1

Instalacin y mantenimiento de servicios de Internet 2 Evaluacin:

Instalacin y mantenimiento de servicios de Internet 2 Evaluacin:Instalacin y mantenimiento de servicios de Internet 2 Evaluacin: .......................................... 1 Tema 5 Servicio DHCP: .................................................................................................................. 3 5.1. 5.2. 5.3. 5.4. 5.5. 5.6. 5.7. 5.8. Servicio DHCP: ............................................................................................................... 3 Servidor DHCP en Linux: ................................................................................................ 3 Configuracin DHCP: ..................................................................................................... 3 Re-arranque DHCP: ....................................................................................................... 3 Log del DHCP: ................................................................................................................ 4 Configuracin completa: ............................................................................................... 4 Configuracin avanzada: ............................................................................................... 4 Parte Prctica: ............................................................................................................... 5 Configurar servidores en VLAN: ............................................................................ 5 CONFIGURAR SERVIDOR DHCP: ............................................................................ 6 CONFIGURAR SERVIDOR DHCP...................................................................... 6 CONECTAR 2 REDES OFRECIENDO DIRECCIONES EN AMBAS: ...................... 6

5.8.1. 5.8.2.

5.8.2.1. 5.8.2.2. 5.9.

Resumen del Tema 5 DHCP SERVER: ............................................................................. 7

Tema 6 Servicio DNS: .................................................................................................................... 7 6.1. 6.2. 6.3. 6.4. 6.5. Servicio DNS: ................................................................................................................. 7 Tipos de servidor DNS: .................................................................................................. 8 Instalar servidor DNS:.................................................................................................... 8 Configuracin zonas DNS: ............................................................................................. 8 Fichero de traducciones: ............................................................................................... 8 La primera parte contiene datos generales: ......................................................... 8 La segunda parte contiene las traducciones: ........................................................ 9 Los valores posibles son: ............................................................................... 9

6.5.1. 6.5.2.

6.5.2.1. 6.6. 6.7. 6.8.

Activar servidor: ............................................................................................................ 9 Fichero de traduccin inversa: ...................................................................................... 9 Parte prctica: ............................................................................................................. 10 Valores del archivo /etc/bind/db.esix ................................................................. 10 Traduccin inversa: IP -------> nombre: ............................................................... 10

6.8.1. 6.8.2. 6.9.

Resumen breve: .......................................................................................................... 11

Tema 7 Servidor proxy: ............................................................................................................... 11

2

Instalacin y mantenimiento de servicios de Internet 2 Evaluacin:

7.1. 7.2.

PROXY: ......................................................................................................................... 11 Proxy-cache: ................................................................................................................ 11 Ventajas: .............................................................................................................. 11 Desventajas: ........................................................................................................ 11

7.2.1. 7.2.2. 7.3.

Control:........................................................................................................................ 11 Pasos:................................................................................................................... 12

7.3.1. 7.4.

Acceso squid usuario/contrasea: .............................................................................. 12 Parmetros en /etc/squid/squid.conf ................................................................. 12 Listas y reglas de control de acceso. ................................................................... 13 Reglas de control de acceso: ............................................................................... 13

7.4.1. 7.4.2. 7.4.3.

Tema 8 Servicio ftp:..................................................................................................................... 14 8.1. SERVICIO FTP: .............................................................................................................. 14 Ventajas del ftp: .................................................................................................. 14 Inconvenientes del ftp:........................................................................................ 14 Credenciales/usuarios: ........................................................................................ 14

8.1.1. 8.1.2. 8.1.3. 8.2. 8.3.

Instalamos el servidor FTP para Linux: ........................................................................ 14 Configuracin: ............................................................................................................. 14 CREANDO USUARIOS: .......................................................................................... 14

8.3.1. 8.4.

Aadir seguridad: ........................................................................................................ 15 Primero generamos las claves ............................................................................. 15 Configurar seguridad en el servidor FTP ............................................................. 15 Prueba: ................................................................................................................ 15

8.4.1. 8.4.2. 8.4.3.

