EscueIa de Ingeniera CiviI Informtica. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # $ ndice 1.1 Instalacin CentOS. ............................................................................. 2 %.%.%.& rocedi'ien(os. .......................................................................................................... $ 1.2.- MySQL, Configuracin & Instalacin. ............................................... 3 %.$.%.& E)uipa'ien(o *+"ico ,ecesario. ................................................................................. - %.$.$.& rocedi'ien(os. .......................................................................................................... - %.$...& Creando / Des(ru/endo 0ases de Da(os. .................................................................... 1 %.$.-.& O(or"ando er'iso a los Usuarios. ............................................................................. 1 %.$.1.& Modi2icaciones ,ecesarias en el Muro Cor(a2ue"os. ................................................... 1 %...% 3ns(alaci+n de 4o'ca( 5. ................................................................................................ 5 2.1 Instalacin ree!S" #.1 ....................................................................... $ $.%.%.& Asi"naci+n de espacio en disco. .................................................................................. 6 $.%.$.& ar(icionando. .............................................................................................................. 7 $.%.1.& Selecci+n de Unidad. ................................................................................................. %8 $.%.5.& Edi(or Dis9la:el con los valores por de2ec(o. ............................................................. %8 $.%.%%.& Con2i"uraci+n de la Consola. ................................................................................... %$ $.%.%-.& Co'pa(i:ilidad con *inu;. ........................................................................................ %$ $.%.%5.& rue:a del D<'on del =a(+n. ................................................................................. %- $.%.%>.& Selecci+n de Ca(e"ora de a)ue(es. ....................................................................... %1 $.%.%6.& Selecci+n de a)ue(es. ............................................................................................ %5 2.2.- Instalacin %e Ser&icios en ree!S" #.1 ......................................... 1$ $.$.%.& Con2i"urando la =ed. ................................................................................................. %6 $.$.$.& 3ns(alaci+n de Aplicaciones or(. ................................................................................ %7 $.$...& 3ns(alando 0ash. ........................................................................................................ $8 $.$.-.& ?a:ili(ando SS?. ........................................................................................................ $8 $.$.1.& 3ns(alando Apache %.. ............................................................................................... $% $.$.6.& 3ns(alando @e:'in .................................................................................................... $. $.$.7.& 3ns(alar Dia:lo. ......................................................................................................... $- $.$.%8.&3ns(alaci+n de os("res)l 6.% .................................................................................... $- $.$.%%.& 3ns(alando Sa':a ..8.$%a / Creando Auo(as de Usuarios. ...................................... $5 $.$.%$.& Con2i"uraci+n de US O43MUS. ........................................................................... .8 $.$.%..& Crear Usuarios. ........................................................................................................ .% 2.3.- Cacti, I'(le'entacin & Configuracin. ........................................... 3) 2.).- !ig !rot*er. ................................................................................... )+ $.-.%.& =e)ueri'ien(os. ......................................................................................................... -8 $.-.$.& 3ns(alaci+n de 0i" 0ro(her. ......................................................................................... -8 $.-...& Con2i"uraci+n. ........................................................................................................... -$ $.-.-.& Conclusi+n. ................................................................................................................ -- 2.,.- -so %e SS. con Certifica%o. ............................................................ ), 2.#.- /er%i%a %e 0ey. .............................................................................. )1 Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # . 2.1.- Sc(Only. ......................................................................................... )1 $.>.%.& =e)uisi(os. ................................................................................................................ -> $.>.$.& 3ns(alar Openssh&or(a:le. ......................................................................................... -> $.>...& 3ns(alar ScpOnl/. ........................................................................................................ -6 $.>.-.& Crear ,uevo Usuario. ................................................................................................ -6 2.$.- Configuracin Ser&i%or ".C/. ......................................................... )2 2.2.- 34stats. ........................................................................................ ,3 2.1+. - 5C'o Contar y graficar (a6uetes usan%o M789: .......................... ,, $.%8.$.& =e)ueri'ien(os. ...................................................................................................... 11 $.%8...& Con2i"uracion. ........................................................................................................ 15 $.%8.-.& Con2i"uracion de S,MD. ....................................................................................... 15 $.%8.1.& Con2i"uraci+n de M=4G. .......................................................................................... 15 $.%8.5.& Con2i"uraci+n de Apache. ....................................................................................... 16 $.%8.>.& Con2i"uraci+n del Archivo Bndice Cinde;.h('lD. ........................................................ 16 $.%8.6.& Conclusiones. .......................................................................................................... 16 2.11.- I'(le'entacin %e !ri%ge ; ire4all. .......................................... ,$ 2.12.- I/< ; "u''ynet =-C> 8>?. ........................................................ #+ $.%$.%.& =e&Co'pilaci+n / Con2i"uraci+n del Eernel. .......................................................... 58 $.%$.$.& Con2i"uracion archivo Fe(cFhos(s ............................................................................ 5% $.%$...& Con2i"uraci+n Archivo Fe(cFhos(.con2 .................................................................... 5% $.%$.-.& Con2i"uraci+n Archivo Fe(cFresolv.con2 .................................................................. 5% $.%$.1.& Modi2icaci+n Archivo Fe(cFs/sc(l.con2 ..................................................................... 5% $.%$.5.& Modi2icaci+n / Con2i"uraci+n archivo Fe(cFrc.con2 .................................................. 5% $.%$.>.& Con2i"uraci+n Archivo Fe(cFrc.2ire@all ..................................................................... 5% $.%$.6.& Creaci+n Scrip( para 0lo)ueo de !"inas. ............................................................... 5$ $.%$.6.%.& Archivo Fe(cFpa"inasGip2@Fpa"inasG:lo)ueadas ................................................ 5$ $.%$.6.$.& Archivo Fe(cFpa"inasGip2@FscG:lo)uearGpa"inas ............................................... 5$ $.%$.6...& Archivo Fe(cFpa"inasGip2@FscG:lo)Gpa" ............................................................. 5$ $.%$.6.-.& Archivo Fe(cFpa"inasGip2@Fsi(iosG:lo) ............................................................... 5$ $.%$.7.& Es(ruc(ura de direc(orios. ....................................................................................... 5. $.%$.%8.& Edi(ores de 4e;(o. ................................................................................................. 5- $.%$.%%.& Archivos de 3'por(ancia. ..................................................................................... 5- 2.13.- @aulas. ......................................................................................... #) 2.1).- !acula. ........................................................................................ $+ $.%-.%.& Es)ue'a de 0acula. ................................................................................................ 68 $.%-.$.& 3ns(alaci+n de M/SA*. .............................................................................................. 68 $.%-...& 3ns(alar 0acula&Server con sopor(e para M/SA*. .................................................... 6$ $.%-.-.& 3ns(alar 0acula&Clien( desde los or(s. ..................................................................... 6$ $.%-.1.& Con2i"urar la :ase de da(os M/SA* Server. ............................................................. 6$ $.%-.5.& Con2i"urar 0acula&Server para M/SA*. .................................................................... 6$ $.%-.>.& Ca':iar E;(ensiones a Archivos de Con2i"uraci+n de 0acula. ................................. 6- $.%-.6.& Con2i"uracion Archivo :acula&2d.con2 CClien(e de 0aculaD. ...................................... 61 $.%-.7.& Con2i"uracion Archivo :acula&sd.con2 CS(ora"e 0aculaD. ......................................... 61 $.%-.%8.& Con2i"uracion Archivo :console.con2 CS(ora"e 0aculaD. ........................................ 6> $.%-.%%. & Con2i"uracion archivo 0acula&Dir.con2 Cdirec(or :aculaD. ..................................... 6> $.%-.%$.& ro:ando los archivos de 0acula. .......................................................................... 7. $.%..%..& 3ns(alando el Clien(e de 0acula en Hindo@s ,4-F$888FIF$88.. ......................... 7. $.%..%-.& EJecu(ando a 0acula&Server por pri'era veK. ....................................................... 7- Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # - $.%-.%1.& Accesando a 0acula desde :console. ................................................................... 7- $.%-.%5.& EJecu(ando el pri'er =espaldo Lull / Di2erencial. .................................................. 71 $.%-.%>.& =es(aurando Archivos con 0acula. ........................................................................ 71 2.1,.- Sa'Aa. ........................................................................................ 2, $.%1.%.& 3ns(alando Sa':a en Lree0SD. ............................................................................... 71 $.%1.$.& Con2i"uraci+n de Sa':a. ........................................................................................ 71 $.%1...& En Servidor de Alu'nos Lran9ie, Servicios / versiones. ......................................... 7> $.%1.-.& En Servidor de ro2esores Sco;, Servicios / Versiones. ........................................... 76 2.1#.- >lan ; Bat. .................................................................................. 2$ $.%5.%.& Descripci+n. ............................................................................................................ 76 $.%5.$.& Con2i"uraci+n del Servidor. ..................................................................................... 77 2.11.- -/S. .......................................................................................... 1+1 2.1$.- 84iCi. ......................................................................................... 1+3 2.1$.- 7e(arar "iscos scC. .................................................................. 1+) 2.12.- 3ctualiDar Soft4are >ulneraAle en ree!S". ................................ 1+, 2.2+.- Ca'Aiar /ass4or% %e 7oot. ......................................................... 1+# 2.3.- Windows Server .................................................................... 106 3.1.- Instalacin <in%o4s Ser&er. .......................................................... 1+# ..$.%.& 3ns(rucciones de 3ns(alaci+n de Ad'inis(rador. ....................................................... %8> ..$.$.& 3ns(rucciones de 3ns(alaci+n de Usuario Co'un. ..................................................... %%8 ..$...& 3ns(rucciones de Creacion ,ueva MSala de ClasesN. ................................................ %%8 ..$.-.& 3ns(rucciones de Clonacion de Ad'inis(rador. ........................................................ %%. 3.4.- Aplicaciones & Servicios Extras .............................................. 113 ).1.- S4itc* 3COM ),++ E >lan. ............................................................. 113 -.%.%$.& Guardando la Con2i"uraci+n. ................................................................................. %%7 ).2.- MonitoriDar ser&i%ores 3(ac*e con Cacti. ....................................... 131 ).3.- MonitoriDar Ser&i%or MySQL %es%e Cacti. ....................................... 13$ ).).- MonitoriDar Ser&i%ores 8o'cat con Cacti. ...................................... 13$ Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 1 1.- CentOS 1.1 InstaIacin CentOS. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 5 1.1.1.- Procedimientos. nserte el disco DVD de instalacin de CentOS 5 y en cuanto aparezca el dilogo de inicio (boot:), pulse la tecla ENTER o bien ingrese las opciones de instalacin deseadas. Si desea verificar la integridad del disco a partir del cual se realizar la instalacin, seleccione OK y pulse la tecla ENTER, considere que esto puede demorar varios minutos. Si est seguro de que el disco o discos a partir de los cuales se realizar la instalacin estn en buen estado, seleccione Skip y pulse la tecla ENTER. Haga clic sobre el botn Next en cuanto aparezca la pantalla de bienvenida de CentOS. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # > Seleccione Spanish como idioma para ser utilizado durante la instalacin. Seleccione el mapa de teclado que corresponda al dispositivo utilizado. El mapa EspaoI o bien Latinoamericano de acuerdo a lo que corresponda. Al terminar, haga clic sobre el botn Siguiente. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 6 Salvo que exista una instalacin previa que se desee actualizar (no recomendado), deje seleccionado InstaIar CentOS y haga clic en el botn Siguiente a fin de realizar una instalacin nueva. Para crear las particiones de forma automtica, lo cual puede funcionar para la mayora de los usuarios, puede seleccionar: Remover particiones en dispositivos seleccionados y crear disposicin, lo cual Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 7 eliminara cualquier particin de cualquier otro sistema operativo presente, y crear de forma automtica las particiones necesarias. Remover particiones de linux en dispositivos seleccionados y crear disposicin, lo cual eliminara cualquier particin otra instalacin de Linux presente, y crear de forma automtica las particiones necesarias. Usar espacio disponibIe en dispositivos seIeccionados y crear disposicin, lo cual crear de forma automtica las particiones necesarias en el espacio disponible. Conviene crear una disposicin que permita un mayor control. Seleccione Crear disposicin personaIizada. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # %8 Una vez seleccionado Crear disposicin personaIizada, haga clic sobre el botn Siguiente. La herramienta de particiones mostrar el espacio disponible. Haga clic en el botn Nuevo. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # %% Asigne 100 MB a la particin /boot y defina sta como particin primaria, siempre que la tabla de particiones lo permita. Si est conforme, haga clic otra vez en el botn Nuevo y proceda a crear la siguiente particin. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # %$ Asigne a la particin / el resto del espacio disponible menos lo que tenga calculado asignar para la particin de intercambio (200% de la memoria fsica, o cuanto baste para 2 GB). Se recomienda asignar / como particin primaria, siempre que la tabla de particiones lo permita. Si est conforme, haga clic otra vez en el botn Nuevo y proceda a crear la siguiente particin. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # %. La particin para la memoria de intercambio no requiere punto de montaje. Seleccione en el campo de Tipo de sistema de archivos la opcin swap. Si tiene menos de 1 GB de RAM, asigne el 200% de la memoria fsica. Si tiene ms de 1GB RAM, asigne una cantidad equivalente a el total del RAM ms 2 GB. Por tratarse de la ltima particin de la tabla, es buena idea asignarle el espacio por rango, especificando valores ligeramente por debajo y ligeramente por arriba de lo planeado. Otras particiones que se recomienda asignar, si se dispone del espacio en disco duro suficiente, son: /usr Requiere al menos 1.5 GB en instalaciones bsicas. Debe considerarse el sustento lgico a utilizar a futuro. Para uso general, se recomiendan no menos de 5 GB y, de ser posible, considere un tamao ptimo de hasta 8 GB en instalaciones promedio. /tmp Requiere al menos 350 MB y puede asignarse hasta 10240 MB o ms dependiendo de la carga de trabajo y tipo de aplicaciones. Si por ejemplo el sistema cuenta con un grabador de DVD, ser necesario asignar a /tmp el espacio suficiente para almacenar una imagen de disco DVD, es decir, al menos 4.2 GB. /var Requiere aI menos 512 MB en estaciones de trabajo sin servicios. En servidores regularmente se le asigna aI menos Ia mitad deI disco duro. /home En estaciones de trabajo se asigna al menos la mitad del disco duro a esta particin. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # %- Si est conforme con la tabla de particiones creada, haga clic sobre el botn siguiente para pasar a la siguiente pantalla. ngresar a la configuracin del gestor de arranque. Por motivos de seguridad, y principalmente con la finalidad de impedir que alguien sin autorizacin y con acceso fsico al sistema pueda iniciar el sistema en nivel de ejecucin 1, o cualquiera otro, haga clic en la casilla Usar Ia contrasea deI gestor de arranque. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # %1 Se abrir una ventana emergente donde deber ingresar, con confirmacin, la clave de acceso exclusiva para el gestor de arranque. Al terminar, haga clic sobre el botn Aceptar. Al terminar, haga clic sobre el botn Siguiente. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # %5 Para configurar los parmetros de red del sistema, haga clic sobre el botn Modificar para la interfaz eth0. En la ventana emergente para modificar la interfaz eth0, desactive la casilla Configurar usando DHCP y especifique la direccin P y mscara de subred que utilizar en adelante el sistema. Si no va a utilizar Pv6, tambin desactive la casilla. Confirme con el administrador de la red donde se localice que estos datos sean correctos antes de continuar. Al terminar, haga clic sobre el botn Aceptar. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # %> Asigne un nombre de anfitrin (HOSTNAME) para el sistema. Se recomienda que dicho nombre sea un FQDN (Fully Qualified Domain Name) resuelto al menos en un DNS local. Defina, adems, en esta misma pantalla, la direccin P de la puerta de enlace y las direcciones P de los servidores DNS de los que disponga. Si desconoce que dato ingresar, defina ste como IocaIhost.IocaIdomain. Al terminar, haga clic sobre el botn Siguiente. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # %6 Seleccione la casilla EI sistema horario usar UTC, que significa que el reloj del sistema utilizar UTC (Tiempo Universal Coordinado), que es el sucesor de GMT (b>Greenwich Mean Time, que significa Tiempo Promedio de Greenwich), y es la zona horaria de referencia respecto a la cual se calculan todas las otras zonas del mundo. Haga clic con el ratn sobre la regin que corresponda en el mapa mundial o seleccione en el siguiente campo la zona horaria que corresponda a la regin donde se hospedar fsicamente el sistema. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # %7 Asigne una clave de acceso al usuario root. Debe escribirla dos veces a fin de verificar que est coincide con lo que realmente se espera. Por razones de seguridad, se recomienda asignar una clave de acceso que evite utilizar palabras provenientes de cualquier diccionario, en cualquier idioma, as como cualquier combinacin que tenga relacin con datos personales. Al terminar, haga clic sobre el botn Siguiente, y espere a que el sistema haga la lectura de informacin de los grupos de paquetes. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # $8 En la siguiente pantalla podr seleccionar los grupos de paquetes que quiera instalar en el sistema. Aada o elimine a su conveniencia. Lo recomendado, sobre todo si se trata de un servidor, es realizar una instalacin con el mnimo de paquetes, desactivando todas las casillas para todos los grupos de paquetes. El objeto de esto es solo instalar lo mnimo necesario para el funcionamiento del sistema operativo, y permitir instalar posteriormente solo aquello que realmente se requiera de acuerdo a la finalidad productiva que tendr el sistema. Al terminar, haga clic sobre el botn Siguiente. Se realizar una comprobacin de dependencias de los paquetes a instalar. Este procesos puede demorar algunos minutos. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # $% Antes de iniciar la instalacin sobre el disco duro, el sistema le informar respecto a que se guardar un registro del proceso en si en el archivo /root/instaII.Iog. Para continuar, haga clic sobre el botn Siguiente. Si iniciar de forma automtica el proceso de formato de las particiones que haya creado para instalar el sistema operativo. Dependiendo de la capacidad del disco duro, este proceso puede demorar algunos minutos. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # $$ Se realizar automticamente una copia de la imagen del programa de instalacin sobre el disco duro a fin de hacer ms eficiente el proceso. Dependiendo de la capacidad del microprocesador y cantidad de memoria disponible en el sistema, este proceso puede demorar algunos minutos. Espere a que se terminen los preparativos de inicio del proceso de instalacin. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # $. Se realizarn preparativos para realizar las transacciones de instalacin de paquetes. niciar la instalacin de los paquetes necesarios para el funcionamiento del sistema operativo. Espere algunos minutos hasta que concluya el proceso. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # $- Una vez concluida la instalacin de los paquetes, haga clic sobre el botn Reiniciar. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # $1 1.2.- MySQL", Configuracin & InstaIacin. 1.2.1.- Equipamiento Lgico Necesario. nstalacin a travs de yum. Si utiliza CentOS 4 o White Box Enterprise Linux 4, solo se necesita realizar lo siguiente para instalar o actualizar el equipamiento lgico necesario: yum -y install mysql mysql-server nstalacin a travs de up2date. Si se utiliza Red Hat" Enterprise Linux 4, solo bastar realizar lo siguiente para instalar o actualizar el equipamiento lgico necesario: up2date -i mysql mysql-server 1.2.2.