Diferencia entre revisiones de «Entrega Redes y Servicios»

De CURE - Informática
Ir a la navegación Ir a la búsqueda
m
 
(No se muestran 27 ediciones intermedias de otro usuario)
Línea 1: Línea 1:
'''¡¡¡ Página en construcción !!!'''
+
Generación 2010.
 +
Esta página describe lo pedido para la entrega de Redes y Servicios.
 +
'''Esta página puede ser modificada antes de la fecha de entrega:'''
 +
no se agregarán nuevos temas, pero pueden agregarse notas aclaratorias o nuevos modos de verificación.
 +
'''''Se recomienda revisar esta página con frecuencia.'''''
  
  
Línea 8: Línea 12:
 
* las rutas adecuadas; ruta por defecto de salida a Internet.
 
* las rutas adecuadas; ruta por defecto de salida a Internet.
  
'''Verificación'''
+
'''Verificación:'''
 
* <code>ifconfig, route, ping, traceroute, ip</code>.
 
* <code>ifconfig, route, ping, traceroute, ip</code>.
* inspección: archivos de configuración.
+
* inspección de los archivos de configuración.
 +
  $ ifconfig eth0
 +
  $ ifconfig eth0:0
 +
  $ route
 +
 
  
  
Línea 21: Línea 29:
 
'''Verificación'''
 
'''Verificación'''
 
* corrimiento de hora de la máquina.
 
* corrimiento de hora de la máquina.
 +
* paquetes instalados: ntpdate, ntp; opcional ntp-doc.
 
* comandos de hora.
 
* comandos de hora.
* inspección: archivos de configuración.
+
* inspección de los archivos de configuración: </code>/etc/ntp.conf, /etc/default/ntp, /etc/default/ntpdate</code>.
 +
  $ date
 +
  $ dpkg -s ntpdate
 +
  $ dpkg -s ntp
 +
  $ ntpdc -c peers
  
  
Línea 30: Línea 43:
  
 
'''Verificación'''
 
'''Verificación'''
* comandos: <code>host, dig</code>; <code>dlint</code> no ¿por qué?
+
* comandos: <code>named-checkconf, named-checkzone, named-compilezone, host, dig, dlint</code>.
* inspección: archivos de configuración.
+
* inspección de los archivos de configuración:
 
+
** <code>named.conf.local</code>: zonas directa, inversa; zonas de quien esta máquina es secundario.
 +
** <code>named.conf.options</code>: allow-transfer a la red local; allow-query; forwarder. Coherencia con <code>named.conf.local</code>.
 +
** <code>named.conf</code>: sin alterar.
 +
** <code>/etc/resolv.conf</code>: domain, search, localhost como nameserver.
 +
En máquina local (e.g. polonio):
 +
  $ named-checkconf /etc/bind/named.conf
 +
  $ named-checkconf /etc/bind/named.conf.local
 +
  $ named-checkconf /etc/bind/named.conf.options
 +
  $ ls -l /var/cache/bind    # ver dueño, grupo, permisos, setgid
 +
  $ named-checkzone dompolonio.taller.curerocha.edu.uy. /var/cache/bind/dompolonio \
 +
    /db.dompolonio.taller.curerocha.edu.uy
 +
  $ named-checkzone 1.10.100.0-in-addr.arpa. /var/cache/bind/dompolonio/db.1.100.10
 +
  $ host www.yahoo.com localhost  # o cualquier sitio Internet
 +
  $ dig anteldata.com.uy. NS @localhost  # u otro sitio que responda, e.g. seciu.uy.
 +
En máquina remota:
 +
  $ bin/probedns2.sh dompolonio.taller.curerocha.eud.uy.
 +
Verificar: NS (2 o más); MX (1 en 0, opcional otro en 10); máquinas perro gato y mono (directo e inverso); CNAME a wiki, www.
  
 
==Correo electrónico==
 
==Correo electrónico==
Línea 38: Línea 67:
 
* entrega de correo local a usuarios de la máquina.
 
