Diferencia entre revisiones de «Entrega Redes y Servicios»
De CURE - Informática
m |
|||
| (No se muestran 29 ediciones intermedias de 2 usuarios) | |||
| Línea 1: | Línea 1: | ||
| − | ''' | + | Generación 2010. |
| + | Esta página describe lo pedido para la entrega de Redes y Servicios. | ||
| + | '''Esta página puede ser modificada antes de la fecha de entrega:''' | ||
| + | no se agregarán nuevos temas, pero pueden agregarse notas aclaratorias o nuevos modos de verificación. | ||
| + | '''''Se recomienda revisar esta página con frecuencia.''''' | ||
| Línea 8: | Línea 12: | ||
* las rutas adecuadas; ruta por defecto de salida a Internet. | * las rutas adecuadas; ruta por defecto de salida a Internet. | ||
| − | '''Verificación''' | + | '''Verificación:''' |
* <code>ifconfig, route, ping, traceroute, ip</code>. | * <code>ifconfig, route, ping, traceroute, ip</code>. | ||
| − | * inspección | + | * inspección de los archivos de configuración. |
| + | $ ifconfig eth0 | ||
| + | $ ifconfig eth0:0 | ||
| + | $ route | ||
| + | |||
| Línea 21: | Línea 29: | ||
'''Verificación''' | '''Verificación''' | ||
* corrimiento de hora de la máquina. | * corrimiento de hora de la máquina. | ||
| + | * paquetes instalados: ntpdate, ntp; opcional ntp-doc. | ||
* comandos de hora. | * comandos de hora. | ||
| − | * inspección | + | * inspección de los archivos de configuración: </code>/etc/ntp.conf, /etc/default/ntp, /etc/default/ntpdate</code>. |
| + | $ date | ||
| + | $ dpkg -s ntpdate | ||
| + | $ dpkg -s ntp | ||
| + | $ ntpdc -c peers | ||
| Línea 30: | Línea 43: | ||
'''Verificación''' | '''Verificación''' | ||
| − | * comandos: <code>host, dig</code>; <code> | + | * comandos: <code>named-checkconf, named-checkzone, named-compilezone, host, dig, dlint</code>. |
| − | * | + | * inspección de los archivos de configuración: |
| − | + | ** <code>named.conf.local</code>: zonas directa, inversa; zonas de quien esta máquina es secundario. | |
| + | ** <code>named.conf.options</code>: allow-transfer a la red local; allow-query; forwarder. Coherencia con <code>named.conf.local</code>. | ||
| + | ** <code>named.conf</code>: sin alterar. | ||
| + | ** <code>/etc/resolv.conf</code>: domain, search, localhost como nameserver. | ||
| + | En máquina local (e.g. polonio): | ||
| + | $ named-checkconf /etc/bind/named.conf | ||
| + | $ named-checkconf /etc/bind/named.conf.local | ||
| + | $ named-checkconf /etc/bind/named.conf.options | ||
| + | $ ls -l /var/cache/bind # ver dueño, grupo, permisos, setgid | ||
| + | $ named-checkzone dompolonio.taller.curerocha.edu.uy. /var/cache/bind/dompolonio \ | ||
| + | /db.dompolonio.taller.curerocha.edu.uy | ||
| + | $ named-checkzone 1.10.100.0-in-addr.arpa. /var/cache/bind/dompolonio/db.1.100.10 | ||
| + | $ host www.yahoo.com localhost # o cualquier sitio Internet | ||
| + | $ dig anteldata.com.uy. NS @localhost # u otro sitio que responda, e.g. seciu.uy. | ||
| + | En máquina remota: | ||
| + | $ bin/probedns2.sh dompolonio.taller.curerocha.eud.uy. | ||
| + | Verificar: NS (2 o más); MX (1 en 0, opcional otro en 10); máquinas perro gato y mono (directo e inverso); CNAME a wiki, www. | ||
==Correo electrónico== | ==Correo electrónico== | ||
| Línea 38: | Línea 67: | ||
* entrega de correo local a usuarios de la máquina. | * entrega de correo local a usuarios de la máquina. | ||
