
700
Media Production
NavynOs
384
384
Security
NetBoz
53
143
Firewall
Overclockix
655
700
Desktop, Diagnostics, Rescue
Phaeronix
676
676
Desktop, OS Replacement
PHLAK
471
471
Security
Plan-B
658
658
Forensics, Rescue, Security
stresslinux
51
51
Diagnostics
STUX
255
650
Desktop
Symphony OS
568
568
Desktop, OS Replacement
51
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
Nombre
Tam Min
Tam Max
Función Primaria
T2 @Live
546
546
Desktop
Tao Live
675
675
Desktop
Whoppix
687
687
Security
Windows PE
0
0
Rescue
WOMP!
13
30
Home Entertainment
Zen Linux
307
564
Desktop, OS Replacement
3Anoppix
712
712
Desktop
ABC Linux
579
579
Desktop
Adios
700
700
Education
AdvanceCD
16
16
Gaming
AL-AMLUG Live CD
512
512
Desktop
AliXe
370
370
Desktop
AmaroK Live
289
289
Home Entertainment
Ankur
418
418
Desktop
Anonym.OS
575
575
Secure Desktop
ANTEMIUM
620
620
Desktop
Arabbix
550
550
Desktop
Archie
325
325
Desktop
Arudius
212
212
Security
Auditor security collection
538
538
Security
Augustux
700
700
Desktop
Aurox Live
698
698
Desktop
avast! BART CD
155
155
Rescue, Windows
52
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
Nombre
Tam Min
Tam Max
53
Función Primaria Antivirus
basilisk
650
650
Desktop
BDI-Live
138
138
CNC Metalworking
BEERnix
409
409
Desktop
BeleniX
637
637
Desktop
BerliOS MiniCD
182
182
Desktop
bioknoppix
681
681
Bioinformatics, Education
Blin Linux
36
160
Desktop
Bootable Cluster CD
188
188
Clustering
BOSS Live CD
646
646
Security
BrutalWareII
117
117
Security
Burnix
690
690
Clustering
ByzantineOS
43
43
Home Entertainment
Caster
545
545
Media Production
CÃ tix
717
717
Desktop
CDlinux
18
18
Rescue
CDMEDICPACSWEB
195
587
Medical
CHAOS
8
8
Clustering
CHRONOMIUM
68
68
Windows Antivirus
ClusterKnoppix
600
600
Clustering
Conectiva Linux Live CD
252
400
Desktop
Cool Linux CD
632
632
Desktop
Danix
683
683
Desktop
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
Nombre
Tam Min
Tam Max
Función Primaria
Dappix
700
700
Desktop
DeadCD
92
92
Desktop, Rescue
DemoLinux
650
650
Desktop
DeMuDi Live
575
575
Media Production
DevelopGo
695
695
Development
Devil-Linux
88
88
Firewall, Server
distccKNOPPIX
38
38
Clustering
Dizinha
154
154
Desktop
DNALinux
329
329
Bioinformatics
ECGL
706
706
Development
Echelon Linux
240
240
System Administration
eduKnoppix
700
700
Education
EduMorphix
643
643
Education
ELE
61
61
Secure Desktop
eLearnix
90
90
Education
elpicx
690
1382
Education
Emergency CD
174
174
Rescue
eMoviX
10
10
Home Entertainment
eZ publish LiveCD
487
487
Server
FCCU GNU/Linux Forensic Boot CD
519
563
Forensics
ffsearch-LiveCD
194
194
Server
54
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
Nombre
Tam Min
Tam Max
Función Primaria
FIRE
579
579
Forensics
fiubbix
670
670
Desktop, Education
Flash Linux
362
362
Desktop
FlashMob ISO
63
63
Clustering
Flonix
187
187
Desktop
floppyfw
2
2
Firewall
Formilux
38
160
Server
Freeduc
699
699
Desktop, Education, GIS
GamesGo
698
698
Gaming
Gentoox
543
543
Desktop
GeoMorphix
672
672
GIS
Ging
164
164
Desktop
GIS-Knoppix
700
700
GIS
GISIX
635
635
GIS
GisMorphix
567
567
GIS
GNOME LiveCD
629
629
Desktop
gnome2live
430
430
Desktop
gNOX
242
242
Desktop
GNU/Linux Kinneret
623
623
Education
GParted LiveCD
52
52
System Administration
GPUL
534
534
Education
grml
49
696
OS Replacement, Rescue, Security
Guadalinex
592
700
Desktop
55
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
Nombre
Tam Min
Tam Max