* entrega de correo local a usuarios de la máquina.
 
* entrega de correo hacia servidores de correo en Internet.
 
* entrega de correo hacia servidores de correo en Internet.
* recepción de correo desde servidores de Internet hacia <usuario>@<maquina>.taller.curerocha.edu.uy.
+
* recepción de correo desde servidores de Internet hacia
 +
** <usuario>@<maquina>.<subdominio>.taller.curerocha.edu.uy.
 +
** <usuario>@<subdominio>.taller.curerocha.edu.uy.
  
 
'''Verificación'''
 
'''Verificación'''
 
* envío y recepción de correos locales y en Internet.
 
* envío y recepción de correos locales y en Internet.
 
* recepción de informes de <code>logwatch</code>.
 
* recepción de informes de <code>logwatch</code>.
 +
  $ mail -s localhost vagonbar@localhost
 +
  $ mail -s polonio vagonbar@polonio
 +
  $ mail -s dompolonio vagonbar@dompolonio.taller.curerocha.edu.uy
 +
  $ mail    # verificar recepción, rebotes, etc.
 +
  $ mail -s depolonio usuario@gmail.com
 +
Envío desde el exterior a:
 +
* usuario@polonio.dompolonio.taller.curerocha.edu.uy
 +
* usuario@dompolonio.taller.curerocha.edu.uy
 +
Deben recibirse en polonio.
 +
 +
==NFS==
 +
En la máquina servidora, exportar:
 +
* directorios propios de usuarios de esta máquina, para ser montado y usado por el propio usuario desde otras máquinas (exportar el /home).
 +
* directorio /publico, un directorio de acceso libre sin permisos de escritura.
 +
La exportación debe limitarse a las máquinas de la red local del CURE sede Rocha.
 +
En la máquina servidora, montar automáticamente:
 +
* el directorio paloma:/respaldos/nombre_máquina, en el directorio /mnt/nombre_máquina, donde nombre_máquina es el nombre de esta máquina servidora.
 +
* NO DEBERA ser posible para un usuario remoto obtener permisos de root sobre los archivos exportados.
 +
 +
'''Verificación'''
 +
* montaje de los recursos exportados en otra máquina. Ejemplo: en paloma debe poder montarse el directorio polonio:/home, y el usuario vagonbar acceder a los archivos en polonio:/home/vagonbar.
 +
* verificación de recurso remoto montado en máquina local. Ejemplo: en polonio, debe estar en /mnt/polonio el recurso paloma:/respaldos/polonio.
 +
* comandos: <code>mount, umount, showmount, mountpoint, exportfs</code>.
 +
* inspección de los archivos de configuración.
 +
Comandos para verificar en paloma exportación NFS desde puntadeldiablo:
 +
  $ sudo mount puntadeldiablo:/home /mnt
 +
  $ ls -l /mnt    # directorios de usuarios de puntadeldiablo
 +
  $ cd /mnt
 +
  $ sudo touch nodebe.txt  # no debe permitir
 +
  $ cd miusuario
 +
  $ touch prueba.txt; ls -l; rm prueba.txt    # sólo si UIDs iguales en las máquinas.
 +
  $ cd
 +
  $ sudo umount /mnt
 +
  $ sudo mount puntadeldiablo:/publico /mnt
 +
  $ ls -l /mnt
 +
  $ cd /mnt
 +
  $ touch nodebe.txt    # no debe permitir
 +