* entrega de correo hacia servidores de correo en Internet. | * entrega de correo hacia servidores de correo en Internet. | ||
| − | * recepción de correo desde servidores de Internet hacia <usuario>@<maquina>.taller.curerocha.edu.uy. | + | * recepción de correo desde servidores de Internet hacia |
| + | ** <usuario>@<maquina>.<subdominio>.taller.curerocha.edu.uy. | ||
| + | ** <usuario>@<subdominio>.taller.curerocha.edu.uy. | ||
'''Verificación''' | '''Verificación''' | ||
* envío y recepción de correos locales y en Internet. | * envío y recepción de correos locales y en Internet. | ||
* recepción de informes de <code>logwatch</code>. | * recepción de informes de <code>logwatch</code>. | ||
| + | $ mail -s localhost vagonbar@localhost | ||
| + | $ mail -s polonio vagonbar@polonio | ||
| + | $ mail -s dompolonio vagonbar@dompolonio.taller.curerocha.edu.uy | ||
| + | $ mail # verificar recepción, rebotes, etc. | ||
| + | $ mail -s depolonio usuario@gmail.com | ||
| + | Envío desde el exterior a: | ||
| + | * usuario@polonio.dompolonio.taller.curerocha.edu.uy | ||
| + | * usuario@dompolonio.taller.curerocha.edu.uy | ||
| + | Deben recibirse en polonio. | ||
| + | |||
| + | ==NFS== | ||
| + | En la máquina servidora, exportar: | ||
| + | * directorios propios de usuarios de esta máquina, para ser montado y usado por el propio usuario desde otras máquinas (exportar el /home). | ||
| + | * directorio /publico, un directorio de acceso libre sin permisos de escritura. | ||
| + | La exportación debe limitarse a las máquinas de la red local del CURE sede Rocha. | ||
| + | En la máquina servidora, montar automáticamente: | ||
| + | * el directorio paloma:/respaldos/nombre_máquina, en el directorio /mnt/nombre_máquina, donde nombre_máquina es el nombre de esta máquina servidora. | ||
| + | * NO DEBERA ser posible para un usuario remoto obtener permisos de root sobre los archivos exportados. | ||
| + | |||
| + | '''Verificación''' | ||
| + | * montaje de los recursos exportados en otra máquina. Ejemplo: en paloma debe poder montarse el directorio polonio:/home, y el usuario vagonbar acceder a los archivos en polonio:/home/vagonbar. | ||
| + | * verificación de recurso remoto montado en máquina local. Ejemplo: en polonio, debe estar en /mnt/polonio el recurso paloma:/respaldos/polonio. | ||
| + | * comandos: <code>mount, umount, showmount, mountpoint, exportfs</code>. | ||
| + | * inspección de los archivos de configuración. | ||
| + | Comandos para verificar en paloma exportación NFS desde puntadeldiablo: | ||
| + | $ sudo mount puntadeldiablo:/home /mnt | ||
| + | $ ls -l /mnt # directorios de usuarios de puntadeldiablo | ||
| + | $ cd /mnt | ||
| + | $ sudo touch nodebe.txt # no debe permitir | ||
| + | $ cd miusuario | ||
| + | $ touch prueba.txt; ls -l; rm prueba.txt # sólo si UIDs iguales en las máquinas. | ||
| + | $ cd | ||
| + | $ sudo umount /mnt | ||
| + | $ sudo mount puntadeldiablo:/publico /mnt | ||
| + | $ ls -l /mnt | ||
| + | $ cd /mnt | ||
| + | $ touch nodebe.txt # no debe permitir | ||
| + | $ sudo touch nodebe.txt # no debe permitir | ||
| + | $ cd | ||
| + | $ sudo umount /mnt | ||
| + | |||
| + | ==Samba== | ||
| + | En la máquina servidora, habilitar acceso vía Samba de los siguientes recursos: | ||
| + | * directorios propios de usuarios de esta máquina, para ser usado por el propio usuario desde una máquina MS Windows, o desde una máquina Linux mediante <code>smbclient</code> o similar. | ||