Función Primaria
Hakin9 Live
625
625
Security
Hax Desktop
611
611
Desktop
Helix
701
701
Forensics
Hikarunix
182
182
Gaming
IndLinux Hindi
532
532
Desktop
jollix
506
506
Gaming, Home Entertainment
Julex
216
216
Desktop
JUX
695
695
Education
Kaboot
87
349
Desktop, Rescue, Science
Kalango
396
396
Desktop
KANOTIX CPX-MINI
230
230
Desktop, OS Replacement
Kazit
633
633
Desktop
KibZiLLa
288
288
Desktop
Klax
382
382
Desktop
Knoppel
648
648
Desktop
Knoppix 3.3 NY/NYLUG edition
702
702
Desktop
Knoppix en español
651
651
Desktop
Knoppix for Kids
699
699
Desktop, Education
Knoppix Japanese Edition
681
681
Desktop
KNOPPIX-BV1AL
685
685
Desktop
56
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
Nombre
Tam Min
Tam Max
Función Primaria
KNOPPIX-EXTON
665
665
Desktop
Knoppix64
600
720
Desktop, Development
KnoppixQuake
130
130
Server
KnoSciences
661
661
Education
Komodo Linux
695
695
Desktop
Kororaa
695
695
Desktop, OS Replacement
KursLinux
696
696
Education
Kurumin
187
187
Desktop
LAMPPIX
157
207
Server
Legnoppix
380
380
Robotics
LFS boot-cd
240
240
OS Replacement, Rescue
LFS LiveCD
106
351
Desktop
LG3D LiveCD
606
606
Desktop
LinspireLive!
659
659
Desktop
Linux Live-CD Router
83
83
Firewall
Linux Magazine miniCD
185
185
Desktop, Rescue
Linux-EduCD
653
653
Education
Linuxcare Bootable Toolbox
47
47
Rescue
LinuxConsole
58
532
Gaming
Lisp Resource Kit
612
612
Development, Education
LiveOIO
615
615
Medical
LiveZope
697
697
Development, Education
57
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
Nombre
Tam Min
Tam Max
Función Primaria
LNX-BBC
48
48
Desktop, Rescue
Local Area Security Linux
185
210
Desktop, Security
Lonix
149
149
Rescue
LUC3M
700
700
Desktop
Mediainlinux
691
694
Media Production
mGSTEP Live CD
88
88
Desktop
MiniKazit
180
180
Desktop, OS Replacement
MiniKnoppix
198
198
Rescue
MIOLUX
678
678
Desktop
Mono Live
702
702
Development
Monoppix
429
429
Development
Morphix-NLP
448
448
Science
MoviX
27
42
Home Entertainment
MoviX2
49
49
Home Entertainment
muLinux
68
68
Desktop
Myah OS
374
374
Desktop
NetMAX DeskTOP
697
697
Desktop, OS Replacement
Network Security Toolkit
262
262
Security
NeWBIE
641
641
Desktop
NIOde
550
550
Development
NordisKnoppix
699
699
Desktop
OnebaseGo
671
671
Desktop, OS
58
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
Nombre
Tam Min
Tam Max
59
Función Primaria Replacement
OpenGroupware Knoppix CD
546
546
Server
OpenVistA VivA
560
560
Medical
Operator
570
570
Security
Oralux
528
528
Desktop
PaiPix
1720
1720
Science
Pardus Live CD
688
688
Desktop
Parsix
697
697
Desktop
Parted Magic
31
31
System Administration
PCG-C1VN Live CD
457
457
Desktop
Penguin Sleuth Bootable CD
689
689
Forensics
Pentoo
482
482
Security
Phrealon
34
34
System Administration
Pilot Linux
66
66
System Administration
PLAC
48
48
Forensics, Rescue
PLD Live CD
519
519
Desktop
PLD RescueCD
51
51
Rescue
PLoP Linux
40
40
Rescue
PlumpOS
51
51
Clustering
Pollix
695
695
Development
Public IP ZoneCD
271
271
Firewall
PXES
13
13
Thin Client
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
Nombre
Tam Min
Tam Max
Función Primaria
Pyro Live CD
622
622
Robotics
QiLinux
657
682
Desktop
Quantian
691
1961
GIS, Science
Repairlix
11
11
Rescue
RIP
9
25
Rescue
ROCK Linux
411
458
Desktop
Rxlinux
10
10
Server
Salvare
18
18
Rescue
Santa Fe Desktop Linux
614
614
Desktop
SchilliX
411
411
OS Replacement
SciLix
480
480
Desktop, Education, Scientific
SENTINIX
