Herramientas de usuario
cursoacelerado
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anterior Revisión previa Próxima revisión | Revisión previa | ||
|
cursoacelerado [2014/06/30 01:23] fmolinuevo [16.2. [ ] Postfix: instalación y configuración del servidor SMTP] |
cursoacelerado [2014/10/22 08:46] (actual) fmolinuevo |
||
|---|---|---|---|
| Línea 165: | Línea 165: | ||
| - /datos (o /srv): es la partición donde se almacenarán los archivos de la empresa, usuarios, y toda clase de datos útiles directamente a las personas de la institución. Por lo tanto, siguiendo con el supuesto de una unidad de almacenamiento de 1TB, asigno el resto de la misma a esta función, dejando así más de 500GB disponibles. | - /datos (o /srv): es la partición donde se almacenarán los archivos de la empresa, usuarios, y toda clase de datos útiles directamente a las personas de la institución. Por lo tanto, siguiendo con el supuesto de una unidad de almacenamiento de 1TB, asigno el resto de la misma a esta función, dejando así más de 500GB disponibles. | ||
| - /home: habitualmente este directorio contiene archivos muy pequeños que se crean automáticamente al dar de alta a los usuarios. Si no se necesita que los usuarios almacenen archivos personales, con que penda de la raíz es suficiente. | - /home: habitualmente este directorio contiene archivos muy pequeños que se crean automáticamente al dar de alta a los usuarios. Si no se necesita que los usuarios almacenen archivos personales, con que penda de la raíz es suficiente. | ||
| + | |||
| + | |||
| ===== 3. Conociendo el funcionamiento de Linux ===== | ===== 3. Conociendo el funcionamiento de Linux ===== | ||
| Línea 1187: | Línea 1189: | ||
| ==== 16.3. [ ] CyrusIMAP: instalación y configuración del servidor IMAP/POP3 ==== | ==== 16.3. [ ] CyrusIMAP: instalación y configuración del servidor IMAP/POP3 ==== | ||
| + | Cyrus IMAP proveerá la posibilidad a los usuarios de leer su correo electrónico. Sus archivos de configuración están en /etc y son imapd.conf y cyrus.conf. | ||
| + | |||
| + | En el primero se define la configuración del servicio IMAP: | ||
| + | |||
| + | <code> | ||
| + | configdirectory: /var/lib/imap | ||
| + | partition-default: /var/spool/imap | ||
| + | admins: cyrus | ||
| + | sievedir: /var/lib/imap/sieve | ||
| + | sendmail: /usr/sbin/sendmail | ||
| + | hashimapspool: true | ||
| + | sasl_pwcheck_method: saslauthd | ||
| + | sasl_mech_list: PLAIN | ||
| + | tls_cert_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem | ||
| + | tls_key_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem | ||
| + | tls_ca_file: /etc/pki/tls/certs/ca-bundle.crt | ||
| + | </code> | ||
| + | |||
| + | Mientras que el segundo configura los procesos que forman parte del sistema IMAP. Por ejemplo, si se desea desactivar la posibilidad de que los usuarios utilicen POP3, se deben comentar ambas líneas en ese archivo: | ||
| + | |||
| + | <code> | ||
| + | # add or remove based on preferences | ||
| + | imap cmd="imapd" listen="imap" prefork=5 | ||
| + | imaps cmd="imapd -s" listen="imaps" prefork=1 | ||
| + | #pop3 cmd="pop3d" listen="pop3" prefork=3 | ||
| + | #pop3s cmd="pop3d -s" listen="pop3s" prefork=1 | ||
| + | sieve cmd="timsieved" listen="sieve" prefork=0 | ||
| + | </code> | ||
| ==== 16.4. [ ] Otros sistemas que colaboran con el servidor de correo-e ==== | ==== 16.4. [ ] Otros sistemas que colaboran con el servidor de correo-e ==== | ||
| Otros sistemas que son imprescindibles en un servidor de correo electrónico son el filtro antispam y el antivirus. Para el primero, se suele utilizar [[http://spamassassin.apache.org/|SpamAssassin]], mientras que para el segundo un buen antivirus Open Source es [[http://www.clamav.net/|ClamAV]]. Para unir ambos sistemas con el resto de los componentes, se usa [[http://www.amavis.org/|Amavisd-new]]. La autenticación de usuarios puede ser realizada de manera básica con [[http://cyrusimap.web.cmu.edu/|Cyrus SASL]]. | Otros sistemas que son imprescindibles en un servidor de correo electrónico son el filtro antispam y el antivirus. Para el primero, se suele utilizar [[http://spamassassin.apache.org/|SpamAssassin]], mientras que para el segundo un buen antivirus Open Source es [[http://www.clamav.net/|ClamAV]]. Para unir ambos sistemas con el resto de los componentes, se usa [[http://www.amavis.org/|Amavisd-new]]. La autenticación de usuarios puede ser realizada de manera básica con [[http://cyrusimap.web.cmu.edu/|Cyrus SASL]]. | ||
| + | |||
| ===== 17. Administración de impresoras ===== | ===== 17. Administración de impresoras ===== | ||
| Línea 1203: | Línea 1234: | ||
| Los archivos de configuración de CUPS se encuentran en /etc/cups mientras que la configuración de las impresoras está específicamente en el archivo /etc/cups/printers.conf. | Los archivos de configuración de CUPS se encuentran en /etc/cups mientras que la configuración de las impresoras está específicamente en el archivo /etc/cups/printers.conf. | ||
| + | |||
| ==== 17.2. [ ] Impresoras: agregando y configurando ==== | ==== 17.2. [ ] Impresoras: agregando y configurando ==== | ||
| Línea 1210: | Línea 1242: | ||
