apuntes102.pdf

8/10/2019 Apuntes102.pdf

http://slidepdf.com/reader/full/apuntes102pdf 1/28

Preparación examen LPI 102Óscar Casal Sánchez

[email protected]



Índice de contenidoTopic 105: Kernel..................................................................................................................... .................3

1.105.1 Manage/Query kernel and kernel modules at runtime.................................. .........................31.105.2 Recon igure! "uild and install a custom kernel and kernel modules.....................................#

Topic 10$: %oot! &niciali'ation! ()utdo*n and Runle+els..................................................... ..................51.10$.1 %oot t)e system .............................................................................................. ........................51.10$.2 ,)ange runle+els and s)utdo*n or re"oot system......................................... ........................5

Topic 10-: rinting.................................................................................................................. ..................-1.10-.2 Manage printers and print ueues............................................................................ ...............-1.10-.3 rint iles............................................................................................................................... ...1.10-.# &nstall and con igure local and remote printers................................................. .....................

Topic 10 ocumentaci n..................................................................................................................... ..101.10 .1 4se and manage local system documentation.................................................. ....................101.10 .2 ind 6inu7 documentation on t)e internet........................................................................ ....101.10 .5 8oti y user on system9related issues.................................................................................... .10

Topic 10 ()ells! scripting! programming and compiling................................................................ ......111.10 .1 ,ustomi'e and use t)e s)ell en+ironment....................................................................... ......111.10 .2 ,ustomi'e or *rite simple scripts......................................................................... ................11

Topic 111: dministrati+e Tasks...................................................................................... .......................131.111.1 Manage users and group accounts and related system iles.................................................131.111.2 Tune t)e user en+ironment and system en+ironment +aria"les................................. ...........1#1.111.3 ,on igure and use system log iles to meet administrati+e and security needs...................1#1.111.# utomate system administration tasks "y sc)eduling ;o"s to run in t)e uture...................151.111.5 Maintain an e ecti+e data "ackup strategy......................................................................... ..151.111.$ Maintain system time........................................................................................................ .....1$

Topic 112: 8et*orking undamentals...................................................................................... ...............1-1.112.1 undamentals o T, /& ................................................................................ .......................1-1.112.3 T, /& con iguration and trou"les)ooting................................................. ..........................1-1.112.# ,on igure 6inu7 as a client............................................................... ............................1

Topic 113: 8et*orking (er+ices............................................................................................ .................201.113.1 ,on igure and manage inetd! 7inetd and related ser+ices.................................... ................201.113.2 <perate and per om "asic con iguration o sendmail....................................................... ....201.113.3 <perate and per om "asic con iguration o pac)e............................................ .................211.113.# roperly manage t)e 8 (! sm"! and nm" daemons................................................ .............221.113.5 (etup and con igure 8( ser+ices....................................................................................... .231.113.- (et up secure s)ell............................................................................................ .....................2#

Topic 11#: (ecurity.......................................................................................................................... ........2$1.11#.1 er om security administration tasks................................................................. ...................2$1.11#.2 (etup )osts security ............................................................................................ ..................2-

1.11#.3 (etup user le+el security................................................................................................. .......2-



Topic 105: Kernel

1.105.1 Manage/Query kernel and kernel modules at runtime

/lib/modules/`uname -r`/modules.dep: contiene la lista de dependencias de los m ódules y esconstruido por el comando depmod -a

/etc/modules.conf (en el pasado /etc/conf.modules): archivo de configuraci ón para cargar losmódulos

/etc/modprobe.conf: la sintaxis es una simplificaci ón de modules.conf. A causa de que elcomando modprobe puede a ñadir o remover m ás de un m ódulo, debido a las dependencias nosotrosnecesitamos un m étodo para especificar que opciones son usadas con esos m ódulos y esto lo hacemodprobe.conf. Tambi én puede ser usado para crear convenientes alias (alias eth0 tulip)

depmod: refresca las dependencias del kernel leyendo el archivo modules.conf y guarda estasen modules.dep (depmod -a)

kernel-> kmod-> modprobe->modules to be loaded /etc/modules.conf->depmod->modules.dep->modprobe->modules to be loaded

lsmod: lista todos los m ódulos cargados del kernel (/proc/modules)insmod: carga m ódulo simple

-s en syslog-v verbose-f fuerza-k autoclean

-p pruebarmmod: remueve todos los m ódulos

-s en syslog-a todos los m ódulos no usados-r un stack

modprobe: usa el archivo /lib/modules/`uname -r`/modules.dep, carga o descarga conjuntos demódulos o interdependencias

-s en syslog -a carga todos m ódulos

-t tag-l lista todos los m ódulos para su uso-r remueve-v verbose-c muestra configuraci ón

modinfo: informaci ón sobre m ódulo-a autor-d descripci ón-p parámetros que m ódulo soporta

uname: informaci ón sobre la m áquina

-r versión del kernel -a toda la informaci ón



1.105.2 Reconfigure, build and install a custom kernel and kernelmodules

/usr/src/linux/*: fuentes del kernel /usr/src/linux/.config: configuraci ón del kernel /lib/modules/kernel-version/*: módulos del kernel instalado

Kernel : mayor.menor.patch 2.6.2). Si menor impar entonces producci ón, si par estable /boot/*

cp /usr/src/linux/arch/i386/boot/bzImage /boot/ cp /usr/src/linux/System.map /boot/System.map

lilo -v: para que tomen efecto los cambios hechos en el kernelmake targets: config (texto) , menuconfig (ncurses) , xconfig (TCL/TK;QT) , gconfig (GTK),

oldconfig, modules, install, modules_install, depmod (apartado anterior)make config, make dep, make clean ( limpiando ficheros temporales creados durante la

compilaci ón ), make bzImage ( lilo=kernel+lilo, zlilo=kernel+lilo comprimido, zImage=kernel

comprimido gzip, bzImage=kernel comprimido bzip2), make modules, make modules_install,make install

kernel built commands:zlilo=kernel+lilo comprimido gzipbzlilo=kernel+lilo comprimido bzip2zImage=kernel comprimido gzipbzImage=kernel comprimido bzip2

binrpm-pkg: construye un paquete rpm conteniendo un compilado kernel (make binrpm-pkg)

deb-pkg: construye un paquete deb conteniendo un compilado kernel (make deb-pkg)