213
213
Security
Sentry Firewall CD
288
288
Firewall
Shabdix
680
680
Education
Shinux
99
155
Desktop
Skolelinux
662
662
Desktop, Education
SlackPen
322
322
Security
Slackware (Disc 2)
657
657
OS Replacement
slavix
624
624
Desktop
SLAX Frodo Edition
47
47
Diagnostics
Slix
693
693
Desktop
Slo-Tech Linux livecd
700
700
Desktop
SNAPPIX
553
553
Development
60
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
Nombre
Tam Min
Tam Max
Función Primaria
Snøfrix
695
695
Education
SoL-diag
35
546
Diagnostics, Rescue
Stanix Professional
660
660
Desktop
StarCD
530
530
GIS
StreamBOX-LiveCD
698
698
Media Production
StudioGo
692
692
Home Entertainment, Media Production
Sulix
700
700
Desktop
SuperRescue
701
701
Rescue
TeaM-TL
700
1320
Desktop
The Backpack Programmer's LiveCD
684
684
Development
TheOpenCD
596
596
Desktop
Thinstation
9
9
Thin Client
Tilix
705
705
Desktop
Timo's Rescue CD
55
55
Rescue
TiNA Knoppix
644
644
Science
tlf-morphix
404
404
Hobby
tomsrtbt
3
3
Rescue
Toothpix
717
717
Medical
TPM Security Server
294
294
Forensics, Security
Trinity Rescue Kit
50
50
Rescue
Trinux
19
19
Security
61
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
Nombre
Tam Min
Tam Max
Función Primaria
UHU-Linux Live CD
633
633
Desktop
uOS
261
261
OS Replacement
UserLinux
456
456
Desktop
VigyaanCD
647
647
Bioinformatics, Education
Virtual Linux
628
628
Desktop
WarLinux
53
53
Security
Wolvix
452
452
Desktop
X-Evian
633
633
Media Production
XAMPPonCD
88
88
Development
Xebian
269
269
Desktop
Xen Demo CD
720
720
Server
Xfld
650
650
Desktop
XNUXER
697
697
Desktop
XoL
700
700
Desktop
XORP Live CD
132
132
Firewall
Zaurus Development Version of DemoLinux
650
650
Development
62
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
63
Apéndice D Instalación de Openbox: Escritorio rápido y ligero Lo primero que debemos de hacer después de haber instalado el sistema base es hacer una actualización de todos los paquetes instalados hasta el momento con un simple: aptitude update Con esto ponemos al día nuestro el listado de paquetes. Bueno una vez realizado esto debemos instalar el servidor de las X, poniendo lo siguiente: aptitude install x-window-system-core Display Manager: Mientras el aptitude hace su trabajo debemos tomar una decision, la cual es con que Display Manager voy a usar este es cada vez que prendamos nuestra computadora nos pregunte en forma gráfica el login y el password asi que voy a poner los 3 más usados: Xdm: el más pequeño y trabaja muy bien, altamente configurable. gdm: fácilmente configurable, ademas contiene muchas más funciones extra de xdm. kdm: el más grande y pesado, para los que le gusta KDE. Asi que puedes escoger cualquiera, los 3 funciona en cualquier entorno de escritorio que elijas. Pero si te gusta gnome elige gdm, o si te gusta KDE elige kdm, o sino puedes elegir xdm si no tienes preferencia. asi que tipeamos lo siguiente escogiendo el login manager a usar: aptitude install display_manager Openbox Openbox es otro windows Manager para las X, en sus inicios estaba basado en blackbox, pero a partir de la version 3.0 fue reescrito totalmente, está diseñado para ser rápido y consumir una mínima cantidad de recursos, para instalrlo debemos poner: aptitude install openbox obconf Referencia: http://www.esdebian.org