- Procedimientos. SELinux y el servicio mysqld. Si utiliza CentOS 4, Red Hat" Enterprise Linux 4 o White Box Enterprise Linux 4 o versiones posteriores de estos sistemas operativos, active la poltica mysqId_disabIe_trans con el mandato setsebooI para permitir funcionar al servicio mysqId. De otro modo, el servicio mysqId jams podr iniciar. setsebool -P mysqld_disable_trans 1 Para que SELinux permita utilizar el cliente mysqI para establecer conexiones hacia servidores MySQL, utilice el siguiente mandato: setsebool -P allow_user_mysql_connect 1 niciar, detener y reiniciar el servicio mysqld. Para iniciar por primera vez el servicio mysqId y generar la base de datos inicial (mysqI), utilice: Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # $5 /sbin/service mysqld start Para reiniciar el servicio mysqId, utilice: /sbin/service mysqld restart Para detener el servicio mysqId, utilice: /sbin/service mysqld stop Agregar el servicio mysqld al arranque del sistema. Para hacer que el servicio de mysqId est activo con el siguiente inicio del sistema, en todos los niveles de corrida (2, 3, 4, y 5), se utiliza lo siguiente: /sbin/chkconfig mysqld on Asignacin de clave de acceso al usuario root. El usuario root en MySQL%trade;, no tiene asignada clave de acceso alguna despus de iniciado el servicio por primera vez. Por razones de seguridad, es muy importante asignar una clave de acceso. Mtodo corto. La forma ms simple de asignar una clave de acceso al usuario root de MySQL" solo requiere de un nico mandato, descrito a continuacin. mysqladmin -u root password nueva-clave-de-acceso En adelante, ser necesario aadir la opcin -p a cualquier sentencia de lnea de mandatos para , mysqIadmin y mysqIdump para ingresar la clave de acceso del usuario root y poder, de esta forma, realizar diversas tareas administrativas. Mtodo largo. La forma complicada de realizar lo anterior se describe solo con fines didcticos y como prueba de concepto. No es del todo prctico realizar asignacin de la clave de acceso del usuario root con este mtodo, pero sirve para entender el funcionamiento en cuanto a asignacin de claves de acceso. Como root, utilice el mandato mysqI: # mysql Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # $> Dentro del intrprete de mandatos de MySQL, indique con el mandato use mysqI que utilizar nica base de datos existente, mysqI: > use mysql Solicite con el mandato show tabIes que se muestren las tablas de la base de datos mysqI: > show tables; Con el mandato seIect * from user se mostrar el contenido de la tabla user de la base de datos actual: > select * from user; Esto har que se vea, entre otras muchas cosas, lo siguiente: +-------------------------+----------+------------------+--------------+ | Host | User | Password | Select_priv | +-------------------------+----------+------------------+--------------+ | localhost | root | | Y | +-------------------------+----------+------------------+--------------+ Como se podr observar, el usuario root no tiene asignada una clave de acceso, por lo que cualquiera que se identifique como root en el sistema tendr acceso a todo en MySQL. Se asignar una clave de acceso del siguiente modo: > update user set Password=PASSWORD('nuevo_password') where user='root'; Utilice de nuevo el mandato seIect * from user y vuelva observar el campo que correspondera al de la clave de acceso del usuario root: > select * from user; Deber aparecer ahora un criptograma en el campo que corresponde a la clave de acceso del usuario root. +-------------------------+----------+------------------+--------------+ | Host | User | Password | Select_priv | +-------------------------+----------+------------------+--------------+ | localhost | root |4593274b8e0d68j852| Y | +-------------------------+----------+------------------+--------------+ Se recomienda realizar refresco de los privilegios a fin de que tomen efecto los cambios. > flush privileges Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # $6 Para probar, solo hay que salir del intrprete de MySQL. > quit ntente ingresar de nuevamente al intrprete de mandatos de MySQL: mysql Notar que ya no se puede acceder como antes, y regresa un mensaje de error. ERROR 1045: Access denied for user: 'root@localhost' (Using password: NO) Ejecute ahora el mismo mandato, pero especificando un usuario (-u root) y solicitando se pregunte por una clave de acceso (-p): mysql -u root -p A continuacin se le pedir ingrese una clave de e acceso, tras lo cual obtendr de nuevo acceso al intrprete de mandatos de MySQL. 1.2.3.- Creando y Destruyendo Bases de Datos. Para crear una nueva base de datos, puede utilizarse el mandato mysqIadmin con el parmetro create: mysqladmin -u root -p create dbejemplo Si queremos eliminar dicha base de datos, utilizamos el parmetro drop en lugar de create. mysqladmin -u root -p drop dbejemplo 1.2.4.- Otorgando Permiso a Ios Usuarios. En adelante el usuario root solo se utilizar para tareas administrativas y creacin de nuevas bases de datos. Resultar conveniente delegar a los usuarios ordinarios el manejo de sus propias bases de datos. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # $7 Una vez generada una base de datos, debemos determinar con que usuario y desde que equipo en la red local, se podr tener acceso, as como los privilegios para modificar esta. Lo ms comn, y seguro, es asignar el acceso solo desde el mismo servidor (localhost), a menos que el desarrollo web o aplicacin se localice en otro equipo. Genere un base de datos denominada directorio: mysqladmin -u root -p create directorio Se accede hacia el intrprete de mandatos de MySQL" y se utiliza lo siguiente, suponiendo que se desea asignar permisos seIect (seleccionar), insert (insertar), update (actualizar), create (crear), aIter (aldetar), deIete (eliminar) y drop (descartar) sobre las tablas de la base de datos directorio al usuario prueba desde el anfitrin IocaIhost (equipo local): GRANT select, insert, update, create, alter, delete, drop ON directorio.* TO prueba@localhost DENTFED BY 'password_del_usuario_prueba'; Al concluir, se tendr una base de datos denominada directorio que podr ser utilizada y modificada por el usuario prueba desde el anfitrin IocaIhost. Esto establecer un nivel de seguridad apropiado, y garantizar que de verse comprometida la seguridad, la clave de acceso de un usuario no podr ser utilizada desde un sistema remoto. Si, por mencionar un ejempIo, se requiere permitir el acceso hacia la base de datos directorio desde otro equipo en la red local, con fines administrativos, se puede otorgar el acceso y permisos al usuario jperez desde el anfitrin 192.168.1.253, es decir jperez@192.168.1.253. GRANT select, insert, update, create, alter, delete, drop ON directorio.* TO jperez@192.168.1.253 DENTFED BY 'clave_de_acceso_para_jperez'; 1.2.5.- Modificaciones Necesarias en eI Muro Cortafuegos. Si se utiliza un cortafuegos con polticas estrictas, como por ejemplo ShorewaII, es necesario abrir el puerto 3306 por TCP (mysqI). Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # .8 Las reglas para el fichero /etc/shorewaII/ruIes de ShorewaII en un sistema con una zona (net), correspondera a lo siguiente: #ACTON SOURCE DEST PROTO DEST SOURCE # PORT PORT(S)1 ACCEPT net fw tcp 3306 #LAST LNE -- ADD YOUR ENTRES BEFORE THS ONE -- DO NOT REMOVE Las reglas para el fichero /etc/shorewaII/ruIes de ShorewaII en un sistema con dos zonas (net y Ioc), donde solo se va a permitir el acceso al servicio mysqId desde la red local, correspondera a lo siguiente: #ACTON SOURCE DEST PROTO DEST SOURCE # PORT PORT(S)1 ACCEPT loc fw tcp 3306 #LAST LNE -- ADD YOUR ENTRES BEFORE THS ONE -- DO NOT REMOVE Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # .% 1.3.- Tomcat. Primero, comprobamos de que tengamos instalado java, para ellos podemos hacer: Java-version Si no tenemos instalado, procedemos con la instalacin. Descargamos el instalador rpm de la version de java que necesitamos desde sun Damos permisos de ejecucin al archivo descargado: chmod a+x archivo.rpm y luego simplemente escribimos: ./archivo.rpm Completada la instalacion hacemos: Java-version Y deberamos ver algo como: java version "1.6.0_10-rc" Java(TM) SE Runtime Environment (build 1.6.0_10-rc-b28) Java HotSpot(TM) Client VM (build 11.0-b15, mixed mode, sharing) 1.3.1 InstaIacin de Tomcat 6. Descargamos Tomcat 6.0.16, para ello abrimos una consola y pegamos: Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # .$ wget http://apache.hoxt.com/tomcat/tomcat-6/v6.0.16/bin/apache-tomcat-6.0.16.tar.gz Descomprimimos el tar tar -xzvf apache-tomcat-6.0.16.tar.gz Las siguientes operaciones deben ser ejecutadas como root. Creamos un directorio dentro de /usr/local/tomcat mkdir /usr/local/tomcat Movemos el contenido del archivo descargado. mv apache-tomcat-6.0.16/* /usr/local/tomcat Tomcat necesita tener la variable de ambiente JAVA_HOME seteada, para ello, editamos el archivo /etc/profile nano /etc/profile Y agregamos al final del mismo la lnea: export JAVA_HOME=/usr/java/jre1.6.0_10/ Guardamos y continuamos. Ahora vamos a crear un script para arrancar automticamente tomcat. nano /etc/init.d/tomcat6 Y copiamos: # Tomcat auto-start # Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # .. # description: Auto-starts tomcat # processname: tomcat # pidfile: /var/run/tomcat.pid export JAVA_HOME=/usr/lib/jvm/java-6-sun case $1 in start) sh /usr/local/tomcat/bin/startup.sh ;; stop) sh /usr/local/tomcat/bin/shutdown.sh ;; restart) sh /usr/local/tomcat/bin/shutdown.sh sh /usr/local/tomcat/bin/startup.sh ;; esac exit 0 Guardamos y salimos. Agregamos permisos de ejecucin al script: chmod 755 /etc/init.d/tomcat6 Y lo ltimo es agregar este script como un link: sudo ln -s /etc/init.d/tomcat6 /etc/rc1.d/K99tomcat sudo ln -s /etc/init.d/tomcat6 /etc/rc2.d/S99tomcat Y Listo. Tenemos Tomcat 6 instalado exitosamente en CentOS. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # .- 2.- FreeBSD Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # .1 2.1 InstaIacin FreeBSD 6.1 OBSERVACON: Para toda seleccin de opciones, se debe utilizar la techa TAB y luego OK con la barra espaciadora Configuracin del pas: Chile Configuracin del teclado: Spain (accent) 1. 2.1.1.- Asignacin de espacio en disco. Elija en qu unidad usar FDisk Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # .5 2.1.2.- Particionando. Se eliminan todas las particiones existentes en el disco seleccionado anteriormente pulsando la tecla D (deIete) sobre cada particin, quedando el disco duro completo. Posteriormente, presionar la tecla A (use entire disk), la cual crear una particin extendida y una pequea particin de arranque. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # .> 2.1.3.- Particin con FDisk Usando eI Disco CompIeto. posicionese sobre la particin mas amplea y presione la tecIa S (set booteabIe) deber aparecer la Ietra A CA, en la columna FIag de la misma particin, esta (s) letra(s) identifican la particin que ser booteada por el sistema. Para finalizar presione tecla Q (finish). Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # .6 2.1.4.- Men de Gestores de Arranque. Seleccionar Standard para crear las particiones en la particin extendida creada. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # .7 2.1.5.- SeIeccin de Unidad. Seleccionamos el disco duro a trabajar. Seleccionamos el disco duro donde crearemos las particiones con precaucin, con la barra espaciadora luego OK. Nos debe mostrar una pantalla sin particiones donde crearemos las particiones para nuestro S.O. Presionamos la tecla C (create) asignando el tamao en MegaBytes (M) para nuestro directorio en particular. en nuestro caso, comenzaremos creando el espacio para el directorio /var. Al presionar C, asignaremos 30000M, posteriormente seleccionamos FS (A fiIe system) que corresponde a una particin del tipo Sistema de Archivos. Posteriormente introducimos en VaIue Required, el punto de montaje (/var), lo mismo para montar /usr. Finalmente dejar lo que queda para la raiz (/) y SWAP Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # -8 2.1.6.- Editor DiskIabeI con Ios vaIores por defecto. 2.1.7.- EIija eI Tipo de Particin Raz. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # -% 2.1.8.- EIija eI Punto de Montaje deI s. f. raz. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # -$ 2.1.9.- Confirmar Distribuciones. SeIeccionar 6, Kern-DeveIoper confirmando la seleccin y posteriormente X exit para retornar a la instalacin 2.1.10.- EIeccin deI Medio de InstaIacin. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # -. Seleccionamos la opcin 1 CD/DVD origen de nuestra instalacin. La instalacin a comenzado La configuracin de Red NO ser realizada en el momento de ella instalacin por lo que se debe no confirmar dicha peticin, lo mismo para SSH, FTP, NFS server y NFS cliente, la confirmacin de las opciones de consola, responder Yes. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # -- 2.1.11.- Configuracin de Ia ConsoIa. Opciones de configuracin de la consola del sistema: Una opcin que suele elegirse es el uso del salvapantallas. Elija Saver y luego pulse Intro. Luego de configurar opciones como el protector de pantalla, se debe seleccionar la opcion X Exit. World you like to configure any Ethernet or SLP/PPP network devices Yes [No] World you like tos et this machines time zone now [Yes] No Cambio de hora [Yes] No Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # -1 2.1.12.- Configuracin de Ia Zona Horaria. Eleccin de regin Elija la regin que corresponda movindose con las flechas y pulsando Intro cuando sea conveniente. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # -5 2.1.13.- EIija Pas. 2.1.14.- CompatibiIidad con Linux.
User Confirmation Requested
Would you like to enable Linux binary compatibility? [ Yes ] No Si selecciona [ Yes ] y pulsa Intro podr ejecutar software Linux en FreeBSD. La instalacin aadir los paquetes necesarios para poder tener compatibilidad binaria con Linux. User Confirmation Request The FreeBSD package.. Yes [No] User Confirmation Request World you like to add any. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # -> Yes No 2.1.15.- Configuracin deI Ratn. Seleccionar puerto del mouse (PS/2) Arranque del dmon del ratn Para terminar, seleccione con las flechas EnabIe (activar) y pulse Intro: as se activa y prueba el dmon del ratn. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # -6 2.1.16.- Prueba deI Dmon deI Ratn. Mueva el ratn un poco por la pantalla hasta asegurarse de que el cursor responde adecuadamente. Si todo es correcto seleccionar Yes Posteriormente seleccionar X Exit (Exit this menu (returing to previous) Paso siguiente: Sobre confirmacin sobre aplicaciones WEB contestar Yes. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # -7 2.1.17.- SeIeccin de Categora de Paquetes. Apretar Enter en All y buscar posteriormente Bash (consola), marcando todos las dependencias que se encuentran en All. Seleccionar OK, y posteriormente nstall Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 18 2.1.18.- SeIeccin de Paquetes. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 1% 2.1.19.- InstaIacin de Paquetes. Seleccione [ nstall ] con el TabuIador y las flechas y pulse Intro. Se le pedir que confirme que quiere instalar los paquetes Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 1$ 2.1.20.- Confirmacin Previa a Ia InstaIacin de Paquetes. Si selecciona [ OK ] y pulsa enter. Confirmacin de todas las dependencias Nos pedir que insertemos el disco 2, presionamos Yes e insertamos el disco #2, luego OK dependiendo de la peticin. Esto de pedir el CD 1 y el CD 2 lo realizar en reiteradas ocasiones por lo que no hay que preocuparse Aadir Usuarios/Grupos User Confirmation Requested Would you like to add any initial user accounts to the system? Adding at least one account for yourself at this stage is suggested since working as the "root" user is dangerous (it is easy to do things which adversely affect the entire system). [ Yes ] No Es decir: Peticin de confirmacin por parte del usuario Quiere aadir algn usuario al sistema? Le sugerimos que aada al menos uno para usted puesto que trabajar como "root" es peligroso (es fcil hacer algo con consecuencias en todo el sistema). [ Yes ] No Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 1. la creacin de otro usuario que no sea el Root. 2.1.21.- Creando Password. ngresar nueva password de root, posteriormente negar confirmacin sobre cambios en las ltimas opciones, luego pasamos a la siguiente ventana de opciones. 2.1.22.- SaIir de Ia InstaIacin. Seleccione [X Exit InstaII] confirmando la salida de la instalacin. Listo, Bienvenido a FreeBSD 6.1 Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 1- 2.2.- InstaIacin de Servicios en FreeBSD 6.1 nstalacin y Configuracin de un Servidor. 2.2.1.- Configurando Ia Red. El servidor educnet-clon cuenta con la siguiente configuracin: IP:10.100.6.215 /24 GW:10.100.6.254 DNS:10.50.1.16 Nombre Host: Educnet-Clon 1.1.- Para la ip: fconfig em0 10.100.6.215 netmask 255.255.255.0 1.2.- Para la puerta de enlace (Defaul gateway) route add default gw 10.100.6.254 1.3.- Para el DNS vi /etc/resolv.conf nombre de host #vi /etc/hosts ponemos: Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 11 127.0.0.1 localhost.decom-uv.cl localhost 10.100.6.215 clon-educnet.decom-uv.cl clon-educnet 10.100.6.215 clon-educnet.decom-uv.cl. Luego editamos /etc/host.conf, verificando que se encuentre hosts, antes que bind #vi /etc/host.conf hosts bind dns Luego editamos /etc/rc.conf, que es el archivo que guarda la configuracin con que arranca el equipo. configurando: #vi /etc/rc.conf ifconfig_fxp0="inet 10.100.6.215 netmask 255.255.255.0" defaultrouter="10.100.6.254" hostname="educnet-clon.decom-uv.cl" nota: para nuestro siguiente acceso al sistema, deberia aparecernos en el promt: educnet-clon# 2.2.2.- InstaIacin de ApIicaciones Port. Necesitamos instalar DiabIo (java para FreeBSD) y PostgresqI 8.1, para comenzar, es necesario saber con que versin de diablo cuenta nuestro sistema FreeBSD adems de la ubicacin. 1. Buscar el port #cd /usr/ports //donde se encuentran todas las aplicaciones Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 15 #make search name=diablo //diablo es la aplicacin a buscar Port: lsof-4.56.4 Path: /usr/ports/java/diablo-jre13 nfo: Lists information about open files (similar to fstat(1)) Maint: obrien@FreeBSD.org ndex: sysutils B-deps: R-deps: Nota: Path nos indica la ubicacin de diablo, primera aplicacin a instalar. 2: Entrar a la aplicacin Entramos a /usr/ports/java/diablo-jre13 Deben existir los siguientes directorios: Makefile distinfo files pkg-descr pkg-plist Hacemos make y make install Si existe un error sobre vulnerabilidad debemos actualizar la BD de de vulnerabilidades. Nota: nos damos cuenta que la versin de diablo con la que cuenta nuestro sistema corresponde a la 1.3, lo cual es demasiado antigua, es necesario adems de actualizar la lista de vulnerabilidades, actualizar nuestra lista de puertos (ports). Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 1> 3.- Actualizacin de la BD de vulnerabilidades Entrar a /usr/ports/security/portaudit Ejecutar #make y luego #makeinstall Una vez ejecutado dichos comando, se debe ejecutar: #portaudit -F //nos descarga la nueva BD de vulnerabilidades 4.- Actualizacin de la lista de puertos (ports). Ejecutamos el siguiente comando: #portsnap fetch extract Antes de empezar a instalar los servicios se debe tener los Ports actualizados, estos se pueden descargar de la siguiente direccin ftp://ftp.freebsd.org/pub/FreeBSD/ports/ports/ 2.2.3.- InstaIando Bash. Una vez bajados los Ports se pueden dejar en un directorio como ports2 o renombrar el directorio original como ports.ori y el original se deja como ports, eso a gusto de la persona, lo importante es realizar la actualizacin desde los ports descargados y no los que trae. En este caso se utilizo el ports2 cd /ports2/port/shells/bash make make install Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 16 2.2.4.- HabiIitando SSH. 4.1.- Entro al archivo /etc/rc.conf Ah hay que poner: sshd_enable = YES 4.2.- Luego ejecuto ssh /etc/rc.d/sshd star 4.3.- En caso de no partir ssh, debera agregar estas lnea de cdigo al archivo etc/ssh/sshd_config gnoreRhosts yes RhostsRSAAuthentication no RhostsAuthentication no gnoreUserKnownHosts no PrintMotd yes StrictModes yes RSAAuthentication yes PermitRootLogin yes PermitEmptyPasswords no PasswordAuthentication yes 4.4.- Posibles problemas con ssh Uno de los problemas que se pueden presentar posterior a la instalacin por ssh, es que al servidor donde intentamos acceder haya generado nuevamente las claves (trabaja con claves publicas y privadas), es decir, se haya desinstalado ssh y luego instalado. El problema que se muestra en nuestro ssh (cliente) es el siguiente: alumnos# ssh root@192.168.20.6 Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 17 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@ @ WARNNG: REMOTE HOST DENTFCATON HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@ T S POSSBLE THAT SOMEONE S DONG SOMETHNG NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! t is also possible that the DSA host key has just been changed. The fingerprint for the DSA key sent by the remote host is 69:ca:9d:10:03:c9:20:ba:a7:dc:46:d4:b7:7c:e5:44. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending key in /root/.ssh/known_hosts:7 DSA host key for 192.168.20.6 has changed and you have requested strict checking. Host key verification failed. En este caso se borra .ssh/known_hosts. Y se volver a poder entrar por ssh desde esta cuenta. Este problema se puede presentar en cualquier cuenta de usuario que se tenga en la mquina por ejemplo puede darse con /home/1998/mferrand/.ssh/known_hosts. Cabe sealas que el problema es de una cuenta en especfico y no de TODAS las cuentas, esto fue probado entrando con otra cuenta mientras persista el problema desde root y mferrand que se encontraban en la mquina desde donde se quera acceder al servidor Problema Host key verification failed. En Jaulas Este problema se presenta cuando se tienen servidores virtuales y ocurre cuando las interfaces de los servidores virtuales (Jails) son cambiadas, entiendase por interfaces los alias que utilizan para identifarse las distintas jaulas. El problema tiene relacin con lo mismo explicado anteriormente, y se soluciona "desinstalando (parando ssh y comenarlo de rc.conf) ssh y luego instalndolo para que se generen las llaves pblicas y privadas nuevamente, en caso que no se pueda ingresar una de las posibilidades es que pase lo sealado en el parrafo anterior, es decir, la cuenta del servidor desde donde se est accediendo mantenga las llaves (publicas y privadas) antiguas. 2.2.5.- InstaIando Apache 1.3 Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 58 Para que apache parta la mquina debe tener nombre, para que la mquina tenga nombre deben estar configurados los archivos a continuacin vi /etc/hosts vi /etc/host.conf vi /etc/rc.conf Si los nombre no coinciden en estos archivos no se podr iniciar apache. Una vez configurados estos archivos se realiza lo siguiente: cd /usr/ports/www/apache13 make install clean apachectl start //parte apache otros: apachectl stop //para apache apachectl restart //reinicia apache Para desinstalar una version: cd /usr/ports/www/apache13 make deinstaII //desinstala apache En el archivo /etc/rc.conf Se agrega apache_enabIe = "YES" //con esto cada vez que se reinicie la mquina apache partir 2.2.6- InstaIando Apache13 (Apache MysqI 5 PHP5). Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 5% amp# cd /usr/ports/www/apache13 amp#make amp#make install Al ejecutar apache apachectI start, es posible que el comando no sea reconocido por lo que habr que salir de ese Prom. con exit y luego ejecutar apachectI Stara Para que el comando que viene a continuacin pueda ejecutarse se ingresa por el shell tcsh #apachectl start >>Otra forma de poder ejecutar apache es: /usr/local/sbin/apachectl start Luego se agrega mysql_enable=YES al archivo /etc/rc.conf 2.2.7.- InstaIando PHP5 . Al instalar PHP5 con Apache13 debo instalar otras aplicaciones como php5-mysql y php5- extensions, todas estas instalaciones quedarn descritas en esta seccin 7.1.