| + | * directorio /publico, un directorio de acceso libre sin permisos de escritura. | ||
| + | Nota: estos dos recursos son los mismos que se exportan vía NFS. | ||
| + | * las impresoras definidas en la máquina servidora. | ||
| + | Se requiere: | ||
| + | * contraseñas habilitadas (<code>smbpasswd</code>) para los docentes, con sus contraseñas habituales. | ||
| + | |||
| + | '''Verificación''' | ||
| + | * visualización de recursos exportados (comando <code>smbclient</code>). | ||
| + | * acceso a los recursos exportados (comando <code>smbclient</code>), verificación de permisos por subida y bajada de archivos (<code>put, get</code> en <code>smbclient</code>). | ||
| + | * acceso a los recursos exportados desde una máquina con MS-Windows. | ||
| + | * inspección de los archivos de configuración. | ||
| + | $ smbclient -L polonio # dando y sin dar contraseña del usuario en polonio | ||
| + | $ smbclient //polonio/publico # dando contraseña en polonio | ||
| + | smb: \> ls | ||
| + | smb: \> lcd /etc | ||
| + | smb: \> put resolv.conf # no debe permitir | ||
| + | smb: \> quit | ||
| + | $ smbclient //polonio/homes | ||
| + | smb: \> pwd # en //polonio/homes | ||
| + | smb: \> ls # archivos en directorio de usuario | ||
| + | smb: \> lcd /etc | ||
| + | smb: \> put resolv.conf # debe permitir subir el archivo | ||
| + | smb: \> ls # debe estar resolv.conf | ||
| + | smb: \> rm resolv.conf # debe permitir borrar | ||
| + | smb: \> quit | ||
| + | Operando en paloma: | ||
| + | $ sudo mount -t cifs -o user=usuario%contraseña //polonio/homes /mnt | ||
| + | $ ls /mnt | ||
| + | $ cd /mnt; pwd; touch coco; ls coco; rm coco; cd | ||
| + | $ sudo umount /mnt | ||
| + | $ sudo mount -t cifs -o user=usuario%contraseña //polonio/publico /mnt | ||
| + | $ ls /mnt | ||
| + | $ cd /mnt; pwd; touch coco; ls coco; rm coco; cd # no debe permitir | ||
| + | $ sudo umount /mnt | ||
| + | |||
| + | ==Apache== | ||
| + | El servidor web deberá responder a las siguientes direcciones: | ||
| + | * <code>www.<subdominio>.taller.curerocha.edu.uy</code>, mostrando una página donde se informe que se está en el sitio web de <subdominio>, el nombre de los administradores del subdominio, y otra información que se desee mostrar al visitante. | ||
| + | * <code>wiki.<subdominio>.taller.curerocha.edu.uy</code>, tal cual se pide en la siguiente sección "Wiki". | ||
| + | Además de lo ya indicado, para la configuración de Apache, se pedirá lo necesario para que funcione el wiki, conforme se pide en la sección siguiente, "Wiki". | ||
| + | |||
| + | '''Verificación:''' | ||
| + | * navegación a los sitios pedidos. | ||
| + | * inspección de los archivos de configuración. | ||
| + | |||
==Wiki== | ==Wiki== | ||
| − | Instalar una wiki en el servidor | + | Instalar una wiki en el servidor del subdominio. |
| − | #tikiwiki para polonio y aguasdulces | + | # tikiwiki para polonio y aguasdulces |
| − | #wikkawiki para valizas y puntadeldiablo | + | # wikkawiki para valizas y puntadeldiablo |
| − | En esta wiki debe haber una | + | En esta wiki debe haber una página con la documentación de los servicios implementados y una página con un enlace a la mediawiki [http://paloma.taller.curerocha.edu.uy/mediawiki/index.php/Notas_de_administraci%C3%B3n Notas de Administración]. |
Se debe poder ingresar a la wiki de la siguiente manera: | Se debe poder ingresar a la wiki de la siguiente manera: | ||