Si deseamos que no cargue por defecto el entorno gráfico en nuestro sistema, debemos de documentar una línea en el archivo: default-display-mananger (en el ejemplo tenemos instalado gdm) vim /etc/X11/default-display-manager /usr/bin/gdm Y cuando necesitemos cargar el escritorio de nuestro sistema ejecutamos: startx Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
64
Apéndice E Actualizar de Debian 4.0 Etch a Debian 5.0 Lenny El proyecto Debian ha anunciado la publicación oficial de la versión 5.0 de Debian GNU/Linux, nombre en clave "Lenny" (14 de febrero del 2009), tras 22 meses de desarrollo constante. Debian GNU/Linux es un sistema operativo libre que soporta un total de doce arquitecturas de procesador e incluye los entornos de escritorio KDE, GNOME, Xfce y LXDE. Esta versión incluye una gran cantidad de paquetes de programas actualizados como: el entorno de escritorio K Desktop Environment 3.5.10 (KDE), una versión actualizada del entorno de escritorio GNOME 2.22.2, el entorno de escritorio Xfce 4.4.2, LXDE 0.3.2.1, el escritorio GNUstep 7.3, X.Org 7.3, OpenOffice.org 2.4.1, GIMP 2.4.7, Iceweasel 3.0.6 (una versión de Mozilla Firefox que no utiliza la marca registrada), Icedove 2.0.0.19 (una versión de Mozilla Thunderbird que no utiliza la marca registrada), PostgreSQL 8.3.6, MySQL 5.0.51a, la colección de compiladores del GNU (GCC) 4.3.2, el núcleo de Linux versión 2.6.26, Apache 2.2.9, Samba 3.2.5, Python 2.5.2 y 2.4.6, Perl 5.10.0, PHP 5.2.6, Asterisk 1.4.21.2, Emacs 22, Inkscape 0.46, Nagios 3.06, Xen Hypervisor 3.2.1 (con soporte tanto para dom0 como para domU), OpenJDK 6b11 y más de otros 23.000 paquetes de programas listos para usarse (contruídos a partir de 12.000 paquetes fuente). Precisamente con la integración de X.Org 7.3 el servidor X se configura de forma automática con la mayor parte de hardware existente. La introducción de nuevos paquetes permiten dar soporte completo al sistema de ficheros NTFS, así como utilizar la mayor parte de las teclas multimedia sin configuración adicional. Se dispone de soporte para el formato de archivos Flash® de Adobe® a través de los complementos swfdec o Gnash. Se han introducido una serie de mejoras generales para ordenadores portátiles, como es el soporte integrado del escalado de frecuencia de la CPU. Se han añadido distintos juegos entre ellos rompecabezas y juegos de acción en primera persona. Un cambio notable es la introducción de goplay, un navegador gráfico de juegos que incluye filtros, capacidad de búsqueda, descripciones e instantáneas de los juegos en Debian. La disponibilidad de OpenJDK, el compilador Java de GNU, el intérprete de bytecodes Java de GNU, Classpath, y otras versiones libre de la tecnología Java de Sun, en Debian GNU/Linux 5.0 hace posible la distribución de las aplicaciones basadas en Java dentro del repositorio principal ("main") de Debian. Puedes instalar Debian GNU/Linux utilizando distintos mecanismos de instalación, como DVDs, CDs, memorias USB y diskettes y hasta discos Blu-ray, e incluso directamente desde la red. El entorno de escritorio predeterminado es el de GNOME, y se encuentra en el primer CD. Se pueden instalar otros entornos de escritorio, como KDE, Xfce y LXDE, utilizando las dos nuevas imágenes de CD alternativas. De nuevo se encuentran disponible CDs y DVDs multi-arquitectura para Debian GNU/Linux 5.0, que permiten la instalación de varias arquitecturas desde un solo disco. Se puede actualizar desde la versión anterior automáticamente.