Topic 106: Boot, Inicialization, S !tdo"n and #!nle$el%

1.106.1 Boot t e system

/var/log/messages: creado por syslog /etc/conf.modules or /etc/modules.conf /etc/modprobe.conf dmesg: comando para ver los mensajes dados al arrancar el ordenador

-c enseña los mensajes y borra el contenido del ficherolilo: tabulador para meter par ámetros ( /etc/lilo.conf )grub: escape para meter par ámetros

1.106.2 ! ange runle"els and s utdo#n or reboot system

/etc/inittab:id: runlevels: action : process (comando o servicio) ---> (1:2345:wait:/etc/init.d/rc 1)En la columna de acci ón podr í an ir los siguientes valores:

respawn : esto reinicia el proceso cuando termina (m ás com ún en los logins,terminales)

sysinit : ejecuta antes de que entre en el runlevel por defectoinitdefault : únicamente en el runlevel por defectoonce : corre una vez, únicamente cuando se entra en el runlevelwait : esta acci ón es para los procesos que deben ser completados antes de que ocurra

otra cosaEn este fichero adem ás aparecen normalmente 2 l í neas como las que siguen:

id:3:initdefault: que indica el runlevel por defecto en el que se arrancar á, en este casoserí a el nivel 3

si::sysinit:/etc/rc.d/rc.sysinit: que indica los scripts que se ejecutar án antes de que sealcance el runlevel indicado en la l í nea anterior

q para cambios en inittab tomen efecto sin reiniciarshutdown: apagar el sistema

-h apaga el sistema-r reinicia el sistema-t tiempo: (17:00 o +10) usar shutdown con un retraso provoca que se cree el fichero

/etc/nologin y deshabilita que los usuarios puedan loguearse-f no fsck en reinicio-F fsck en reinicio-c cancela shutdown-a consulta el archivo /etc/shutdown.allow-k no apaga, solo envia aviso

/etc/shutdown.allow este archivo es dise ñado para tener usuarios colocados en el a los cualesles permitimos hacer shutdown sin ser root. Permite m áximo de 32 entradas y es usado con la

opción -ahalt: poweroff y reboot son enlaces simb ólicos a halt. S ólo usado en los runlevels 0 y 6.

Simplemente llama a shutdown con la opci ón apropiada de reinicio o apagado



init (telinit link simb ólico a init): nos lleva al runlevel que le digamos, tambi én es el procesoprimero (init N)

runlevel: indica runlevel

RH: /etc/rc.d-->init.d, rc0.d...(en RH el primer script corrido por init es /etc/rc.d/rc.sysinit)

Debian: /etc-->init.d rc0.d...

chkconfig: actualiza y pregunta informaci ón de los runlevels para los servicios del sistema--list name

--add name--del name--levels levels name on|off|reset--levels levels name

update-rc.d: (debian) crea y borra los enlaces a los scripts init de tipo System V

update-rc.d [-n] [-f] <basename> remove update-rc.d [-n] <basename> defaults [NN | sNN kNN] update-rc.d [-n] <basename> start|stop NN runlvl [runlvl] [...] . -n: not really -f: force



Topic 10&: Printin'

1.10$.2 Manage %rinters and %rint &ueues

CUPS: el demonio es cupsd y corre en el puerto 631 /etc/cups/cupsd.conf: fichero configuraci ón servidor cups /etc/cups/printers.conf: fichero configuraci ón de las impresoras /etc/cups/ppd: directorio donde se guardan los ppds de las impresoras configuradascupsdconf: herramienta de configuraci ón del servidor cupscupsaccept/cupsreject: acepta/deniega trabajos enviados a un destinocupsenable/cupsdisable: empieza/para las impresoras y las clasescupstestdsc: test de los archivos postcriptcupstestppd: test de los archivos ppdcupsdoprint: comando para imprimir

-H host [:port]-P destino-J n ombre-U login [:password] files-o opt=valor

/etc/printcap:ml mí nimo longitud trabajomx máximo longitud trabajosd spool directory

af accounting filesh suprime las cabeceras de las p áginaslp dispositivo enviado a local (/dev/lp0)lf log fileif input filterrm remote machine

rp remote printerlpc: usado para configurar el demonio lpd y las impresoras en l í nea de comandos o

interactivamente-a todas-P impresora en particular-S seguida nombre o ip servidor-V muestra versi ón-U seguida nombre-D debugOpciones:

? ayudadefaultq cola por defectodisable deshabilita poder imprimir a la cola que especifique, la impresora sigue

existiendo y acaba de imprimir un trabajo en el caso de que lo estuviera haciendoenable habilita poder volver a imprimir otra vezabort termina la cola y luego deshabilita que se pueda volver imprimir (si se est á



imprimiendo no termina el trabajo y lo reinicia cuando vuelva a empezar)down deshabilita la cola e informa usuario que la cola est á deshabilitadakill abort + starttopq (seguido nombre impresora e ID): mueve un trabajo a la cima de la cola para

imprima antesstatus estadostart habilita cola y comienza lpdstop para cola, y acepta nuevos trabajos para que sean impresos en un futuroup enable and startrelease hace que contin úen los trabajos que estaban parados

disable/enable maneja colas (Permite acabar los trabajos, rechazan los nuevos)stop/start maneja poder imprimir y el demonio lpd (acepta nuevos trabajos sean

impresos futuro)down/up maneja los 3 anteriores

Cola Impresora

Habilitada accept cupsena"le! ena"le

Deshabilitda re;ect cupsdisa"le! disa"le

lpq: sirve para monitorizar el progreso o estado de los trabajos enviados a imprimir-a todas las colas de impresi ón-P cola de una impresora en particular-l verbose output