| El mismo sistema brinda mucha ayuda, y es relativamente fácil de aprender a usar. Cuando se realicen tareas administrativas, se solicitarán credenciales. Se debe ingresar el usuario root y su contraseña. | El mismo sistema brinda mucha ayuda, y es relativamente fácil de aprender a usar. Cuando se realicen tareas administrativas, se solicitarán credenciales. Se debe ingresar el usuario root y su contraseña. | ||
| + | |||
| ===== 18. MySQL: conceptos, utilidad y posibilidades ===== | ===== 18. MySQL: conceptos, utilidad y posibilidades ===== | ||
| Línea 1385: | Línea 1418: | ||
| ==== 19.5. [ ] Otras ideas y posibilidades: chroot, clustering ==== | ==== 19.5. [ ] Otras ideas y posibilidades: chroot, clustering ==== | ||
| + | **chroot**: es una operación que cambia la raíz del sistema para el proceso en ejecución y sus hijos. Un proceso que corre en esta "jaula chroot" no puede acceder archivos fuera del árbol de directorios que se le asignó. Se usa para pruebas, acceso a sistemas dañados, instalación remota de sistemas operativos y separación de privilegios entre otros usos | ||
| + | |||
| + | **clustering**: un cluster es un conjunto de computadoras interconectadas y configuradas de manera de actuar como una sola para ciertas operaciones. Se obtienen así ventajas de rendimiento, de confiabilidad y tiempo de operación, o ambas. Linux ofrece gran flexibilidad, sumado a la confiabilidad y potencia del sistema operativo, para la creación de clústeres muy grandes. Todas las supercomputadoras más poderosas corren en Linux | ||
| ===== 20. Seguridad: conceptos, filosofía, métodos de ataque y verificación de la seguridad de un sistema ===== | ===== 20. Seguridad: conceptos, filosofía, métodos de ataque y verificación de la seguridad de un sistema ===== | ||
| Línea 1420: | Línea 1456: | ||
| **Port scanning**: proceso de buscar qué puertos están en estado de escucha (listening) en un equipo remoto | **Port scanning**: proceso de buscar qué puertos están en estado de escucha (listening) en un equipo remoto | ||
| - | ==== 20.2. [ ] Detección de intrusiones: snort, tiger ==== | + | ==== 20.2. [ ] Detección de intrusiones: snort, tripwire ==== |
| **Snort**: es un sistema de detección de intrusiones (IDS), extensible, poderoso, flexible y que permite responder a las amenazas de manera automatizada | **Snort**: es un sistema de detección de intrusiones (IDS), extensible, poderoso, flexible y que permite responder a las amenazas de manera automatizada | ||
| - | **Tiger**: es una colección de scripts que se utilizan para auditar un sistema Linux de manera automática | + | **Tripwire**: es un sistema que se utiliza para auditar un sistema Linux de manera automática. Debe ser instalado inmediatamente después del sistema operativo, para poder asegurar que el mismo está perfectamente limpio |
| - | ==== 20.3. [ ] Revisión de seguridad: tiger, nmap, chkrootkit, rkhunter ==== | + | ==== 20.3. [ ] Revisión de seguridad: tripwire, nmap, chkrootkit, rkhunter ==== |
| - | **Tiger** permite analizar los aspectos más importantes y básicos de la seguridad de un sistema. **Nmap** es un completo sistema de análisis remoto de seguridad de equipos mediante escaneo de puertos. **Chkrootkit** y **RKHunter** son dos sistemas de búsqueda de rootkits. | + | **Tripwire** permite analizar los aspectos más importantes y básicos de la seguridad de un sistema, pero debe ser instalado sobre un sistema limpio. **Nmap** es un completo sistema de análisis remoto de seguridad de equipos mediante escaneo de puertos. **Chkrootkit** y **RKHunter** son dos sistemas de búsqueda de rootkits. |
| ==== 20.4. [ ] Otras ideas interesantes sobre seguridad ==== | ==== 20.4. [ ] Otras ideas interesantes sobre seguridad ==== | ||
| El análisis de los requerimientos, sumados a un buen esquema de implementación, y a la aplicación de medidas básicas, avanzadas y creativas permite lograr un alto nivel de seguridad en sistemas Linux. | El análisis de los requerimientos, sumados a un buen esquema de implementación, y a la aplicación de medidas básicas, avanzadas y creativas permite lograr un alto nivel de seguridad en sistemas Linux. | ||
| + | |||
| + | * Bloquear logins de usuarios que no lo necesiten | ||
| + | * Mantener el sistema con los paquetes mínimos e instalados desde fuentes confiables | ||
| + | * Proteger /bin, /lib, /sbin y otros directorios imprescindibles | ||
| + | * Enjaular los demonios más importantes como DNSs, HTTP servers, SMTP, etc | ||
| + | * Revisar el rotado de logs | ||
| + | * En SSH limitar el acceso exclusivamente a los usuarios que realmente lo necesitan | ||
| + | * Establecer una política de seguridad y seguirla | ||
| + | * Establecer una rutina de análisis de seguridad y seguirla | ||
| + | * Implementar sistemas automáticos de análisis básico como logwatch | ||
| ==== 20.5. [ ] Firewall: Netfilter/Iptables ==== | ==== 20.5. [ ] Firewall: Netfilter/Iptables ==== | ||
cursoacelerado.1404102205.txt.gz · Última modificación: 2014/06/30 01:23 por fmolinuevo
Herramientas de la página
Excepto donde se indique lo contrario, el contenido de este wiki esta bajo la siguiente licencia: CC Attribution-Noncommercial-Share Alike 4.0 International