Tema 9 Servicio ssh: .................................................................................................................... 16 9.1. 9.2. 9.3. Servicio SSH: ................................................................................................................ 16 Instalamos el programa "openssh-server" .................................................................. 16 Vamos a usar el ssh como cliente: .............................................................................. 16

3

Instalacin y mantenimiento de servicios de Internet 2 Evaluacin:

Tema 5 Servicio DHCP:5.1. Servicio DHCP:Un servidor DHCP en una subred ofrece configuraciones IP vlidas para los host que se quieran conectar a ella. La configuracin IP consta de: - Una direccin IP nica en la subred. - Una mscara vlida. - Una puerta de enlace (opcional). - Direcciones IP de DNS (opcional). Esos host debern ejecutar un cliente DHCP para poder "hablar" el protocolo DHCP con el servidor DHCP. El servicio DHCP interesa: - Al administrador de la red, para evitar problemas (usuarios torpes, configuraciones invlidas, IPs duplicadas) - Al usuario de la red, para conectarse sin complicaciones.

5.2.

Servidor DHCP en Linux:Vamos a instalar un servidor DHCP en Linux: - Linux Ubuntu server 9.04 Kernel 2.6. - dhcp3. Lo primero instalaremos como root el software de servidor DHCP: (# apt-get install dhcp3-server) Ahora tenemos que localizar el interfaz donde queremos que nuestro servidor ofrezca configuraciones IP. Supongamos esto: - Interfaz conectado a la subred gestionada: eth0. - Subred gestionada: 192.168.2.0/24. - IP servidor DHCP: 192.168.2.1. No olvidemos configurar ese interfaz: (# ifconfig eth0 192.168.2.1/24)

5.3.

Configuracin DHCP:Ahora editamos el fichero de configuracin del DHCP. # vi /etc/dhcp3/dhcpd.conf. Primero hacemos una configuracin sencilla: ofrecer IPs nicas y la mscara. Introduciremos estas lneas en la parte donde veamos que est la palabra "subnet" subnet 192.168.2.0 netmask 255.255.255.0 { range 192.168.2.10 192.168.2.99; } Hemos configurado que nuestro servidor se responsabiliza de gestionar las direcciones que van desde la 192.168.2.10 a las 192.168.2.99. Conviene reservar unas cuantas direcciones no dinmicas (192.168.2.1 a las 192.168.2.9) para host especiales, como el propio servidor DHCP, routers, impresoras, etc.

5.4.

Re-arranque DHCP:Salimos del "vi" guardando los cambios y re-arrancamos el servidor DHCP para que los coja. Para ello tenemos este comando: # /etc/init.d/dhcp3-server restart

4

Instalacin y mantenimiento de servicios de Internet 2 Evaluacin:

Saldr un mensaje diciendo que va a parar el servidor (si no estaba arrancado, dir que ha fallado, pero no importa) y luego que va a arrancar. Si todo va bien, dir "[OK]" Ahora podemos probar a conectar un host a la red y activar su configuracin automtica. Debera recibir una direccin 192.168.2.X Podemos ver los prstamos que en el servidor podemos comprobarlo en un fichero. (# more /var/lib/dhcp3/dhcpd.leases)

5.5.

Log del DHCP:Todos los prstamos de configuraciones IP que estamos haciendo se guardan en un fichero. Podemos verlo con: # more /var/lib/dhcp3/dhcpd.leases Para ver los cambios "en directo" usaremos: # tail -f /var/lib/dhcp3/dhcpd.leases Por cada prstamo tenemos: - "lease direccion.- la direccin que estamos prestando. - "starts.- fecha en que empieza el prstamo. - "ends.- fecha en que termina. - "hardware ethernet.- MAC del cliente al que estamos prestando. - "client-hostname.- nombre de la mquina del cliente. Estos datos tambin los sabe el cliente. En Win lo vemos con: C:\> ipconfig /all

5.6.

Configuracin completa:Para cambiar el tiempo de prstamo hay que entrar al "dhcpd.conf" y cambiar el parmetro "default-lease-time". Por defecto tiene 600 segundos. Para completar la configuracin de la subred 192.168.2.x, a lo que ya tena aadiremos estas dos lneas: 1. option routers 192.168.2.2; 2. option domain-name-servers 80.58.61.250, 80.58.61.254; Hemos puesto la direccin de la puerta de enlace y dos servidores DNS. Ahora rearrancaremos el servidor DHCP, re-novaremos la direccin del cliente y debera funcionar. Como siempre, podemos comprobar los cambios con "ipconfig /all" en el cliente y el fichero "dhcpd.leases" en el servidor.