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
65
Referencia: http://www.ubuntips.com.ar
Bueno ahora toca a nosotros actualizar nuestro sistema Debian Etch 4 a la versión estable actual (Lenny), para lo cual realizaremos los siguientes pasos: 1. Actualizar las fuentes de los paquetes sustituyendo Ëtch" por "Lenny", ingresamos a nuestro archivo de configuración de repositorios y hacemos los siguientes cambios: vim /etc/apt/sources.list Antes: deb http://security.debian.org/ etch/updates main contrib deb-src http://security.debian.org/ etch/updates main contrib deb ftp://ftp.debian.org/debian/ stable main contrib non-free Después: deb http://security.debian.org/ lenny/updates main contrib deb-src http://security.debian.org/ lenny/updates main contrib deb ftp://ftp.debian.org/debian/ stable main contrib non-free 2. Realizar una copia del software instalado (recomendado): dpkg -get-selections /respaldo/softwareinstalado.log 3. Restauración de lista de software: dpkg -set-selections /respaldo/softwareinstalado.log 4. Ahora renovamos la lista de paquetes e instalamos la actualización: aptitude update aptitude install apt dpkg aptitude aptitude full-upgrade 5. Verificamos la versión actual: cat /etc/debian_version 6. Obtendremos: 5.0
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
66
* Esta Obra se publica bajo una licencia: GNU Free Document License GNU Free Documentation License Version 1.3, 3 November 2008 Copyright (C) 2000, 2001, 2002, 2007, 2008 Free Software Foundation, Inc. <http://fsf.org/> Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed. 0. PREAMBLE The purpose of this License is to make a manual, textbook, or otherfunctional and useful document "free" in the sense of freedom: to assure everyone the effective freedom to copy and redistribute it, with or without modifying it, either commercially or noncommercially. Secondarily, this License preserves for the author and publisher a way to get credit for their work, while not being considered responsible for modifications made by others. This License is a kind of "copyleft", which means that derivative works of the document must themselves be free in the same sense. It complements the GNU General Public License, which is a copyleft license designed for free software. We have designed this License in order to use it for manuals for free software, because free software needs free documentation: a free program should come with manuals providing the same freedoms that the software does. But this License is not limited to software manuals; it can be used for any textual work, regardless of subject matter or whether it is published as a printed book. We recommend this License principally for works whose purpose is instruction or reference. 1. APPLICABILITY AND DEFINITIONS This License applies to any manual or other work, in any medium, that contains a notice placed by the copyright holder saying it can be distributed under the terms of this License. Such a notice grants a world-wide, royalty-free license, unlimited in duration, to use that work under the conditions stated herein. The "Document", below, refers to any such manual or work. Any member of the public is a licensee, and is addressed as "you". You accept the license if you copy, modify or distribute the work in a way requiring permission under copyright law. A "Modified Version" of the Document means any work containing the Document or a portion of it, either copied verbatim, or with modifications and/or translated into another language. A "Secondary Section" is a named appendix or a front-matter section of the Document that deals exclusively with the relationship of the publishers or authors of the Document to the Document's overall subject (or to related matters) and contains nothing that could fall directly within that overall subject. (Thus, if the Document is in part a textbook of mathematics, a Secondary Section may not explain any mathematics.) The relationship could be a matter of historical connection with the subject or with related matters, or of legal, commercial, philosophical, ethical or political position regarding them. The "Invariant Sections" are certain Secondary Sections whose titles are designated, as being those of Invariant Sections, in the notice that says that the Document is released under this License. If a section does not fit the above definition of Secondary then it is not allowed to be designated as Invariant. The Document may contain zero Invariant Sections. If the Document does not identify any Invariant Sections then there are none. The "Cover Texts" are certain short passages of text that are listed, as Front-Cover Texts or Back-Cover Texts, in the notice that says that the Document is released under this License. A Front-Cover Text may be at most 5 words, and a Back-Cover Text may be at most 25 words. A "Transparent" copy of the Document means a machine-readable copy, represented in a format whose specification is available to the general public, that is suitable for revising the document straightforwardly with generic text editors or (for images composed of pixels) generic paint programs or (for drawings) some widely available drawing editor, and that is suitable for input to text
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
67