- nstalando PHP5 cd /usr/ports/lang/php5 make install clean Dar Soporte PHP a Apache13 Al realizar make install clean me aparecer una pantalla azul, en la cual se deber agregar algunas opciones imprescindibles como apache y cgi (esta generalmente viene por defecto Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 5$ ##Este paso de comprobacin de php se puede omitir, o realizar una vez instaladas las otras aplicaciones como php5-extensions y php5-mysql############# > Para probar php5 agregamos una pgina hecha en php en el directorio /usr/IocaI/www/data (para este caso debera agregarse en la jaula que se est instalando) Dentro del directorio data agregamos una pgina pruebaphp.php > ngresamos a la pgina por ejemplo: 10.100.6.204/pruebaphp.php Para verificar que los mdulos de PHP4 se encuentren instalados hay que dirigirse a vi /usr/local/etc/apache/httpd.conf En este archivo debern aparecer LoadModule php5_module libexec/apache/libphp5.so Y mas abajo aparecer AddModule mod_php5.c Luego se reinicia apache (apachectl restart) y al ingresar a la ip del servidor deber aparecer la pgina de PHP PHP Version 5. 7.2.- nstalando PHP5-Extensions cd /usr/ports/lang/php5-extensions make config Ac aparecern una serie de opciones que solo algunas se debern marcar adems de dejar las que aparecen por default, las opciones a marcar son las siguientes (estas aparecern en una pantalla azul) Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 5. select type, curl, dom, gd, imap, mbstring, mcrypyt, mysql, mysqli, pcre, posix, session, simplexml, xml, xmlreader, xmlwriter, zlib make install make clean cd /usr/local/etc cp php.ini-recommended php.ini 7.3.- nstalando PHP5-mysql Ac se da el soporte de mysql en PHP, se produce la conexin entre ambas aplicaciones, para ver si tengo instalado php5-mysql realizo el siguiente comando pkg_info|grep php|grep mysql Si el commando arroja algn resultado quiere decir que la aplicacin est instalada, en caso contrario (de no arrojar nada) hay que instalarla. cd /usr/ports/database/php5-mysql make make install make clean Observacin: Es probable que no inicie php5 por lo que hay que meterse al archivo vi /usr/local/etc/apache/httpd.conf y cambiar todos lod php4 por php5 Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 5- 2.2.8.- InstaIando webmin 8.1.- Webmin se encuentra en cd /usr/ports/sysutils/webmin make install clean 8.2.- Una vez instalado se agrega al archivo vi /etc/rc.conf Se agrega webmin_enable=YES 8.3.- Para ejecutarlo se debe ir a la siguiente ruta cd /usr/local/lib/webmin se ejecuta de la siguiente forma ./setup.sh 2.2.9.- InstaIar DiabIo. Con la nueva lista de puertos, nos damos cuenta que dentro de /usr/ports/java, existen diferentes directorios relacionados con diablo, claro que ahora, con la versin 1.5, la mas actualizada hasta el momento. Entramos a /usr/ports/java/diablo-jdk15/ Si ejecutamos make y/o make instaII, nos entregar un error de la no existencia de un archivo, el cual debe ser descargado. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 51 9.1.- Descarga de Diablo Descargar diabIo-caffe-freebsd6-i386-1.5.0_07-b01.tar.bz2 y copiarlo dentro de la carpeta /usr/ports/distfiIes (en caso que se este descargando de un sitio que haya que mandar un "submit o "aceptar, esto se puede hacer a travs de interfaz grafica de links luego, ir a /usr/ports/java/diabIo-jdk15/ Se realiza los siguientes comandos en el mismo orden que aparece: make lmake install No nos debera presentar mayores problemas, por lo cual tendramos java instalado. comprobar, ejecutar: #java -version Debera entregarnos la versin que se encuentra instalada, en nuestro caso, 1.5 2.2.10.-InstaIacin de PostgresqI 8.1 Nos dirigimos al puerto que se encuentra posrgresqI 8.1 de Ia siguiente forma: cd /usr/ports/databases/postgresql-81-server Si ejecutamos make puede que nos lance un error sobre setear variables Kerberos. Ejecutamos: #make config Marcamos toda la configuracin de Server a excepcin de Kerberos, la cual a su Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 55 vez, no es aplicacin de Server. Confirmamos con OK ahora si ejecutamos: #make install Durante la instalacin puede que nos pregunte por un paquete, simplemente confirmar con OK. Finalmente ejecutamos: #make clean Aadimos postgresql para que se cargue al inicio en el archivo /etc/rc.conf #echo 'postgresql_enable=YES' >> /etc/rc.conf para verificar dicha lnea, ejecutar: #cat /etc/rc.conf donde posrgresqI_enabIe= "YES" debera estar al final. 10.1.- Creando initdb Debemos crear initdb que nos servir para crear una nueva "database cIuster, que no es ms que una coleccin de base de datos que sern manejadas por una nica instancia del servidor. ejecutamos: # mkdir /usr/local/pgsql/data # chown pgsql:pgsql /usr/local/pgsql/data 3. Si todo sale bien ya podemos hacer uso del programa initdb de la siguiente Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 5> forma: # su -l pgsql -c "initdb -D /usr/local/pgsql/data -W -A md5" Salida del comando anterior (en espaol): Los archivos de este cluster sern de propiedad del usuario pgsql. Este usuario tambin debe ser quien ejecute el proceso servidor. corrigiendo permisos en el directorio existente /usr/local/pgsql/data ... hecho creando directorio /usr/local/pgsql/data/global ... hecho creando directorio /usr/local/pgsql/data/pg_xlog ... hecho creando directorio /usr/local/pgsql/data/pg_xlog/archive_status ... hecho creando directorio /usr/local/pgsql/data/pg_clog ... hecho creando directorio /usr/local/pgsql/data/pg_subtrans ... hecho creando directorio /usr/local/pgsql/data/pg_twophase ... hecho creando directorio /usr/local/pgsql/data/pg_multixact/members ... hecho creando directorio /usr/local/pgsql/data/pg_multixact/offsets ... hecho creando directorio /usr/local/pgsql/data/base ... hecho creando directorio /usr/local/pgsql/data/base/1 ... hecho creando directorio /usr/local/pgsql/data/pg_tblspc ... hecho seleccionando el valor para max_connections ... 40 seleccionando el valor para shared_buffers ... 1000 creando archivos de configuracin ... hecho creando base de datos template1 en /usr/local/pgsql/data/base/1 ... hecho inicializando pg_authid ... hecho ngrese la nueva contrasea del superusuario: ngrsela nuevamente: estableciendo contrasea ... hecho habilitando tamao de registro ilimitado para tablas de sistema ... hecho inicializando dependencias ... hecho Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 56 creando las vistas de sistema ... hecho cargando pg_description ... hecho creando conversiones ... hecho estableciendo privilegios en objetos predefinidos ... hecho creando el esquema de informacin ... hecho haciendo vacuum a la base de datos template1 ... hecho copiando template1 a template0 ... hecho copiando template1 a postgres ... hecho Completado. Puede iniciar el servidor de bases de datos usando: postmaster -D /usr/local/pgsql/data o pg_ctl - D / usr/local/pgsql/data - l archivo_de_registro start Clave superusuario: escotilla 2.2.11.- InstaIando Samba 3.0.21a y Creando Quotas de Usuarios. 11.1.- Para instalar samba cd /usr/ports/net/samba3 make make install 11.2.- en /etc/rc.conf agrego samba_enable=YES Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 57 11.3.- Para agregar las mquinas que se conectarn al servidor se puede hacer por webmin o por ssh, en el ejemplo a continuacin se mostrar como se hace por webmin Agregando maquinas Sistemas / nuevo usuario Nombre del usuario: LAB02PC26$ Nombre real: LAB02PC26 Shell: /usr/sbin/nologin Grupo primario: samba 11.4.- En SSH Ac creo la password con los cuales los pc se conectarn al servidor (samba) El comando para poner la password es: Smbpasswd root New SMB: prueba Confirmar passwd: prueba 11.5.- En W2K Se agregan las mquinas al dominio en Windows, para que sean reconocidas en samba. Te vas a: a.- Mi PC / propiedades / nombre de equipo (pestaa) / cambiar (botn) b.- Desactivar "grupo de trabajo y Activar "dominio. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # >8 c.- Poner nombre al dominio ej: LABDECOM d.- Aparecer login: passwd: login:root contrasea: prueba e.- An no tenemos los usuarios creados por lo que en caso de haber un gran nmero de usuarios resultara agotador llenar todos los datos de usuarios, por lo que se hace es cargar un archivo txt en webmin. Donde se carga este archivo es Sistema / usuarios y grupos / crear y modificar usuarios desde archivos por Iotes/ El archivo que se carga mantiene esta estructura, se puede hacer de forma automtica con funciones de excel Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # >% create:aalvarez:620037:5005:1000:"Alejandro Alvarez":/home/2007/aalvarez:/usr/local/bin/bash:default:: create:aamaya:986679:5006:1000:"Amanda Amaya":/home/2007/aamaya :/usr/local/bin/bash:default:: create:acordova:505258:5020:1000:"Angelo Cordova":/home/2007/acordova:/usr/local/bin/bash:default:: create:agardell:328955:5031:1000:"Angelo Gardella":/home/2007/agardell:/usr/local/bin/bash:default:: create:ahernand:135485:5039:1000:"Alexis Hernandez":/home/2007/ahernand:/usr/local/bin/bash:default:: create:amaturan:599493:5053:1000:"Alex Maturana":/home/2007/amaturan:/usr/local/bin/bash:default:: Una vez cargado el archivo aparecer los siguiente: Creado usuario aalvarez Creado usuario aamaya Creado usuario acordova Creado usuario agardell Creado usuario ahernand En caso de existir duplicaciones webmin mostrar cual es el usuario que esta duplicado De esta forma tengo todos los usuarios creados solo falta agregarlos a samba. Para agregarlos a samba se puede hacer por ssh. Utilizando el siguiente comando se agregar los usuarios a samba, esto quiere decir que cuando cada persona se conecte con su PC (que ya esta registrada la mquina) se estar logeando al servidor. 11.6.- Creacin de quotas 1 Se debe aadir en el archivo de configuracin del Kernel: options QUOTA Esta opcin se agrega en cd /usr/src/sys/i386/conf Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # >$ vi ALUMNOS //En este archive agregamos la "options QUOTA En el caso de nuestro servidor el Kernel se respaldo estando dentro del directorio cd /usr/src/sys/i386/conf de la siguiente forma cp GENERC GENERC.resp Esto se realiza en caso de cualquier problema tenga el kernel. En nuestro caso en especfico se renombro el kernel GENERIC por ALUMNOS, se realiz de la siguiente forma mv GENERC ALUMNOS 2 En: vi /etc/rc.conf enable_quotas=YES check_quotas=YES 3 Una vez realizadas estas modificaciones se compila el Kernel Dentro del directorio usr/src/sys/i386/conf Se pone /usr/sbin/config ALUMNOS cd ../compile/ALUMNOS #make depend //compilando el kernel #make #make install //nstalando el nuevo kernel ALUMNOS 4 Asignar quotas a particiones /etc/fstab En este caso (alumnos) se debe asignar las quotas a sus discos virtuales (conectados a travs de samba) y as vez asignar quotas al correo. En este caso las quotas de los alumnos quedaron en el directorio Home y las de correo en var Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # >. Para las quotas del home se asignan 50 MB Para las quotas del var se asignan 15 MB En el caso para el Home quedara de la siguiente forma /dev/da0sld /home ufs rw, userquota En el caso para el var quedara de la siguiente forma /dev/da0sld /var ufs rw, userquota 5 Luego asigno por ssh el tamao de ambas quotas (samba y correo) al usuario: quota u mferrand /home: kbytes in use: 6482, limits (soft = 50001, hard = 50001) inodes in use: 246, limits (soft = 0, hard = 0) /var: kbytes in use: 154, limits (soft = 15000, hard = 150000) inodes in use: 1, limits (soft = 0, hard = 0) 6.- Por ssh y webmin se pueden copiar quotas de un usuario a un grupo determinado, en este caso se copi por webmin a todo el grupo aIm el cual contiene a los usuarios que se quiere copiar la quota. Sistemas/Cuotas de disco En editar cuotas de usurita se agrega el usuario que replicar su cuota al resto del grupo Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # >- Luego se elige la opcin copiar cuotas Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # >1 2.2.12.- Configuracin de UPS - OPTIMUS. cd /usr/ports/syutils/apcupsd make install clean Agregar en el archive rc.conf apcupsd_enable="YES" Luego en el siguiente archivo se debe de configurar vi /usr/local/etc/apcupsd/apcupsd.conf //Se configura UPSCable "nmero cable 940-0024c UPStype APSSmart //modelo DEVCE Luego se ejecuta: /usr/local/etc/rv .d/apcupsd start /usr/local/sbin/apcaccess status Luego de configurar la UPS aparece el siguiente error: Manual General: Servicios, Aplicaciones & Servidores DECOM. LA4A* E==O= in apcaccess.c a( line $1$ 4cpGopen: canno( connec( (o server local hos( on por( .11% E==&Connec(ion re2used ! " i n a # >5 El error se produjo por el cable, se cambio el cable Luego dirigirse a /usr/local/etc/apcupsd Se copia el directorio cgi completo a /usr/local/www/cgi-bin Luego editar el archivo hosts.conf que se encuentra en /usr/local/etc/apcupsd En este archivo agrego la ip del servidor en este caso 192.168.1.10 y agrego el nombre "alumnos. En esta ruta /usr/local/www/cgi-bin/cgi cambiar los permisos a todos los archivos Chmod 777 MPORTANTE: Reiniciar /usr/local/etc/rv .d/apcupsd restart luego comenzar con el servicio /usr/local/etc/rv .d/apcupsd start 2.2.13.- Crear Usuarios. 13.1.- Primero se crea el grupo [root@optimus ~]# pw groupadd decom Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # >> Se visualiza con [root@optimus ~]# cat /etc/group 13.2.- Agregar usuarios [root@optimus ~]# adduser v Para borrar un usuario rmuser nombredelusuario IMPORTANTE: Para que los usuarios creados puedan utilizar su para poder cambiar a root , los usuarios al ser creados deben ser agregados al grupo wheeI 2.2.14.- Configurando SSH en JauIas de Tesistas. Para que los usuarios puedan entrar por ssh a sus jaulas se pasa primero por el servidor de alumnos, y luego se salta a la jaula correspondiente, esto se realiza de la siguiente forma. En el servidor de aIumnos, se crea un script, esto se realiza en el directorio root: vi /root/dramirez #!/bin/sh ssh root@192.168.20.8 El usuario dramirez que se encuentra creado en el servidor de alumnos pasa a su jaula que se encuentra con la ip 192.168.20.8. Este script se encuentra en /root y tiene como permiso 755 Luego en el servidor de alumnos se modifica el master.passwd sin antes haberlo respaldado, se ejecuta vipw y se cambia la forma de ingresar Se tena azamora:$1$Xu3Rd/fQ$0P2ADbu2/RUN19/CYkKtA0:1377:1000::0:0:Amador Zamora Nunez:/home/2005/azamora:/usr/local/bin/bash Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # >6 Se cambia a azamora:$1$Xu3Rd/fQ$0P2ADbu2/RUN19/CYkKtA0:1377:1000::0:0:Amador Zamora Nunez:/home/2005/azamora:/root/azamora-ssh 2.2.15.- Cambiar Zona Horaria. Es importante verificar la zona horaria de la jaula, ya que nos encontramos con aplicaciones que trabajan con la hora. Para realizar esto se debe realizar lo siguiente Dirigirse hasta amp3#cd /usr/share/zoneinfo/America Luego copiar el archivo Santiago que aparece dentro del directorio America. amp3#cp Santiago /etc/localtime Luego se verifica que la hora este correcta con el comando date amp3# date Wed Jun 11 14:56:46 CLT 2008 Para cambiar la hora a travs de comandos se realiza lo siguiente amp3# date aomesdiahoraminutos ejemplo amp3# date 0808211000 Esto equivaldra a 21/08/2008 10 rct Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # >7 2.2.16.- InstaIando Bind9 para DNS (Externo). Primero se instala el bind9 jail2# cd /usr/ports/dns/bind9 jail2#make jail2#make install En el /etc/namedb/named.conf de scox aparecen las siguientes lneas que deben ser copiadas en el nuevo scox (UItraman)en named.conf para poder realizar el DNS Externo >> En /etc/namedb/named.conf zone "decom-uv.cl"{ type master; file "/etc/namedb/master/decom-uv.cl"; }; -------------------------------------------------------------------------------- Luego en el directorio /etc/namedb/master creo el archivo decom-uv.cI y agrego las siguientes lneas: En /etc/namedb/master $ttl 38400 decom-uv.cl. N SOA behemoth.decom-uv.cl. root.localhost. ( 1071154044 10800 3600 Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 68 604800 38400 ) decom-uv.cl. N NS scox.decom-uv.cl. www.decom-uv.cl. N A 200.14.68.2 scox.decom-uv.cl. N A 200.14.68.2 decom-uv.cl. N MX 10 200.14.68.3 alumnos.decom-uv.cl. N A 200.14.68.3 alumnos.decom-uv.cl. N MX 10 alumnos.decom-uv.cl. siga.decom-uv.cl. N A 200.14.68.107 director.decom-uv.cl. N A 200.14.68.107 asterisk1.decom-uv.cl. N A 10.100.6.166 >> Agregando ip donde va a escuchar el DNS (En este caso es la de la jaula) En el archivo /etc/namedb/named.conf debo agregar la ip donde va a escuchar el DNS, en el caso de la jaula que se est configurando ser la 10.100.6.181 Esto sera en: jail2# vi /etc/namedb/named.conf >>Debera aparecer algo as: // f named is being used only as a local resolver, this is a safe default. // For named to be accessible to the network, comment this option, specify // the proper P address, or delete this option. listen-on { 127.0.0.1;10.100.6.170 }; >> Agregar linear rc.conf Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 6% Agregar en el /etc/rc.conf de la jaula named_enable=YES >>Partiendo el named (DNS) jail3# /etc/rc.d/named start >>Comprobando su configuracin Cambiar el DNS que se tiene actualmente ya sea en Win o Linux y poner el DNS perteneciente a la jaula donde se configur el DNS, y comprobar si hay navegabilidad Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 6$ 2.3.- Cacti, ImpIementacin & Configuracin. 2.3.1.- Introduccin. Cacti es una completa solucin de graficado en red, diseada para aprovechar el poder de almacenamiento y la funcionalidad de graficar que poseen las RRDtool. Esta herramienta, desarrollada en PHP, provee un pooler gil, plantillas de grficos avanzadas, mltiples mtodos para la recopilacin de datos, y manejo de usuarios. Tiene una interfaz de usuario fcil de usar, que resulta conveniente para instalaciones del tamao de una LAN, as como tambin para redes complejas con cientos de dispositivos. Cacti utiliza el protocolo SNMP. El protocolo Simple Network Management Protocol (SNMP) permite gestionar redes TCP/IP. Es un protocolo de la capa de aplicacin que facilita el intercambio de informacin de administracin entre dispositivos de red. Es parte de la familia de protocolos TCP/IP. SNMP permite a los administradores supervisar el desempeo de la red, buscar y resolver sus problemas, y planear su crecimiento. Para la instalacin de Cacti se debe tener algunas aplicaciones ya funcionando, aunque en algunos casos Cacti instala dichas aplicaciones, estas son apache, php 5, mysql50, a su vez se puede Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 6. complementar estas aplicaciones con la instalacin de Webmin, que nos mostrar el servidor con una interfaz web. Suponiendo que se desea instalar manualmente apache, php y MySQL, aqu se agregar la forma de ser instalado 2.3.2.- InstaIacin apache 13 . amp# cd /usr/ports/www/apache13 amp#make amp#make install Como es sabido se agrega apache_enabIe="YES" al archive /etc/rc.conf, de la siguiente forma amp# vi /etcrc.conf Una vez instalado se ejecuta apache amp#apachectl start En caso de estar dentro de una jaula, es probable que este comando no sea reconocido por el shell que se utiliza, as que debe ponerse el shell tcsh para que reconozca este comando amp#tcsh amp#apachectl start 2.3.3.- InstaIacin php-5 . amp# cd /usr/ports/lang/php5 Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 6- amp# make install clean Luego se deben agregar lneas al archivo httpd.conf de Ia siguiente forma amp#vi /usr/local/etc/apache/httpd.conf En este archivo debern aparecer o se debern agregar las siguientes lneas. Estas lneas deben agregarse en su respectivo luegar, es decir, donde se encuentran los mdulos. LoadModule php5_module libexec/apache/libphp5.so AddModule mod_php5.c Una vez agregada estas lneas se reinicia apache amp#apachectl restart Para que PHP de soporte a MySQL se deben instalar php5-extensions y php5-mysqI 2.3.3.1.- nstalacin php5-extensions . amp#cd /usr/ports/lang/php5-extensions amp# make config Ac aparecern una serie de opciones que solo algunas se debern marcar adems de dejar las que aparecen por default, las opciones a marcar son las siguientes (estas aparecern en una pantalla azul) select type, curl, dom, gd, imap, mbstring, mcrypyt, mysql, mysqli, pcre, posix, session, simplexml, xml, xmlreader, xmlwriter, zlib A continuacin se comienza con la instalacin. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 61 amp# make install clean Luego se debe copiar el siguiente archivo en la ruta que aparece a continuacin amp# cd /usr/local/etc amp#cp php.ini-recommended php.ini Ac se da el soporte de mysql en PHP, se produce la conexin entre ambas aplicaciones, para ver si tengo instalado php5-mysql realizo el siguiente comando pkg_info|grep php|grep mysqI Si el commando arroja algn resultado quiere decir que la aplicacin est instalada, en caso contrario (de no arrojar nada) hay que instalarla. Esto debera arrojar el comando pkg_info|grep php|grep mysqI test# pkg_info|grep php|grep mysql php5-mysql-5.2.6_1 The mysql shared extension for php php5-mysqli-5.2.6_1 The mysqli shared extension for php 2.3.3.2.- nstalacin php5-mysql . amp#cd /usr/ports/database/php5-mysql amp# make amp# make install Observacin: Es probable que no inicie php5 por lo que hay que meterse al archivo. vi /usr/local/etc/apache/httpd.conf y cambiar todos los php4 por php5 2.3.4.- InstaIando MySQL. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 65 Importante: Si se st trabajando dentro de una jaula, es probable que no acepte algunos commandos dentro del shell que se est trabajando, por lo que hay que utilizar tcsh amp# cd /usr/ports/databases/mysql50-server amp# make install clean amp# mysql_install_db Para iniciar mysql se realiza el siguiente comando /usr/local/etc/rc.d/mysql-server start amp# chown -R mysql:mysql /var/db/mysql amp#mysqld_safe --user=mysql& amp# /usr/local/bin/mysqladmin -u root password "newpasswd" Luego se agrega al archivo /etc/rc.conf mysql_enable=YES 2.3.4.1- Creando BD Cacti. >>Para crear la B.D de Cacti Se realizan los siguientes pasos mysqladmin user=root create cacti //crea la base de datos mplementamos la base de datos por medio del archivo cacti.sqI ubicado en /usr/IocaI/share/cacti por medio del comando mysql cacti < cacti.sql shell> mysql user = root mysql mysql> GRANT ALL ON cacti.* TO cactiuser@localhost DENTFED BY 'pasword'; mysql> flush privileges; Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 6> Para administrar la base de Dato de Cacti va web, se utiliza Webmin, si bien esta aplicacin no es importante en el funcionamiento de Cacti, facilita y agiliza el trabajo con B.D A continuacin se mostrar la instalacin de webmin 2.3.5.- InstaIando Webmin. Observacin: durante la instalacin preguntar si se utilizar SSL Secure Sockets Layer, a lo que hay que ACEPTAR Proporciona sus servicios de seguridad cifrando los datos intercambiados entre el servidor y el cliente con un algoritmo de cifrado simtrico, tpicamente el RC4 o DEA, y cifrando la clave de sesin de RC4 o DEA mediante un algoritmo de cifrado de clave pblica, tpicamente el RSA. La clave de sesin es la que se utiliza para cifrar los datos que vienen del y van al servidor seguro. Se genera una clave de sesin distinta para cada transaccin, lo cual permite que aunque sea reventada por un atacante en una transaccin dada, no sirva para descifrar futuras transacciones. MD5 se usa como algoritmo de hash. amp#cd /usr/ports/sysutils/webmin amp#make install clean amp#vi /etc/rc.conf Se agrega webmin_enable=YES en el archivo /etc/rc.conf Para ejecutar webmin, se debe ingresar a la siguiente ruta amp#cd /usr/local/lib/webmin se ejecuta el script de la siguiente forma amp#./setup.sh Para ingresar a la web de webmin, se hace como lo sealar el ejemplo: Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 66 https://192.168.40.52:10000 10000: Es el puerto que utiliza webmin y es "seteado a la hora de la instalacin, en caso que no pregunte por este puerto lo dejar por default 2.3.5.1- Creando BD Cacti con Webmin. Para ingresar a webmin 1.- Se entra a webmin Nombre de usuario: admin. Contrasea: 2.- Se dirige al men principal Servidores Creando la B.D Cacti 3.- Pinchar el icono Motor de Base de Datos MySQL 4.- Pinchar Crear una nueva base de datos 5.- En Nombre de base de datos poner cacti, luego crear, se ha creado la B.D cacti 6.- Pinchar sobre la B.D creada, cacti 7.- Una vez dentro de la B.D, pinchar el boton ejecutar SQL 8.- r a la pestaa Run SQL from file 9.- Dejar la opcin Desde archivo local 10.- Buscar cacti.sql, esto se encuentra en /usr/local/share/cacti/cacti.sql, pinchar ejecutar, pinchar regresar a la lista de Base de Datos Creando usuario Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 67 11.- Crear usuario cacti y darle todos los permisos, esto en Permisos de usuario/Crear nuevo usuario Creando permisos de B.D Cacti 12.- Crear los permisos de B.D Cacti, ir a Permisos de Base de Datos 13.- Pinchar en Crear nuevos permisos de base de datos 14.- Donde aparece Base de Datos seleccionar la B.D cacti 15.- En Nombre de usuario poner el nombre de usuario creado, en este caso, cacti 16.- En Mquinas, dejar la opcin Desde permisos de mquina 17.- En Permisos, Seleccionar todos los permisos 2.3.5.2- Parmetros en BD usando BD Cacti con Webmin. Para confirmar/modificar o agregar los parmetros de la BD Cacto creada en Webmin se debe hacer lo siguiente: amp#vi /usr/local/www/data/cacti/include/config.php Ejemplo : /* make sure these values refect your actual database/host/user/password */ $database_type = "mysql"; $database_default = "cacti"; $database_hostname = "localhost"; $database_username = "cacti"; Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 78 $database_password = "cacti"; $database_port = "3306"; /* Default session name - Session name must contain alpha characters */ #$cacti_session_name = "Cacti"; 2.3.6.- InstaIando Cacti. amp# cd /usr/ports/net-mgmt/cacti amp# make install clean Luego se copia el directorio cacti a /usr/local/www/data amp#cp R /usr/local/share/cacti /usr/local/www/data/ Para visualizar cacti se debe ir a la ip de su mquina, luego al directorio cacti, por ejemplo: http://192.168.40.51/cacti 2.3.7.- PosibIes ProbIemas en VisuaIizacin de Cacti. Uno de los posibles problemas que se pueden presentar a la hora de ver la pgina de cacti, es la ruta que se pueda poner en el browser, por ejemplo al poner la siguiente ruta: http://192.168.40.51/cacti es probable que no se visualice la web de cacti, pero al poner un / al final de la url, como aparece en el ejemplo http://192.168.40.51/cacti/ se pueda visualizar sin problemas. Si bien no es un problema "grave es un problema que se genera a algn usuario medio que desconoce que pueden ocurrir este tipo de situaciones, considere por ejemplo una pgina de un Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 7% banco o de un departamento en especial que hay que poner /, obviamente induce a error en un gran porcentaje de usuarios. Este problema se soluciona descomentando algunas lneas del archivo httpd.conf, se realizara de la siguiente forma: amp#cd vi /usr/local/etc/apache/httpd.conf Luego se descomentan estas lneas que aparecern obviamente comentadas en el archivo httpd.conf, una vez descomentadas estas lneas se reinicia apache.