5.7.

Configuracin avanzada:Para asegurar que el servidor slo atiende peticiones en los interfaces que queremos, debemos indicarlo en este fichero: (# vi /etc/default/dhcp3-server) En nuestro ejemplo pondremos: INTERFACES="eth0" Para asignar una direccin fija a un determinado host, introduciremos estas lneas en el "dhcpd.conf": host impresora1 { hardware ethernet 00:1e:23:45:6d:ff; fixed-address 192.168.2.8; }

5

Instalacin y mantenimiento de servicios de Internet 2 Evaluacin:

5.8.

Parte Prctica:

5.8.1. Configurar servidores en VLAN: Los 3 servidores Linux conectadas a una VLAN: - Damos IP 10.0.0.2 al eth0 de nuestro servidor Linux, hacia la Vlan (donde estn los 3 Linux) - Damos IP 10.0.2.1 al eth3 que va hacia nuestro vecino Windows. Empezamos: En nuestro server Linux en " /etc/dhcp3/dhcpd.conf " Cambiamos la subnet, rangos de ips y options router. Subnet = 10.0.2.0 Rango = 10.0.2.10 hasta 10.0.2.99 (rango de ips que vamos a ofrecer) option routers = 10.0.2.1 En /etc/default/dhcp3-server: en INTERFACES="" aadimos la Eth. INTERFACES="eth3" Hacemos un restart del servidor DHCP: /etc/init.d/dhcp3-server restart Configuramos el servidor DNS: vi /etc/bind/named.conf.local Aqu incluimos un zone: zone "fila2.net" { type master; file "/etc/bind/db.fila2"; }; Copiamos el archivo db.local a db.fila2: cd /etc/bind/ cp db.local db.fila2 Editamos el archivo que acabamos de crear: vi db.fila2 @ IN SOA fila2.net. ruben.fila2.net ; @ IN NS fila2.net. @ IN SOA 10.0.0.2 vecino IN A 10.0.2.32 Debemos hacer que el cliente DHCP obtenga una IP fija: 10.0.2.32 ; para ello accedemos al archivo dhcpd.conf vi /etc/dhcp3/dhcpd.conf host vecino { hardware ethernet (mac del cliente); fixed-addres 10.0.2.32 (vecino.fila2.net); } Hacemos un restart del DHCP. Hacemos un restart del bind. /etc/init.d/bind9 restart (*Nota: asegrese de que el cliente en Windows tenga el Firewall bajado!) Configuramos los DNS del servidor: vi /etc/resolv.conf nameserver 10.0.2.1 Configuramos el DNS del cliente DHCP: vi /etc/dhcp3/dhcpd.conf option domain-name-servers 10.0.2.1;

6

Instalacin y mantenimiento de servicios de Internet 2 Evaluacin:

Configuramos el archivo Interfaces: (vi /etc/network/interfaces) auto eth0 iface eth0 inet dhcp auto eth3 iface eth3 inet estatic address 10.0.2.1 netmask 255.255.255.0 Hacemos un restart del DHCP. Aadimos los forwarders de los otros servidores DHCP: vi /etc/bind/named.conf.options forwarders { 10.0.0.1; 10.0.0.3; }; }; Hacemos masquerading: iptables -t NAT -A POSTROUTING -s 10.0.0.0 -o eth0 -j MASQUERADE. Aadimos las rutas ip: ip route add 10.0.3.0/24 via 10.0.0.3 ip route add 10.0.1.0/24 via 10.0.0.1 5.8.2. CONFIGURAR SERVIDOR DHCP:

5.8.2.1.

CONFIGURAR SERVIDOR DHCP Utilizaremos: a. Una maquina con Windows, Cliente y DHCP (configuracin automtica). b. Una maquina con Linux, DHCP SERVER. Proceso: 1. INstalarlo --> apt-get instal dhcp3-server 2. Configurar --> /etc/dhcp3/dhcpd.conf subnet 10.0.X.0 netmask 255.255.255.0{ Ifconfig eth0 10.0.X.0 10.0.X.20; /etc/default/dhcp3-server --> INTERFACES="etho" 3. Arrancar --> /etc/init.d/dhcp3-server restart log/var/log/sys log 4. Comprobar si est funcionando --> ps-ef | grep dhcp /var/lib/dhcp3/dhcpd.leases

5.8.2.2.