  $ sudo touch nodebe.txt  # no debe permitir
 +
  $ cd
 +
  $ sudo umount /mnt
 +
 +
==Samba==
 +
En la máquina servidora, habilitar acceso vía Samba de los siguientes recursos:
 +
* directorios propios de usuarios de esta máquina, para ser usado por el propio usuario desde una máquina MS Windows, o desde una máquina Linux mediante <code>smbclient</code> o similar.
 +
* directorio /publico, un directorio de acceso libre sin permisos de escritura.
 +
Nota: estos dos recursos son los mismos que se exportan vía NFS.
 +
* las impresoras definidas en la máquina servidora.
 +
Se requiere:
 +
* contraseñas habilitadas (<code>smbpasswd</code>) para los docentes, con sus contraseñas habituales.
 +
 +
'''Verificación'''
 +
* visualización de recursos exportados (comando <code>smbclient</code>).
 +
* acceso a los recursos exportados (comando <code>smbclient</code>), verificación de permisos por subida y bajada de archivos (<code>put, get</code> en <code>smbclient</code>).
 +
* acceso a los recursos exportados desde una máquina con MS-Windows.
 +
* inspección de los archivos de configuración.
 +
  $ smbclient -L polonio        # dando y sin dar contraseña del usuario en polonio
 +
  $ smbclient //polonio/publico  # dando contraseña en polonio
 +
  smb: \> ls
 +
  smb: \> lcd /etc
 +
  smb: \> put resolv.conf        # no debe permitir
 +
  smb: \> quit
 +
  $ smbclient //polonio/homes
 +
  smb: \> pwd                    # en //polonio/homes
 +
  smb: \> ls                    # archivos en directorio de usuario
 +
  smb: \> lcd /etc
 +
  smb: \> put resolv.conf        # debe permitir subir el archivo
 +
  smb: \> ls                    # debe estar resolv.conf
 +
  smb: \> rm resolv.conf        # debe permitir borrar
 +
  smb: \> quit
 +
Operando en paloma:
 +
  $ sudo mount -t cifs -o user=usuario%contraseña //polonio/homes /mnt
 +
  $ ls /mnt
 +
  $ cd /mnt; pwd; touch coco; ls coco; rm coco; cd
 +
  $ sudo umount /mnt
 +
  $ sudo mount -t cifs -o user=usuario%contraseña //polonio/publico /mnt
 +
  $ ls /mnt
 +
  $ cd /mnt; pwd; touch coco; ls coco; rm coco; cd    # no debe permitir
 +
  $ sudo umount /mnt
 +
 +
==Apache==
 +
El servidor web deberá responder a las siguientes direcciones:
 +
* <code>www.<subdominio>.taller.curerocha.edu.uy</code>, mostrando una página donde se informe que se está en el sitio web de <subdominio>, el nombre de los administradores del subdominio, y otra información que se desee mostrar al visitante.
 +
* <code>wiki.<subdominio>.taller.curerocha.edu.uy</code>, tal cual se pide en la siguiente sección "Wiki".
 +
Además de lo ya indicado, para la configuración de Apache, se pedirá lo necesario para que funcione el wiki, conforme se pide en la sección siguiente, "Wiki".
 +
 +
'''Verificación:'''
 +
* navegación a los sitios pedidos.
 +
* inspección de los archivos de configuración.
  