<Directory /home/*/public_html> AllowOverride Filenfo AuthConfig Limit Options MultiViews ndexes SymLinksfOwnerMatch ncludesNoExec <Limit GET POST OPTONS PROPFND> Order allow,deny Allow from all </Limit> <LimitExcept GET POST OPTONS PROPFND> Order deny,allow Deny from all </LimitExcept> </Directory> >>Reiniciando Apache amp#tcsh You have mail. amp#apachectl restart 2.3.8.- Configuracin de Cacti. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 7$ Una vez solucionado el problema de vizualizacin de la web cacti, se realiza la instalacin via web. Esta instalacin es bsica, ya que se realiza de la misma forma que un wordpress o un blog. A continuacin se muestra la primera pantalla que nos encontramos una vez instalado cacti va web (como wordpress o blog) Se debe poner lo siguiente para entrar a la configuracin User Name: admin Password: admin. Luego nos pedir cambiar la contrasea y confirmarla. 2.4.- Big Brother. Este documento tiene como propsito explicar la instalacin y configuracin un servidor para monitoreo de servicios utilizando Big Brother en FreeBSD 6.2 Al contar con varios servidores y servicios en funcionamiento tales como correo, web, ssh, dns, bases de datos, etc. la labor de monitoreo se hace trascendental para garantizar el correcto funcionamiento de stos, Big Brother es una herramienta que puede presentar a travs de una pgina web el estado de varios servicios y procesos. Los cuales podemos definir y configurar para que en caso de alguna falla nos enve un reporte de alerta por correo electrnico. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 7. 2.4.1.- Requerimientos. Apache 1.3 o superior. Primero tenemos que tener instalado el servidor web Apache, si no lo tenemos, lo podemos realizar desde el sistema de ports: # cd /usr/ports/www/apache13 && make install clean # apachectl start Con esto ya tenemos operativo nuestro servicio web. 2.4.2.- InstaIacin de Big Brother. Antes de instalar el paquete es necesario crear un grupo y un usuario llamado bbuser. Luego descargamos el paquete desde http://www.bb4.org/download.html en un directorio temporal en este caso el archivo bb-1.9i.tar.gz. #pw groupadd nuevoGrupo #pw useradd nuevoUsuario -c "Algun comentario" -m -d /home/nuevoUsuario -s /usr/IocaI/bin/bash -g nuevoGrupo 1.- Descomprimir el archivo bb-1.9e.tar.gz # tar xvzf bb-1.9i.tar.gz 2.- mover el archivo tar a /usr/local Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 7- # mv BBSVR-bb1.9i-btf.tar /usr/local 3.- ngresar al Directorio para descomprimirlo # cd /usr/local # tar xvf BBSVR-bb1.9i-btf.tar 4.- Creamos un vnculo para una gestin ms simple # ln -s /usr/local/bb1.9e-btf bb 5.- ngresamos al directorio de instalacin # cd /usr/local/bb/install 6.- Ejecutar el script de instalacin, especificando que vamos a instalar en un sistema freebsd # ./bbconfig freebsd Despues de ejecutar el script lo que sigue es una serie de preguntas para la instalacin Aceptamos los trminos de licencia no comercial Acept licence : y ngresamos en usuario que necesita bb para ejecutar user of the big Brother run: bbuser Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 71 Elegiremos yes para poder trabajar con nombres de dominio use FQDN : yes Preguntar quin va ser quien pulicar la informacin en este caso localhost waht host be the bbdisplay : localhost Preguntar quien va ser el host de envo de mensajes de alertas igualmente elegiremos el localhost what host be the BBPAGER : localhost Vuelve a preguntar quin es el BBDSPLAY is this host BBDSPLAY = y gualmente con el BBPAGER is this host BBPAGER : y Preguntar por el correo electrnico al cual enviar los mensajes, aceptaremos por defecto el usuario root. email adrres notifications : root@localhost ngresaremos la direccin url donde se publicar entrel base url for bb : ://localhost/bb Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 75 Le daremos la ruta donde est ubicada la carpeta cgi enter cgi-bin directory : /usr/local/www/cgi-bin Ahora ingresaremos la url donde estn ubicados los cgi-bin enter base url cgi-bin : ://localhost/cgi-bin/ Preguntar por el usuario y grupo que est usando el servidor web. enter web server user : nobody enter group name : nobody Ahora tendremos que compilar el big brother para que quede en el sistema de la siguiente forma: # cd /usr/local/bb1.9i-btf/src # gmake # make install Ahora haremos propietario al usuario bbuser de las capetas donde tenemos el big brother. # chown -R bbuser /usr/local/bbvar /usr/local/bb1.9i-btf (*)Nota: Para este ejemplo tendremos 2 servidores uno web y otro de correo que vamos a configurar para monitorear 2.4.3.- Configuracin. Si todo sali bien hasta ahora entonces ya tenemos todo instalado en el sistema. Ahora vamos a configurar los siguientes archivos ubicados en: /usr/local/bb/etc. Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 7> Archivos de configuracin. bb-hosts : Donde configuraremos los servidores y servicios a monitorear. bbwarnsetup.cfg : configuracin de parmetros del envo de alertas. bbwarnrules.cfg : archivo de onfiguracin de reglas de alertas. Archivo bb-hosts # vi /usr/local/bb/etc/bb-hosts #group SERVCOS PUBLCOS 10.0.0.5 mail.midominio.com # pop3 smtp 10.0.0.6 www.midominio.com # http://www.midominio.com ftp Archivo bbwarnsetup.cfg # vi /usr/local/bb/etc/bbwarnsetup.cfg #codigos de error para cada servicio monitoreado svcerrlist: disk:100 cpu:200 procs:300 msgs:400 conn:500 http:600 memory:605 https:610 dns:800 ERR:999 #email al que sera enviado el mensaje de alerta pagemaster: @localhost #grupo de envio de alertas pg-admins: root@localhost Archivo bbwarnrules.cfg # vi /usr/local/bb/etc/bbwarnrules.cfg #Enter your rules here Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 76 #ALERTAS GENERALES *;;conn;;*;*;pg-admins:~0-50 #ALERTAS POR SERVDOR mail.midominio.com;;pop3 smtp;; 1-5;0000-0800 1900-2359;pg-admins:~0-30 www.midominio.com;;ftp http;;1-5;0000-0800 1900-2359;pg-admins:~0-30 Puesta en marcha 7600 7 Ahora lo nico que queda es configurar nuestro servidor web para que permita ver las pginas html que genera Big Brother,de la siguiente forma : # cd /usr/local/www/data # ln -s /usr/local/bb/www bb Ahora niciamos el servicio ingresando como usuario bbuser # su bbuser $ /usr/local/bb/runbb.sh start Ahora ingresamos a: http://localhost/bb/ para ver en marcha el monitoreo de servicios Monitorear un servicio en particular Se puede dar el caso que necesitamos monitorear un servicio en especial que corre en el puerto 41524 udp para ello haremos lo siguiente: ngresamos en nuevo servicio en al archivo services. # vi /etc/services Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # 77 miservicio 41524/udp Ahora definimos el nuevo servicio dentro de bbdef-server.sh : # vi /usr/local/bb/etc/bbdef-server.sh ncluiremos nuestro servicio en la siguiente linea, de la siguiente forma : BBNETSVCS="smtp telnet ftp pop pop3 pop-3 ssh imap ssh1 ssh2 imap2 imap3 imap4 pop2 pop-2 nntp miservicio" 2.4.4.- ConcIusin. Esta herramienta es muy verstil y se puede monitorear no slo servicios si no ambin estados del disco duro, procesador, memoria integrndolo con MRTG. Espero que este documento cumpla su objetivo y aportar a la comunidad bsdera,ante cualquier duda,correccin o comentario enviarlo a mi correo. Fuentes de nformacin Big Brother : http://www.bb4.org/ Mrtg and Big Brother integration : http://www.pleiades.com/mrtgbb/ El demonio : http://www.eldemonio.org/documentos/26060513274.html Manual General: Servicios, Aplicaciones & Servidores DECOM. ! " i n a # %88 2.5.- Uso de SSH con Certificado. Para crear los certificados se debe entrar con la cuenta de usuario que se va a crear el certificado. Esto puede realizarse tambin en jaulas donde en una de ellas estn exclusivamente todos los usuarios. Observacin: En el caso de las jaulas, en el archivo /etc/ssh/sshd_config de la mquina se debe mantener el puerto de los usuarios que acceden desde el exterior y desde el ssh_config de la jaula cambiar el puerto para los usuarios, en este caso la mquina tiene el puerto 22 y la jaula el 2222. 2.5.1.- Generacin de CIaves. ssh-keygen t rsa Generar las llaves pblicas y privadas, pedir contrasea y la confirmacin de esta. Luego se entra al directorio para ver que estn generadas las llaves pblicas y privadas En este caso el usuario es mferrand. Estando dentro de la jaula se accede al directorio del usuario cd /home/mferrand/.ssh Desde este directorio se podrn listar las claves publicas y privadas, estas son: id_rsa id_rsa.pub Luego se debe crear el archivo authorized_keys con el mismo contenido que id_rsa.pub, eso se realiza de la siguiente forma cat id_rsa.pub >> authorized_keys Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %8% Luego se comprueba que ambos archivos tengan el mismo peso. Una vez verificado lo anterior, y chequear que se tiene los tres archivos en la cuenta id_rsa, id_rsa.pub, authorized_keys, para este ejemplo los archivos debern encontrarse en /home/mferrand/.ssh se copian los archivos al equipo desde donde se conectar por ssh, una vez copiado estos archivos solo faltara un archivo con la extensin .ppk. 2.5.2.- Software puttygen-x86. Para generar este archivo se utiliza un software llamado puttygen-x86. Este software en su parte superior tiene un men con 4 pestaas, FiIe, Key, Conversions y HeIp, se debe dirigir a Conversions, se escoge la opcin Import Key, y se carga el archivo id_rsa, luego se presiona el botn Save Private Key, ya realizado esto, se revisa en el mismo directorio (PC que se conectara por ssh al servidor) y se encontrar el archivo .ppk que en este ejemplo fue denominada como mferrand.ppk 2.5.3.- Configuracin SSH. Para este caso en particular donde se realiza el ssh con certificado, fue realizado en una jaula, por lo que se modifica el ssh de la jaula, el archivo a modificar es /etc/ssh/sshd_config. Las lneas que se deben descomentar son las siguientes: RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_key La siguiente lnea se debe modificar, esta lnea aparece como #UsePAM yes Se debe descomentar y dejar de la siguiente forma: UsePAM no Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %8$ Luego se reinicia el ssh, /etc/rc.d/sshd restart, y se entra con el usuario que se creo el certificado, cabe sealar que para cada usuario se deben realizar todos estos pasos sealados Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %8. 2.6.- Perdida de Key. En caso de prdida de llaves, de debe ingresar a la mquina y modificar el sshd_config para poder ser ingresado por ssh de manera normal. De esta forma ingresar como root e ingresar la password de forma normal. Cabe sealar que para este ejemplo el ingreso desde el interior de la red, es por el puerto 2222. 2.6.1.- Descomentar y Comentar en eI Archivo sshd_config. Descomentar PermitRootLogin yes Comentar #RSAAuthentication yes #PubkeyAuthentication yes #AuthorizedKeysFile .ssh/authorized_keys Descomentar y poner yes en vez de no PasswordAuthentication yes Cambiar no por yes (aparece por defecto no) UsePAM yes Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %8- 2.7.- ScpOnIy. Uno de los mayores problemas, para los administradores de red esta en dar acceso limitado a los usuarios de forma segura, esto no siempre es posible, por que por un lado se puede dar acceso con ftp pero debido a que esta conexin no es encriptada y susceptible a ser interceptada, por otro lado esta ssh, pero el gran problema es que como sistema puro no entrega limitaciones a los usuarios y con el acceso a consola las posibilidades de cambiar al sistema son altas. Para dar solucin a esto se utiliza la shell scponly y mas especficamente scponlyc o sea una shell que bloquea las capacidades de acceso a consola y al mismo tiempo enjaula al usuario de tal manera que queda totalmente restringido al acceso entregado por el administrador. 2.7.1.- Requisitos. Los requisitos son, primero tener instalado FreeBSD o Linux con acceso a nternet, para nuestro caso todo el proceso que se describe es para FreeBSD especficamente en la versin 6.2. recordar que debe estar los ports actualizados y deben seguir los siguientes pasos: 2.7.2.- InstaIar Openssh-PortabIe. nstalar Openssh-Portable, esto es necesario debido a que la versin que viene con FreeBSD preinstalada no tiene compatibilidad con chroot necesario para el uso de las jaulas, para eso se realiza # cd /usr/ports/security/openssh-portable/ # make install clean El men siguiente debe quedar con las siguientes selecciones: Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %81 Con estas opciones el sh ya se encuentra en condiciones, para permitir chroot, por intermedio de ssh, posteriormente se debe configurar como cualquier otro ssh (Capitulo de otro tutorial), lo que se se debe reemplazar del archivo /etc/rc.conf lo siguiente La linea sshd_enable=YES Reemplazarla por openssh_enable=YES Los archivos de configuracin del openssh se encuentran en /usr/local/etc/ssh Y para levantar ssh es similar a lo que ya conocido para este caso es: # /usr/local/etc/rc.d/openssh start Con esto ya se tiene el ssh listo. 2.7.3.- InstaIar ScpOnIy. nstalar scponly esta shell se instala desde # /usr/ports/shells/scponly/ Make install Y debe ser configurada de la siguiente forma Con esto ya se tienen las herramientas necesarias para la utilizacin de usuarios limitados. 2.7.4.- Crear Nuevo Usuario. Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %85 Paso 3: Crear un nuevo usuario, para crear este usuario no se debe utilizar el comando adduser, sino que debe ser utilizado el script que es instalado en conjunto con scponly, este se encuentra en # cd /usr/local/share/examples/scponly/ # sh setup_chroot.sh Se deben seguir unos pasos simples que permiten crear el usuario con su jaula, la gran ventaja de este usuario es que su jaula es totalmente reducida y son obviados todo los elementos no necesarios. Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %8> 2.8.- Configuracin Servidor DHCP. 2.8.1.- Introduccin . Los servidores DHCP, por sus siglas en ingls Direct Host Configuration Protocol. La funcin de un servidor DHCP es la de asignar nombres, direcciones P, las ubicaciones de los servidores de nombres en la red y de la ruta de comunicacin hacia el exterior mientras lleva un registro de las operaciones de asignacin realizadas para cada equipo, lo que nos permite la comodidad de conectar solamente el equipo a la red para que este configurado y pueda comunicarse. 2.8.2.- CompiIacin deI KerneI. Para realizar lo requerido es necesario aadir algunas opciones al kernel, lo cual nos permitir proveer ciertos servicios tiles. Por lo tanto, se debe modificar el kernel original, lo primero es copiar el cdigo fuente que viene por defecto, para esto se debe realizar lo siguiente: # cd /usr/src/sys/i386/conf/ # cp GENERC WRELESS Posterior a esto editamos WRELESS con el comando vi y agregamos las lneas como se describe a continuacin: Editamos con: # vi WRELESS Y se agrega lo siguiente: Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %86 options PFREWALL activa firewall ipfw options PDVERT permite NAT con ipfw options PFREWALL_VERBOSE nos permite loguear el trafico con ipfwd, esto es para todas las reglas que lleven la palabra "log". options PFREWALL_VERBOSE_LMT PFREWALL_VERBOSE_LMT=# nos permite establecer el limite de logs por regla de firewall, en syslogd. options PFREWALL_DEFAULT_TO_ACCEPT Por regla general, se permite todo. options DUMMYNET permite realizar adminstracion de ancho de banda device apic /O APC device miibus aunque es alternativo permite dar mayor soporte a las tarjetas de red Esc :wq! Con esto ya estamos listos para compilar el nuevo kernel, paras esto es necesario realizar los siguientes pasos: # /usr/sbin/config WRELESS # cd ../compile/WRELESS # make depend # make # make install Con esto ya se encuentra instalado el Nuevo Kernel del sistema operativo solo basta con reiniciar el servidor. Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %87 2.8.3.- InstaIacin . La ruta para la instalacin de un servidor DHCP es la siguiente: depredador# cd /usr/ports/net/isc-dhcp3-server depredador# make install clean Obs: Al realizar make aparecen unas opciones marcadas por defecto 2.8.4.- Configuracin de Archivo dhcpd.conf.example Se configura el archivo dhcpd.conf.example que se encuentra en la siguiente ruta /usr/local/etc/dhcpd.conf.example En el archivo se agregan las siguientes lneas que estn marcadas en negro donde cada lnea representa lo siguiente Se ponen las siguientes lneas # option definitions common to all supported networks... option domain-name "www.decom-uv.cl"; (1) option domain-name-servers 10.100.6.173, 10.50.1.16; (2) default-lease-time 600; (3) max-lease-time 7200; (4) # f this DHCP server is the official DHCP server for the local # network, the authoritative directive should be uncommented. #authoritative; # ad-hoc DNS update scheme - set to "none" to disable dynamic DNS updates. ddns-update-style none; (5) Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %%8 # Use this to send dhcp log messages to a different log file (you also # have to hack syslog.conf to complete the redirection). log-facility local7; /usr/local/etc/dhcpd.conf: unmodified, readonly: line 1 # No service will be given on this subnet, but declaring it helps the # DHCP server to understand the network topology. subnet 10.57.187.0 netmask 255.255.255.0 { } # This is a very basic subnet declaration. subnet 192.168.0.0 netmask 255.255.255.0 { (6) range 192.168.0.2 192.168.0.240; (7) option routers 192.168.0.1; (8) } # This declaration allows BOOTP clients to get dynamic addresses, # which we don't really recommend. 33435 subnet 10.254.239.32 netmask 255.255.255.224 { range dynamic-bootp 10.254.239.40 10.254.239.60; option broadcast-address 10.254.239.31; option routers rtr-239-32-1.example.org; } Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %%% Las lneas representan lo siguiente: (1): Se coloca el dominio, en este caso es www.decom-uv.cI (2): Se agregan los DNS en este caso 10.100.6.173, 10.50.1.16 (3): defauIt-Iease-time, el tiempo concedido en segundos a los hosts para retener la configuracin proporcionada por el servidor. (4): max-Iease-time, el tiempo mximo concedido en segundos a los hosts para retener la configuracin proporcionada por el servidor. (5): ddns-update-styIe, el modo de interaccin con los servidores de nombres declarados, en este caso no se permite la actualizacin en forma automtica de los nombres de hosts asignados dinmicamente. (6): Direccin de red y sub-red (7): se agrega el rango de ips las cuales sern asignadas a los usuarios. Este rango pertenece a un pool de direcciones invlidas. Por ejemplo la red pblica o ips vlidas, pertenecen a la red 10.100.6.0 para el ejemplo de la configuracin del servidor DHCP, las direcciones de la red interna (ips invlidas) 192.168.0.0, por esto el rango queda de la siguiente forma range 192.168.0.2 192.168.0.240 (8): Default gateway o puerta de enlace perteneciente a la red interna, en este caso es la red 192.168.0.0, donde es el servidor tiene una interface que conecta a esta red privada, en este ejemplo la interfaz es la vr0 y tiene la ip 192.168.0.1, por lo que esta direccin ser la puerta de enlace (Default-Gateway) de la red privada, es decir, la red 192.168.0.0. Queda escrito en el archivo dhcpd.conf de la siguiente forma option routers 192.168.0.1; 2.8.4.- Configuracin de Archivo rc.conf Antes de echar arrancar el demonio se debe agregar en el archivo rc.conf que se encuentra en la ruta /etc/rc.conf dhcpd_enable="YES" gateway_enable="YES" firewall_enable="YES" firewall_type="OPEN" natd_enable="YES" natd_interface="rl0" # Esta es la interfaz externa Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %%$ natd_fIags="" ##En este ejemplo natd_fIags no tiene parmetros dentro de las comillas, ya que este archivo se utiliza para direccionar distintos servicios a direcciones ip especficas## named_enable="YES" 2.8.4.