CONECTAR 2 REDES OFRECIENDO DIRECCIONES EN AMBAS: Utilizaremos: a. Dos maquinas con Windows, eth1 y eth2. b. Una maquina Linux, eth0 y salida a Internet. Proceso:

7

Instalacin y mantenimiento de servicios de Internet 2 Evaluacin:

1. INstalarlo --> apt-get instal dhcp3-server 2. Configurar --> /etc/dhcp3/dhcpd.conf subnet 10.0.31.0 netmask 255.255.255.0{ range 10.0.31.0 10.0.31.20 option routers 10.0.31.1; } subnet 10.0.31.0 netmask 255.255.255.0{ range 10.0.31.0 10.0.31.20 option routers 10.0.31.1; } /etc/default/dhcp3-server --> INTERFACES="eth1 eth2" 3. Arrancar --> /etc/init.d/dhcp3-server restart log/var/log/sys log

5.9.

Resumen del Tema 5 DHCP SERVER:IP Estticas: - Windows: Ventana de propiedades IPV4. - Linux: Ifconfig eth1 10.0.1.2/24. Complicadas de mantener coherentemente porque: - IP duplicada. - Mscara mal configurada. - Dificulta cambios de numeracin. IP Dinmicas. Tienen Protocolos DHCP en los que: - El PC solicita una configuracin IP correcta. - Hace broadcast para localizar servidores. DHCP EN LINUX: INSTRUCCIONES DHCP SERVER: 1. /etc/dhcp3 dhclient.conf 2. Reject: Rechaza ofertas de una IP correcta. 3. INSTALAR DHCP: apt get install dhcp3-server

Tema 6 Servicio DNS:6.1. Servicio DNS:Un servidor DNS en una subred ofrece traducciones de nombres a direcciones IP: ("terra.es" corresponde a la direccin "213.4.130.210") Tambin hay traducciones inversas: dada una direccin IP obtener el nombre DNS asociado. Hay varios comandos para obtener una traduccin: "nslookup", "host", "dig" Un nombre se compone de varias palabras unidas por el punto. - La primera palabra es el nombre de la mquina. - La ltima palabra es el dominio de mayor nivel (.com, .es). - Las palabras intermedias son subdominios (ad.es.doubleclick.net).

8

Instalacin y mantenimiento de servicios de Internet 2 Evaluacin:

6.2.

Tipos de servidor DNS:Hay cuatro tipos: - Mster.- responde a traducciones de un dominio porque tiene la lista oficial. - Slave.- responde a traducciones de un dominio pero no tiene la lista oficial, sino que la refresca peridicamente de un servidor maestro. - Caching-only.- no responde por ningn dominio. Resuelve las preguntas preguntando a otros servidores y, durante un tiempo, se guarda las respuestas recibidas para responder inmediatamente. - Forwarding.- no guarda nada: siempre resuelve preguntando a otros servidores.

6.3.

Instalar servidor DNS:Vamos a instalar un servidor DNS en Linux: - Linux Ubuntu server 9.04 Kernel 2.6. - bind9 Lo primero instalaremos como root el software de servidor DHCP. (# apt-get install bind9) El servidor arranca un proceso "named" Se ha creado un directorio "/etc/bind" y dentro varios ficheros. Nos fijaremos en dos: - named.conf.local. - named.conf.options.

6.4.

Configuracin zonas DNS:Editamos el fichero de configuracin de zonas: (# vi /etc/bind/named.conf.local) Indicamos el dominio que queremos configurar. Por ejemplo: zone "prueba.net" { type master; file "/etc/bind/db.prueba"; }; "master" indica que somos el servidor maestro para la zona "prueba.net". "file" es el path al fichero donde estn las traducciones.

6.5.

Fichero de traducciones:El fichero de traducciones lo editamos a partir de uno existente. # cd /etc/bind. # cp db.local db.prueba. # vi db.prueba.

