Herramientas de usuario
cursoacelerado
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anterior Revisión previa Próxima revisión | Revisión previa | ||
|
cursoacelerado [2014/06/30 00:59] fmolinuevo [13.3. [ ] Administración de usuarios] |
cursoacelerado [2014/10/22 08:46] (actual) fmolinuevo |
||
|---|---|---|---|
| Línea 165: | Línea 165: | ||
| - /datos (o /srv): es la partición donde se almacenarán los archivos de la empresa, usuarios, y toda clase de datos útiles directamente a las personas de la institución. Por lo tanto, siguiendo con el supuesto de una unidad de almacenamiento de 1TB, asigno el resto de la misma a esta función, dejando así más de 500GB disponibles. | - /datos (o /srv): es la partición donde se almacenarán los archivos de la empresa, usuarios, y toda clase de datos útiles directamente a las personas de la institución. Por lo tanto, siguiendo con el supuesto de una unidad de almacenamiento de 1TB, asigno el resto de la misma a esta función, dejando así más de 500GB disponibles. | ||
| - /home: habitualmente este directorio contiene archivos muy pequeños que se crean automáticamente al dar de alta a los usuarios. Si no se necesita que los usuarios almacenen archivos personales, con que penda de la raíz es suficiente. | - /home: habitualmente este directorio contiene archivos muy pequeños que se crean automáticamente al dar de alta a los usuarios. Si no se necesita que los usuarios almacenen archivos personales, con que penda de la raíz es suficiente. | ||
| + | |||
| + | |||
| ===== 3. Conociendo el funcionamiento de Linux ===== | ===== 3. Conociendo el funcionamiento de Linux ===== | ||
| Línea 1079: | Línea 1081: | ||
| ==== 13.4. [ ] Configuración de comparticiones (almacenamiento e impresoras) ==== | ==== 13.4. [ ] Configuración de comparticiones (almacenamiento e impresoras) ==== | ||
| + | |||
| + | Las impresoras configuradas con CUPS, serán compartidas automáticamente mediante Samba con la siguiente configuración en smb.conf: | ||
| + | |||
| + | <code> | ||
| + | [printers] | ||
| + | comment = All Printers | ||
| + | path = /tmp | ||
| + | create mask = 0700 | ||
| + | printable = Yes | ||
| + | print ok = Yes | ||
| + | browseable = No | ||
| + | </code> | ||
| + | |||
| + | La configuración de un directorio compartido, permitiendo el acceso de los usuarios del grupo "intranet", se realiza con un bloque de configuración como: | ||
| + | |||
| + | <code> | ||
| + | [archivos] | ||
| + | comment = Archivos de datos | ||
| + | path = /datos/archivos | ||
| + | write list = +&intranet | ||
| + | read only = No | ||
| + | </code> | ||
| ===== 14. NFS: sistema de archivos de red ===== | ===== 14. NFS: sistema de archivos de red ===== | ||
| Línea 1139: | Línea 1163: | ||
| ==== 16.1. [ ] SMTP/POP3/IMAP: conceptos, definiciones, funcionamiento ==== | ==== 16.1. [ ] SMTP/POP3/IMAP: conceptos, definiciones, funcionamiento ==== | ||
| + | El servidor SMTP es el encargado de transferir los mensajes de correo electrónico tanto entre servidores, como repartirlo a los usuarios existentes dentro de un servidor. Escucha en el puerto TCP 25, mientras que el puerto seguro es TCP 465. En este curso se usará Postfix. | ||
| + | |||
| + | El servicio POP3 permite la transferencia de los mensajes de correo electrónico que han llegado a una cuenta, desde el servidor hasta la estación de trabajo. Generalmente luego de transferidos, son eliminados del servidor. El puerto del protocolo es TCP 110, mientras que el puerto seguro es TCP 995. En este curso se verá Cyrus POP3. | ||
| + | |||
| + | El servicio IMAP ofrece la posibilidad de que los usuarios puedan leer los mensajes de sus cuentas de correo-e en el servidor, sin que los mensajes queden físicamente en los clientes de correo electrónico, más que en forma temporal en su caché. Esto ofrece la posibilidad a los administradores de configurar permisos sobre los mensajes y carpetas, permitir el acceso a las mismas cuentas a varios usuarios, y otras posibilidades prácticas para empresas y grupos de trabajo. El protocolo tiene especificado el puerto TCP 143, mientras que el seguro es el puerto TCP 993. | ||
| ==== 16.2. [ ] Postfix: instalación y configuración del servidor SMTP ==== | ==== 16.2. [ ] Postfix: instalación y configuración del servidor SMTP ==== | ||
| + | Postfix es un SMTP seguro, eficiente, flexible y poderoso. Sus archivos de configuración están en /etc/postfix, y los principales son main.cf y master.cf. En el primero se define la mayor parte de la configuración del servicio, mientras que en el segundo se configuran los procesos y sistemas que forman parte de Postfix. | ||