  
 
==Wiki==
 
==Wiki==
  
Instalar una wiki en el servidor
+
Instalar una wiki en el servidor del subdominio.
  
#tikiwiki  para polonio y aguasdulces
+
# tikiwiki  para polonio y aguasdulces
#wikkawiki para valizas y puntadeldiablo
+
# wikkawiki para valizas y puntadeldiablo
  
En esta wiki debe haber una pagina con la documentación de los servicios implementados y una pagina con un enlace a la mediawiki Notas de Administración.-
+
En esta wiki debe haber una página con la documentación de los servicios implementados y una página con un enlace a la mediawiki [http://paloma.taller.curerocha.edu.uy/mediawiki/index.php/Notas_de_administraci%C3%B3n Notas de Administración].
  
 
Se debe poder ingresar a la wiki de la siguiente manera:
 
Se debe poder ingresar a la wiki de la siguiente manera:
 +
<code><nowiki>http://wiki.subdominio.taller.curerocha.edu.uy</nowiki></code>
  
wiki.subdominio.taller.curerocha.edu.uy
+
Ejemplo: para polonio sería <code><nowiki>http://wiki.dompolinio.taller.curerocha.edu.uy</nowiki></code>
 
 
Ej: para polonio sería wiki.dompolinio.taller.curerocha.edu.uy
 
  
 
Tener en cuenta:
 
Tener en cuenta:
 
+
* Se debe ingresar al servidor DNS el nombre canónico de la wiki.
*Se deben ingresar al servidor DNS el nombre canónico de la wiki
+
* Se debe crear el vhost en el apache para la wiki.
*Se debe crear el vhost en el apache para la wiki
 
  
 
Referencias:
 
Referencias:
 +
* http://tiki.org/Community
 +
* http://docs.wikkawiki.org/HomePage
 +
* http://taller.curerocha.edu.uy/mediawiki/index.php/Tikiwiki
 +
* http://taller.curerocha.edu.uy/mediawiki/index.php/MediaWiki
  
http://tiki.org/Community
+
'''Verificación:'''
 +
* acceso al sitio wiki.
 +
* operaciones normales para un usuario wiki.
  
http://docs.wikkawiki.org/HomePage
 
 
http://taller.curerocha.edu.uy/mediawiki/index.php/Tikiwiki
 
 
http://taller.curerocha.edu.uy/mediawiki/index.php/MediaWiki
 
  
 
==Seguridad==
 
==Seguridad==
Línea 82: Línea 200:
 
* por el <code>logwatch</code> de cada máquina.
 
* por el <code>logwatch</code> de cada máquina.
 
* inspección: instalación de paquete, archivos de configuración.
 
* inspección: instalación de paquete, archivos de configuración.
 +
 +
 +
==Bibliografía==
 +
* Debian Reference, 2010, [http://www.debian.org/doc/manuals/debian-
 +
reference/ch05.en.html Network Setup].
 +
* Debian Reference, 2010, [http://www.debian.org/doc/manuals/debian-reference/ch06.en.html Network Applications].
 +
* Documentación de paquetes, en /usr/share/doc.
 +
* Páginas man.
 +
 +
[[Category:Descontinuadas]]

Revisión actual - 16:43 14 ene 2022

Generación 2010. Esta página describe lo pedido para la entrega de Redes y Servicios. Esta página puede ser modificada antes de la fecha de entrega: no se agregarán nuevos temas, pero pueden agregarse notas aclaratorias o nuevos modos de verificación. Se recomienda revisar esta página con frecuencia.


Red

La interfaz Ethernet soportando dos redes locales:

  • número IP real; máquina accesible desde Internet.
  • número IP de red privada para configuración de subdominios, conforme lo pedido en DNS.
  • las rutas adecuadas; ruta por defecto de salida a Internet.

Verificación:

  • ifconfig, route, ping, traceroute, ip.
  • inspección de los archivos de configuración.
 $ ifconfig eth0
 $ ifconfig eth0:0
 $ route


NTP

Ver los objetivos de la página NTP:

  • máquina en hora, actualizada automáticamente.
  • poder pedir la puesta en hora con un comando.
  • máquina actuando como servidor de hora para la red local.

Verificación

  • corrimiento de hora de la máquina.
  • paquetes instalados: ntpdate, ntp; opcional ntp-doc.
  • comandos de hora.
  • inspección de los archivos de configuración: /etc/ntp.conf, /etc/default/ntp, /etc/default/ntpdate.
 $ date
 $ dpkg -s ntpdate
 $ dpkg -s ntp
 $ ntpdc -c peers


DNS

Delegación de zonas. Ver los objetivos en la sección DNS, Etapa 2, Delegación de Dominios.

Verificación

  • comandos: named-checkconf, named-checkzone, named-compilezone, host, dig, dlint.
  • inspección de los archivos de configuración:
    • named.conf.local: zonas directa, inversa; zonas de quien esta máquina es secundario.
    • named.conf.options: allow-transfer a la red local; allow-query; forwarder. Coherencia con named.conf.local.
    • named.conf: sin alterar.
    • /etc/resolv.conf: domain, search, localhost como nameserver.