-L more verbosity que con -l-t time ense ñará las colas con el intervalo indicado mientras no se presione ctrl+c-all la verbosidad es mayor todav í a, separando las l í neas con un mensaje de estado por cada

lí nealprm: remueve trabajos

-a remueve el primer trabajo de todas las colas-P indica impresora-U u serid usado para remover el trabajo del usuario con ese userid-D debug options-V print versionall afecta a todos los trabajos en la cola afecta a todos los trabajos en la cola

lprm -a borra el primer trabajo en todas las colas lprm all borra todos los trabajos en la cola por defecto lprm -a all borra todos los trabajos de todas las colas

lp: link a lprlpstat: son links simb ólicos, sirven para ver estado colascheckpc:



1.10$.' (rint files

lpr: imprime-b fuerza-k and -#number: n úmero de copias-P printer name-V verbose

lpq: visto arribamanpage: sirve para enviar m últiples p áginas por cara cuando usa PS printersa2ps:

-o fichero de salida (ej. a2ps -o myfile.ps myfile.txt, a2ps myfile.txt)

1.10$.) *nstall and configure local and remote %rinters

/etc/printcapapsfilter: filtro, convierte trabajos a postscript formato. Se configura mediante un men ú

/etc/apsfilter/* /etc/apsfilterrc /var/lib/apsfilter/*/

magicfilter: filtro. Se configura manualmente /etc/magicfilter/*/

/var/spool/lpd/*/: el * es el nombre de la impresora /var/spool/cups/*/: el * es el nombre de la impresoralpd -option parametros:

/etc/hosts.lpd: para limitar acceso a impresi ón (poner nombre equipo o ip)



Topic 10( )oc!mentación

1.10+.1 se and manage local system documentation

MANPATH man: donde busca las p áginas del man (Normalmente est á en /usr/share/man o /usr/man). Sino est á esta variable mira en /etc/man.config o /etc/manpath.config

-a, --all mira en todas las p áginas disponibles-f busca todas las p áginas del man con ese nombre (whatis)-k busca en su descripci ón (apropos)-t da formato para luego poder imprimir man -t ls > ls.ps

-w especifica la ruta a la p ágina del manSecciones:

1. Ejecutables programas o comandos de la shell2. Llamadas al sistema3. Llamadas a librer í as4. Archivos especiales5. Formatos de archivo y convenciones6. Juegos7. Misc8. Comandos de administraci ón del sistema9. Rutinas del kernel

apropos: man -k whatis: man -f

makewhatis : para actualizar la informaci ón donde miran los 2 anteriores comandos

1.10+.2 -ind inu documentation on t e internet

1.10+.5 otify user on system related issues

/etc/issue: informaci ón que se le da al usuario cuando se conecta localmente, antes del login /etc/issue.net: informaci ón cdo se conecta v í a red (p.ej. telnet) /etc/motd: mensaje de bienvenida del d í a, despu és del login



-r si archivo es leible-x si archivo es ejecutable-w si archivo es escribible-z si archivo es 0 de longitud

chmod: asigna permisos necesarios al archivo o directorio

if [ ]thencommands

elsecommands

ficase string in

regex1)command

;;

regex1)command;;*);;

esac



usermod: modifica usuario-c comentario sobre usuario-d indica home-e: expira-f: dí as despu és expirar cuenta el usuario puede entrar-g: grupo primario-G: grupo secundario-l: nuevo login, no cambia el nombre del home-u: uid-L: bloquea la cuenta-U: desbloquea la cuenta

groupadd:-g: indica gid

groupdel: borra grupogroupmod: modifica grupo

-g: modifica gid

1.111.2 4une t e user en"ironment and system en"ironment "ariables

/etc/profile: /etc/skel:env:export:set:

unset:

1.111.' !onfigure and use system log files to meet administrati"e andsecurity needs

Hay 3 tipos de logs: de software, del sistema y del kernel (estos 2 últimos est án generados porla utilidad sysklogd)

/etc/syslog.conf: archivo de configuraci ón de syslog. Syslog forma parte del paquete sysklogd,dentro tambi én está klogd que pasa avisos a syslog. Tendr á la forma de:

facility.priority acci ón (ejemplo: uucp.* /var/log/uucp.log) dondepriority podrán ser: debug, info, notice,warning,err,crit,alert,emerg, (dinwecae)

/var/log/*: directorio en el normalmente est án todos los logslogrotate: sirve para archivar los logs de manera autom ática (archiva, comprime y remueve

los logs). Esto usa el archivo /etc/logrotate.conf tail -f : sirve para ver el final de los archivos y si algo nuevo ocurre mientras ejecutas este

comando tambi én lo ves.



1.111.) utomate system administration tasks by sc eduling obs to runin t e future

/etc/anacrontab: ficheiro de configuraci ón para anacronat [options] time: es para ejecutar una tarea una vez a una hora determinada

-b: corre el trabajo cuando la carga del sistema es baja-d: borra un trabajo at (igual que atrm)-m: manda mail al usuario especificado cuando acabe el trabajo-l: lista todos los trabajos-f: file

/etc/at.allow: si este archivo existe s ólo los que est án dentro podr án usar at /etc/at.deny: si este archivo existe y contiene nombres los que est án listados est án denegados

y el resto permitidoSi ninguno existe s ólo root podr á mandar trabajosOtros comandos de at:

atq: muestra la cola de los trabajosatrm: borra cualquier trabajo indicado por el n úmero del trabajo

cron: para ejecutar el mismo trabajo regularmente a la misma hora, d í a semana, d í a del mes,mes...

