Verificar Admin Local

De CURE - Informática
Saltar a: navegación, buscar

Telecom Rocha. Taller de Administración de Redes y Servicios.

Administración Local, verificación

Versión en borrador, VGB 2011111601

Esta es una guía mínima para la verificación de la instalación; no excluye otras pruebas, o el uso de otros comandos para verificar lo mismo. El propósito es, antes que nada, no olvidar verificar ningún punto. Las salidas mostradas son un recordatorio, pueden ser diferentes en las diferentes máquinas.

Para verificar:

  1. Ingresar en la máquina con el usuario habilitado.
  2. Correr estas pruebas y registrar resultados en la planilla de verificación.
  3. OJO al dar ifdown eth0: por SSH nos deja fuera de la conexión.


Red

  • instalación de red con modo tradicional net-tools, sin NetworkManager, usando el archivo /etc/network/interfaces.
  • interfaz de red eth0 con el IP público, servidores DNS, gateway y ruta por defecto, que levante automáticamente.
  • interfaz de red eth0:0 con dirección por DHCP, que no levante automáticamente, para manejar con ifup e ifdown.

Verificación

 $ less /etc/hosts:
 127.0.0.1       localhost
 127.0.1.1       paloma.taller.curerocha.edu.uy  paloma
 164.73.234.104	paloma.curerocha.edu.uy paloma
 164.73.234.102	pedrera.curerocha.edu.uy pedrera
 164.73.234.111	polonio.curerocha.edu.uy polonio
 164.73.234.112	puntadeldiablo.curerocha.edu.uy puntadeldiablo
 164.73.234.113	aguasdulces.curerocha.edu.uy aguasdulces
 164.73.234.114	valizas.curerocha.edu.uy valizas

Archivo /etc/networ/interfaces:

  • debe contener lo, eth0 y eth0:0.
 $ ifconfig eth0

debe tener la IP fija, máscara.

 $ route
 164.73.234.0    *               255.255.255.128 U     0      0        0 eth0
 default         garzon.taller.c 0.0.0.0         UG    100    0        0 eth0
 $ cat /etc/resolv.conf
 search taller.curerocha.edu.uy
 domain taller.curerocha.edu.uy
 nameserver 164.73.128.5
 nameserver 164.73.128.70
 # los servidores de nombres pueden ser otros.
 $ ping www.google.com

verifica resolución de nombres y acceso a Internet.

 $ sudo ifdown eth0

OJO, ¡por SSH perdemos el acceso a la máquina! Por SSH, no hacerlo.

 $ sudo ifup eth0:0
 $ sudo ifconfig eth0:0

OJO, no hay servidor DHCP, verificar mirando /etc/network/interfaces

 $ route

la ruta a la red 10.0.x.x definida la coloca el ifconfig (si hay DHCP)

 $ ifdown eth0:0
 $ ifup eth0

Usuarios

Deben estar:

  • los responsables de las máquinas: como administradores.
  • los docentes: como usuarios comunes.
  • otros estudiantes habilitados (opcional): como usuarios comunes.

Verificación

 $ less /etc/passwd

ver si están todos los usuarios pedidos.

 $ id vagonbar
 $ id jguida
 $ id pablo

estos comandos permiten ver los grupos.

 $ id <administrador máquina 1>
 $ id <administrador máquina 2>

para ver si los dos administradores están en el grupo admin.

Acceso SSH

  • acceso SSH a la máquina.

Verificación

 $ ssh usuario@localhost

aún si estamos operando en la máquina local esto verifica acceso SSH.

Privilegios (sudoers)

  • definición de administradores y auditores con sus comandos habilitados correspondientes; los administradores pueden realizar cualquier tarea (vía sudo), los auditores pueden correr los comandos para visualizar tareas (vía sudo).
  • incluir un conjunto de permisos RED con los comandos ifup e ifdown, habilitados para los auditores.
  • bloqueado 'sudo su': no debe ser posible acceder a root ejecutando sudo, para nadie; los comandos deberán correrse con 'sudo comando'.

Verificación

 $ sudo less /var/log/auth.log

también: cat, tail, head, more...

 $ sudo less /etc/sudoers

verificar: alias usuarios, alias comandos, asignación.

 $ sudo su

no debe permitir.


Estado del sistema

  • instalación de logwatch.
  • instalación de Postfix para poder enviar correo diario de logwatch (al menos para esto).
  • envío de correo diario de logwatch a los docentes (además de los responsables de la máquina); una vez comprobado el funcionamiento se pedirá la eliminación del envío a los docentes.

Verificación

 $ sudo logwatch --mailto vagonbar@gmail.com

debe generar el log y enviar correo; verifica también correo.

 $ which mail

para ver si está instalado el paquete bsd-mailx.

 $ mail -s "prueba a mi mismo" <usuario>

para ver si el correo funciona en envío local

 $ mail

para leer el correo local.


Respaldo

  • sincronización diaria de los directorios /etc y /home de cada máquina hacia la máquina paloma:/respaldos, donde existirá un subdirectorio por cada máquina a respaldar, de propiedad de uno de los administradores.

Verificación

 $ ls -l /etc/cron.daily

debe estar el script para sincronización.

 $ less /etc/cron.daily/<nombre script sincronización>

para ver el contenido, cómo hicieron la sincronización.

 $ ls -lR /respaldos/<nombre máquina> | less

para ver los archivos respaldados.