6.5.1. La primera parte contiene datos generales: @ IN SOA prueba.net. webmaster.prueba.net. ( 1 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ;

9

Instalacin y mantenimiento de servicios de Internet 2 Evaluacin:

-

SOA: dominio (con punto al final) y e-mail del administrador (con punto al final y cambiando "@" por punto). Serial: versin del fichero. As un servidor esclavo sabe si necesita actualizarse. Refresh: para un servidor esclavo, cada cunto se debera actualizar. Retry: para un servidor esclavo, si la actualizacin falla, cada cunto repetirlo. TTL: para un servidor cach, cunto tiempo puede conservar una traduccin.

6.5.2. La segunda parte contiene las traducciones: @ IN NS prueba.net. @ IN A 192.168.10.1 @ IN MX 0 prueba.net. www IN A 192.168.10.1 web IN CNAME www.prueba.net. 6.5.2.1. Los valores posibles son: NS: direccin de servidor de nombres. MX: direccin de servidor de correo. A: traduccin. La primera palabra es un nombre y la ltima su IP. CNAME: alias. Permite tener varios nombres para la misma traduccin. En el ejemplo, "web.prueba.net" tiene la misma traduccin que "www.prueba.net"

6.6.

Activar servidor:Para aplicar la nueva configuracin del servidor DNS haremos: (# /etc/init.d/bind9 restart) Para empezar a utilizarlo en nuestra mquina editaremos el "/etc/resolv.conf": (nameserver 127.0.0.1) Para empezar a utilizarlo en otras mquinas de la red, editaremos su "resolv.conf" o, si estn gobernadas por un DHCP server, modificaremos el "dhcpd.conf" Si queremos que nuestro servidor resuelva otras peticiones, adems de las de su dominio "prueba.net", hay que introducir estas lneas en "named.conf.options" forwarders { 80.58.61.250; 80.58.61.254; };

6.7.

Fichero de traduccin inversa:La traduccin inversa es una nueva zona del fichero "named.conf.local" zone "192.in-addr.arpa" { type master; file "/etc/bind/db.192"; }; De nuevo utilizamos una copia para construir la base de datos. # cp db.127 db.192 # vi db.192 Aparece un nuevo tipo de registro, PTR, que indica a qu nombre apunta una direccin. La direccin se pone con sus tres ltimos dgitos en orden inverso.

10

Instalacin y mantenimiento de servicios de Internet 2 Evaluacin:

@ IN NS prueba.net. 1.10.168 IN PTR www.prueba.net.

6.8.

Parte prctica:

6.8.1. Valores del archivo /etc/bind/db.esix @ IN SOA esix.net root.esix.net. ( X ;serial--->numero de versin de la base de datos. En cada hay que modificarlos para que nuestros DNS esclavos sepan que tienen que actualizarse. XXXXXXXXX ;refresh---> numero de segundos que un servidor esclavo deberia esperar para refrescar. xxxxxxxxx ;retry--->numero de segundos para reintentos. xxxx ;expire servidores DNS caching xxxx ;TTL servidores DNS caching ) 6.8.2. Traduccin inversa: IP -------> nombre: #host 210.130.4.213.in.addr.arpa 213.4.130.210 a terra.es 1. Aadimos una nueva zona (#vi /etc/bind/named.conf.local) zone "192.in-addr-arpa" { type master file "/etc/bind/db..192"; }; 2. Creamos el file copiando otro. #cd /etc/bind #cp db.127 db.192 #vi db.192 3. Lo modificamos con nuestros datos: SOA: esix.net. root.esix.net. La diferencia con los otros archivos es: (xx.34.168 IN 4. Restart y probamos: (#host 42.34.168.192.in.addr.arpa) /etc/bind/named.conf.options (Para meter las ip de los dns) Se configura el forwarding: debajo de ese fichero ponemos: options { forwarders{ IP de vuestros servers DNS; }; }; Ejemplo: options { forwarders { 192.168.34.X; 192.168.34.X; 192.168.34.X;

PTR

www.esix.net.)

11

Instalacin y mantenimiento de servicios de Internet 2 Evaluacin:

}: }; /etc/bind/db.esix /etc/resolv.conf Rellenamos con: nameserver 127.0.0.1 Almacena lista de link server. Actualizar nuestra base de datos: /etc/bind/db.esix Aadimos: (nombre) IN A (IP) Pasos: 1. Saber la ip del vecino. 2. Apuntarla en el db.esiX del servidor DNS. 3. Forzar que el vecino tenga como servidor DNS a nosotros.

6.9.