| + | <code><nowiki>http://wiki.subdominio.taller.curerocha.edu.uy</nowiki></code> | ||
| − | + | Ejemplo: para polonio sería <code><nowiki>http://wiki.dompolinio.taller.curerocha.edu.uy</nowiki></code> | |
| − | |||
| − | |||
Tener en cuenta: | Tener en cuenta: | ||
| − | + | * Se debe ingresar al servidor DNS el nombre canónico de la wiki. | |
| − | *Se | + | * Se debe crear el vhost en el apache para la wiki. |
| − | *Se debe crear el vhost en el apache para la wiki | ||
Referencias: | Referencias: | ||
| + | * http://tiki.org/Community | ||
| + | * http://docs.wikkawiki.org/HomePage | ||
| + | * http://taller.curerocha.edu.uy/mediawiki/index.php/Tikiwiki | ||
| + | * http://taller.curerocha.edu.uy/mediawiki/index.php/MediaWiki | ||
| − | + | '''Verificación:''' | |
| − | + | * acceso al sitio wiki. | |
| − | + | * operaciones normales para un usuario wiki. | |
| − | |||
| − | |||
| Línea 80: | Línea 200: | ||
* por el <code>logwatch</code> de cada máquina. | * por el <code>logwatch</code> de cada máquina. | ||
* inspección: instalación de paquete, archivos de configuración. | * inspección: instalación de paquete, archivos de configuración. | ||
| + | |||
| + | |||
| + | ==Bibliografía== | ||
| + | * Debian Reference, 2010, [http://www.debian.org/doc/manuals/debian- | ||
| + | reference/ch05.en.html Network Setup]. | ||
| + | * Debian Reference, 2010, [http://www.debian.org/doc/manuals/debian-reference/ch06.en.html Network Applications]. | ||
| + | * Documentación de paquetes, en /usr/share/doc. | ||
| + | * Páginas man. | ||
| + | |||
| + | [[Category:Descontinuadas]] | ||
Revisión actual del 13:43 14 ene 2022
Generación 2010. Esta página describe lo pedido para la entrega de Redes y Servicios. Esta página puede ser modificada antes de la fecha de entrega: no se agregarán nuevos temas, pero pueden agregarse notas aclaratorias o nuevos modos de verificación. Se recomienda revisar esta página con frecuencia.
Sumario
Red
La interfaz Ethernet soportando dos redes locales:
- número IP real; máquina accesible desde Internet.
- número IP de red privada para configuración de subdominios, conforme lo pedido en DNS.
- las rutas adecuadas; ruta por defecto de salida a Internet.
Verificación:
ifconfig, route, ping, traceroute, ip.- inspección de los archivos de configuración.
$ ifconfig eth0 $ ifconfig eth0:0 $ route
NTP
Ver los objetivos de la página NTP:
- máquina en hora, actualizada automáticamente.
- poder pedir la puesta en hora con un comando.
- máquina actuando como servidor de hora para la red local.
Verificación
- corrimiento de hora de la máquina.
- paquetes instalados: ntpdate, ntp; opcional ntp-doc.
- comandos de hora.
- inspección de los archivos de configuración: /etc/ntp.conf, /etc/default/ntp, /etc/default/ntpdate.
$ date $ dpkg -s ntpdate $ dpkg -s ntp $ ntpdc -c peers
DNS
Delegación de zonas. Ver los objetivos en la sección DNS, Etapa 2, Delegación de Dominios.
Verificación
- comandos:
named-checkconf, named-checkzone, named-compilezone, host, dig, dlint. - inspección de los archivos de configuración:
named.conf.local: zonas directa, inversa; zonas de quien esta máquina es secundario.named.conf.options: allow-transfer a la red local; allow-query; forwarder. Coherencia connamed.conf.local.named.conf: sin alterar./etc/resolv.conf: domain, search, localhost como nameserver.