Una entrada del cron se compone de seis campos:minutos hora dia Mes diaSemana comando

Se compone de varios componentes:crond: demoniocrontab: para ver, mandar o manejar diferentes configuraciones de usuarios o sistema

/var/spool/cron/*: trabajos son almacenados dentro de este directorio que empareja con elnombre del usuario que los manda

/etc/crontab: este archivo contiene los directorios correspondientes a la hora, d í a, semana,mes de los trabajos a ejecutar

Opciones:-e: seguido por el nombre del usuario permite editar el crontab del usuario-l: usado para listar los trabajos mandados por el actual usuario. Se puede usar con -e para

indicar usuario diferente-r: usado para borrar el crontab de un usuario-u: usuario

/etc/cron.allow: si este archivo existe só

lo los que están dentro podr

án usar cron /etc/cron.deny: si este archivo existe y contiene nombres los que est án listados est án

denegados y el resto permitido. Si usuario est á en ambos ficheros se le denegar á el uso de cron

1.111.5 Maintain an effecti"e data backu% strategy

cpio: es usado para copiar a y procedente de un archivo-o or --create: copia archivos a un archivo usando una lista de archivos t í picamente creados

por el comando find. Ej. find . “*” | cpio -o > archive.cpio

-i or extract: extrae archivos al sistema de ficheros-p or –pass-through: copia archivos procedente de un árbol de directorio a otro sin el uso de

un archivo. Es igual al comando cp -r



dd: convierte y copia un fichero-if: input file-of: output file-bs: tamaño de los bloques en bytes

dump:

restore:tar: usado para agrupar un conjunto de ficheros un uno solo (.tar). El comando tar tienevariasa opciones que permiten compresi ón: gzip/gunzip (tar.gz) y bzip2/bunzip2 (tar.bz2)

Opciones (Acdrtux):-A: añade archivos tar a un archivo-c: create un archivo-d: compara un archivo y un sistema de ficheros y da la diferencia-r: añade al final del archivo-t: lista el contenido de un archivo-u: actualiza un archivo con los cambiados o nuevos archivos

-x: extrae el archivo-v: verbose-z: gzip-j: bzip-f: indica el archivo tar de salida-p: preserva los permisos

un/compress: comprime y descomprime, se ha dejado de usar en favor de otros programas decompresi ón ( archivo.Z )

zcat: descomprime y ense ña los ficheros

1.111.6 Maintain system time

/usr/share/zoneinfo: directorio donde est án las posibles zonas horarias del mundo. /etc/timezone: indica la zona horaria. En nuestro caso ser í a Europe/Madrid /etc/localtime: transforman fechas y horas binarias a ASCII /etc/adjtime: tunea suavemente el reloj del kernel /etc/ntp.conf: fichero configuraci ón de ntp /etc/ntp.drift: este fichero indica la estimaci ón de la frecuencia de error del reloj del sistema.

Al arrancar ntpd mira si existe este fichero sino existe cada 15 minutos el demonio manda un pulsopara mirar la posible frecuencia de error del sistema. A la hora crea el fichero ntpd crea el fichero /etc/ntp.drift.

ntpd: el demonio de NTPntpdate: coloca la fecha y hora v í a NTPdate: para colocar el tiempo del sistema a mano (Formato: MesDiaHoraA ño: 0701040095hwclock: –hctosys: pone el Tiempo del Sistema a partir del Reloj del Hardware--systohc: Pone el Reloj del Hardware a la hora del sistema actual



Topic 112: -et"or in' .!ndamental%

1.112.1 -undamentals of 4!(/*(

/etc/services: fichero donde se encuentra asociados los servicios m ás comunes (telnet, ftp...)con su puerto y protocolo (tcp/udp...). Ex: ftp 21/tcp

ftp: establece una interactiva File Transfer Protocol conexi ón con un host para descargararchivos binarios o de texto

Opciones:-i: desactiva el modo interactivo en la transferencia de varios ficheros-v: coloca el modo verboseComandos:ascii,binaryget file: descarga un archivo

mget files: descarga varios archivosput: sube un archivo al servidormput: sube varios archivos al servidorquit,exit: termina la sesi ón

telnet: abre una conexi ón a un host usando un puerto. Si no se especifica puerto usa el 23host: utilidad para preguntar a los DNS sobre el nombre de una ip o al rev ésping: enví a un IMCP request al host indicado y reporta cu ánto tarda en contestar

-c count: envia y recibe el n úmero de paquetes determinado-q: silencioso

dig: (dig serverName type) obtiene informaci ón procedente de los DNStraceroute: indica la routa sobre la cual los paquetes deben viajar para alcanzar el destino.whois: cliente para el servicio de directorio whois

1.112.' 4!(/*( configuration and troubles ooting

/etc/hostname(RH) or /etc/HOSTNAME(debian): fichero donde est á el nombre de lamáquina local

/etc/hosts: fichero local donde estar án los nombres con su correspondiente ip de los pcs. Su

forma será: ip nombreMaquina alias /etc/networks: usado para mapear el nombre de una red a una ip. Normalmente usada en

Solaris /etc/hosts.conf: similar a /etc/nsswitch.conf. Coloca el orden en el que se resolver án las

búsquedas DNS /etc/resolv.conf: en este archivo ir án los nombres de los servidores DNS (Ej de una entrada en

el fichero: nameserver 194.179.1.100) /etc/nsswitch.conf: en este archivo ir á en que orden ha de resolverle los nombres de los pcs

(Pex. hosts: files dns nis ldap)ifconfig (interface parametres): sirve para ver los datos relativos a las interfaces de red y sus

datos correspondientes. as í como para colocar unos datos diferentesifconfig eth0 192.168.1.1 netmask 255.255.255.0 up (para colocar los datos interfaz)ifconfig -a (para ver tambi én las interfaces que est án bajadas)



address: la ip de la interfaznetmask mask: la subm áscara de la interfazup: activa una interfazdown: desactiva una interfaz

route: usado para ver y colocar los datos relativos a la puerta de enlace

route add default gw 192.168.1.2 (configura la puerta de enlace)-v: modo verboso-n: enseña la direcci ón como IP-N: resuelve HwAdress a nombres-e: enseña la informaci ón extendida-C: enseña la informaci ón en cach é

dhcpcd, dhcpclient,pump: son clientes de DHCP para poder asignar una ip al equipodinámicamente

dhcpd -k: renueva o refresca los clientes, reiniciando el demoniodhcpclient: intenta ganar una ip teniendo en cuenta los par ámetros que est én en el fichero

dhclient.conf y una vez ganada la ip guarda la informaci ón en el fichero dhclient.leaseshost : consulta a los DNS y ver informaci ón sobre un pc