formatters or for automatic translation to a variety of formats suitable for input to text formatters. A copy made in an otherwise Transparent file format whose markup, or absence of markup, has been arranged to thwart or discourage subsequent modification by readers is not Transparent. An image format is not Transparent if used for any substantial amount of text. A copy that is not "Transparent" is called "Opaque". Examples of suitable formats for Transparent copies include plain ASCII without markup, Texinfo input format, LaTeX input format, SGML or XML using a publicly available DTD, and standard-conforming simple HTML, PostScript or PDF designed for human modification. Examples of transparent image formats include PNG, XCF and JPG. Opaque formats include proprietary formats that can be read and edited only by proprietary word processors, SGML or XML for which the DTD and/or processing tools are not generally available, and the machine-generated HTML, PostScript or PDF produced by some word processors for output purposes only. The "Title Page" means, for a printed book, the title page itself, plus such following pages as are needed to hold, legibly, the material this License requires to appear in the title page. For works in formats which do not have any title page as such, "Title Page" means the text near the most prominent appearance of the work's title, preceding the beginning of the body of the text. The "publisher" means any person or entity that distributes copies of the Document to the public. A section "Entitled XYZ" means a named subunit of the Document whose title either is precisely XYZ or contains XYZ in parentheses following text that translates XYZ in another language. (Here XYZ stands for a specific section name mentioned below, such as "Acknowledgements", "Dedications", "Endorsements", or "History".) To "Preserve the Title" of such a section when you modify the Document means that it remains a section "Entitled XYZ" according to this definition. The Document may include Warranty Disclaimers next to the notice which states that this License applies to the Document. These Warranty Disclaimers are considered to be included by reference in this License, but only as regards disclaiming warranties: any other implication that these Warranty Disclaimers may have is void and has no effect on the meaning of this License. 2. VERBATIM COPYING You may copy and distribute the Document in any medium, either commercially or noncommercially, provided that this License, the copyright notices, and the license notice saying this License applies to the Document are reproduced in all copies, and that you add no other conditions whatsoever to those of this License. You may not use technical measures to obstruct or control the reading or further copying of the copies you make or distribute. However, you may accept compensation in exchange for copies. If you distribute a large enough number of copies you must also follow the conditions in section 3. You may also lend copies, under the same conditions stated above, and you may publicly display copies. 3. COPYING IN QUANTITY If you publish printed copies (or copies in media that commonly have printed covers) of the Document, numbering more than 100, and the Document's license notice requires Cover Texts, you must enclose the copies in covers that carry, clearly and legibly, all these Cover Texts: Front-Cover Texts on the front cover, and Back-Cover Texts on the back cover. Both covers must also clearly and legibly identify you as the publisher of these copies. The front cover must present the full title with all words of the title equally prominent and visible. You may add other material on the covers in addition. Copying with changes limited to the covers, as long as they preserve the title of the Document and satisfy these conditions, can be treated as verbatim copying in other respects. If the required texts for either cover are too voluminous to fit legibly, you should put the first ones listed (as many as fit reasonably) on the actual cover, and continue the rest onto adjacent pages. If you publish or distribute Opaque copies of the Document numbering more than 100, you must either include a machine-readable Transparent copy along with each Opaque copy, or state in or with each Opaque copy a computer-network location from which the general network-using public has access to download using public-standard network protocols a complete Transparent copy of the Document, free of added material. If you use the latter option, you must take reasonably prudent steps, when you begin distribution of Opaque copies in quantity, to ensure that this Transparent copy will remain thus accessible at the stated location until at least one year after the last time you distribute an Opaque copy (directly or through your agents or retailers) of that edition to the public. It is requested, but not required, that you contact the authors of the Document well before redistributing any large number of copies, to give them a chance to provide you with an updated version of the Document. 4. MODIFICATIONS
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
68
You may copy and distribute a Modified Version of the Document under the conditions of sections 2 and 3 above, provided that you release the Modified Version under precisely this License, with the Modified Version filling the role of the Document, thus licensing distribution and modification of the Modified Version to whoever possesses a copy of it. In addition, you must do these things in the Modified Version: A. Use in the Title Page (and on the covers, if any) a title distinct from that of the Document, and from those of previous versions (which should, if there were any, be listed in the History section of the Document). You may use the same title as a previous version if the original publisher of that version gives permission. B. List on the Title Page, as authors, one or more persons or entities responsible for authorship of the modifications in the Modified Version, together with at least five of the principal authors of the Document (all of its principal authors, if it has fewer than five), unless they release you from this requirement. C. State on the Title page the name of the publisher of the Modified Version, as the publisher. D. Preserve all the copyright notices of the Document. E. Add an appropriate copyright notice for your modifications adjacent to the other copyright notices. F. Include, immediately after the copyright notices, a license notice giving the public permission to use the Modified Version under the terms of this