- Arrancando eI Demonio. mirage# /usr/local/etc/rc.d/isc-dhcpd start Starting dhcpd. nternet Systems Consortium DHCP Server V3.0.5rc2 Copyright 2004-2006 nternet Systems Consortium. All rights reserved. For info, please visit http://www.isc.org/sw/dhcp/ Wrote 0 deleted host decls to leases file. Wrote 0 new dynamic host decls to leases file. Wrote 1 leases to leases file. Listening on BPF/vr0/00:05:5d:8c:ff:09/192.168.0/24 Sending on BPF/vr0/00:05:5d:8c:ff:09/192.168.0/24 No subnet declaration for rl0 (10.100.6.154). ** gnoring requests on rl0. f this is not what you want, please write a subnet declaration in your dhcpd.conf file for the network segment to which interface rl0 is attached. ** Sending on Socket/fallback/fallback-net mirage# Lo que aparece al arrancar el demonio no genera ni un problema en la configuracin del servidor DHCP Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %%. 2.8.5.- Esquema UtiIizado. Figura 1: Esquema utilizado para prueba Servidor DHCP 2.8.6.- Configuracin Servidor NAT. Para esto utilizamos el demonio Natd que trabaja con la opcin PDivert en conjunto con PFREWALL, ambos ya se encuentran instalados al realizar la recompilacin del KERNEL o estarn disponibles cuando se realice la recompilacin. CaD firewall_enable="YES" C:D firewall_type="OPEN" CcD natd_enable="YES" CdD natd_interface="fxp0" CeD natd_flags="-f /etc/natd.conf" Con estas lneas lo que estamos indicando es: a. Se habilita el demonio del ipfirewall :. ndicamos que su configuracin es del tipo OPEN Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %%- c. Se inicia el demonio natd d. Se indica que el demonio est en la interfase fxp0 siendo esta interfaz la externa o mejor dicho la red pblica, y se habilitan todas las configuraciones especiales en el archivo /etc/natd.conf. Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %%1 Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %%5 2.9.- Awstats. Awstats, abreviatura de Advanced Web Statistics, es una poderosa y completa herramienta que genera estadsticas grficas avanzadas para sitios web a partir de los logs de Apache. Toda esta informacin Awstats la transforma en estadsticas y la mejor forma de ver como quedan y tener estadsticas de nuestro servidor web es comprobarlo instalando Awstats en nuestra mquina. 2.9.1.- InstaIacin Awstats. Para realizar la instalacin lo primero que se debe hacer es ir hasta los ports: # cd /usr/ports/www/awstats # make # make install Despus nos dirigimos al archivo de configuracin y hacemos una copia con el nombre de nuestro servidor: # cd /usr/local/www/awstats/cgi-bin/ # cp awstats.model.conf awstats.conf OBS: Para este caso se usa aIumnos como nombre del servidor 2.9.2.- Configuracin Awstats. Procedemos a editar el archivo de cdonfiguracin que acabamos de crear, con las opciones que ms no interesen, yo suelo editar las siguientes lineas: # vi awstats.conf Las lneas que se encuentran a continuacin estn a lo largo de todo este archivo (no van juntas) para ahorra espacio y no poner el archivo se escribirn todas juntas LogFile=var/log/httpd-access.log Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %%> Este archivo se saca de la ruta cd /var/log ls las //aparecer este archivo httpd-access.log Este archivo registra el ingreso de cada visita que se realiza a la pgina . . . SiteDomain=localhost . . DNSLokup=2 //Este parmetro por default viene como 1 . . Dircons=/awstatsicons . . SkipeDNSLookupfFor="192.168.20.1" //Este parmetro viene vacio por lo que hay que poner su DNS solo aparecer SkipeDBSLookupfFor= " Una vez terminada la configuracin del archivo se renombra, en mi caso era awstats.aIumnos.conf lo renombre a awstats.conf Luego se actualiza la B.D es conveniente agregarlo al crontab para no actualizarla a cada momento perl awstats.pl -config=localhost -update //agregarla al cron 2.9.3.- Configuracin en Apache13. Para que se vea la pgina web se debe agregar las lneas al apache Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %%6 cd /usr/local/etc/apache Is -Ias //deber aparecer el archivo httpd.conf Se edita httpd.conf vi httpd.conf Al final de este archivo se agregan las siguientes lneas: #Directives to allow use of A WStats as a CG # Alias /awstatsclasses "/usr/local/www/awstats/classes/ Alias /awstatscss "/usr/local/www/awstats/css/ Alias /awstatsicons "/usr/local/www/awstats/icons/ ScriptAlias /awstats/ "/usr/local/www/awstats/cgi-bin/ # #This is to permit URL access to scripts/files in AWStats directory # <Directory "/usr/local/www/awstats/> Options None AllowOverride None Order allow,deny Allow from all </Directory> 2.9.4.- Crontab. Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %%7 Una de las necesidades es mantener actualizada toda la informacin que muestra awstats la lnea perI awstats.pI -config=IocaIhost -update, slo permite indexar una actualizacin a los registros, lo cual causa una serie de problemas, dado que el administrador no puede estar, da a da actualizando los ingresos, para existe crontab o tareas programadas de unx, para lograr programar la tarea slo basta con ingresar a crontab por medio de crontab e Luego se debe agregar MALTO="" */30 * * * * /usr/bin/perl /usr/local/www/awstats/cgi-bin/awstats.pl -config=loc alhost -update >>/dev/null uno de los mayores problemas de crontab se encuentra en que todos los resultados de los procesos solicitados se envan a sendmail del usuario, lo cual provoca que la memoria se sature, por lo tanto es necesario agregar en la cabecera del archivo crontab la lnea MALTO= que permita no enviar ningn tipo de mensaje, adems como medida particular se le indica al comando que todo resultado sea dirigido a /dev/nuII. 2.9.5.- Ejecutar Awstats. Ejecutar awstats topicos# cd /usr/local/www/awstats/tools/ topicos# perl awstats_buildstaticpages.pl Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %$8 2.10. - Cmo Contar y graficar paquetes usando MRTG? 2.10.1.- Introduccin. Se desea establecer y administrar un conteo de paquetes y hacerlo en graficas detalladas de todo el trafico de nuestros gateways y ruteadores. 2.10.2.- Requerimientos. Uno o mas Gateways y/o Ruteadores a Monitorear nstalar el Port de MRTG (se encuentra en /usr/ports/net) nstalar el Port de NET-SNMPD (Se encuentra en /usr/ports/net) nstalar el Apache (se encuentra en /usr/ports/www) 2.10.3.- Configuracion. Una vez nstalados los ports de MRTG, NET-SNMPD y APACHE comenzaremos a configurar. 2.10.4.- Configuracion de SNMPD. Primero que todo debemos CREAR los archivos snmpd.conf y snmp.conf en el directorio / usr/local/share/snmp/ Para esto hay dos maneras de hacerlo, una es la forma manual y otra es con la utileria de configuracion snmpconf , cualquiera que deseen usar esta bien lo importante es que los archivos finales contengan lo siguiente : Archivo snmp.conf: Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %$% defaultport 161 # el cual es el puerto en el cual escuchara nuestro SNMP defversion 1 #version por default del servicio defcommunity comunidad #nombre de la comunidad que debera ser igual en todos los routers Archivo snmpd.conf rwcommunity comunidad # le establece persimos de lectura y escritura a la "comunidad" Nota: si se crean los archivos con el snmpconf los creara en el directorio actual en donde esta el usuario , deben de moverlos a/usr/local/share/snmp para que tome la configuracion indicada. Se debe de agregar la siguiente linea al archivo /etc/rc.conf para que al arrancar la maquina prenda el servicio de forma automatica: net_snmpd_enable="YES" Para arrancar en forma manual: # /usr/local/etc/rc.d/snmpd.sh start 2.10.5.- Configuracin de MRTG. Se debe crear un directorio en el cual estaran nuestras graficas creadas por el MRTG por ejemplo : # mkdir /usr/local/graficas Luego se debe de copiar el contenido de /usr/local/share/mrtg hacia /usr/local/graficas con: # cp /usr/local/share/mrtg/* /usr/local/graficas Nos metemos al directorio /usr/local/graficas ya que vamos a ejecutar el generador de configuraciones con el siguiente comando: # /usr/local/bin/cfgmaker --global "WorkDir: /usr/local/ Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %$$ graficas" comunidad@192.1!.". # $ mrtg.config Con lo anterior le estamos diciendo que utilice el directorio de trabajo /usr/local/graficas, que monitoree la comunidad del router con direccion192.1!.".# y que toda la configuracion la pase al archivo mrtg.config una vez ejecutado el comando se deberia de haber creado el archivo de configuracion en el directorio actual que es en /usr/local/graficas Procedemos a ejecutar el MRTG con el siguiente comando : # /usr/local/bin/mrtg mrtg.config Lo anterior se debe de ejecutar 3 veces para que NO genere ningun error. Una vez configurado esto aadimos a nuestro cron la siguiente nstruccion : Primero hacemos crontab -e y aadimos : 0,5,10,15,20,25,30,35,40,45,50,55 * * * * /usr/local/bin/ mrtg /usr/local/graficas/mrtg.config lo cual ejecutara cada 5 minutos el monitoreo de paquetes. Se debe de aadir al archivo /etc/rc.conf la siguiente linea: cron_enable="YES" Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %$. 2.10.6.- Configuracin de Apache. Una vez instalado el apache procedemos a configurar el archivo /usr/local/etc/apache/ httpd.conf. Se debe de rutear para que apunte hacia el directorio /usr/local/graficas modificando la siguiente linea : DocumentRoot "/usr/local/graficas" Una vez hecho esto prendemos nuestro servicio de apache: # /usr/local/etc/rc.d/apache.sh start 2.10.7.- Configuracin deI Archivo ndice (index.htmI). Nuestros archivos de graficas por default tienen nombres largos dificiles de recordad para los usuarios por eso ejecutaremos una utileria que nos convierta los nombres a index.html Entramos al directorio /usr/local/graficas y ejecutamos: # /usr/local/bin/indexmaker mrtg.config > index.html Con esto logramos que nuestra pagina web con la informacion de los paquetes sea accesible mas facilmente. 2.10.8.- ConcIusiones. Como buenos administradores de redes siempre es indispensable la auditoria y el conteo de paquetes que viajan en nuestra red, con este tutorial se monitorea y se publica en WEB todo el trafico de nuestro Ruteador. 2.11.- ImpIementacin de Bridge + FirewaII. Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %$- Para la implementacin FW Bridge y Firewall en FreeBSD se debe compilar el Kernel # cd /usr/src/sys/i386/conf/ # cp GENERC OPTMUS Observacin: En caso de no aparecer el directorio src, se debe instalar el kernel, esto se realiza de la siguiente forma. #sysinstall Aparecer un men se escogen las siguientes opciones Configure/Distribution/kerneI/aII y se descarga del ftp (obviamente despus de cada opcin ir apareciendo un men en el cual se debe y marcando las opciones que se explicaron e ir presionando Enter (ok) Posterior a esto editamos OPTMUS con el comando vi y agregamos las lneas como se describe a continuacin: Editamos con: # vi MKERNEL Y se agrega lo siguiente options BRDGE # linea alternativa options PFREWALL # Activa firewall ipfw options PFREWALL_VERBOSE options PFREWALL_VERBOSE_LMT options PFREWALL_DEFAULT_TO_ACCEPT options DUMMYNET #permite realizar adminstracion de ancho de banda Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %$1 Una vez agregada estas lneas slo basta con guardar el archivo con los cambios esto depende del editor si se utiliz vi para esto se debe seguir la secuencia de Esc :wq! 2.11.1.- CompiIacin deI KerneI. Ahora se debe compilar el Kernel, para esto se realizan los siguientes pasos: # /usr/sbin/config OPTMUS # cd ../compile/OPTMUS # make depend # make # make install Con esto ya se encuentra instalado el Nuevo Kernel (OPTIMUS) del sistema operativo solo basta con reiniciar el servidor. 2.11.2.- Configuracin deI Bridge. Para configurar el bridge es necesario editar el archivo /etc/sysctI.conf y agregar las siguientes lneas. net.link.ether.bridge.enable=1 net.link.ether.bridge.config=em0,em1 net.link.ether.bridge.ipfw=1 En este archivo se indica desde que interfaces se realizara el bridge siendo la primera de ellas la que cuenta con ip configurada. Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %$5 Configuracin del archivo etc/rc.conf para Firewall + Bridge firewall_enable="YES" firewall_type="OPTMUS" firewall_quiet="YES" ------------------------------------- Probando Reglas ------------------------------------------------------------ Para PC`s normales allow tcp from 10.100.6.180 to any setup keep-state allow udp from 10.100.6.180 to any keep state Para Servidores allow ip from 10.100.6.204 to any allow ip from any to 10.100.6.204 dist-port 22, 25, 80, 443, 53 2.11.3.- Comandos Necesarios. Se agrega una regla de Firewall: pfw add 700 allow icmp from any to any Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %$> Borra las reglas 500-510-520 pfw delete 500 510 520 Muestra las reglas de Firewall: pfw sh Se ejecuta un Firewall, en este caso El firewall OPEN: sh /etc/rc.firewall OPEN Editar un nuevo Firewall: vi /etc/rc.firewall Muestras los firewall del sistema: sysctl a | grep bridge Borra todas las reglas de Firewall menos las que trae por defecto: ipfw f flush Muestra lo que est pasando en La interfaz: tcpdump i em0 2.12.- IPFW + Dummynet (UCV TV). Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %$6 2.12.1.- Re-CompiIacin y Configuracin deI KerneI. Primero debemos crear una copiar del kernel para dejar intacto el original: Por ejemplo si tener una arquitectura i386 debemos hacer lo siguiente: # cd /usr/src/sys/i386/conf #mkdir /root/kernels #cp GENERC /root/kernels/KERNELUCV # ln -s /root/kernels/ KERNELUCV Desde ahora, todos los cambios que se hagan al kernel sern en el archivo KERNELUCV. Luego, ya que el firewall no est por defecto en el kernel, necesitamos habilitarlo con las siguientes lneas al final de la primera seccin de options: (Podemos abrir KERNELUCV y los dems archivos que veremos en este documento con algn editor como vi o ee de la siguiente manera: ee KERNELUCV) options PFREWALL options PFREWALL_VERBOSE options PFREWALL_VERBOSE_LMT=100 options PFREWALL_DEFAULT_TO_ACCEPT Para poder tener NAT se debe agregar los siguientes: options PDVERT Para poder tener el administrador de ancho de banda debemos agregar Dummynet options DUMMYNET Luego para las vlans, en la seccin #PC Ethernet nics de nuestro kernel, debemos agregar: device miibus device vlan Ahora estamos listos para re-compilar el kernel con las siguientes lneas: #config KERNELUCV # cd ../compile/KERNELUCV # make depend && make && make install despus, luego de que termine de compilar, debemos reiniciar el servidor escribiendo reboot o init 0 2.12.2.- Configuracion archivo /etc/hosts Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %$7 Agregar al inicio (despus de 127.0.0.1 del archivo) la ip externa y el nombre por ejemplo: 192.168.0.110 ucv.server.dom ucv #p Externa 192.168.0.110 ucv.server.dom #p Externa 2.12.3.- Configuracin Archivo /etc/host.conf Este archivo debe tener lo siguiente: Hosts #dns bind 2.12.4.- Configuracin Archivo /etc/resoIv.conf Este debe contener lo siguiente: nameserver <DNS> 2.12.5.- Modificacin Archivo /etc/sysctI.conf net.inet.ip.check_interface=1 net.inet.tcp.blackhole=2 net.inet.udp.blackhole=1 Los archivos creados o modificados hasta ahora, no deben volver a ser modificados a menos que cambie el dns o la ip externa lo cual solo debe modificar /etc/resolv.conf y /etc/hosts. 2.12.6.- Modificacin y Configuracin archivo /etc/rc.conf gateway_enable=YES defaultrouter=192.168.0.1 hostname=ucv.server.dom kern_securelevel_enable=YES kern_securelevel=0 # Configuracin Segmentacin con Switch D-Link Comn #Si se desea agregar una nueva subred, solo se debe seguir la estructura descrita a #continuacin, Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %.8 por ejemplo si queremos agregar una subred nueva debemos agregar al final #de esta seccin lo siguiente: #ifconfig_TARGETANTERNA_alias3=inet 192.168.40.1 netmask 255.255.255.0 #siempre siguiendo la relacin numrica en alias y en la direccin ip. ifconfig_TARGETAEXTERNA=inet 192.168.0.110 netmask 255.255.255.0 ifconfig_TARGETANTERNA_alias0=inet 192.168.10.1 netmask 255.255.255.0 ifconfig_TARGETANTERNA_alias1=inet 192.168.20.1 netmask 255.255.255.0 ifconfig_TARGETANTERNA_alias2=inet 192.168.30.1 netmask 255.255.255.0 #Configuracin Segmentacin con Switch Administrable, Cisco o 3com #Si se desea agregar una nueva subred, se debe agregar una nueva interfaz a clone_interface y #agregar una nueva configuracin para esta, por ejemplo podramos agregar una nueva subred #perteneciente a tcnica llamada vlan40, entonces debemos agregar esta a #clone_interface=vlan10 vlan20 vlan30 vlan40 y adems al final de la seccin agregar # ifconfig_vlan40=inet 192.168.40.1 netmask255.255.255.0 vlan 40 vlandev TARGETANTERNA #siempre manteniendo la relacin numrica que corresponde para llevar un orden. clone_interface=vlan10 vlan20 vlan30 ifconfig_TARGETANTERNA=up ifconfig_vlan10=inet 192.168.10.1 netmask255.255.255.0 vlan 10 vlandev TARGETANTERNA ifconfig_vlan20=inet 192.168.20.1 netmask255.255.255.0 vlan 20 vlandev TARGETANTERNA ifconfig_vlan30=inet 192.168.30.1 netmask255.255.255.0 vlan 30 vlandev TARGETANTERNA #Configuracin PFW firewall_enable=YES firewall_type=open natd_enable=YES natd_interface= TARGETAEXTERNA natd_frags= #Configuracin extra keymaps=us.iso Linux_enable=YES moused_enable=YES #sshd_enable=YES #Seguridad para el firewall inetd_enable=NO portmap_enable=NO sendmail_enable=NO 2.12.7.- Configuracin Archivo /etc/rc.firewaII Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %.% #!/bin/sh pfw q f flush cmd=ipfw add cmd2=ipfw q add #Macros interfaces de red fsica y virtuales #Al agregar una nueva subred, tambin se debe agregar lo siguiente: ifvlanN =vlanN, con el #orden numrico correspondiente. ext=TARGETAEXTERNA int=TAREGTANTERNA #ifvlan10 ="vlan10 # ifvlan20 ="vlan20 # ifvlan30 ="vlan30 #Macros vlan #En este ejemplo mostramos 3 vlan son su configuracin respectiva, si se desea agregar una #nueva vlan, se debe mantener la misma estructura con el orden numrico adecuado #ejemplo: agregar una vlan o subred a tcnica. ###Declaracin vlan ### Tcnica vlan40 ### #vlan_40=192.168.40.0/24 #ipvlan_40=192.168.40.0/24{10,11,13,...} ###Declaracin vlan ### nombre vlan10 ### vlan_10=192.168.10.0/24 ipvlan_10=192.168.10.0/24{10,11,13,...} ###Declaracin vlan ### nombre vlan 20 ### vlan_20=192.168.20.0/24 ipvlan_20=192.168.20.0/24{10,11,13,...} ###Declaracin vlan ### nombre vlan 30 ### vlan_30=192.168.30.0/24 ipvlan_30=192.168.30.0/24{10,11,13,...} #Bloqueo de vlanX a vlanY, X!=Y #Si agregamos una nueva vlan por ejemplo la 40, el bloqueo quedara de la siguiente manera. #bvlan_10=192.168.20.0/24,192.168.30.0/24, 192.168.40.0/24 #bvlan_20=192.168.30.0/24, 192.168.40.0/24 # bvlan_30=192.168.40.0/24 #esto nos permite que pcs de distintas redes no se vean. bvlan_10=192.168.20.0/24,192.168.30.0/24 bvlan_20=192.168.30.0/24 LAN_1=$vlan_10,$vlan_20,$vlan_30 LAN_2=$ipvlan_10, $ipvlan_20,$ipvlan_30 Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %.$ #Pc con puertos habilitados pc_p2p=192.168.10.13 #Macros puertos sec_port=20-21,25,53,69,80,109-110,443,995 #Macros paginas pag_bloq=/etc/paginas_ipfw/paginas_bloqueadas bloquear_paginas=/etc/paginas_ipfw/sc_bloquear_paginas ###Seguridad del Exterior### #Se bloquea el ping desde fuera de la red $cmd deny icmp from any to me recv $ext #Envio de un reset a todos los paquetes "ident $cmd reset tcp from any to me 113 recv $ext #Stop y log de ataques spoofing (suplantacin de identidad) $cmd deny log ip from me to me recv $ext #Stop y log de ataques ping echo $cmd deny icmp from any to me icmptype 0,8 recv $ext ###########Fin seguridad exterior############## #Local host #$cmd allow all from any to any via lo0 #$cmd allow all from ant to 127.0.0.0/8 #$cmd allow all from 127.0.0.0/8 to any #$cmd allow all from any to any via localhost #Bloquear ping de las redes internas al servidor o a cualquier sitio #Si se agrega una nueva vlan tambin se debe incluir en esta seccin con sus parmetros #correspondientes #$cmd deny icmp from 192.168.10.0/24 to 192.168.10.0/24 recv $int icmptype 8 #$cmd deny icmp from 192.168.20.0/24 to 192.168.20.0/24 recv $int icmptype 8 #$cmd deny icmp from 192.168.30.0/24 to 192.168.30.0/24 recv $int icmptype 8 #Bloqueo de paginas cd /etc/paginas_ipfw/ #inicio script que genera las ips a bloquear sh $bloquear_paginas i=02000 for lnea in $(cat $pag_bloq) do $cmd2 $i deny tcp from $linea to any in via $ext i=`expr $i + 1` done Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %.. #Bloquo de puertos #Al agregar una neuva vlan tambin se debe agregar a esta seccin para mantener la seguridad #de esta respecto a los puertos #$cmd deny all from $ipvlan_10 to any 669-65535 in #$cmd deny all from $ipvlan_20 to any 669-65535 in #$cmd deny all from $ipvlan_30 to any 669-65535 in #Nat para todas las subredes $cmd divert natd all from any to any via $ext #Dar conectividad a 2 pcs de diferentes redes $cmd pipe 10 tcp from < P_DE_LA_RED> to < OTRA_P_DE_LA_RED > via $int keep-state ipfw pipe 10 config bw 50Mbit/s queue 100 delay 3ms #$cmd allow tcp from < P_DE_LA_RED > to < OTRA_P_DE_LA_RED > via $int #Bloquear accesos a redes diferentes #Siempre que creemos una nueva vlan debemos agregarla a esta seccin para bloquer el acceso #desde redes diferentes. $cmd deny all from $ipvlan_10 to $bvlan_10 $cmd deny all from $ipvlan_20 to $bvlan_20 $cmd deny all from $ipvlan_30 to $bvlan_30 ####Seccion para restriccin de ancho de banda#### #Las que se muestras a continuacin son las configuraciones que debe tener cada vlan para #poder administrar el ancho de banda que se le de. ####VLAN 10 #### #Restricciones ancho de banda vlan 10 $cmd pipe 1.1 all from any to $ipvlan_10 keep-state ipfw pipe 1.1 config bw 1024Kbits/s queue 50 ####VLAN 20 #### #Restricciones ancho de banda vlan 20 $cmd pipe 2.1 all from any to $ipvlan_20 keep-state ipfw pipe 2.1 config bw 512Kbits/s queue 50 ####VLAN 30 #### #Restricciones ancho de banda vlan 30 $cmd pipe 3.1 all from any to $ipvlan_30 keep-state ipfw pipe 3.1 config bw 256bits/s queue 50 $cmd deny all fron not $LAN_1 to any via $int Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %.- 2.12.8.- Creacin Script para BIoqueo de Pginas. 2.12.8.1.- Archivo etcpaginas!ipfwpaginas!"lo#$eadas Este es creado automticamente y contiene las ip de sitios a bloquear. 2.12.8.2.- Archivo etcpaginas!ipfwsc!"lo#$ear!paginas #!/bin/sh f test f /etc/paginas_ipfw/paginas_bloqueadas them rm /etc/paginas_ipfw/paginas_bloqueadas fi Pag_bloq=/etc/paginas_ipfw/sitios_bloq for lnea in $(cat $pag_bloq) do sh sc_bloq_pag $linea done 2.12.8.%.- Archivo etcpaginas!ipfwsc!"lo#!pag #!/bin/sh file_1=/etc/paginas_ipfw/bloq_1.out file_2=/etc/paginas_ipfw/bloq_2.out file_tmp=/etc/paginas_ipfw/tmp file_final=/etc/paginas_ipfw/paginas_bloqueadas #DG busca las ips relacionadas con el dominio y las enva a un archivo1 dig $1 > $file_1 #Leo el archivo1 y rescato la columna que posee las direcciones ip #mas basura y las envio a un archivo2 cat $file_1 | awk {print $5} > $file_2 #Elimino el archivo rm $file_1 Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %.1 #Leo el archivo y reconozco las direcciones ip validas y las envio a un archivo temporal egrep o \b[0-9]{1,3}\.[0-9]{1,3}\. [0-9]{1,3}\. [0-9]{1,3}\b $file_2 > $file_tmp #Elimino el archivo2 rm $file_2 #Concateno el archivo temporal con un archivo final, para agregar #ms direcciones ip de diferentes dominios cat $file_tmp >> $file_final #elimino el archivo temporal rm $file_tmp 2.12.8.&.- Archivo etcpaginas!ipfwsitios!"lo# Este archivo debe contener solo direccin de paginas las cuales queremos bloquear. Por ejemplo: www.canal13.cl www.facebook.com www.youtube.com Observacin: Siempre antes de salvar lo cambios realizados en los archivos, debemos corroborar que los comandos escritos sean correctos, ya que si esto no es as, podramos botar el servidor lo que puede llevar a la necesidad de reinstalarlo y perder las configuraciones realizadas. Breve explicacin sobre que contiene cada archivo y carpeta visto anteriormente. 2.12.9.- Estructura de directorios. La jerarqua del sistema de ficheros de FreeBSD es fundamental para obtener una compresin completa del sistema. El concepto ms importante a entender es el del directorio raz, "/. Este directorio es el primero en ser montado en el arranque y contiene el sistema bsico necesario para preparar el sistema operativo para su funcionamiento en modo multiusuario. El directorio raz tambin contiene puntos de montaje para cualquier otro sistema de archivos que se pretenda montar. Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %.5 Un punto de montaje es un directorio donde se pueden insertar sistemas de ficheros al sistema de archivos raz. Los puntos de montaje estndar incluyen /usr, /var, /tmp, /mnt y /cdrom. Estos directorios suelen corresponderse con entradas en /etc/fstab. /etc/fstab es una tabla que sirve de referencia al sistema y contiene los diferentes sistemas de ficheros y sus respectivos puntos de montaje. La mayora de los sistemas de ficheros en /etc/fstab se montan automticamente en el arranque gracias al "scriptrc Directorio Descripcin / Directorio raz del sistema de ficheros. /bin/ Utilidades de usuario fundamentales tanto para el ambiente monousuario como para el multiusuario. /boot/ Programas y ficheros de configuracin utilizados durante el arranque del sistema operativo. /boot/defaults/ Ficheros de configuracin por defecto del arranque. /dev/ Nodos de dispositivo. /etc/ Archivos de configuracin y "scripts del sistema. /etc/defaults/ Ficheros de configuracin por defecto del sistema. /etc/mail/ Ficheros de configuracin para agentes de transporte de correo como sendmail. /etc/namedb/ Ficheros de configuracin de named. /etc/periodic/ "Scripts que se ejecutan diariamente, semanalmente y mensualmente mediante cron. /mnt/ Directorio vaco utilizado de forma habitual por administradores de sistemas como punto de montaje temporal. /proc/ Sistema de ficheros de procesos. /rescue/ Programas enlazados estticamente para restauraciones de emergencia. /root/ Directorio local para la cuenta root. /sbin/ Programas del sistema y utilidades fundamentales de administracin para ambientes mono usuario multiusuario. /stand/ Programas utilizados en un ambiente autocontenido. Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %.> /tmp/ Ficheros temporales. El contenido de /tmp %& suelen conservarse despus de un reinicio del sistema. /usr/ La mayora de utilidades y aplicaciones de usuario. /usr/bin/ Aplicaciones comunes, herramientas de programacin y otras aplicaciones. /usr/include/ Ficheros "include estndar de C. /usr/lib/ Bibliotecas. /usr/libdata/ Ficheros de datos con diversas funciones. /usr/libexec/ Dmons del sistema y utilidades del sistema (ejecutado por otros programas). /usr/local/ Ejecutables locales, bibliotecas, etc. tambin se usa como destino por defecto de la infraestructura de ports de FreeBSD. /usr/ports La coleccin de Ports de FreeBSD (opcional). /usr/sbin/ Dmons del sistema y utilidades del sistema (ejecutados por usuarios del sistema). /usr/share/ Ficheros independientes de arquitectura. /usr/src/ Ficheros fuente BSD y/o local. /var/ Ficheros multipropsito de log, temporales, en trnsito y de "spool. En ocasiones se monta en /var un sistema de ficheros basado en memoria. Puede automatizarse el proceso mediante variables de varmfs en rc.conf (o con una entrada en /etc/fstab ) /var/mail/ Ficheros de buzones de correo de usuarios. /var/log/ Diversos ficheros de log del sistema. /var/spool/ Directorios diversos del sistema de "spool de impresora y correo /var/tmp/ Ficheros temporales. Estos ficheros suelen conservarse tras un reinicio del sistema, a menos que /var sea un sistema de ficheros basado en memoria. 2.12.10.- Editores de Texto. Gran parte de la configuracin de FreeBSD se realiza modificando archivos de texto. Por esta razn le conviene familiarizarse con un editor de texto. FreeBSD viene con unos cuantos como parte del sistema base y encontrar muchos ms en la coleccin de ports. Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %.6 Uno de los editores ms usados es el vi pero ya que este es un poco complicado de utilizar en este documento hemos usado ee. Para abrir un archivo solo basta con escribir en la lnea de comandos ee seguido del nombre del archivo a abrir con su respectiva direccin de directorio y para guardas los cambios solo se aprieta escape y se elige la opcin. De mportancia. Esto es lo que i386 significa. Tenga en cuenta que incluso si no est ejecutando FreeBSD en una CPU ntel 386, ste va a ser i386. No es el tipo de su procesador, sino la "arquitectura la que se muestra aqu Los "scripts de inicio son programas que FreeBSD ejecuta automticamente cuando arranca. Su funcin principal es preparar las cosas para que todo lo dems se ejecute, e iniciar cualquier servicio que tenga configurado para ejecutarse en segundo plano haciendo cosas tiles. 2.12.11.- Archivos de Importancia. /etc/rc.conf Guarda la configuracin de la mquina, ip, hostname, aplicaciones etc. /etc/host.conf Dentro de este archivo se debe encontrar la opcin Bind /etc/host Debe tener la ip de la mquina y el dominio al cual pertenece /etc/resolv guarda el dns de la mquina (nameserver) Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %.7 2.13.- JauIas. Es necesario revisar los demonios que se encuentran escuchando cualquier direccin ip del sistema. Esto se realiza con el comando sockstat -I4 con lo que se obtiene el siguiente resultado ultraman# sockstat -l4 USER COMMAND PD FD PROTO LOCAL ADDRESS FOREGN ADDRESS root sendmail 727 4 tcp4 127.0.0.1:25 *:* root sshd 721 4 tcp4 *:22 *:* root syslogd 581 7 udp4 *:514 *:* ultraman# Ac se puede apreciar que los demonios sshd y syslog se encuentran escuchando en cualquier direccin P (asterisco en el campo "LOCAL ADDRESS), a diferencia de sendmail que lo hace en la direccin de loopbak En el caso de sshd se debe modificar en el archivo /etc/ssh/sshd_config la lnea referente a '()istenAddress* Esta por omisin viene comentada y sin una direccin especfica. Se debe descomentar all e ingresar all la direccin P del sistema base 2.13.1.- Construccin de una JauIa . Ejecutando el comando sysinstaII en la mquina en la ruta configure/disttribution/src es posible obtener las fuentes que quedarn almacenadas en /usr/src. Esto generalmente tarda varios minutos (100 min app) Se presentan a continuacin todos los requerimientos para crear e instalar una jaula base que puede ser clonada posteriormente para obtener jaulas segn se necesite. Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %-8 Antes utilizar el shell cts.. setenv D /usr/jails/baseJail cd /usr/src mkdir p ~D make world DESTDR=$D cd etc make distribution DESTDR=$D Con lo anterior se consigue poblar el directorio /usr/jaiIs/baseJaiI con una estructura de archivo similar al sistema base, es decir, dentro de este directorio existen los directorios /bin, /etc y /var, entre otros. 2.13.2.- InstaIando Ports en Ias JauIas. En la url ftp://ftp.freebsd.org/pub/FreeBSD/ports/ports/ Se pueden descargar los ports actualizados, estos ports se dejan en el directorio /root de la mquina y luego son descargados por las distintas jaulas, como es sealado en el punto 8 2.13.3.- Para Ia CIonacin de JauIas. dharma# mkdir /usr/jails/newJails15 dharma# tcsh You have mail. dharma# cd /usr/jails/baseJail dharma# tar -cpf - . | tar -C /usr/jails/newJails15 -xpf - Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %-% 2.13.4.- IniciaIizacin de una JauIa. scox07# ifconfig rl0 inet alias 10.100.6.182 scox07# mount_devfs devfs /usr/jails/jail3/dev scox07# cd /usr/jails/jail3 scox07# ln -sf dev/null kernel >> Ejecutando el comando para iniciar la jaula scox07# jail /usr/jails/jail3 jail3 10.100.6.182 /bin/sh etc/rc Loading configuration files. jail3 Setting hostname: jail3. Generating nsswitch.conf. Generating host.conf. Creating and/or trimming log files:. ln: /dev/log: Operation not permitted Starting syslogd. ELF ldconfig path: /lib /usr/lib /usr/lib/compat a.out ldconfig path: /usr/lib/aout /usr/lib/compat/aout Starting local daemons:. Updating motd. sendmail_submit: /etc/mail/aliases.db not present, generating WARNNG: local host name (jail3) is not qualified; see cf/README: WHO AM ? /etc/mail/aliases: 27 aliases, longest 10 bytes, 275 bytes total Starting cron. Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %-$ Local package initialization:. Tue Sep 25 10:44:07 UTC 2007 scox07# >>Borrando una jaula Editar archive rc.conf Primero se saca del jaiI_Iist, luego se comenta o elimina todo lo relacionado con la jaula que se desea borrar, luego se aplican los siguientes comandos # cd /usr/jails/my_new_jail # chflags -R noschg * # rm -rf >> Estructura rc.conf En rc.conf debe tener la siguiente estructura para que la jaula pueda partir ###################Primera Jaula ################################### jail_enable="YES" jail_list="jail1" ifconfig_rl0_alias0="inet 10.100.6.171 netmask 255.255.255.0" jail_jail1_rootdir="/usr/jails/Jail1" jail_jail1_hostname="jail1" jail_jail1_ip="10.100.6.171" Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %-. jail_jail1_exec_start="/bin/sh /etc/rc" jail_jail1_devfs_enable="YES" jail_jail1_fdescfs_enable="YES" jail_jail1_procfs_enable="YES"
Observacin: En este caso se tuvo que cambiar eI nombre del directorio de la jaula, que actualmente aparece como JaiI1 (en la cuarta lnea) pero este directorio se llamaba NewJaiI, al llamarse de esta forma la jaula no iniciaba al reiniciar el servidor Al crear la segunda jaula la configuracin del rc.conf queda de la siguiente forma ###################Primera Jaula ################################### jail_enable="YES" jail_list="jail1 jail2" ifconfig_rl0_alias0="inet 10.100.6.171 netmask 255.255.255.0" jail_jail1_rootdir="/usr/jails/jail1" jail_jail1_hostname="jail1" jail_jail1_ip="10.100.6.171" jail_jail1_exec_start="/bin/sh /etc/rc" jail_jail1_devfs_enable="YES" jail_jail1_fdescfs_enable="YES" jail_jail1_procfs_enable="YES" ##################Segunda Jaula ##################################### Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %-- ifconfig_rl0_alias1="inet 10.100.6.181 netmask 255.255.255.0" jail_jail2_rootdir="/usr/jails/jail2" jail_jail2_hostname="jail2" jail_jail2_ip="10.100.6.181" jail_jail2_exec_start="/bin/sh /etc/rc" jail_jail2_devfs_enable="YES" jail_jail2_fdescfs_enable="YES" jail_jail2_procfs_enable="YES" 2.13.5.- Muestra Ias JauIas que se Encuentran Creadas. scox07# jls JD P Address Hostname Path 3 10.100.6.182 jail3 /usr/jails/jail3 2 10.100.6.181 jail2 /usr/jails/jail2 1 10.100.6.171 jail1 /usr/jails/jail1 Estas jaulas aparecen creadas unas vez que estn agregados los parmetros anteriormente descritos en el rc.conf de la mquina. 2.13.6.- Entrando a una JauIa. scox07# jexce 2 /bin/sh jexce: Command not found. scox07# tcsh Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %-1 You have mail. scox07# jexec 2 /bin/sh # tcsh jail2# jail2# exit exit # exit scox07# Se utiliza el shell tcsh para que los comandos sea reconocido por la mquina. 2.13.7.- InstaIacin de Ports en Ias JauIas. OBS: Los Ports que se pasan a las dems jaulas son ports "limpios son los que se descargan desde internet, ya que al instalar el FreeBSD en el server no se instalan los ports. Para la instalacin de ports en las jaulas: Primero se dejan los ltimos ports en el directorio /root luego posicionndome dentro del directorio usr de la jaula descomprimo los ports, esto se realiza para cada una de las jaulas. scox07# cd /usr/jails/jail1/usr/ scox07# gzip -dc /root/ports.tar.gz | tar -xvf 2.13.8.- Activar Ping en Ias JauIas. Las jaulas por default no aceptan ping por lo que hay que activar esta opcin, se realiza con el siguiente comando: Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %-5 scox07# sysctl security.jail.allow_raw_sockets=1 >>Para agregar esta opcin a travs de echo se realiza de la siguiente forma: scox07# echo security.jail.allow_raw_sockets=1 >> /etc/sysctl.conf 2.13.9.- Para Matar eI Proceso de una JauIa. kill KLL -1 En /var/run el archivo jaiI_jaiI20.id se elimina con rm para matar por completo el proceso de la jaula y luego se puede volver a activar nuevamente la jaula con 2.13.10.- Para Activar una JauIa. /etc/rc.d/jails start jail1 2.13.11.- SaIida a Internet de una JauIa. Para que las jaulas puedan navegar es necesario crear el archivo resoIv.conf, ya que este no se encuentra creado, por lo que las jaulas no cuentan a la hora de ser creadas con un dns vi /etc/resolv.conf --------------------------------------------------------------------------------------------------------------------- Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %-> Esta configuracin pertenece al servidor UItraman (Ex Scox) se utilizarn 4 jaulas: AMP (Apache13 + MySql + PHP5) DNSE(dns externo) DN (dns interno), Home Para realizar esto se utiliza tambin NATD modificando el Kernel. 2.13.12.- Configuracin de Servicios como Web (http Apache13). Para que el servidor realice NATD se debe de compilar el kernel y agregar las lneas que aparecen a continuacin: Modificar el Kernel Para modificar el kernel es necesario primero copiar el cdigo fuente que viene por defecto para esto se debe realizar lo siguiente # cd /usr/src/sys/i386/conf/ # cp GENERC MKERNEL Posterior a esto editamos MKERNEL con el comando vi y agregamos las lneas como se describe a continuacin Editamos con: # vi MKERNEL Y se agrega lo siguiente: Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %-6 options BRDGE # linea alternativa options PFREWALL # Activa firewall ipfw options PDVERT #permite NAT con ipfw options PFREWALL_VERBOSE options PFREWALL_VERBOSE_LMT options PFREWALL_DEFAULT_TO_ACCEPT options DUMMYNET #permite realizar adminstracion de ancho de banda device apic # /O APC device miibus #aunque es alternativo permite dar maor soporte a las tarjetas de red device vlan # permite generar soporte de Vlan con FreeBSD Una vez ingresadas estas lneas slo basta con guardar el archivo con los cambios esto depende del editor si se utiliz vi para esto se debe seguir la secuencia de Esc :wq! Con esto ya estamos listos para compilar el nuevo kernel, paras esto es necesario realizar los siguientes pasos: # /usr/sbin/config MKERNEL # cd ../compile/MKERNEL # make depend # make # make install Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %-7 Con esto ya se encuentra instalado el Nuevo Kernel del sistema operativo solo basta con reiniciar eI servidor. 2.13.13.- Agregando Ias Siguientes Lneas aI rc. conf para que Funcione eI NATD. gateway_enable="YES" firewall_enable="YES" firewall_type="OPEN" natd_enable="YES" natd_interface="rl0" natd_flags="-f /etc/natd.conf" named_enable="YES" ESTAS LNEAS SEMPRE DEBEN R AL FNAL EN EL /etc/rc.conf DE LA CREACN DE LAS JAULAS, DE MODO CONTRARO SE PERDER CONECTVDAD CON NTERNET ADEMAS DE RELENTZAR EL NCO DE LAS JAULA. OBS: Al intentar entrar a la jaula para agregar una pagina web desde la mquina, se puede tener el siguiente problema: Suponiendo que la ip de la mquina es 10.100.6.170 y la de la jaula es 10.100.6.171 Al entrar por ssh a 10.100.6.170 y dirigirse al directorio /usr/jail/jail1/usr/local/www/data Y poner una pgina index.htmI luego al entrar a la jaula directamente desde la mquina jexec 1 /bin/sh y dirigirse al directorio /usr/IocaI/www/data, index.hrtmI no aparecer ya que existe un redireccionamiento al directorio data-dist de la misma jaula Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %18 2.13.14.- Redireccionando a una JauIa. Para redireccionar cuando se entra al servidor (mquina) 10.100.6.170 se utiliza el comando anterior, donde la direccin 10.100.6.171 es una jaula donde se encuentra apache instalado, de esta forma al entrar a 10.100.6.170 se entra a la pgina situada en la jaula 10.100.6.171 scox07# cat /etc/natd.conf redirect_port tcp 10.100.6.171:80 80 //Redireccionando para Apache redirect_port tcp 10.100.6.171:10000 10000 //Redireccionando para Webmin --------------------- JAULA DNSE -------------------------------- 2.13.15.- InstaIando Bind9 para DNS Externo (en JauIa 2). Primero se instala el bind9 en la jaula: jail2# cd /usr/ports/dns/bind9 jail2#make jail2#make install En el /etc/namedb/named.conf de scox aparecen las siguientes lneas que deben ser copiadas en el nuevo scox (UItraman)en named.conf para poder realizar el DNS Externo >> En /etc/namedb/named.conf Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %1% zone "decom-uv.cl"{ type master; file "/etc/namedb/master/decom-uv.cl"; }; -------------------------------------------------------------------------------- Luego en el directorio /etc/namedb/master creo el archivo decom-uv.cI y agrego las siguientes lneas: En /etc/namedb/master $ttl 38400 decom-uv.cl. N SOA behemoth.decom-uv.cl. root.localhost. ( 1071154044 10800 3600 604800 38400 ) decom-uv.cl. N NS scox.decom-uv.cl. www.decom-uv.cl. N A 200.14.68.2 scox.decom-uv.cl. N A 200.14.68.2 decom-uv.cl. N MX 10 200.14.68.3 alumnos.decom-uv.cl. N A 200.14.68.3 alumnos.decom-uv.cl. N MX 10 alumnos.decom-uv.cl. siga.decom-uv.cl. N A 200.14.68.107 director.decom-uv.cl. N A 200.14.68.107 asterisk1.decom-uv.cl. N A 10.100.6.166 Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %1$ >> Agregando ip donde va a escuchar el DNS (En este caso es la de la jaula) En el archivo /etc/namedb/named.conf debo agregar la ip donde va a escuchar el DNS, en el caso de la jaula que se est configurando ser la 10.100.6.181 Esto sera en: jail2# vi /etc/namedb/named.conf >>Debera aparecer algo as: // f named is being used only as a local resolver, this is a safe default. // For named to be accessible to the network, comment this option, specify // the proper P address, or delete this option. listen-on { 127.0.0.1;10.100.6.170 }; >> Agregar linear rc.conf Agregar en el /etc/rc.conf de la jaula named_enable=YES >>Partiendo el named (DNS) jail3# /etc/rc.d/named start Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %1. >>Comprobando su configuracin Cambiar el DNS que se tiene actualmente ya sea en Win o Linux y poner el DNS perteneciente a la jaula donde se configur el DNS, y comprobar si hay navegabilidad --------------------- JAULA DNS -------------------------------- 2.13.16.- InstaIando Bind9 para DNS Interno (en JauIa 3). Primero se instala el bind9 en la jaula: Jail3# cd /usr/ports/dns/bind9 Jail3#make Jail3#make install Para la configuracin del DNS nterno, se sac el archivo de T1 /etc/namedb/named.conf estas son las lneas que se copian de T1 zone "decom-uv.cl" { type master; file "master/decom-uv.cl"; }; Luego en /etc/namedb/master creo el archivo decom-uv.cI y copio lo que aparece en el archivo decom-uv.cI del T1 al Scox07 cd /etc/namedb/master vi decom-uv.cl Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %1- $ttl 38400 decom-uv.cl. N SOA scox.decom-uv.cl. root.localhost. ( 1071154041 10800 3600 604800 38400 ) decom-uv.cl. N NS scox.decom-uv.cl. www.decom-uv.cl. N A 10.100.6.204 scox.decom-uv.cl. N A 10.100.6.204 decom-uv.cl. N MX 10 10.100.6.204 alumnos.decom-uv.cl. N A 192.168.20.5 alumnos.decom-uv.cl. N MX 10 alumnos.decom-uv.cl. educnet.decom-uv.cl. N A 10.100.6.203 terminator# >> Agregar linear rc.conf agregar en el /etc/rc.conf de la jaula named_enable=YES >>Comprobando su configuracin Cambiar el DNS qe se tiene actualmente ya sea en Win o Linux y poner el DNS perteneciente a la jaula donde se configur el DNS, y comprobar si hay navegabilidad Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %11 >> Agregando ip donde va a escuchar el DNS (En este caso es la de la jaula) En el archivo /etc/namedb/named.conf debo agregar la ip donde va a escuchar el DNS, en el caso de la jaula que se est configurando ser la 10.100.6.173 Esto sera en: jail2# vi /etc/namedb/named.conf >>Partiendo el named (DNS) jail3# /etc/rc.d/named start >> Parar e iniciar Jaulas # /etc/rc.d/jail start //Parten todas las jaulas # /etc/rc.d/jail stop // Paran todas las jaulas # /etc/rc.d/jail start one // Parte una jaula en especifica la one 2.13.17.- Direccionando Ias Pginas de Ia JauIa. Para direccional las pginas que se encuentran en la jaula (servidor Kingkong) en el servidor de alumnos en /etc/local/etc/apache/httpd.conf Para el caso de la jaula de Daniel Ramirez Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %15 ProxyPass /dramirez http://192.168.20.8/ ----- Configuracin de la jaula amp (apache13 + mysql5 + php5)--- 2.13.18.- InstaIando Apache13 en Ia JauIa amp (Apache MysqI5 PHP5). amp# cd /usr/ports/www/apache13 amp#make amp#make install Al ejecutar apache apachectI start, es posible que el comando no sea reconocido por lo que habr que salir de ese Prom. con exit y luego ejecutar apachectI start #apachectl start >>Otra forma de poder ejecutar apache es: /usr/local/sbin/apachectl start Luego se agrega mysql_enable=YES al archivo /etc/rc.conf 2.13.19.- InstaIando PHP5 en Ia JauIa 1 (PC Prueba). Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %1> Al instalar PHP5 con Apache13 debo instalar otras aplicaciones como php5-mysql y php5-extensions, todas estas instalaciones quedarn descritas en esta seccin: 1. - nstalando PHP5. cd /usr/ports/lang/php5 make install clean Dar Soporte PHP a Apache13 Al realizar make install clean me aparecer una pantalla azul, en la cual se deber agregar algunas opciones imprescindibles como apache y cgi (esta generalmente viene por defecto #####Este paso de comprobacin de php se puede omitir, o realizar una vez instaladas las otras aplicaciones como php5-extensions y php5-mysql############# > Para probar php5 agregamos una pgina hecha en php en el directorio /usr/IocaI/www/data (para este caso debera agregarse en la jaula que se est instalando) Dentro del directorio data agregamos una pgina pruebaphp.php > ngresamos a la pgina por ejemplo: 10.100.6.204/pruebaphp.php Para verificar que los mdulos de PHP4 se encuentren instalados hay que dirigirse a vi /usr/local/etc/apache/httpd.conf En este archivo debern aparecer: LoadModule php5_module libexec/apache/libphp5.so Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %16 Y mas abajo aparecer: AddModule mod_php5.c Luego se reinicia apache (apachectl restart) y al ingresar a la ip del servidor deber aparecer la pgina de PHP PHP Version 5. 2. - nstalando PHP5-Extensions. cd /usr/ports/lang/php5-extensions make config Ac aparecern una serie de opciones que solo algunas se debern marcar adems de dejar las que aparecen por default, las opciones a marcar son las siguientes (estas aparecern en una pantalla azul) select type, curl, dom, gd, imap, mbstring, mcrypyt, mysql, mysqli, pcre, posix, session, simplexml, xml, xmlreader, xmlwriter, zlib make install make clean cd /usr/local/etc cp php.ini-recommended php.ini 3. - nstalando PHP5-mysql. Ac se da el soporte de mysql en PHP, se produce la conexin entre ambas aplicaciones, para ver si tengo instalado php5-mysql realizo el siguiente comando Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %17 pkg_info|grep php|grep mysql Si el commando arroja algn resultado quiere decir que la aplicacin est instalada, en caso contrario (de no arrojar nada) hay que instalarla. cd /usr/ports/database/php5-mysql make make install make clean Observacin: Es probable que no inicie php5 por lo que hay que meterse al archivo vi /usr/local/etc/apache/httpd.conf y cambiar todos lod php4 por php5 2.13.20.- InstaIando mysqI5 en Ia JauIa 1 (PC Prueba). jail1# cd /usr/ports/databases/mysql50-server jail1# make install clean jail1# mysql_install_db jail1# chown -R mysql:mysql /var/db/mysql jail1# mysqld_safe --user=mysql& jail1# /usr/local/bin/mysqladmin -u root password "newpasswd" Para iniciar mysqI se realiza el siguiente comando /usr/local/etc/rc.d/mysql-server start Luego se agrega al archivo /etc/rc.conf Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %58 mysql_enable=YES Al encontrarse dentro de la jaula es probable que algunos comandos no sean reconocidos, por lo que se utiliza el shell tsch. 2.13.21.