-l dominio: consulta todos los hosts de un dominio-v: da toda la informaci ón de modo verbose

hostname (domainname,dnsdomainname): usado para ver o colocar el host y domain namepara el sistema. Es linkado a los siguientes comandos:domainname,dnsdomainname,nisdomainname,ypdomainname,nodename

--fqdn: da el nombre completo con el dominio del hostnetstat: útil para determinar estad í sticas para las interfaces de red, conexiones a y procedentes

de la m áquina local y un mont ón más de informaci ón.-r: para ver la puerta de enlace por defecto-t: muestra las estad í sticas TCP-u: muestra las estad í sticas UDP

-a: muestra todos los sockets en todas las interfaces-c: muestra las estad í sticas con refresco cada segundo-p: muestra el nombre y PID del programa enlazado a cada socket-s: para ver las estad í sticas de uso de las interfaces-i: muestra la lista de interfaces-n: muestra la ip en lugar del host

ping: visto antestraceroute: usado para determinar la ruta, nombres y status de la ruta entre 2 hosts

-n: usado para ver los routers entre tu pc y otrotcpdump: usado para capturar e inspeccionar los contenidos de paquetes procedentes de la red

-w file: sirve para capturar todos los paquetes provinientes de la red y colocar los datos en unarchivo

the network scripts run during system initialization:RH: /etc/sysconfig/network-scripts, /etc/sysconfig/network-scripts/ifcfg-eth0, dentro de este

archivo último podemos encontrar par ámetros como BOOTPROTO (static,dinamic), GATEWAY...Debian: /etc/network/interfaces



1.112.) !onfigure inu as a ((( client

/etc/ppp/options.*: archivo predeterminado del cual pppd toma su configuraci ónlock crtsctsmodemnoipdefaultdefaultroute

/dev/cuaa0115200

/etc/ppp/peers/*: es en esta carpeta /etc/ppp/peers/ donde pppd busca los nombres deconexiones. Por ejemplo un archivo inet.chat con siguiente contenido:

ABORT BUSYABORT "NO CARRIER"ABORT "NO DIALTONE"REPORT CONNECTSAY "Llamando al Servidor..."''ATDT900666666CONNECT''Y que ser í a llamado de la siguiente manera: pppd call inet

/etc/ppp/ip-up: una vez la conexi ón ppp es realizada, se ejecuta este fichero en el caso de queexista. Se usa para automatizar tareas una vez realizada la conexi ón

/etc/ppp/ip-down: Para automatizar las tareas a 'matar' cuando termines la conexi ónwvdial: paquete que hace la configuraci ón de tu m ódem m ás f ácil as í como un manejo m ás

sencillo de la conexi ón a trav és de m ódem /etc/wvdial.conf: fichero de configuraci ón de wvdialpppd: trabaja con el chat script para establecer la conexi ón PPP. Una vez el chat script hizo la

conexi ón, pppd configura ella basada en las opciones metidas. Mira los ficheros de opciones ensiguiente orden: /etc/ppp/options, ~/ppprc y /etc/ppp/options.ttyname

connect SCRIPT: establece una conexi ón PPP con el script especificadodisconnect SCRIPT: desconecta una conexi ón PPP con el script especificadoholdoff TIME: espera cuanto tiempo despu és una conexi ón sea terminada antes de

reiniciarlaidle SEC: especifica cuantos segundos esperar desde que la conexi ón PPP a acabado

después de que no se env í an datos.

modem: dice las liñ

as de control del mó

dem usadasnodetach: previene que pase a background el demonio pppd, útil para depurado(Authentication Protocols:

-PAP: password authentication protocol, es iniciado por el cliente el cual envia usuario ypassword y la informaci ón se almacena en /etc/ppp/pap-secrets

-CHAP: the Challenge Handshake Authentication Protocol (CHAP), es iniciado por elservidor el cual env í a una “challenge” (desaf í o), la inforaci ón se almacena en /etc/ppp/chap-secrets)

-MSCHAP: es una variante de MS de CHAP



Topic 11/: -et"or in' Ser$ice%

1.11'.1 !onfigure and manage inetd, inetd and related ser"ices

/etc/inetd.conf: fichero de configuraci ón de inetd (Internet Superdaemon). En lugar de correrindividuales demonios para cada servicio, inetd corre un único servicio escuchando en todos lospuertos deseados. La diferencia cuando se correo como un demonio normal es que ellos correnúnicamente cuando se necesitan y son empezados por inetd, liberando as í recursos para otras tareas.Normalmente inetd es configurado tambi én para el uso de tcpwrappers.

servicio socket protocolo flags user server_path argsftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.ftpd

/usr/sbin/tcpd es usado por tcpwrappers para llevar un control de quien acede a los servicios.Y usa 2 ficheros de configuraci ón para ello: hosts.allow y hosts.deny. El archivo hosts.deny esmirado despu és del de hosts.allow, as í que si si permite el acceso en este último da igual que enhost.deny se deniegue despu és el acceso. Si se hace alg ún cambio en este archivo necesita serreiniciado el servicio inetd para que estos cambios tengan efecto. Tambi én puede ser controlado elacceso a cualquier servicio que use por la librer í a libwrap.a

/etc/hosts.allow: si regla es encontrada en este archivo, acceso es permitidodaemons : hosts : option : option

/etc/hosts.deny: si regla es encontrada en este archivo, acceso es denegado /etc/xinetd.conf: versión actualizada y mejorada de inetd. /etc/xinetd.conf es el fichero de

configuraci ón que apunta al directorio /etc/xinetd.d que contiene un simple archivo deconfiguraci ón de texto para cada servicio controlado, tal como /etc/xinetd.d/telnet

/etc/xinetd.log /etc/services: visto ya con anterioridad

1.11'.2 7%erate and %erfom basic configuration of sendmail

(MTA: message transport agent -sendmail, postfix-, MUA: message user agent -pine,thunderbird-, MDA: entrega de mensajes desde el servidor a la cuenta del usuario -procmail-)