Resumen breve:DNS: Domain Name System: Domain: los nombres se reparten jerrquicamente y cada organizacin es responsable de los suyos. Name: - Sirve para traducir nombres a direcciones IP. - Poder cambiar direccionamiento. - Facilita uso a las personas. Para saber quien provee las direcciones podemos usar los siguientes comandos: nslookup; host; dig.

Tema 7 Servidor proxy:7.1. PROXY:Qu hace? Controla y decide, Como lo hace? Recibe el trfico. # ps -ef | grep squid ACL.

Para restart el Squid: /etc/init.d/squid restart. Para ver la cach del proxy ----> cd /var/spool/squid. Para ver el registro de actividad ----> cd /var/log/squid.

Tema 8 Servicio ftp:8.1. SERVICIO FTP:

8.1.1. Ventajas del ftp: Est muy extendido. Es sencillo de manejar Cruza NATS mediante el modo pasivo (PASV) 8.1.2. Inconvenientes del ftp: No es seguro (viaja por la red sin encriptacin) 8.1.3. Credenciales/usuarios: Usuarios particulares del servidor FTP (Cerberus). Usuarios de la maquina donde corre el servidor FTP. Usuario annimo (anonymous): Es una zona limitada del disco, sin upload.

8.2.

Instalamos el servidor FTP para Linux:1. vi /etc/apt/sources.list: Aqu configuramos de donde bajarnos los repositorios de internet. 2. apt-get install vsftpd con este comando instalamos el servidor FTP.

8.3.

Configuracin:En el vsftpd para configurarlo tendremos que manipular el fichero /etc/vsftp/vsftpd.conf Configuraremos lo siguiente: - Anonymous_enable=YES para permitir usuarios annimos. - write_enable=yes los usuarios pueden subir no solo bajarlos. - Anon_upload_enable=yes esto permite a un usuario annimo subirlos. - local_enable=yes Permite entrar a los usuarios de la maquina del servicio (root/esi...)

8.3.1. CREANDO USUARIOS: useradd esi passwd esi

15

Instalacin y mantenimiento de servicios de Internet 2 Evaluacin:

ftp localhost user/pass (Nos dar un ligero error ya que no creamos la carpeta personal en su momento, para ello la crearemos (mkdir /home/esi). Despus le tenemos que darle los permisos de escritura para poder escribir desde el servidor ftp (chmod 775 /hmoe/esi) y configurar en el vsftpd.conf la opcin de write_enable=yes Para revisar si la tenemos ponemos pwd y para que sea esi la propietaria de /home/esi usaremos el comando chown esi /home/esi

8.4.

Aadir seguridad:Existen extensiones de seguridad para FTP. Se basa en clave asimtrica. Para configurar esta seguridad en FTP seguimos los siguientes pasos.

8.4.1. Primero generamos las claves #openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout /etc/vsftpd/clave.key out /etc/vsftpd/clave.pem (Este comando con estos parmetros genera las claves, que sern validas durante 365 das y tendrn un tamao de 1024 bytes.) A continuacin de introducir el comando te pide que introduzcas ciertos datos (Pas, Provincia, Poblacin, etc.) Para proteger los dos archivos que se generan, los cuales contienen nuestras claves, podemos darle permisos tipo "700". (#chmod 700 /etc/vsftpd) 8.4.2. Configurar seguridad en el servidor FTP Entramos en el archivo vsftpd.conf, cuya ubicacion es #/etc/vsftpd.conf. Al final del archivo introducimos los nuevos parmetros: - #ssl_enable=YES {Activar seguridad} - #allow_anon_ssl=YES {Permitir al usuario Anonymous usar seguridad} - #force_local_data_ssl=NO {forzar que usuarios locales usen seguridad} - #force local_logins_ssl=NO {""} - #ssl_tlsv1=YES {Tipo de protocolos de seguridad, y siguientes} - #ssl_sslv2=NO - #ssl_sslv3=NO Los dos siguientes parmetros ya aparecen por defecto en el archivo, por lo cual solo modificamos el PATH: - #rsa_cert_file=/etc/vsftpd/clave.pem - #rsa_private_key_file=/etc/vsftpd/clave.key Ambos especifican donde se encuentran las claves que vamos a usar. IMPORTANTE: reiniciar el servicio vsftpd cada vez que hagamos cambios en el archivo anterior. #/etc/init.d/vsftpd.conf restart 8.4.3. Prueba: Nuestras nuevas configuraciones podremos probarla con el programa Filezilla, eligiendo el protocolo FTPES.