En máquina local (e.g. polonio):

 $ named-checkconf /etc/bind/named.conf
 $ named-checkconf /etc/bind/named.conf.local
 $ named-checkconf /etc/bind/named.conf.options
 $ ls -l /var/cache/bind    # ver dueño, grupo, permisos, setgid
 $ named-checkzone dompolonio.taller.curerocha.edu.uy. /var/cache/bind/dompolonio \
   /db.dompolonio.taller.curerocha.edu.uy
 $ named-checkzone 1.10.100.0-in-addr.arpa. /var/cache/bind/dompolonio/db.1.100.10
 $ host www.yahoo.com localhost   # o cualquier sitio Internet
 $ dig anteldata.com.uy. NS @localhost   # u otro sitio que responda, e.g. seciu.uy.

En máquina remota:

 $ bin/probedns2.sh dompolonio.taller.curerocha.eud.uy.

Verificar: NS (2 o más); MX (1 en 0, opcional otro en 10); máquinas perro gato y mono (directo e inverso); CNAME a wiki, www.

Correo electrónico

Reitera y amplía objetivos de la instalación Admin local:

  • entrega de correo local a usuarios de la máquina.
  • entrega de correo hacia servidores de correo en Internet.
  • recepción de correo desde servidores de Internet hacia
    • <usuario>@<maquina>.<subdominio>.taller.curerocha.edu.uy.
    • <usuario>@<subdominio>.taller.curerocha.edu.uy.

Verificación

  • envío y recepción de correos locales y en Internet.
  • recepción de informes de logwatch.
 $ mail -s localhost vagonbar@localhost
 $ mail -s polonio vagonbar@polonio
 $ mail -s dompolonio vagonbar@dompolonio.taller.curerocha.edu.uy
 $ mail    # verificar recepción, rebotes, etc.
 $ mail -s depolonio usuario@gmail.com

Envío desde el exterior a:

  • usuario@polonio.dompolonio.taller.curerocha.edu.uy
  • usuario@dompolonio.taller.curerocha.edu.uy

Deben recibirse en polonio.

NFS

En la máquina servidora, exportar:

  • directorios propios de usuarios de esta máquina, para ser montado y usado por el propio usuario desde otras máquinas (exportar el /home).
  • directorio /publico, un directorio de acceso libre sin permisos de escritura.

La exportación debe limitarse a las máquinas de la red local del CURE sede Rocha. En la máquina servidora, montar automáticamente:

  • el directorio paloma:/respaldos/nombre_máquina, en el directorio /mnt/nombre_máquina, donde nombre_máquina es el nombre de esta máquina servidora.
  • NO DEBERA ser posible para un usuario remoto obtener permisos de root sobre los archivos exportados.

Verificación

  • montaje de los recursos exportados en otra máquina. Ejemplo: en paloma debe poder montarse el directorio polonio:/home, y el usuario vagonbar acceder a los archivos en polonio:/home/vagonbar.
  • verificación de recurso remoto montado en máquina local. Ejemplo: en polonio, debe estar en /mnt/polonio el recurso paloma:/respaldos/polonio.
  • comandos: mount, umount, showmount, mountpoint, exportfs.
  • inspección de los archivos de configuración.

Comandos para verificar en paloma exportación NFS desde puntadeldiablo:

 $ sudo mount puntadeldiablo:/home /mnt
 $ ls -l /mnt    # directorios de usuarios de puntadeldiablo
 $ cd /mnt
 $ sudo touch nodebe.txt   # no debe permitir
 $ cd miusuario
 $ touch prueba.txt; ls -l; rm prueba.txt    # sólo si UIDs iguales en las máquinas.
 $ cd
 $ sudo umount /mnt
 $ sudo mount puntadeldiablo:/publico /mnt
 $ ls -l /mnt
 $ cd /mnt
 $ touch nodebe.txt    # no debe permitir
 $ sudo touch nodebe.txt   # no debe permitir
 $ cd
 $ sudo umount /mnt

Samba

En la máquina servidora, habilitar acceso vía Samba de los siguientes recursos:

  • directorios propios de usuarios de esta máquina, para ser usado por el propio usuario desde una máquina MS Windows, o desde una máquina Linux mediante smbclient o similar.
  • directorio /publico, un directorio de acceso libre sin permisos de escritura.