/etc/sendmail.cf: el fichero de configuraci ón principal. La única entrada necesaria para elexamen en este fichero es la del Smart Host Entry que en el caso de que tu servidor de correo no

pueda entregar el correo por el mismo podrá

manejarlo a través de otro servidor, normalmente tuISP ( La DS directiva, indica el servidor al cual reenviar el correo para la entrega Dsisp.server.net )

m4: preprocesador es usado para simplificar la configuraci ón de sendmail. Un marco archivoes convertido al final al archivo sendmail.cf ( Ej. m4 redhat.mc > /etc/sndmail.cf )

/etc/sendmail.cw: lista de hosts que el mail es aceptado /etc/aliases or /etc/mail/aliases: lista de direcciones de alias (alias_name: name1,name2...)newaliases: cada vez que es modificado el archivo de alias necesita ser corrido de nuevo este

comando. Este comando s ólo puede ser usado por root. ( o tambi én sendmail -bi )~/.forward: si un usuario quiere redirigir su correo a otra cuenta tendr á que usar este fichero

ya que no tiene permisos para modificar /etc/aliases ( P.ej. el contenido podr í a ser

[email protected] )sendmail: es un MTA

/etc/mail/*:

mailto:[email protected]

mailto:[email protected]



mailq: para ver los mensajes actuales en la cola, tambi én se puede usar el comando sendmail-bp. Normalmente estos mensajes son encolados en /var/spool/mail/* o en /var/spool/mqueue

1.11'.' 7%erate and %erfom basic configuration of %ac e

( En el pasado apache usaba 2 ficheros de configuraci ón:access.conf: usado para controlar el acceso a directorios y otros accesos relacionados con la

configuraci ónsrm.conf: usado para colocar directivas o par ámetros del servidor (tipos de archivos y

especificaciones de documentos) /etc/httpd.conf: puede ser que el fichero est é aqu í en vez de /etc/httpd/conf/httpd.conf si el

servidor es muy antiguo )httpd.conf: fichero de configuraci ón de apache. Hay una serie de directivas presentes que

paso a enumerar:ServerAdmin [email protected]: coloca la direcci ón a la que ir án los mensajes generados

por el servidorDocumentRoot: coloca la direcci ón donde el html va ser encontradoServerRoot: coloca la direcci ón de los ficheros necesarios para la configuraci ón del servidorServertype standalone: puede ser tambi én colocado para usar inetd/xinet (no recomendado)ServerName: nombre del servidorStartServers: número de servidores hijos empezados con el servidorMaxClients numero: n úmero m áximo de clientesListen ip:80: coloca la ip y el puerto donde apache escucha. Por defecto es en eth0 y puerto

80

Alias: sirve para redirigir un usuario a otro directorioDirectoryIndex ( index.html index.htm...): coloca los nombres que ser án buscados para

cargar el indexUserDir public_html: coloca la ra í z del directorio para el usuario del sitio webPort: puerto en el esccuchar á el servicioUser y Group: usuario y grupo con el que correr á el demonio de httpdRedirect oldUrl newUrl: redirige de una vieja Url a una nueva

apachectl: utilidad que tiene las siguientes opcionesstart: empiezastop: para

restart: reinicia el demonio httpdfullstatus: reporta el estadograceful: reinicia y deja las actuales conexiones acabarconfigtest: chequea la sintaxis del fichero de configuraci ón /etc/httpd/conf/httpd.conf (RH)

o /etc/apache/httpd.conf (Debian)httpd: demonio de apache. Se le pueden pasar diferentes par ámetros

-d: define un alternativo server root-f: define un alternativo archivo de configuraci ón-v: muestra la versi ón

-V: muestra la configuraci ón de compilaci ón-h: ayuda-l: lista los m ódulos compilados



-L: lista las disponibles directivas-t: chequea la sintaxis

1.11'.) (ro%erly manage t e -8, smb, and nmb daemons

NFS: Network File System, sirve para compartir sistemas de ficheros entre ordenadores linux.Consta de varias piezas fundamentales para que funcione correctamente:

rpc.nfsd: proceso servidor de NFSrpc.mountd: maneja las peticiones de montajerpc.rquotad: usado para las cuotas de los clientesportmap: usado para mapear n úmeros de puertos a RPC procesosrpc.statd: usado por el servicio de NFS, rpc.lockd, para manejar la recuperaci ón del bloqueo

cuando en servidor NFS rompe o reiniciarpc.lockd: proceso cliente para manejar el bloqueo de archivos

/etc/exports: es el archivo donde se listan todos los directorios a ser compartidos por elservidor NFS. Cada l í nea en el fichero es un directorio a ser exportado, junto con las opciones a seraplicadas a esa exportaci ón. Un directorio puede ser s ólo exportado una vez. Cada cambio en estefichero necesita ser reiniciado el servicio NFS para que tome efecto.

/pub (r ) *.dominio.com(rw) /home 192.168.0.0/24(rw) /documents norbert(ro,root_squash)

ro: sólo lecturarw: lectura, escritura dependiendo de los permisos del usuarioroot_squash: remapea el usuario root a nobody (no tiene permisos root de la m áquina

cliente sobre el NFS)no_root_squash: contrario a lo anterior, el usuario root tiene acceso total sobre los ficheros

exportados en el lado del clienteall_squash: remapea todos los usuarios a nobodysync: requiere que todas las peticiones de escritura en disco sean realizadas antes de acabarnoaccess: proh í be el acceso a los directorios que est án por debajo del se ñalado

exportfs: es un comando que puede ser usado para a ñadir o remover exportaciones individualessin editar el fichero /etc/exports, pero esto se perder á cuando el servidor sea reiniciado -exportfs -ono_root_squash norbert:/public

mount: monta exportados directorios desde un cliente. Es muy similar a montar sistemaslocales. El comando tiene la siguiente sintaxis:

mount -t nfs server:/directorio /puntoMontaje /etc/fstab: remotos sistemas de ficheros tambi én pueden ser montados al arrancar con una

entrada en este fichero. se podr í a con una l í nea como la siguiente:norbert:/home /mnt/norbert nfs rw 0 0

umount: sirve para desmontar un directorio montado anteriormente (P.ej. umount /directorio)nfsstat: sirve para ver estad í sticas sobre el servidor NFS

-s: enseña sólo las estad í sticas del lado del servidor-c: enseña sólo las estad í sticas del lado del cliente-n: enseña sólo estad í sticas del NFS-r: enseña sólo las estad í sticas RPC



SMB: server message block, consiste de 2 demonios:SMBD: maneja como la compartici ón de archivos e impresoras, as í como la autenticaci ónNMBD: implementa WINS -windows internet name service-, el cual mapea nombres

windows a direcciones ip, permite la navegaci ón por los recursos de los ordenadores del grupo...) /etc/smb.conf (o /etc/samba/smb.conf): fichero de configuraci ón principal de samba.