| + | |||
| + | Algunas de las variables más importantes que se debe configurar en main.cf son: | ||
| + | |||
| + | myorigin = $myhostname | ||
| + | inet_interfaces = $myhostname, localhost | ||
| + | mydestination = $myhostname, localhost.$mydomain, localhost | ||
| + | |||
| + | En master.cf para activar el puerto seguro 465, se debe descomentar el siguiente bloque de configuración: | ||
| + | |||
| + | <code> | ||
| + | smtps inet n - n - - smtpd | ||
| + | -o smtpd_tls_wrappermode=yes | ||
| + | -o smtpd_sasl_auth_enable=yes | ||
| + | -o smtpd_client_restrictions=permit_sasl_authenticated,reject | ||
| + | -o milter_macro_daemon_name=ORIGINATING | ||
| + | </code> | ||
| ==== 16.3. [ ] CyrusIMAP: instalación y configuración del servidor IMAP/POP3 ==== | ==== 16.3. [ ] CyrusIMAP: instalación y configuración del servidor IMAP/POP3 ==== | ||
| + | Cyrus IMAP proveerá la posibilidad a los usuarios de leer su correo electrónico. Sus archivos de configuración están en /etc y son imapd.conf y cyrus.conf. | ||
| + | |||
| + | En el primero se define la configuración del servicio IMAP: | ||
| + | |||
| + | <code> | ||
| + | configdirectory: /var/lib/imap | ||
| + | partition-default: /var/spool/imap | ||
| + | admins: cyrus | ||
| + | sievedir: /var/lib/imap/sieve | ||
| + | sendmail: /usr/sbin/sendmail | ||
| + | hashimapspool: true | ||
| + | sasl_pwcheck_method: saslauthd | ||
| + | sasl_mech_list: PLAIN | ||
| + | tls_cert_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem | ||
| + | tls_key_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem | ||
| + | tls_ca_file: /etc/pki/tls/certs/ca-bundle.crt | ||
| + | </code> | ||
| + | |||
| + | Mientras que el segundo configura los procesos que forman parte del sistema IMAP. Por ejemplo, si se desea desactivar la posibilidad de que los usuarios utilicen POP3, se deben comentar ambas líneas en ese archivo: | ||
| + | |||
| + | <code> | ||
| + | # add or remove based on preferences | ||
| + | imap cmd="imapd" listen="imap" prefork=5 | ||
| + | imaps cmd="imapd -s" listen="imaps" prefork=1 | ||
| + | #pop3 cmd="pop3d" listen="pop3" prefork=3 | ||
| + | #pop3s cmd="pop3d -s" listen="pop3s" prefork=1 | ||
| + | sieve cmd="timsieved" listen="sieve" prefork=0 | ||
| + | </code> | ||
| ==== 16.4. [ ] Otros sistemas que colaboran con el servidor de correo-e ==== | ==== 16.4. [ ] Otros sistemas que colaboran con el servidor de correo-e ==== | ||
| + | |||
| + | Otros sistemas que son imprescindibles en un servidor de correo electrónico son el filtro antispam y el antivirus. Para el primero, se suele utilizar [[http://spamassassin.apache.org/|SpamAssassin]], mientras que para el segundo un buen antivirus Open Source es [[http://www.clamav.net/|ClamAV]]. Para unir ambos sistemas con el resto de los componentes, se usa [[http://www.amavis.org/|Amavisd-new]]. La autenticación de usuarios puede ser realizada de manera básica con [[http://cyrusimap.web.cmu.edu/|Cyrus SASL]]. | ||
| ===== 17. Administración de impresoras ===== | ===== 17. Administración de impresoras ===== | ||
| Línea 1158: | Línea 1234: | ||
| Los archivos de configuración de CUPS se encuentran en /etc/cups mientras que la configuración de las impresoras está específicamente en el archivo /etc/cups/printers.conf. | Los archivos de configuración de CUPS se encuentran en /etc/cups mientras que la configuración de las impresoras está específicamente en el archivo /etc/cups/printers.conf. | ||
| + | |||
| ==== 17.2. [ ] Impresoras: agregando y configurando ==== | ==== 17.2. [ ] Impresoras: agregando y configurando ==== | ||
| Línea 1165: | Línea 1242: | ||
| El mismo sistema brinda mucha ayuda, y es relativamente fácil de aprender a usar. Cuando se realicen tareas administrativas, se solicitarán credenciales. Se debe ingresar el usuario root y su contraseña. | El mismo sistema brinda mucha ayuda, y es relativamente fácil de aprender a usar. Cuando se realicen tareas administrativas, se solicitarán credenciales. Se debe ingresar el usuario root y su contraseña. | ||
| + | |||
| ===== 18. MySQL: conceptos, utilidad y posibilidades ===== | ===== 18. MySQL: conceptos, utilidad y posibilidades ===== | ||
| Línea 1340: | Línea 1418: | ||
| ==== 19.5. [ ] Otras ideas y posibilidades: chroot, clustering ==== | ==== 19.5. [ ] Otras ideas y posibilidades: chroot, clustering ==== | ||