- InstaIando Webmin en Ia JauIa 1 (PC Prueba). >>Webmin se encuentra en cd /usr/ports/sysutils/webmin make install clean >>Una vez instalado se agrega al archivo vi /etc/rc.conf >>Se agrega en /etc/rc.conf de la jaula webmin_enable=YES >>Para ejecutarlo se debe ir a la siguiente ruta cd /usr/local/lib/webmin >>Se ejecuta de la siguiente forma ./setup.sh Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %5% En las opciones de configuracin dejo todas las opciones por defecto (Enter) En el archivo de la maquina /etc/natd.conf agrego las lneas que van a redireccionar el webmin a la jaula, quedando de la siguiente forma Redirect_port tcp 10.100.6.171:10000 10000 Esto quiere decir que ingresar al puerto 10000 de la mquina con ip 10.100.6.170 y luego se redirecionar al puerto 10000 de la jaula (jail1) con ip 10.100.6.171 2.13.22.- Cambios a ReaIizar en Ia Configuracin FinaI de UItraman. /etc/ssh/sshd_config (ip en #ListenAddress) /etc/rc.conf (ip) /etc/resolv.conf (cambiar DNS) etc/namedb/named.conf (Donde va a escuchar la ip) Realizar los cambios que se encuentran en la jaula amp /etc/hosts /etc/host.conf /etc/rc.conf 2.13.23.- Configurando ssh en JauIas de Tesistas. Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %5$ Para que los usuarios puedan entrar por ssh a sus jaulas se pasa primero por el servidor de alumnos, y luego se salta a la jaula correspondiente, esto se realiza de la siguiente forma. En el servidor de aIumnos, se crea un script, esto se realiza en el directorio root: vi /root/dramirez #!/bin/sh ssh root@192.168.20.8 El usuario dramirez que se encuentra creado en el servidor de alumnos pasa a su jaula que se encuentra con la ip 192.168.20.8. Este script se encuentra en /root y tiene como permiso 755 Luego en el servidor de alumnos se modifica el master.passwd sin antes haberlo respaldado, se ejecuta vipw y se cambia la forma de ingresar Se tena azamora:$1$Xu3Rd/fQ$0P2ADbu2/RUN19/CYkKtA0:1377:1000::0:0:Amador Zamora Nunez:/home/2005/azamora:/usr/local/bin/bash Se cambia a azamora:$1$Xu3Rd/fQ$0P2ADbu2/RUN19/CYkKtA0:1377:1000::0:0:Amador Zamora Nunez:/home/2005/azamora:/root/azamora-ssh 2.13.24.- Cambiar Zona Horaria a Ia JauIa. Es importante verificar la zona horaria de la jaula, ya que nos encontramos con aplicaciones que trabajan con la hora. Para realizar esto se debe realizar lo siguiente: Dirigirse hasta: Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %5. amp3#cd /usr/share/zoneinfo/America Luego copiar el archivo Santiago que aparece dentro del directorio America. amp3#cp Santiago /etc/localtime Luego se verifica que la hora este correcta con el comando date: amp3# date Wed Jun 11 14:56:46 CLT 2008 Si aun la hora y fecha se encuentra erroneas, se debe implementar el siguiente comando: amp3# date 080522074100 donde 08 es el ao 2008 05 el mes de mayo 22 el dia del mes 07 hora 41 minuto 00 segundo 2.13.25.- Montaje de pubIic_htmI de Ia Mquina a JauIa amp. Creando usuario: Dentro de la jaula home creo el usuario, con el grupo al cual debe pertenecer: Home#adduser a Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %5- Una vez creado el usuario entro a su directorio: home#cd /usr/home/mferrand Al listar los archivos ver que no est creado el directorio pubIic_htmI, por lo que hay que crearlo Luego se debe cambiar el propietario de este directorio, tal como se seala en pasos posteriores. home#chown -R mferrand:profesores public_html/ Luego se debe crear dentro de la jaula amp3, el directorio en el cual se quiere montar la pgina web: amp3#cd /usr/local/www/data/ amp3#mkdir mferrand Una vez cambiado el propietario y creado los dos directorios debo montar desde la mquina (en el ejemplo ultraman) este directorio en la jaula donde se contienen las pginas web (en el ejemplo la jaula amp3), de la siguiente forma: ultraman# mount -t nullfs /usr/jails/home/usr/home/maravena/public_html /usr/jails/amp3/usr/local/www/data/maravena Dentro de la mquina debo en /etc/rc.IocaI guardo este punto de montaje, a su vez es montado en ~mferrand o ~maravena, ya que estas pginas estn en nternet ultraman# mount -t nullfs /usr/jails/home/usr/home/maravena/public_html /usr/jails/amp3/usr/local/www/data/maravena Dentro de un usuario el public_html debe pertenecer al grupo el cual pertenece el usuario eso se realiza con el comando chown -R mferrand:profesores public_html/ Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %51 Ac chown -R (es de forma recursiva) luego viene el nombre del usuario, el grupo al que pertenece y el directorio el cual se quiere cambiar de 2 drwxr-xr-x 4 mferrand profesores 512 Mar 14 16:25 . 2 drwxr-xr-x 11 root wheel 512 Mar 7 15:48 .. 2 -rw-r--r-- 1 mferrand profesores 767 Mar 7 15:47 .cshrc 2 -rw-r--r-- 1 mferrand profesores 248 Mar 7 15:47 .login 2 -rw-r--r-- 1 mferrand profesores 158 Mar 7 15:47 .login_conf 2 -rw------- 1 mferrand profesores 373 Mar 7 15:47 .mail_aliases 2 -rw-r--r-- 1 mferrand profesores 331 Mar 7 15:47 .mailrc 2 -rw-r--r-- 1 mferrand profesores 797 Mar 7 15:47 .profile 2 -rw------- 1 mferrand profesores 276 Mar 7 15:47 .rhosts 2 -rw-r--r-- 1 mferrand profesores 975 Mar 7 15:47 .shrc 2 drwx------ 2 mferrand profesores 512 Mar 12 17:27 .ssh 2 drwxr-xr-x 7 maravena wheel 512 Mar 17 09:57 public_html home# chown -R mferrand:profesores public_html/ home# ls -las total 24 2 drwxr-xr-x 4 mferrand profesores 512 Mar 14 16:25 . 2 drwxr-xr-x 11 root wheel 512 Mar 7 15:48 .. 2 -rw-r--r-- 1 mferrand profesores 767 Mar 7 15:47 .cshrc 2 -rw-r--r-- 1 mferrand profesores 248 Mar 7 15:47 .login 2 -rw-r--r-- 1 mferrand profesores 158 Mar 7 15:47 .login_conf 2 -rw------- 1 mferrand profesores 373 Mar 7 15:47 .mail_aliases 2 -rw-r--r-- 1 mferrand profesores 331 Mar 7 15:47 .mailrc 2 -rw-r--r-- 1 mferrand profesores 797 Mar 7 15:47 .profile Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %55 2 -rw------- 1 mferrand profesores 276 Mar 7 15:47 .rhosts 2 -rw-r--r-- 1 mferrand profesores 975 Mar 7 15:47 .shrc 2 drwx------ 2 mferrand profesores 512 Mar 12 17:27 .ssh 2 drwxr-xr-x 7 mferrand profesores 512 Mar 17 09:57 public_html home# 2.14.- BacuIa. 2.14.1.- Esquema de BacuIa. Bacula es un software cliente-servidor, ste se divide en 4 mdulos que son: Director (bacula-dir) Storage Daemon (bacula-sd) File Daemon (bacula-fd) Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %5> Console (bconsole) Pasos: Actualizar los Ports. nstalar MySQL Server 4.1.XY. nstalar Bacula-Server con soporte para MySQL. nstalar Bacula-Client desde los ports. Configurar la base de datos MySQL Server. Configurar Bacula-Server para MySQL. Cambio de extensiones a archivos de bacula. Configurar archivo bacula-fd.conf(Cliente de bacula). Configurar archivo bacula-sd.conf(Storage Daemon). Configurar archivo bconsole.conf(Console). Configurar archivo bacula-dir.conf(Director Daemon). Probando los archivos de Bacula. nstalando el Cliente de Bacula en Windows NT4/2000/XP/2003. Ejecutar Bacula-Server por primera vez. Accesando a Bacula desde bconsole. Ejecutando el primer Respaldo Full y Diferencial. Restaurando archivos con Bacula. 2.14.2.- InstaIacin de MySQL. 1. instalar el software MySQL server desde el rbol de ports: root# cd /usr/ports/databases/mysql41-server/ && make install clean 2. Generamos las tablas de permisos para MySQL: root# /usr/local/bin/mysql_install_db Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %56 3. Cambiamos el propietario y grupo del directorio de datos: root# chown -R mysql:mysql /var/db/mysql/ 4. Una vez completados los pasos anteriores vamos a editar el arvhico rc.conf para que nos inicie automticamente MySQL root# ee /etc/rc.conf Y agregamos la siguiente lnea: mysql_enable=YES Cuando estemos listos pulsamos la tecla ESC "escape, luego sabe y finalmente sabe change. 5. Ahora reiniciamos la maquina con un simple "reboot 6. A continuacin establecer la contrasea del administrador de la base de datos (Atencin no poner la contrasea que tenemos para el usuario root): root# /usr/local/bin/mysqladmin -u root password tupassword 7. Reiniciamos y listo. Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %57 2.14.3.- InstaIar BacuIa-Server con soporte para MySQL. root#cd /usr/ports/sysutils/bacula-server root #make install clean Seleccionar el soporte para MySQL. Tambin puede utilizarse PostgreSQL. 2.14.4.- InstaIar BacuIa-CIient desde Ios Ports. root #cd /usr/ports/sysutils/bacula-client root #make install clean Este paso debe hacerse en todos los equipos CLENTES de Bacula. 2.14.5.- Configurar Ia base de datos MySQL Server. Una vez que se instala MySQL, debemos llevar a cabo ciertos pasos extras antes de poder ejecutarlo, segn el manual para MySQL 4.0.27 (tambin aplica a la rama 4.1) en las notas especificas para FreeBSD debemos hacer lo siguiente: 1. Ejecutar mysql_install_db con el usuario mysql que fue creado cuando instalamos mysql, este script lo encontramos en /usr/local/bin root #/usr/local/bin/mysql_install_db --user=mysql Con esto hemos creado las bases de datos que usa mysql para funcionar internamente, aun no se est ejecutado el servidor, esto lo hacemos en el siguiente paso. 2. niciar la base de datos con el scrip mysqld_safe root #/usr/local/bin/mysqld_safe & Aqu nos arroja cierta informacin o bien no se ejecuta el servidor, pero vamos probando si est corriendo: root #sockstat -4 USER COMMAND PD FD PROTO LOCAL ADDRESS FOREGN ADDRESS mysql mysqld 530 10 tcp4 *:3306 *:* Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %>8 Aqu podemos ver si est corriendo el servidor mysql, si no aparece por ah el puerto 3306 abierto, nos indica que no se ejecuto, a veces una reinicio del sistema arregla todo. Agregar mysql al archivo /etc/rc.conf, con la siguiente lnea: mysql_enable="YES" Este es el bsico para llevar a cabo esto, pero tambin tenemos estos que son opcionales: mysql_limits (bool): YES o NO mysql_dbdir="/var/db/mysql" mysql_args (str): Por ltimo tenemos unos scripts en el directorio de mysql /usr/local/share/mysql que podemos copiar en /etc/ para que mysql lea antes de ejecutarse, estos archivos son parmetros globales para mysql y estos son: my-huge.cnf my-large.cnf my-medium.cnf my-small.cfg Cada uno tiene sus caractersticas, pero solo podemos darle uno a mysql, en m caso us my- large.cfg, as que mando una copia a /etc: root #cp /usr/local/share/mysql/my-large.cnf /etc/ Cada uno de ellos trae comentarios sobre cuando aplica. Reiniciar el sistema y verificar que mysql debe estar ejecutndose. 2.14.6.- Configurar BacuIa-Server para MySQL. a) Ejecutar el script de nombre grant_mysql_privileges. Ejecutar el script con el nombre de usuario y contrasea que se le dio a MySQL, esto se hace as: root#cd /usr/local/share/bacula root#./grant_mysql_privileges -u root -p Enter password: Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %>% ... informacin ... informacin ... informacin La ltima lnea nos indica que todo sali bien y dice as: "Privileges for bacula granted." b) Enseguida debemos ejecutar el script de nombre create_mysql_databases, as: root#./create_mysql_databases -u root -p Enter password: Creation of bacula databases succeeded. Con esto se ha creado la base de datos de bacula en MySQL. c) Crear las tablas de bacula, para ello debemos ejecutar el script de nombre create_mysql_tables asi: root#./make_mysql_tables -u root -p Enter password: Creation of Bacula MySQL tables succeeded. Con todo lo anterior el servidor de bacula est listo para empezar a trabajar con l. Esto se puede comprobar accesando a la consola de mysql y ver las bases de datos que esta posee. root#mysql -u root -p Enter password: ...nformacion que arroja mysql mysql>show databases; +------------------------------+ |Databases | +------------------------------+ |information_schema | |bacula | |mysql | |test | +------------------------------+ d) Salir de mysql. Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %>$ 2.14.7.- Cambiar Extensiones a Archivos de Configuracin de BacuIa. Los archivos de configuracin estn en el directorio /usr/local/etc, todos terminan con la extensin .new o .sample, para que bacula los pueda leer deben terminar en .conf, as que los copiamos en el mismo directorio pero eliminando la extensin .new o .sample. root#cd /usr/local/etc root#cp bacula-dir.new bacula-dir.conf Esto lo hacemos con los dems archivos los cuales en total son 4: bacula-sd bacula-fd bconsole Manual General: Servicios, Aplicaciones & Servidores Deco'. ! " i n a # %>. 2.14.8.- Configuracion Archivo bacuIa-fd.conf (CIiente de BacuIa). El archivo a editar es el bacula-fd.conf, esto se hace con el siguiente comando: root#ee bacula-fd.conf Configuracin: Director { Name = tool-dir Password = "cristian3" } Director { Name = tool-mon Password = "console" Monitor = yes } FileDaemon { Name = tool-fd FDport = 9102 WorkingDirectory = /var/db/bacula Pid Directory = /var/run Maximum Concurrent Jobs = 20 } # Send all messages except skipped files back to Director Messages { Name = Standard director = tool-dir = all, !skipped, !restored ! " i n a # %>- } 2.14.9.- Configuracion Archivo bacuIa-sd.conf (Storage BacuIa). El archivo a editar es el bacula-sd.conf, esto se hace con el siguiente comando: root#ee bacula-sd.conf Configuracin: Storage { # definition of myself Name = tool-sd SDPort = 9103 # Director's port WorkingDirectory = "/var/db/bacula" Pid Directory = "/var/run" Maximum Concurrent Jobs = 20 } # List Directors who are permitted to contact Storage daemon Director { Name = tool-dir Password = "bacula-sd" } Director { Name = tool-mon Password = "console" Monitor = yes } #DSPOSTVO PARA RESPALDAR EN ARCHVO ! " i n a # %>1 Device { Name = FileStorage Media Type = File Archive Device = /tmp LabelMedia = yes; # lets Bacula label unlabeled media Random Access = yes; AutomaticMount = yes; # when device opened, read it RemovableMedia = no; AlwaysOpen = no; } # DSPOSTVO PARA RESPALDAR EN DVD #Device { # Name = "DVD-Writer" # Media Type = DVD # Archive Device = /dev/hdc # LabelMedia = yes; # lets Bacula label unlabeled media # Random Access = Yes; # AutomaticMount = yes; # when device opened, read it # RemovableMedia = yes; # AlwaysOpen = no; # MaximumPartSize = 800M; # RequiresMount = yes; # MountPoint = /mnt/cdrom; # MountCommand = "/bin/mount -t iso9660 -o ro %a %m"; # UnmountCommand = "/bin/umount %m"; # SpoolDirectory = /tmp/backup; ! " i n a # %>5 # WritePartCommand = "/etc/bacula/dvd-handler %a write %e %v" # FreeSpaceCommand = "/etc/bacula/dvd-handler %a free" #} # Send all messages to the Director, # mount messages also are sent to the email address Messages { Name = Standard director = tool-dir = all } 2.14.10.- Configuracion Archivo bconsoIe.conf (Storage BacuIa). El archivo a editar es el bconsole.conf, esto se hace con el siguiente comando: root#ee bconsole.conf Configuracin: Director { Name = tool-dir DRport = 9101 address = 192.168.20.64 #tool Password = "Director" } 2.14.11. - Configuracion archivo BacuIa-Dir.conf (director bacuIa). El archivo a editar es el bacula-dir.conf, esto se hace con el siguiente comando: ! " i n a # %>> root#ee bacula-dir.conf Configuracin: Director { Name = tool-dir DRport = 9101 QueryFile = "/usr/local/share/bacula/query.sql" WorkingDirectory = "/var/db/bacula" PidDirectory = "/var/run" Maximum Concurrent Jobs = 1 #puede ser 10 Password = "Director" # Console password Messages = Daemon # DirAddress = 127.0.0.1 } #JOBDEFS POR DEFECTO JobDefs { Name = "DefaultJob" Type = Backup Level = ncremental Client = tool-fd FileSet = "Freebsd-FileSet" Schedule = "Sch-Catalog" Storage = File Messages = Standard Pool = Default Priority = 10 } ! " i n a # %>6 #JOBDEFS DE GUA JobDefs { Name = "TestBackup" Type = Backup Level = Full Storage = File Messages = Standard Pool = PoolFull } # JOBS #Job para Cliente FreeBSD. Job { Name = "BackupFreeBSD" JobDefs = "TestBackup" Client = freebsd-fd FileSet= "Freebsd-FileSet" Schedule = "Sch-Catalog" RunBeforeJob = "/usr/local/share/bacula/make_catalog_backup bacula bacula" RunAfterJob = "/usr/local/share/bacula/delete_catalog_backup" Write Bootstrap = "/var/db/bacula/BackupCatalog.bsr" Priority = 12 } #Job de backup para Maquina Windows Xp ! " i n a # %>7 Job { Name = "BackupWinxp" JobDefs = "TestBackup" Client = winxp-fd File Set = winxp-FileSet Schedule = "Sch-Catalog" Priority = 11 Write Bootstrap = "/var/db/bacula/backupWinxp.bsr" } #RESTAURAR PARA WNXP Job { Name = "Restore-Winxp" Type = Restore Client = winxp-fd FileSet= "winxp-FileSet" Storage = File Pool = PoolFull Messages = Standard Where = "C:/Restore" } #RESTAURAR PARA FREEBSD Job { Name = "Restore-FreeBSD" Type = Restore Client = freebsd-fd FileSet = "Freebsd-FileSet" #o freebsd-FS ! " i n a # %68 Storage = File Pool = PoolFull Messages = Standard Where = "/usr/backup/restore" } # DEFNCON DE ARCHVOS A RESPALDAR FileSet { Name = "Catalog" nclude { Options { signature = MD5 } File = /var/db/bacula/bacula.sql } } FileSet { Name = "winxp-FileSet" Enable VSS=no nclude { Options { signature = MD5 Compression=GZP } File = "C:/prueaa" } } ! " i n a # %6% FileSet { Name = "Freebsd-FileSet" nclude { Options { signature = MD5 Compression = GZP } File = "/usr/local/etc" } Exclude { File = "/usr/local/etc/rc.d" } } # PLANFCADORES Schedule { Name = "Sch-winxp" Run = Full mon at 16:00 # Run = Level = Diferencial Pool = PoolDiferencial tue-fri at 22:00 } Schedule { Name = "Sch-Catalog" Run = Full mon at 20:00 } # CLENTES A RESPALDAR # Servidor, en donde est instalado bacula ! " i n a # %6$ Client { Name = tool-fd Address = 127.0.0.1 FDPort = 9102 Catalog = MyCatalog Password = "critian3" File Retention = 30 days Job Retention = 6 months AutoPrune = yes } #cliente freebsd Client { Name = freebsd-fd Address = 192.168.20.63 FDPort = 9102 Catalog = MyCatalog Password = "freebsd" File Retention = 15 days Job Retention = 30 days AutoPrune = yes } #cliente Windows Xp Client { Name = winxp-fd Address = 192.168.20.145 FDPort = 9102 Catalog = MyCatalog Password = "winxp" ! " i n a # %6. File Retention = 15 days Job Retention = 30 days AutoPrune = yes } # ALMACENAMENTO Storage { Name = File Address = 192.168.20.64 SDPort = 9103 Password = "bacula-sd" Device = FileStorage Media Type = File } # Generic catalog service Catalog { Name = MyCatalog dbname = bacula; user = bacula; password = "" } # message delivery -- send most everything to email address Messages { Name = Standard mailcommand = "/usr/local/sbin/bsmtp -h localhost -f \"\(Bacula\) %r\" -s \"Bacula: %t %e of %c %l\" %r" operatorcommand = "/usr/local/sbin/bsmtp -h localhost -f \"\(Bacula\) %r\" -s \"Bacula: ntervention needed for %j\" %r" mail = root@localhost = all, !skipped ! " i n a # %6- operator = root@localhost = mount console = all, !skipped, !saved append = "/var/db/bacula/log" = all, !skipped } # Message delivery for daemon messages (no job). Messages { Name = Daemon mailcommand = "/usr/local/sbin/bsmtp -h localhost -f \"\(Bacula\) %r\" -s \"Bacula daemon message\" %r" mail = root@localhost = all, !skipped console = all, !skipped, !saved append = "/var/db/bacula/log" = all, !skipped } # Default pool definition Pool { Name = Default Pool Type = Backup Recycle = yes AutoPrune = yes Volume Retention = 365 days Accept Any Volume = yes } Pool { Name = PoolFull Maximum Volumes = 0 Pool Type = Backup ! " i n a # %61 Use Volume Once = no Maximum Volume Jobs = 2 Maximum Volume Files = 0 Maximum Volume Bytes = 0 Volume Use Duration = 0 Catalog Files = yes AutoPrune = yes Volume Retention = 20 days Recycle = yes Label Format = "FullFile-" } Console { Name = tool-mon Password = "monitor" CommandACL = status, .status } 2.14.12.- Probando Ios archivos de BacuIa. root#/usr/local/sbin/bconsole -t -c /usr/local/etc/bconsole.conf root#/usr/local/sbin/bacula-fd -t -c /usr/local/etc/bacula-fd.conf root#/usr/local/sbin/bacula-sd -t -c /usr/local/etc/bacula-sd.conf root#/usr/local/sbin/bacula-dir -t -c /usr/local/etc/bacula-dir.conf Si por alguna razn mostrara algn error, cada uno de ellos nos dice la razn del problema y en que lnea se encuentra para resolverlo, antes de ejecutar cada uno de los demonios debemos certificar que estn todos libres de errores. Cambiar los permisos de los archivos de configuracin de bacula ubicados en /usr/local/etc, ya que por default la instalacin los deja con los permisos de lectura a root y wheel y a el resto lo deja fuera, por ello modificar el permiso para que bacula pueda leerlos, ya sea asignando el permiso 777 a todos ellos o cambiando el propietario de los archivos a el usuario y grupo con el comando chmod. De lo contrario el comando reload de bacula les va a marcar error por no poder leer los archivos de configuracin. ! " i n a # %65 2.13.13.- InstaIando eI CIiente de BacuIa en Windows NT4/2000/XP/2003. Ejecutar el archivo winbacula-2.4.4. Presionar siguiente y aceptar ( Agree) el acuerdo de uso. Luego se debe elegir la instalacin Custom (avanzada). Presionar Next y nuevamente Next, hasta llegar a esta ventana. Name: se debe ingresar el Nombre del cliente que se ingreso en el Director de Bacula, esto en el caso de haber creado previamente el cliente. Port: es el 9102 (NO cambiar). MaxJobs: dejar en 2. Password: la misma que se ingreso para el cliente de Windows, en el director de bacula. ngresados estos campos presionar en Next. Ahora se deben ingresar los datos del director de Bacula, para as tener acceso a ste. Name: nombre del director Port: 9101 Password: password para acceder al director. Address: direccin P de la maquina en donde se encuentra instalado el director. Monitor. Name: nombre del monitor. Estos datos se pueden encontrar en el archivo bacula-fd. Password: contrasea. Se puede encontrar en bacula-fd. Una vez ingresados estos campos, presionar botn nstall. 2.13.14.- Ejecutando a BacuIa-Server por primera vez. ! " i n a # %6> Cada uno de los demonios trae su propio script, y todos ellos residen como saben en /usr/local/etc/rc.d/, y son estos 3: bacula-fd.sh bacula-sd.sh bacula-dir.sh Solo recordar que tiene que estar ejecutndose MySQL si no el Director no va a arrancar, as que tenemos que correr cada uno de ellos: root#/usr/local/etc/rc.d/bacula-fd.sh start Starting bacula_fd. root#/usr/local/etc/rc.d/bacula-sd.sh start Starting bacula_sd. root#/usr/local/etc/rc.d/bacula-dir.sh start Starting bacula_dir. Cabe mencionar que si no tenemos habilitado las siguientes variables en el archivo /etc/rc.conf : mysql_enable="YES" bacula_fd_enable="YES" bacula_sd_enable="YES" bacula_dir_enable="YES" El Director no se ejecutara. Para cerciorarse que los demonios estn corriendo usamos el comando sockstat: root#sockstat -4 USER COMMAND PD FD PROTO LOCAL ADDRESS FOREGN ADDRESS root bacula-fd 771 3 tcp4 *:9102 *:* bacula bacula-dir 541 4 tcp4 *:9101 *:* mysql mysqld 540 10 tcp4 *:3306 *:* bacula bacula-sd 489 3 tcp4 *:9103 *:* root httpd 472 16 tcp4 192.168.0.5:80 *:* root sendmail 442 4 tcp4 127.0.0.1:25 *:* root sshd 436 3 tcp4 *:22 *:* Podemos ver los 3 demonios listos para trabajar y los puertos que cada uno est utilizando. NOTA: el director de Bacula No debe ejecutarse antes que MySQL. 2.14.15.- Accesando a BacuIa desde bconsoIe. root# bconsole ! " i n a # %66 Connecting to Director 192.168.0.5:9101 1000 OK: tool-dir Version: 1.38.8 (14 April 2006) Enter a period to cancel a command. * Con el comando status, se obtiene acceso al "Men Principal de la aplicacin. - Con la opcin uno se puede acceder al Director, - Con la opcin 2 al men del Storage o almacn de Bacula, en el cual se puede visualizar los respaldos hechos. - Con la opcin 3 se obtiene la lista de clientes. *status Using default Catalog name=MyCatalog DB=bacula Status available for: 1: Director 2: Storage 3: Client 4: All