Tenemos SWAT -samba web administration tool- para modificar de forma gr áfica y f ácil el ficherosmb.conf

testparm: una utilidad para chequear los errores de sintaxis en el fichero de configuraci ónsmbstatus: sirve para ver el estado actual de las conexionessmbclient: sirve para conectarse a otro samba o accesos compartidos de windows

-P: conecta al servicio requerido como una impresora-U: conecta con el usuario indicado-L: saca un listado de los recursos de un espec í fico equipo-W: indica el nombre del grupo

Remotos recursos compartidos en windows y linux mediante samba pueden ser montados

localmente como un sistema de ficheros el cual es a veces m ás conveniente que usar smbclient. Lasintaxis para esto es la siguiente:

consola: mount -t smbfs -o username=<username> //server/share /mount_point fstab: //server/share /mnt/mtpt smb user=user 1 1

1.11'.5 8etu% and configure 9 8 ser"ices

DNS: es como los nombres son resueltos a IP a trav és de la red o al rev és /etc/hosts: ya hablamos anteriormente

/etc/resolv.conf: ya hablamos anteriormente /etc/nsswitch.conf: ya hablamos anteriormente, fichero que indica el orden en el que deben ser

resueltas las b úsquedas files, nis, ldap, dns... /etc/named.boot (v.4) or /etc/named.conf (v.8): es el fichero de configuraci ón del servidor

DNS, este fichero se divide en diferentes zonas que pasaremos a enumerar ahora:Zonas:

-zone files: nombradas con el nombre de la zona y .db (example.db) y mapean el nombre delequipo a una ip

-reverse zone files: son normalmente num éricas de manera reversa seguidas de .in-addr.arpa. Por eso el nombre para 192.168.33.0 ser í a 0.33.168.192.in-addr.arpa. y contiene reversomapeo de ip a hostname

-named configuration files: el fichero named.conf o named.boot contienen los par ámetrospara el demonio DNS y apuntan a la correcta zona y hint files

-hint files: estos archivos contienen la informaci ón del servidor ra í z, a la cual el servidor serefiere si el servidor no puede encontrar resoluci ón a trav és de sus datos o configurados servidores

Tipos de servidores DNS:-master: es la autoridad para una zona o dominio, contiene el archivo f í sico que define ese

dominio-slave: usado para proveer balanceo de carga y resoluci ón de nombres, recibe únicamente

zoas procedente del master-cache: usado para cachear resoluciones durante un tiempo m ás largo que otros servidores,

no tiene zona ni dominios por él mismo.



Record Types:SOA: define el comienzo de una zona autoritaria la cual define una zona y coloca la zona o

zonas de dominio que una zona cubre. Cada zona tiene que tener un SOANS: name server, define los servidores resposables para cada zonaA: un address record es un mapeo de un hostname a una IPPTR: un pointer record es un mapeo de una ip a un hostnameMX: un mail exchanger indica el servidor al cual las conexiones SMTP deber í an ser hechasCNAME: un canonical name record es un simplista m étodo de balanceo de carga; m últiples

CNAME records para www deber í an apuntar a diferentes hosts conteniendo los mismos datosTXT: un text record es para guardar notas y comentarios sobre tu configuraci ónTTL: cuanto tiempo de vida tiene un “record” en la cach é

SRV: da la localizaci ón de los m ás conocidos serviciosBind tambi én provee una utilidad llamada NDC para ayudar a manejar el demonio named

1.11'.$ 8et u% secure s ell

/etc/hosts.allow: visto anteriormente /etc/hosts.deny: visto anteriormente(la sintaxis de los 2 anteriores ficheros se puede chequear con la utilidad tcpdchk )

/etc/nologin: cuando existe este fichero los usuarios no pueden loguearse en el sistema y elcontenido de este mensaje les aparecer á en la pantalla. Normalmente es usado para tareas demanteminiento del sistema para que ning ún usuario pueda entrar mientras se est án haciendocambios en el equipo.

SSH: llegados a este punto sobra decir que todos los comandos r deben estar absolutamente

prohibidos adem ás de telnet, ftp...ya que los usuarios y passwords viajan por la red en texto plano.El claro sustituto de estos es el ssh (secure shell). Entre otros comandos podremos encontrar ssh,scp, sshd, ssh-agent y ssh-add

/etc/ssh/sshd_config: fichero de configuraci ón del servidor ssh /etc/ssh/ssh_host_key: este archivo con /etc/ssh_host_dsa_key y ssh_host_rsa_key que est án

en el mismo directorio y son las partes privadas de la hestructura de la clave y deber í an serprotegidas de la vista p ública. Los permisos correctos ser í an 600

/etc/ssh/ssh_host_key.pub: este archivo y el ssh_host_dsa_key.pub y el ssh_host_rsa_key.pubque est án en el mismo directorio con las partes p úblicas de la estructura de la clave y deber í an tenerlos permisos 644

/etc/ssh_known_hosts y ~/.ssh/known_hosts: El archivo global es usado para chequear laclave p ública del host que intenta acceder v í a ssh, y la local es el archivo desde el cual los clientesconsiguen la p ública clave de el remoto servidor. Si una conexi ón a un equipo desconocido essolicitada entonces preguntar á si quieres almacenar la clave y lo har á en ~/.ssh/known_hosts