| + | **chroot**: es una operación que cambia la raíz del sistema para el proceso en ejecución y sus hijos. Un proceso que corre en esta "jaula chroot" no puede acceder archivos fuera del árbol de directorios que se le asignó. Se usa para pruebas, acceso a sistemas dañados, instalación remota de sistemas operativos y separación de privilegios entre otros usos | ||
| + | |||
| + | **clustering**: un cluster es un conjunto de computadoras interconectadas y configuradas de manera de actuar como una sola para ciertas operaciones. Se obtienen así ventajas de rendimiento, de confiabilidad y tiempo de operación, o ambas. Linux ofrece gran flexibilidad, sumado a la confiabilidad y potencia del sistema operativo, para la creación de clústeres muy grandes. Todas las supercomputadoras más poderosas corren en Linux | ||
| ===== 20. Seguridad: conceptos, filosofía, métodos de ataque y verificación de la seguridad de un sistema ===== | ===== 20. Seguridad: conceptos, filosofía, métodos de ataque y verificación de la seguridad de un sistema ===== | ||
| Línea 1375: | Línea 1456: | ||
| **Port scanning**: proceso de buscar qué puertos están en estado de escucha (listening) en un equipo remoto | **Port scanning**: proceso de buscar qué puertos están en estado de escucha (listening) en un equipo remoto | ||
| - | ==== 20.2. [ ] Detección de intrusiones: snort, tiger ==== | + | ==== 20.2. [ ] Detección de intrusiones: snort, tripwire ==== |
| **Snort**: es un sistema de detección de intrusiones (IDS), extensible, poderoso, flexible y que permite responder a las amenazas de manera automatizada | **Snort**: es un sistema de detección de intrusiones (IDS), extensible, poderoso, flexible y que permite responder a las amenazas de manera automatizada | ||
| - | **Tiger**: es una colección de scripts que se utilizan para auditar un sistema Linux de manera automática | + | **Tripwire**: es un sistema que se utiliza para auditar un sistema Linux de manera automática. Debe ser instalado inmediatamente después del sistema operativo, para poder asegurar que el mismo está perfectamente limpio |
| - | ==== 20.3. [ ] Revisión de seguridad: tiger, nmap, chkrootkit, rkhunter ==== | + | ==== 20.3. [ ] Revisión de seguridad: tripwire, nmap, chkrootkit, rkhunter ==== |
| - | **Tiger** permite analizar los aspectos más importantes y básicos de la seguridad de un sistema. **Nmap** es un completo sistema de análisis remoto de seguridad de equipos mediante escaneo de puertos. **Chkrootkit** y **RKHunter** son dos sistemas de búsqueda de rootkits. | + | **Tripwire** permite analizar los aspectos más importantes y básicos de la seguridad de un sistema, pero debe ser instalado sobre un sistema limpio. **Nmap** es un completo sistema de análisis remoto de seguridad de equipos mediante escaneo de puertos. **Chkrootkit** y **RKHunter** son dos sistemas de búsqueda de rootkits. |
| ==== 20.4. [ ] Otras ideas interesantes sobre seguridad ==== | ==== 20.4. [ ] Otras ideas interesantes sobre seguridad ==== | ||
| El análisis de los requerimientos, sumados a un buen esquema de implementación, y a la aplicación de medidas básicas, avanzadas y creativas permite lograr un alto nivel de seguridad en sistemas Linux. | El análisis de los requerimientos, sumados a un buen esquema de implementación, y a la aplicación de medidas básicas, avanzadas y creativas permite lograr un alto nivel de seguridad en sistemas Linux. | ||
| + | |||
| + | * Bloquear logins de usuarios que no lo necesiten | ||
| + | * Mantener el sistema con los paquetes mínimos e instalados desde fuentes confiables | ||
| + | * Proteger /bin, /lib, /sbin y otros directorios imprescindibles | ||
| + | * Enjaular los demonios más importantes como DNSs, HTTP servers, SMTP, etc | ||
| + | * Revisar el rotado de logs | ||
| + | * En SSH limitar el acceso exclusivamente a los usuarios que realmente lo necesitan | ||
| + | * Establecer una política de seguridad y seguirla | ||
| + | * Establecer una rutina de análisis de seguridad y seguirla | ||
| + | * Implementar sistemas automáticos de análisis básico como logwatch | ||
| ==== 20.5. [ ] Firewall: Netfilter/Iptables ==== | ==== 20.5. [ ] Firewall: Netfilter/Iptables ==== | ||
cursoacelerado.1404100758.txt.gz · Última modificación: 2014/06/30 00:59 por fmolinuevo
Herramientas de la página
Excepto donde se indique lo contrario, el contenido de este wiki esta bajo la siguiente licencia: CC Attribution-Noncommercial-Share Alike 4.0 International