License, in the form shown in the Addendum below. G. Preserve in that license notice the full lists of Invariant Sections and required Cover Texts given in the Document's license notice. H. Include an unaltered copy of this License. I. Preserve the section Entitled "History", Preserve its Title, and add to it an item stating at least the title, year, new authors, and publisher of the Modified Version as given on the Title Page. If there is no section Entitled "History" in the Document, create one stating the title, year, authors, and publisher of the Document as given on its Title Page, then add an item describing the Modified Version as stated in the previous sentence. J. Preserve the network location, if any, given in the Document for public access to a Transparent copy of the Document, and likewise the network locations given in the Document for previous versions it was based on. These may be placed in the "History" section. You may omit a network location for a work that was published at least four years before the Document itself, or if the original publisher of the version it refers to gives permission. K. For any section Entitled "Acknowledgements" or "Dedications", Preserve the Title of the section, and preserve in the section all the substance and tone of each of the contributor acknowledgements and/or dedications given therein. L. Preserve all the Invariant Sections of the Document, unaltered in their text and in their titles. Section numbers or the equivalent are not considered part of the section titles. M. Delete any section Entitled "Endorsements". Such a section may not be included in the Modified Version. N. Do not retitle any existing section to be Entitled "Endorsements" or to conflict in title with any Invariant Section. O. Preserve any Warranty Disclaimers. If the Modified Version includes new front-matter sections or appendices that qualify as Secondary Sections and contain no material copied from the Document, you may at your option designate some or all of these sections as invariant. To do this, add their titles to the list of Invariant Sections in the Modified Version's license notice. These titles must be distinct from any other section titles. You may add a section Entitled "Endorsements", provided it contains nothing but endorsements of your Modified Version by various parties--for example, statements of peer review or that the text has been approved by an organization as the authoritative definition of a standard. You may add a passage of up to five words as a Front-Cover Text, and a passage of up to 25 words as a Back-Cover Text, to the end of the list of Cover Texts in the Modified Version. Only one passage of Front-Cover Text and one of Back-Cover Text may be added by (or through arrangements made by) any one entity. If the Document already includes a cover text for the same cover, previously added by you or by arrangement made by the same entity you are acting on behalf of, you may not add another; but you may replace the old one, on explicit permission from the previous publisher that added the old one. The author(s) and publisher(s) of the Document do not by this License give permission to use their names for publicity for or to assert or imply endorsement of any Modified Version. 5. COMBINING DOCUMENTS You may combine the Document with other documents released under this License, under the terms defined in section 4 above for modified versions, provided that you include in the combination all of the Invariant Sections of all of the original documents, unmodified, and list them all as Invariant Sections of your combined work in its license notice, and that you preserve all their Warranty Disclaimers.
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
69
The combined work need only contain one copy of this License, and multiple identical Invariant Sections may be replaced with a single copy. If there are multiple Invariant Sections with the same name but different contents, make the title of each such section unique by adding at the end of it, in parentheses, the name of the original author or publisher of that section if known, or else a unique number. Make the same adjustment to the section titles in the list of Invariant Sections in the license notice of the combined work. In the combination, you must combine any sections Entitled "History" in the various original documents, forming one section Entitled "History"; likewise combine any sections Entitled "Acknowledgements", and any sections Entitled "Dedications". You must delete all sections Entitled "Endorsements". 6. COLLECTIONS OF DOCUMENTS You may make a collection consisting of the Document and other documents released under this License, and replace the individual copies of this License in the various documents with a single copy that is included in the collection, provided that you follow the rules of this License for verbatim copying of each of the documents in all other respects. You may extract a single document from such a collection, and distribute it individually under this License, provided you insert a copy of this License into the extracted document, and follow this License in all other respects regarding verbatim copying of that document. 7. AGGREGATION WITH INDEPENDENT WORKS A compilation of the Document or its derivatives with other separate and independent documents or works, in or on a volume of a storage or distribution medium, is called an "aggregate" if the copyright resulting from the compilation is not used to limit the legal rights of the compilation's users beyond what the individual works permit. When the Document is included in an aggregate, this License does not apply to the other works in the aggregate which are not themselves derivative works of the Document. If the Cover Text requirement of section 3 is applicable to these copies of the Document, then if the Document is less than one half of the entire aggregate, the Document's Cover Texts may be placed on covers that bracket the Document within the aggregate, or the electronic equivalent of covers if the Document is in electronic form. Otherwise they must appear on printed covers that bracket the whole aggregate. 