/etc/ssh/sshrc y ~/.ssh/rc: es usado para colocar el tiempo global inicializaci ón para losusuarios ssh. ~.ssh/rc es id éntico a /etc/ssh/sshrc s ólo que afecta únicamente al usuario individual

sshd:ssh-keygen: sirve para crear las claves p úblicas y privadas de los usuarios. Los pasos a dar son

$ssh-keygen -b 1024 -t rsa$cd .ssh/ $chmod 644 id_rsa.pub$cp id_rsa.pub authorized_keys



Hay 3 utilidades en l í nea de comandos para preguntar a la base de datos DNS: nslookup, dig,host



Topic 11 : Sec!rit

1.11).1 (erfom security administration tasks

find: mirar m ás abajo SUID,GID, Sticky. Es importante correr de vez en cuando el comandofind para encontrar que archivos tienen bits especiales, por ejemplo con el comando:

find / -user root -perm +7000 -exec ls -l {} \; | mail -sfind / -perm 4777(En el find el – sí mbolo significa encontrar la exacta combinaci ón de bits especiales, para

encontrar cualquiera o todos los bits que est án colocados que emparejen con el primer n úmero setendrí a que usar el s í mbolo +)

SUID (4): cando se pone el flag suid, si alguien ejecuta ese fichero lo hace como si realmentefuera el propietario

GID (2): cando se pone el flag gid, si alguien ejecuta ese fichero lo hace como si realmente

fuera el grupo propietario. Si este flag est á colocado en un directorio entonces fuerza al grupopropietario a heredar todos los objectos creados en ese directorioSticky (1): en un programa este bit causa que no vaya a la swap, y en un directorio hace que

los no propietarioss puedan borrrar ficheros de ese directorio, como puede ser el caso de tmpPara buscar este tipo de ficheros se puede usar el comando find de la siguiente manera:

find / -user root -perm +7000 -exec ls -l {} \; /proc/net/ip_fwchains: /proc/net/ip_fwnames: /proc/net/ip_masquerade:ipfwadm: más antiguo que ipchains e iptables

ipchains: más o menos como iptables. Resaltar que MASQ s ólo se puede usar con la cadenaForward

iptables:3 Tipos de cadenas:

INPUT : si una interfaz puede aceptar tr áficoOUTPUT : afecta s ólo al tr áfico que es generado en la m áquina y que por ejemplo

enví a una petici ón a otra interfaz o m áquinaFORWARD : afecta s ólo cuando se pretende enviar el tr áfico de una interfaz a trav és

de otra interfaz3 Tipos de tablas:

Mangle : esta tabla es usada para colocar el tipo de servicio, tiempo de vida y marcarlos objectivos.

Nat : es usada para network address translation traffic.Filter : la tabla por defecto y la única que contiene las preconstruidas cadenas input,

output y forwardEjemplos:iptables -L: para ver la tabla de filtros en la m áquinaiptables -t mangle -L: para ver la nat o mangle tabla

iptables -A INPUT -s 223.107.1.101 -j DROPiptables -A INPUT -s 223.107.1.0/24 -p tcp –destination-port telnet -j DROPiptables -A INPUT -i eth0 -p tcp –syn -j DROP



iptables-save > file: salva la configuraci ón a un archivoiptables-restore < file: restaura la configuraci ón desde un archivo

passwd: este ficheiro deber í a ter os seguintes permisos: /etc/passwd : -rw-r—r-- /etc/shadow: -r--------PAM é un conxunto de librar í as que deixan ó administrador a opci ón de elexir coma os

usuarios te ñen que autenticarse. Hay que tener en cuenta que esto se configura en los ficherosexistentes dentro de la ruta /etc/pam.d (antiguamente en el fichero /etc/pam.conf). Los tipos demódulos dentro de los ficheros que est án en /etc/pam.d son: auth, account, password, session

Auth : maneja la autentificaci ón del usuarioAccount : restringe el acceso al usuario bas ándose en tiempo o en otro par ámetro

cualquieraSession : maneja las tareas para ser hechas antes y despu és de que un usuario accede a

su sesi ónPassword : responsable de las actualizaciones de las autentificaciones

socket:

1.11).2 8etu% osts security

/etc/inetd.conf or /etc/inetd.d/* /etc/nologin: visto anteriormente /etc/passwd: /etc/shadow: /etc/syslog.conf: visto m ás arriba

1.11).' 8etu% user le"el security

/etc/security/limits.conf: este fichero sirve para poner l í mites al usuario paraque no haya un ataque por denegaci ón de servicio

quota: sirve para establecer cuotas a los usuarios de disco-g: enseña la informaci ón de quota para el grupo-u: enseña la informaci ón de quota para usuario-v: enseña la informaci ón de quota con no almacenada localizada-q: enseña informaci ón para los sistemas de ficheros con uso de quota excedido

edquota: sirve para modificar las cuotas de los usuarios y de los grupos-u: especifica editar la cuota de cierto usuario-g: especifica editar la cuota del grupo-p: duplica la cuota para cada usuario especificado-t: edita el tiempo de gracia usado para los l í mites software para cada sistema de ficheros

repquota: enseña un resumen de el uso del disco y quotas para los especificados sistemas deficheros

quotaon quotaoff

usermod:chage: este comando configurar el password limitando en el tiempo. Se definen los siguientes

parámetros:



Mí nima edad passwd (-m)Máxima edad passwd (-M)Último cambio del passwdAviso de expiraci ón passwd (-W)Passwd inactivo: n úmero d í as de inactividad que el sistema permite antes de bloquear una

cuenta (-I)Fecha de expiraci ón de la cuenta (-E)

ulimit: provee el control sobre los recursos disponibles en la shell y los procesos empezadospor el, en los sistemas que permiten tal control

-a: enseña todos los actuales l í mites-c: limita el tama ño máximo del core-f: limita el tama ño máximo de los archivos creados-u: limita el n úmero de procesos que un usuario puede comezar-v: limita la cantidad de memoria virtual disponible en la shell-H: especifica el l í mite hard

-S: especifica el l í mite soft

apuntes102.pdf

Documents