En máquina local (e.g. polonio):
$ named-checkconf /etc/bind/named.conf $ named-checkconf /etc/bind/named.conf.local $ named-checkconf /etc/bind/named.conf.options $ ls -l /var/cache/bind # ver dueño, grupo, permisos, setgid $ named-checkzone dompolonio.taller.curerocha.edu.uy. /var/cache/bind/dompolonio \ /db.dompolonio.taller.curerocha.edu.uy $ named-checkzone 1.10.100.0-in-addr.arpa. /var/cache/bind/dompolonio/db.1.100.10 $ host www.yahoo.com localhost # o cualquier sitio Internet $ dig anteldata.com.uy. NS @localhost # u otro sitio que responda, e.g. seciu.uy.
En máquina remota:
$ bin/probedns2.sh dompolonio.taller.curerocha.eud.uy.
Verificar: NS (2 o más); MX (1 en 0, opcional otro en 10); máquinas perro gato y mono (directo e inverso); CNAME a wiki, www.
Correo electrónico
Reitera y amplía objetivos de la instalación Admin local:
- entrega de correo local a usuarios de la máquina.
- entrega de correo hacia servidores de correo en Internet.
- recepción de correo desde servidores de Internet hacia
- <usuario>@<maquina>.<subdominio>.taller.curerocha.edu.uy.
- <usuario>@<subdominio>.taller.curerocha.edu.uy.
Verificación
- envío y recepción de correos locales y en Internet.
- recepción de informes de
logwatch.
$ mail -s localhost vagonbar@localhost $ mail -s polonio vagonbar@polonio $ mail -s dompolonio vagonbar@dompolonio.taller.curerocha.edu.uy $ mail # verificar recepción, rebotes, etc. $ mail -s depolonio usuario@gmail.com
Envío desde el exterior a:
- usuario@polonio.dompolonio.taller.curerocha.edu.uy
- usuario@dompolonio.taller.curerocha.edu.uy
Deben recibirse en polonio.
NFS
En la máquina servidora, exportar:
- directorios propios de usuarios de esta máquina, para ser montado y usado por el propio usuario desde otras máquinas (exportar el /home).
- directorio /publico, un directorio de acceso libre sin permisos de escritura.
La exportación debe limitarse a las máquinas de la red local del CURE sede Rocha. En la máquina servidora, montar automáticamente:
- el directorio paloma:/respaldos/nombre_máquina, en el directorio /mnt/nombre_máquina, donde nombre_máquina es el nombre de esta máquina servidora.
- NO DEBERA ser posible para un usuario remoto obtener permisos de root sobre los archivos exportados.
Verificación
- montaje de los recursos exportados en otra máquina. Ejemplo: en paloma debe poder montarse el directorio polonio:/home, y el usuario vagonbar acceder a los archivos en polonio:/home/vagonbar.
- verificación de recurso remoto montado en máquina local. Ejemplo: en polonio, debe estar en /mnt/polonio el recurso paloma:/respaldos/polonio.
- comandos:
mount, umount, showmount, mountpoint, exportfs. - inspección de los archivos de configuración.
Comandos para verificar en paloma exportación NFS desde puntadeldiablo:
$ sudo mount puntadeldiablo:/home /mnt $ ls -l /mnt # directorios de usuarios de puntadeldiablo $ cd /mnt $ sudo touch nodebe.txt # no debe permitir $ cd miusuario $ touch prueba.txt; ls -l; rm prueba.txt # sólo si UIDs iguales en las máquinas. $ cd $ sudo umount /mnt $ sudo mount puntadeldiablo:/publico /mnt $ ls -l /mnt $ cd /mnt $ touch nodebe.txt # no debe permitir $ sudo touch nodebe.txt # no debe permitir $ cd $ sudo umount /mnt
Samba
En la máquina servidora, habilitar acceso vía Samba de los siguientes recursos:
- directorios propios de usuarios de esta máquina, para ser usado por el propio usuario desde una máquina MS Windows, o desde una máquina Linux mediante
smbcliento similar. - directorio /publico, un directorio de acceso libre sin permisos de escritura.