8. TRANSLATION Translation is considered a kind of modification, so you may distribute translations of the Document under the terms of section 4. Replacing Invariant Sections with translations requires special permission from their copyright holders, but you may include translations of some or all Invariant Sections in addition to the original versions of these Invariant Sections. You may include a translation of this License, and all the license notices in the Document, and any Warranty Disclaimers, provided that you also include the original English version of this License and the original versions of those notices and disclaimers. In case of a disagreement between the translation and the original version of this License or a notice or disclaimer, the original version will prevail. If a section in the Document is Entitled "Acknowledgements", "Dedications", or "History", the requirement (section 4) to Preserve its Title (section 1) will typically require changing the actual title. 9. TERMINATION You may not copy, modify, sublicense, or distribute the Document except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense, or distribute it is void, and will automatically terminate your rights under this License. However, if you cease all violation of this License, then your license from a particular copyright holder is reinstated (a) provisionally, unless and until the copyright holder explicitly and finally terminates your license, and (b) permanently, if the copyright holder fails to notify you of the violation by some reasonable means prior to 60 days after the cessation. Moreover, your license from a particular copyright holder is reinstated permanently if the copyright holder notifies you of the violation by some reasonable means, this is the first time you have received notice of violation of this License (for any work) from that copyright holder, and you cure the violation prior to 30 days after your receipt of the notice. Termination of your rights under this section does not terminate the licenses of parties who have received copies or rights from you under this License. If your rights have been terminated and not permanently reinstated, receipt of a copy of some or all of the same material does not give you any rights to use it. 10. FUTURE REVISIONS OF THIS LICENSE
Centro de Cómputo INFOUNI – REVALORA Perú
Facultad de Ingeniería Mecánica – Universidad Nacional de Ingeniería
70
The Free Software Foundation may publish new, revised versions of the GNU Free Documentation License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns. See http://www.gnu.org/copyleft/. Each version of the License is given a distinguishing version number. If the Document specifies that a particular numbered version of this License "or any later version" applies to it, you have the option of following the terms and conditions either of that specified version or of any later version that has been published (not as a draft) by the Free Software Foundation. If the Document does not specify a version number of this License, you may choose any version ever published (not as a draft) by the Free Software Foundation. If the Document specifies that a proxy can decide which future versions of this License can be used, that proxy's public statement of acceptance of a version permanently authorizes you to choose that version for the Document. 11. RELICENSING "Massive Multiauthor Collaboration Site" (or "MMC Site") means any World Wide Web server that publishes copyrightable works and also provides prominent facilities for anybody to edit those works. A public wiki that anybody can edit is an example of such a server. A "Massive Multiauthor Collaboration" (or "MMC") contained in the site means any set of copyrightable works thus published on the MMC site. "CC-BY-SA" means the Creative Commons Attribution-Share Alike 3.0 license published by Creative Commons Corporation, a notfor-profit corporation with a principal place of business in San Francisco, California, as well as future copyleft versions of that license published by that same organization. "Incorporate" means to publish or republish a Document, in whole or in part, as part of another Document. An MMC is "eligible for relicensing" if it is licensed under this License, and if all works that were first published under this License somewhere other than this MMC, and subsequently incorporated in whole or in part into the MMC, (1) had no cover texts or invariant sections, and (2) were thus incorporated prior to November 1, 2008. The operator of an MMC Site may republish an MMC contained in the site under CC-BY-SA on the same site at any time before August 1, 2009, provided the MMC is eligible for relicensing. ADDENDUM: How to use this License for your documents To use this License in a document you have written, include a copy of the License in the document and put the following copyright and license notices just after the title page: Copyright (c) YEAR YOUR NAME. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled "GNU Free Documentation License". If you have Invariant Sections, Front-Cover Texts and Back-Cover Texts, replace the "with...Texts." line with this: with the Invariant Sections being LIST THEIR TITLES, with the Front-Cover Texts being LIST, and with the Back-Cover Texts being LIST. If you have Invariant Sections without Cover Texts, or some other combination of the three, merge those two alternatives to suit the situation. If your document contains nontrivial examples of program code, we recommend releasing these examples in parallel under your choice of free software license, such as the GNU General Public License, to permit their use in free software.
Centro de Cómputo INFOUNI – REVALORA Perú