Nota: estos dos recursos son los mismos que se exportan vía NFS.

  • las impresoras definidas en la máquina servidora.

Se requiere:

  • contraseñas habilitadas (smbpasswd) para los docentes, con sus contraseñas habituales.

Verificación

  • visualización de recursos exportados (comando smbclient).
  • acceso a los recursos exportados (comando smbclient), verificación de permisos por subida y bajada de archivos (put, get en smbclient).
  • acceso a los recursos exportados desde una máquina con MS-Windows.
  • inspección de los archivos de configuración.
 $ smbclient -L polonio         # dando y sin dar contraseña del usuario en polonio
 $ smbclient //polonio/publico  # dando contraseña en polonio
 smb: \> ls
 smb: \> lcd /etc
 smb: \> put resolv.conf        # no debe permitir
 smb: \> quit
 $ smbclient //polonio/homes
 smb: \> pwd                    # en //polonio/homes
 smb: \> ls                     # archivos en directorio de usuario
 smb: \> lcd /etc
 smb: \> put resolv.conf        # debe permitir subir el archivo
 smb: \> ls                     # debe estar resolv.conf
 smb: \> rm resolv.conf         # debe permitir borrar
 smb: \> quit

Operando en paloma:

 $ sudo mount -t cifs -o user=usuario%contraseña //polonio/homes /mnt
 $ ls /mnt
 $ cd /mnt; pwd; touch coco; ls coco; rm coco; cd
 $ sudo umount /mnt
 $ sudo mount -t cifs -o user=usuario%contraseña //polonio/publico /mnt
 $ ls /mnt
 $ cd /mnt; pwd; touch coco; ls coco; rm coco; cd    # no debe permitir
 $ sudo umount /mnt

Apache

El servidor web deberá responder a las siguientes direcciones:

  • www.<subdominio>.taller.curerocha.edu.uy, mostrando una página donde se informe que se está en el sitio web de <subdominio>, el nombre de los administradores del subdominio, y otra información que se desee mostrar al visitante.
  • wiki.<subdominio>.taller.curerocha.edu.uy, tal cual se pide en la siguiente sección "Wiki".

Además de lo ya indicado, para la configuración de Apache, se pedirá lo necesario para que funcione el wiki, conforme se pide en la sección siguiente, "Wiki".

Verificación:

  • navegación a los sitios pedidos.
  • inspección de los archivos de configuración.


Wiki

Instalar una wiki en el servidor del subdominio.

  1. tikiwiki para polonio y aguasdulces
  2. wikkawiki para valizas y puntadeldiablo

En esta wiki debe haber una página con la documentación de los servicios implementados y una página con un enlace a la mediawiki Notas de Administración.

Se debe poder ingresar a la wiki de la siguiente manera: http://wiki.subdominio.taller.curerocha.edu.uy

Ejemplo: para polonio sería http://wiki.dompolinio.taller.curerocha.edu.uy

Tener en cuenta:

  • Se debe ingresar al servidor DNS el nombre canónico de la wiki.
  • Se debe crear el vhost en el apache para la wiki.

Referencias:

Verificación:

  • acceso al sitio wiki.
  • operaciones normales para un usuario wiki.


Seguridad

  • logwatch instalado, enviando correo, nivel de detalle "medio".
  • Instalar sshblock u otro sistema de limitación de ataques por fuerza bruta.

Verificación

  • por el logwatch de cada máquina.
  • inspección: instalación de paquete, archivos de configuración.


Bibliografía

reference/ch05.en.html Network Setup].

  • Debian Reference, 2010, Network Applications.
  • Documentación de paquetes, en /usr/share/doc.
  • Páginas man.