16

Instalacin y mantenimiento de servicios de Internet 2 Evaluacin:

Tema 9 Servicio ssh:9.1. Servicio SSH:SSH: Secure Shell. Sirve para tres cosas: 1. Conexin remota para comandos. 2. Transferencia de archivos. 3. Tneles.

9.2.

Instalamos el programa "openssh-server"#apt-get install openssh-server. (#ps -ef |grep ssh ----> para ver el proceso ssh) Adems se ha creado un directorio: - #cd /etc/ssh - #ls l - #more sshd_config -----> configuracin del servidor - #more ssh_config -----> configuracin del cliente. Buscamos en que puerto est escuchando ssh: - #netstat -spn |more -----> Vemos que trabaja en el puerto 22

9.3.

Vamos a usar el ssh como cliente:#ssh esi@localhost Primero advierte si quieres conectar con el servidor ssh Autenticidad: - RSA fingerprint '___________' yes/no - #uname -a ------> Para ver en que maquina estas. - #ssh esi@192.168.34.xx uname a Entra en la maquina y ejecuta el comando y vuelve a salir. Vamos a ver el cliente ssh de ficheros: - #scp ----> Secure copy Su uso es el siguiente: - scp usuarioOrigen@maquinaorigen:path usuariodestino@maquinadestino:path - #scp esi@192.168.34.xx:/etc/passwd /tmp -->Nos traemos el fichero passwd y lo dejamos en nuestro fichero /tmp. - #scp /etc/passwd esi@192.168.34.xx:/tmp/mipass.64 -->Enviamos el fichero en /tmp y le damos el nombre que queramos. Para ver donde se encripta la informacin: - #cd /etc/ssh - #ls l - #more ssh_host_rsa_key - #more ssh_host_rsa_key.pub - Dsa otro tipo de encriptacin. - #grep rsa sshd_config Hostkey:es un parmetro del sshd.config. - #vi /etc/ssh/sshd.config Configuracin: Apunta a la clave privada y pblica. Le dice al hostkey como encriptar. Para generar claves nuevas: - #ssh-keygen

17

Instalacin y mantenimiento de servicios de Internet 2 Evaluacin:

Dar un lugar donde guardar la clave, y ahora nos ensea la fingerprint. - #ls -l /tmp/clave. - Clave clave Privada. - clave.pub Clave Publica. Copiamos las claves generadas al directorio /etc/ssh sustituyendo las antiguas: - #cp /tmp/clave 7etc/ssh/ssh_host_rsa_key. - #cp /tmp/clave.pub /etc/ssh/ssh_host_rsa_key.pub Como no es seguro dejar las claves en 7tmp las borramos: - #rm /tmp/clave - #rm /tmp/clave.pub Ahora entramos en ssh: - #ssh esi@localhost uname a Nos advierte de que ha cambiado la clave y que puede ser peligroso. Nos da una direccion de un fichero /root/.ssh/know_hosts donde guarda las maquinas. Te dice que si de verdad es asi borres ese archivo. - #cat /root/.ssh/know_hosts - #rm /root/.ssh/know_hosts Y ahora al volver a entrar: - #ssh esi@localhost uname a Nos dice de que es desconocida y si queremos seguir. Para reinicir el ssh: #/etc/init.d/ssh restart Al crear una nueva clave nos da un path se guardara la key: /root/.ssh/id_rsa - #ssh-keygen (Intro) (Intro) Y nos creara la key en /root/.ssh/id_rsa. se crean dos ficheros en /root/.ssh que son: id_rsa e id_rsa.pub /root7.ssh/authorized Guardan las claves publicas de los usuarios en que confiamos. Cmo creamos este fichero? En la mquina de Jorge: (#cp /root/.ssh/id_rsa.pub /tmp) En el resto de maquinas: (#scp fila3@192.168.34.92:/tmp/id_rsa.pub /root/.ssh/authorized_keys -->(Ponemos la mquina de Jorge en una de confianza.) Ahora desde Jorge intentamos apagar las dems maquinas: - #ssh root@192.168.34.64 halt - @192.168.34.55 halt - @192.168.34.38 halt