Nota: estos dos recursos son los mismos que se exportan vía NFS.
- las impresoras definidas en la máquina servidora.
Se requiere:
- contraseñas habilitadas (
smbpasswd) para los docentes, con sus contraseñas habituales.
Verificación
- visualización de recursos exportados (comando
smbclient). - acceso a los recursos exportados (comando
smbclient), verificación de permisos por subida y bajada de archivos (put, getensmbclient). - acceso a los recursos exportados desde una máquina con MS-Windows.
- inspección de los archivos de configuración.
$ smbclient -L polonio # dando y sin dar contraseña del usuario en polonio $ smbclient //polonio/publico # dando contraseña en polonio smb: \> ls smb: \> lcd /etc smb: \> put resolv.conf # no debe permitir smb: \> quit $ smbclient //polonio/homes smb: \> pwd # en //polonio/homes smb: \> ls # archivos en directorio de usuario smb: \> lcd /etc smb: \> put resolv.conf # debe permitir subir el archivo smb: \> ls # debe estar resolv.conf smb: \> rm resolv.conf # debe permitir borrar smb: \> quit
Operando en paloma:
$ sudo mount -t cifs -o user=usuario%contraseña //polonio/homes /mnt $ ls /mnt $ cd /mnt; pwd; touch coco; ls coco; rm coco; cd $ sudo umount /mnt $ sudo mount -t cifs -o user=usuario%contraseña //polonio/publico /mnt $ ls /mnt $ cd /mnt; pwd; touch coco; ls coco; rm coco; cd # no debe permitir $ sudo umount /mnt
Apache
El servidor web deberá responder a las siguientes direcciones:
www.<subdominio>.taller.curerocha.edu.uy, mostrando una página donde se informe que se está en el sitio web de <subdominio>, el nombre de los administradores del subdominio, y otra información que se desee mostrar al visitante.wiki.<subdominio>.taller.curerocha.edu.uy, tal cual se pide en la siguiente sección "Wiki".
Además de lo ya indicado, para la configuración de Apache, se pedirá lo necesario para que funcione el wiki, conforme se pide en la sección siguiente, "Wiki".
Verificación:
- navegación a los sitios pedidos.
- inspección de los archivos de configuración.
Wiki
Instalar una wiki en el servidor del subdominio.
- tikiwiki para polonio y aguasdulces
- wikkawiki para valizas y puntadeldiablo
En esta wiki debe haber una página con la documentación de los servicios implementados y una página con un enlace a la mediawiki Notas de Administración.
Se debe poder ingresar a la wiki de la siguiente manera:
http://wiki.subdominio.taller.curerocha.edu.uy
Ejemplo: para polonio sería http://wiki.dompolinio.taller.curerocha.edu.uy
Tener en cuenta:
- Se debe ingresar al servidor DNS el nombre canónico de la wiki.
- Se debe crear el vhost en el apache para la wiki.
Referencias:
- http://tiki.org/Community
- http://docs.wikkawiki.org/HomePage
- http://taller.curerocha.edu.uy/mediawiki/index.php/Tikiwiki
- http://taller.curerocha.edu.uy/mediawiki/index.php/MediaWiki
Verificación:
- acceso al sitio wiki.
- operaciones normales para un usuario wiki.
Seguridad
logwatchinstalado, enviando correo, nivel de detalle "medio".- Instalar
sshblocku otro sistema de limitación de ataques por fuerza bruta.
Verificación
- por el
logwatchde cada máquina. - inspección: instalación de paquete, archivos de configuración.
Bibliografía
- Debian Reference, 2010, [http://www.debian.org/doc/manuals/debian-
reference/ch05.en.html Network Setup].
- Debian Reference, 2010, Network Applications.
- Documentación de paquetes, en /usr/share/doc.
- Páginas man.