Select daemon type for status (1-4): 1 Vista de un Cliente de Bacula. tool-dir Version: 1.38.8 (14 April 2006) i386-portbld-freebsd6.0 freebsd 6.0-RE LEASE-p7 Daemon started 10-Sep-06 18:33, 0 Jobs run since started. No Scheduled Jobs. ==== Running Jobs: Console connected at 10-Sep-06 22:43 No Jobs running. ==== Terminated Jobs: Jobd Level Files Bytes Status Finished Name =================================================================== 11 1,051 2,990,282 OK 05-Sep-06 20:44 Restore-FreeBSD 12 1,051 2,990,282 OK 05-Sep-06 20:46 Restore-FreeBSD 1 Full 1,053 1,914,178 OK 06-Sep-06 00:19 Backup-FreeBSD 2 1 41,319 OK 06-Sep-06 00:21 Restore-FreeBSD 3 0 0 Error 06-Sep-06 00:24 Restore-FreeBSD 4 Full 1,053 1,953,679 OK 06-Sep-06 00:28 Backup-FreeBSD 5 Full 1,053 1,989,831 OK 06-Sep-06 00:28 Backup-FreeBSD 6 1,053 3,105,441 OK 06-Sep-06 00:30 Restore-FreeBSD 7 1,053 3,105,441 OK 06-Sep-06 00:32 Restore-FreeBSD 8 1,053 3,105,441 OK 06-Sep-06 00:36 Restore-FreeBSD ! " i n a # %67 ==== * Vista del Storage. *status Status available for: 1: Director 2: Storage 3: Client 4: All Select daemon type for status (1-4): 2 Automatically selected Storage: File Connecting to Storage daemon File at 192.168.0.5:9103 tool-sd Version: 1.38.11(14 April 2006) i386-portbld-freebsd6.1 freebsd 6.1-RELEASE-p3 Daemon started 27-Aug-06 10:19, 1 Job run since started. Running Jobs: No Jobs running. ==== Jobs waiting to reserve a drive: ==== Terminated Jobs: Jobd Level Files Bytes Status Finished Name =================================================================== 1 Full 1,051 2,054,391 OK 27-Aug-06 14:18 BackupCatalog ==== Device status: Device "FileStorage" (/usr/backup) is not open or does not exist. ==== n Use Volume status: Como podrn observar, no hay ningn Job en ejecucin, el error "Device "FileStorage" (/usr/backup) is not open or does not exist." Esto es normal ya que no hay ningn Job ejecutndose. 2.14.16.- Ejecutando eI primer RespaIdo FuII y DiferenciaI. ! " i n a # %78 Antes de ejecutar el primer respaldo, debe ejecutarse el comando label, de la siguiente manera: *label Este comando es para etiquetar el volumen fsico en donde queremos guardar los respaldos. Ejecutado este comando nos pedir el nombre o etiqueta para el disco. Una vez etiquetada la unidad, se podr efectuar un respaldo, ya que de otra manera, arrojara un error. Para ejecutar un respaldo se ocupa el comando run, el cual nos da a elegir el tipo de job que deseamos: *run A job name must be specified. The defined Job resources are: 1: Backup-Win2000 2: Backup-WinXP 3: Backup-FreeBSD 4: Restore-Win2000 5: Restore-winxp 6: Restore-FreeBSD Select Job resource (1-6): 3 Run Backup job JobName: Backup-FreeBSD FileSet: FreeBSD-fs Level: Full Client: FreeBSD-fd Storage: File Pool: FullFileTest When: 2006-08-27 17:25:56 Priority: 13 OK to run? (yes/mod/no): yes Job started. Jobd=3 * You have messages. *message 27-Aug 17:26 tool-dir: Start Backup Jobd 3, Job=Backup-FreeBSD.2006-08-27_17.26.01 27-Aug 17:26 tool-dir: Pruned 2 Jobs on Volume "FullTestFile-0001" from catalog . 27-Aug 17:26 tool-dir: Recycled volume "FullTestFile-0001" 27-Aug 17:26 tool-sd: Recycled volume "FullTestFile-0001" on device "FileStorage" (/usr/backup), all previous data lost. * You have messages. 2.14.17.- Restaurando Archivos con BacuIa. ! " i n a # %7% Para ejecutar una restauracin de los datos respaldados, se ocupa el comando restore, el cual nos da a elegir el tipo de respaldo a restaurar: *restore Using default Catalog name=MyCatalog DB=bacula First you select one or more Jobds that contain files to be restored. You will be presented several methods of specifying the Jobds. Then you will be allowed to select which files from those Jobds are to be restored. To select the Jobds, you have the following choices: 1: List last 20 Jobs run 2: List Jobs where a given File is saved 3: Enter list of Jobds to select 4: Enter SQL list command 5: Select the most recent backup for a client 6: Select backup for a client before a specified time 7: Enter a list of files to restore 8: Enter a list of files to restore before a specified time 9: Cancel Select item: (1-9): 3 Enter Jobd(s), comma separated, to restore: 2 You have selected the following Jobd: 2 Building directory tree for Jobd 2 ... 1 Job inserted into the tree and marked for extraction. Automatically selected Storage: File You are now entering file selection mode where you add and remove files to be restored. All files are initially added. Enter "done" to leave this mode. cwd is: / $ ls usr/ $ cd usr cwd is: /usr/ $ ls ports/ $ cd ports/sysutils cwd is: /usr/ports/sysutils/ $ ls bacula/ $ cd bacula/work/ cwd is: /usr/ports/sysutils/bacula/work/ $ ls *bacula-1.32c/ $ cd bacula-1.32c cwd is: /usr/ports/sysutils/bacula/work/bacula-1.32c/ ! " i n a # %7$ $ ls *autoconf/ *.cvsignore *ABOUT-NLS *COPYNG *ChangeLog *CheckList *NSTALL *Makefile.in *README *README.AX *ReleaseNotes *VERFYNG *configure *kernstodo *doc/ *examples/ *intl/ *platforms/ *po/ *rescue/ *scripts/ *src/ *configure.bak *configure.lineno *config.log *config.status *config.out *Makefile $ done Bootstrap records written to /var/db/bacula/restore.bsr The restore job will require the following Volumes: TestVolume1 1116 files selected to restore. Automatically selected Client: laptop-fd Run Restore job JobName: RestoreFiles Bootstrap: /var/db/bacula/restore.bsr Where: /tmp/bacula-restores Replace: always FileSet: Full Set Client: laptop-fd Storage: File ! " i n a # %7. When: 2003-11-02 16:59:53 Priority: 10 OK to run? (yes/mod/no): yes Run command submitted. Restore command done. * 2.15.- Samba. 2.15.1.- InstaIando Samba en FreeBSD. /usr/local/sbin/smbd restart Reiniciar demonio de samba 2.15.2.- Configuracin de Samba. 1.- En Webmin Agregando maquinas Sistemas / nuevo usuario Nombre del usuario: LAB02PC26$ Nombre real: LAB02PC26 Shell: /usr/sbin/nologin Grupo primario: samba 2.- En SSH ! " i n a # %7- Ac creo la password con los cuales los pc se conectarn al servidor (samba) El comando para poner la password es: Smbpasswd root New SMB: rebolledo Confirmar passwd: rebolledo 3.- En W2K. Se agregan las mquinas al dominio en windows, para que sean reconocidas en samba. Te vas a: 3.1.-Mi PC / propiedades / nombre de equipo (pestaa) / cambiar (botn) 3.2.- Desactivar "grupo de trabajo y Activar "dominio. 3.3.- Poner nombre al dominio 3.4.- Aparecer login: passwd: login:root contrasea: rebolledo 4.- En SSH. Utilizando el siguiente comando podrs agregar los usuarios al samba, esto quiere decir que cuando cada persona se conecte con su PC se estar logeando al servidor donde esta samba. Comando: smbpasswd a mferrand ! " i n a # %71 El a significa que estas agregando el usuario mferrand, es decir, el usuario mitchell ferrand al entrar a W2K pondr nombre de usuario: mferrand contrasea: "definida por el usuario dominio: el dominio que tu le pusiste en el paso 3.- OBS: Tu puede asignarles un Disco virtual a cada persona a travs de quotas, ah podrs definir cuanto podrn utilizar de ese disco virtual que tengas en el servidor, si es que quieres. Sirve para tener mayor dominio de la informacin que esta pasando por la red. RESUMEN. Tienes las mquinas agregadas Los usuarios agregados Los dominios en los PC con la misma contrasea que asignaste en el servidor Observaciones. En el archivo /usr/local/etc/smb.conf local Master= YES domain Master = YES Para samba 3.0 hay que agregar Samba_Enable =YES Esto lo tienes que hacer en rs.conf (para que el sistema te lea el script cuando parta) Vi /etc/rc.conf ! " i n a # %75 Para cambiar la password de un usuario Smbpasswd mferrand Para visualizar las mquinas que se crearon en el samba (agregaron) Cat /etc/passwd 2.15.3.- En Servidor de AIumnos Frankie, Servicios y versiones. Para conocer los servicios y sus versiones que se encuentran funcionando. Para: 1.- MySql. Dentro de var coloco mysql y aparecer la versin de este Versin: 5.0.15 2.- PHP. php -v //Muestra la versin de php Versin: 2.0.5 3.- Apache. httpd -v //Muestra la versin de apache Versin: 1.3.34 4.- Samba. cd /usr/ports/net ! " i n a # %7> ls | grep samba cd samba3 cat distinfo //Conozco la versin de Samba Versin: 3.0.20b Distribucin de Disco Duro en Frankie. Filesystem Size Used Avail Capacity Mounted on /dev/da0s1a 989M 66M 844M 7% / devfs 1.0K 1.0K 0B 100% /dev /dev/da0s1e 989M 68K 910M 0% /tmp /dev/da0s1f 62G 6.8G 50G 12% /usr /dev/da0s1d 989M 130M 780M 14% /var 2.15.4.- En Servidor de Profesores Scox, Servicios y Versiones. 1.- SSH. Para parar ssh: kill `cat /var/run/sshd.pid` 2.16.- VIan + Nat. ! " i n a # %76 Debido a la necesidad de segmentacin de los distintos laboratorios se realiza esta por medio de Vlan en switch administrables 3com 4500, cada uno de estos realiza troncales que permiten dar conectividad a los equipos ubicados en los distintos laboratorios en este caso son 5, a continuacin se describe la configuracin realizada en un servidor con sistema operativo FreeBSD el cual entrega la conectividad hacia el exterior por medio de NAT. 2.16.1.- Descripcin. Para clarificar la configuracin realizada se presenta el esquema implementado en la Figura 1, donde se aprecian los dispositivos y las redes que se requieren enrutar por medio de NAT hacia el exterior. Figura 1 Como se aprecia en la figura 1 la navegabilidad de las distintas Vlans es realizada por medio de troncales configurados en el switch, para lograr realizar la conectividad de toda la red es utilizado un servidor que esta configurado con el sistema operativo FreeBSD en su versin 6.2, es este equipo el que permite reunir todas la vlan y realizar el nat entre la red publica y las distintas redes privadas, para realizar este proceso es necesario realizar una serie de configuraciones en el servidor. Un punto importante es que posterior a la configuracin es el servidor quien se convierte en la puerta de enlace de cada una de las redes privadas configuradas en las distintas Vlan. 2.16.2.- Configuracin deI Servidor. Una vez instalado y actualizado el sistema operativo FreeBSD en su versin 6.2 se debe realizar lo siguiente: Modificar el Kernel Para modificar el kernel es necesario primero copiar el cdigo fuente que viene por defecto para esto se debe realizar lo siguiente # cd /usr/src/sys/i386/conf/ ! " i n a # %77 # cp GENERC MKERNEL Posterior a esto editamos MKERNEL con el comando vi y agregamos las lneas como se describe a continuacin Editamos con: # vi MKERNEL Y se agrega lo siguiente options BRDGE # linea alternativa options PFREWALL # Activa firewall ipfw options PDVERT #permite NAT con ipfw options PFREWALL_VERBOSE options PFREWALL_VERBOSE_LMT options PFREWALL_DEFAULT_TO_ACCEPT options DUMMYNET #permite realizar adminstracion de ancho de banda device apic # /O APC device miibus #aunque es alternativo permite dar maor soporte a las tarjetas de red device vlan # permite generar soporte de Vlan con FreeBSD Una vez ingresadas estas lineas slo basta con guardar el archivo con los cambios esto depende del editos si se utiliz vi para esto se debe seguir la secuencia de Esc :wq! Con esto ya estamos listos para compilar el nuevo kernel, paras esto es necesario realizar los siguientes pasos: # /usr/sbin/config MKERNEL # cd ../compile/MKERNEL # make depend ! " i n a # $88 # make # make install Con esto ya se encuentra instalado el Nuevo Kernel del sistema operativo solo basta con reiniciar el servidor. Crear Ias VIan Para crear las Vlan que sean necesarias los pasos a seguir son muy sencillos slo basta con modificar el archivo rc.conf el cual se encuentra en /etc, para esto seguimos los siguientes pasos # cd /etc # vi rc.conf Una vez abierto agregamos las siguientes lineas: cloned_interfaces="vlan10 vlan20 vlan30" ifconfig_vlan10="inet 192.168.10.1 netmask 255.255.255.0 vlan 10 vlandev em0" ifconfig_vlan20="inet 192.168.20.1 netmask 255.255.255.0 vlan 20 vlandev em0" ifconfig_vlan30="inet 192.168.30.1 netmask 255.255.255.0 vlan 30 vlandev em0" ifconfig_em0="up" Posteriormente solo vasta con reiniciar el servidor. Un punto importante es que la conectividad ocurre solo si la interfaz em0 se conecta a un troncal configurado del cual provengan las vlan, las que deben tener especificados los mismos nmeros que se encuentran anterior a vlandev Nat. Para esto utilizamos el demonio Natd que trabaja con la opcion PDivert en conjunto con PFREWALL, ambos ya se encuentran instalados al realizar la recompilacin del KERNEL. firewall_enable="YES" ! " i n a # $8% firewall_type="OPEN" natd_enable="YES" natd_interface="fxp0" natd_flags="-f /etc/natd.conf" Con estas lneas lo que estamos indicando es primero se habilita el demonio del ipfirewall, luego indicamos que su configuracin es del tipo OPEN, posteriormente se inicia el demonio natd, y se indica que este esta en la interfase fxp0 siendo esta interfaz la interna o mejor dicho la privada, y se habilitan todas las configuraciones especiales en el archivo /etc/natd.conf. Para dar mayores restricciones a la posibilidad de navegabilidad de la red privada a la red publica es necesario crear reglas de firewall, estas se realiza de la misma forma como ya se encuentran documentadas en otros tutoriales. Por otro lado si es necesario realizar algn tipo de redireccionamiento ya sea de P o de puerto, esto se debe ubicar en el archivo /etc/natd.conf donde se indica por medio de dos comandos redirect_addres en caso de reuquerir redireccionar la ip externa a una ip interna o redirect_port en caso de ser necesario redireccionar los distintos puertos en si la estructura del archivo es la siguiente redirect_port tcp 192.168.20.5:80 80 redirect_port tcp 192.168.20.5:443 443 redirect_port tcp 192.168.20.5:25 25 redirect_port tcp 192.168.20.5:22 2222 En este caso de ejemplo lo que se encuentra en la red privada que es necesario redireccionar es un servidor de paginas web, entonces todas las solicitudes son realizadas a la ip "publica y el natd se encarga de direccionar al equipo que se requiera en la red privada. Ahora solo basta con reiniciar el computador y todo est listo. ! " i n a # $8$ 2.17.- UPS. 2.17.1.- InstaIacin de UPS. Primero se instala la aplicacin para eso hay que ir a la siguiente ruta: cd /usr/ports/sysutils/apcupsd make Aqu se marcan: cgi usb snmp Luego: make install 2.17.2.- Configuracin de Archivo Agregando eI Tipo de CabIe. En el archivo apcupsd.conf se agregan l,os parmetros para que reconozca el tipo de cable que se va a utilizar en la instalacin de la UPS. Para eso hay que realizar lo siguiente: ! " i n a # $8. cd /usr/local/etc/apcupsd vi apcupsd.conf >>Con cable USB Dentro de este archivo (apcupsd.conf) se agregan las siguientes lineas. En la lnea 19 aparecer UPSCABLE se deja de la siguiente forma UPSCABLE usb En la lea 65 aparecer UPSTYPE se deja de la siguiente forma UPSTYPE usb >>Con cable serial Dentro de este archivo (apcupsd.conf) se agregan las siguientes lineas. En la lnea 19 aparecer UPSCABLE se deja de la siguiente forma UPSCABLE 940-0024C En la lea 65 aparecer UPSTYPE se deja de la siguiente forma UPSTYPE apcsmart DEVCE /dev/tty 2.17.3.- Ejecutando eI Demonio. Una vez realizado los pasos anteriores solo queda ejecutar el script, este es. ! " i n a # $8- /usr/local/etc/rc.d/apcupsd start mportante. Si al instalar la UPS (make) y aparecen las opciones y no es marcada usb y luego se instala la UPS, es recomendable una vez que se quiera instalar la UPS a travs de cable usb que se desinstale la UPS, esto se hace de la siguiente forma cd /usr/local/ports/sysinstall/apcupsd make deinstall Una vez desintalada la UPS se realizan nuevamente los pasos, para agregar las opciones de los cables, en este caso el cable usb se encontrara agregado, pero deber hacerse cd /usr/local/ports/sysinstall/apcups make clean Luego: make install clean Una vez instalada la UPS se ejecuta el siguiente comando apcaccess ! " i n a # $81 2.18.- Twiki. TWiki permite el desarrollo de aplicaciones web basadas en formularios sin necesidad de programacin as como control de acceso sofisticado opcional. Soporta tambin variables de configuracin, bsquedas, anexos de archivos, etc. La interfaz de aplicacin para extensiones es utilizada por ms de cien extensiones disponibles para acceso a bases de datos, diagramas, ordenamiento de tablas, hojas de clculo, dibujos, seguimiento de proyectos y muchas otras posibilidades. 2.18.1.- 1 Precondicin. nstalacin de apache y editar el archivo httpd.conf agregando las siguientes lneas Crear directorio twiki mkdir //usr/local/www/data/twiki Editando el archivo vi /usr/local/etc/apache/httpd.conf Agregando las lneas en el archivo: ScriptAlias /twiki/bin/ "/usr/local/www/data/twiki/bin" Alias /twiki/ "/usr/local/www/data/twiki/" <Directory "/usr/local/www/data/twiki/bin"> Options +ExecCG SetHandler cgi-script Allow from all </Directory> <Directory "/usr/local/www/data/twiki/pub"> Options FollowSymLinks +ncludes AllowOverride None Allow from all </Directory> ! " i n a # $85 <Directory "/usr/local/www/data/twiki/data"> deny from all </Directory> <Directory "/usr/local/www/data/twiki/templates"> deny from all </Directory> Se pone la ruta /usr/IocaI/www/data porque aqu es dionde se alojan las pginas web 2.18.2.- 2 Precondicin. nstalar los mdulos de PERL CG Modules Se instala el mdulo perl5 cd /usr/ports/lang/perl5 make install clean 2.18.- Reparar Discos Fsck. Para reparar los discos en FreeBSD se entra en el modo 5 ! " i n a # $8> Una vez dentro se escanean las particiones del disco mount a /dev/ ad0s1a Con mount a solamnete montara todo lo que se encuentra en el fstab fsck /dev/ad0s1a Problema UNEXPECTED SOFT UPDATE NCONSSTEN CY; RUN fsck MANUALLY ::::::::::::::::::::::::::::::::::::::::::::::ProbIema soIucionado:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: Otra opcin para solucionar este tipo de problema Problema Servidor detenido con estos mensajes en pantalla: /etc/rc.conf Syntax error 123: Unterminated quoted string Enter full pathname of shell or RETURN for /bin/sh: Escenario Si llegase aprecer un error d este tipo, quiere decir que existe una inconcistencia en rc.conf, es decir, un parametro erroneo en el archivo. Se intent solucionar como en el paso anterior pero no dio resultado, ya que al entrar en el modo 5 solo mostraba una particin, no montando el editor vi, por lo que solo se poda visualizar el archivo con cat y no editar con vi ! " i n a # $86 Solucin Para solucionar este problema se entro en modo 4 (Single) y se hizo el siguiente procedimiento En el Prompt., ejecutar el comando mount. Este comando montar todos los fiIesystems listados en el archivo /etc/fstab: # mount -t ufs a # mount //Mostrara todas las particiones # fsck /dev/da0s1a //fsck de todas las particiones que se pueda, este paso es posible que no Sea necesario ya que no es un problema del disco si no inconsistencia de un archivo # exit #Enter full pathname of shell or RETURN for /bin/sh: //presionar Enter Una vez hecho estos pasos se podr utilizar el editor vi y arreglar el problema que se encuentra en rc.conf ::::::::::::::::::::::::::::::::::::::::::::::::::::::::Problema solucionado :::::::::::::::::::::::::::::::::::::::::::::::::::: 2.19.- ActuaIizar Software VuInerabIe en FreeBSD. FreeBSD dispone de dos formas bsicas de instalar paquetes: desde "paquetes" precompilados, o a partir "ports" conteniendo fuentes e instrucciones. Para eliminar de nuestro sistema los paquetes vulnerables y poder sustituirlos por las ltimas versiones disponibles, haremos uso de ambas. Comenzaremos por bajarnos la coleccin de ports y extraerlos en nuestro sistema mediante: # portsnap fetch # portsnap extract Al finalizar este proceso tendremos el esqueleto de nuestra coleccin de ports en /usr/ports. ! " i n a # $87 A continuacin detectaremos los paquetes vulnerables que tenemos en nuestro sistema con la siguiente orden: Si no lo tenemos instalado nos dirigimos a: # /usr/ports/security/portaudit # make install clean Y luego realizamos. # /usr/local/sbin/portaudit -Fda Tras una instalacin de FreeBSD 7.0 puede haber una decena de paquetes marcados como vulnerables y deberemos ir sustituyndolos uno por uno. Al ejecutar el comando anterior tras cada actualizacin iremos comprobando cmo se va reduciendo la lista de paquetes vulnerables... Un ejemplo Como ejemplo, veremos cmo actualizar el paquete vulnerable Ghostscript GPL 8.60 a la versin 8.62 no vulnerable. En primer lugar, eliminamos nuestro Ghostscript vulnerable mediante: # pkg_delete -f ghostscript-gpl-8.60 (el nombre y nmero de versin del programa a actualizar los obtenemos a partir de la salida del comando portaudit (visto antes). Ahora, para localizar ghostscript en nuestra coleccin de ports, tecleamos: # whereis ghostscript-gpl La respuesta del sistema es la siguiente: ghostscript-gpl: /usr/ports/print/ghostscript-gpl Debemos ir a ese directorio: # cd /usr/ports/print/ghostscript-gpl Y teclear: # make install clean En un par de minutos se compilar nuestra nueva versin de Ghostscript a partir del cdigo fuente descargado automticamente de nternet y las instrucciones de configuracin y compilacin contenidas en nuestro rbol de ports. Podemos comprobar que todo ha ido bien tecleando: # pkg_info | grep -i ghostscript-gpl ! " i n a # $%8 Siendo la respuesta: ghostscript-gpl-8.62_2 GPL Postscript interpreter Lo que demuestra que ya tenemos instalada la versin 8.62, no vulnerable. Nuestro objetivo final es que el comando portaudit que presentamos al inicio nos acabe devolviendo una lista vaca, indicando que ya no queda ningn software en nuestro sistema con vulnerabilidades conocidas. Tambin hemos de preocuparnos de mantener actualizada nuestra coleccin de ports, sobre todo antes de instalar cualquier programa, para lo que basta con un simple: # portsnap update 2.20.- Cambiar Password de Root. 1. Reiniciamos el Sistema FreeBSD, al momento de bootear aparecer un men, seleccionamos la opcin 4 "start FreeBSD in single user mode" y entraremos como en un modo emergencia. Al parecer el siguiente mensaje "Enter fill pathname of shell or RETURN for /bin/sh:" solamente presionamos ENTER 2. Necesitamos montar los sistemas de ficheros de FreeBSD. # mount -t ufs -a 3. Ahora procedemos a cambiar el password del root #passwd root 4. Reiniciamos y volvemos entrar al sistema en modo normal y ya podremos acceder como usuario root al sistema. ! " i n a # $%% ! " i n a # $%$ 2. 3.- Windows Server 3.1.- InstaIacin Windows Server. Paso 1. Arrancaremos el equipo con el DVD de Windows Server Enterprise 2008. Se iniciar el programa de instalacin (desde el principio en modo grfico, con una interfaz idntica a Windows Vista). La ! " i n a # $%. primera ventana que aparecer permitir elegir el idioma, el formato de hora y moneda y el teclado (mtodo de entrada): Paso 2. En esa pantalla hagan clic en "nstalar ahora". Paso 3. En esta pantalla tecleen la clave de producto de su Windows Server 2008. Si no la tienen, pulsen en "Siguiente" para teclear ms tarde la clave. Los que hayan puesto clave, pasen al paso 5. Paso 4. Elijan la edicin de Windows Server 2008 que quieran. NO elijan las instalaciones Server Core si no saben administrar un sistema por comandos. Paso 5. Acepten el contrato de licencia y hagan clic en "Siguiente". ! " i n a # $%- Paso 6. En esta pantalla os preguntar qu instalacin desean hacer. Como han arrancado la instalacin arrancando el PC mediante el DVD, solamente les da la opcin de hacer una instalacin limpia. Si iniciasen la instalacin desde Windows Server 2003 o 2003 R2 pueden hacer una actualizacin. Hagan clic en "Personalizada (Avanzada)". Paso 7. Aqu pueden particionar el disco y hacer todos los cambios que quieran. Despus elijan la particin donde desean instalarlo y hagan clic en "Siguiente" para que comienze la instalacin. Paso 8. Como ven, la instalacin se compone de cinco partes: copiar archivos, expandir archivos, instalar caractersticas, instalar actualizaciones y completar instalacin. Cuando haya copiado todos los archivos y haya expandido algunos el asistente de instalacin reiniciar el equipo mostrando esa pantalla cuando arranque por primera vez. Y continuar instalando archivos. Paso +. Cuando termine de instalar, Windows Server 2008 les indicar que tienen que cambiar la contrasea de usuario. Hagan clic en "Aceptar". ntroducid la nueva contrasea y pulsen ntro. Hagan clic en "Aceptar" para iniciar sesin. ! " i n a # $%1 Prepara el escritorio, ya queda menos. Y arranc. Les saldr una ventana con ayuda y todos los pasos para configurar tu servidor. Ya tenemos nuestro Server 2008 listo para empezar a implementar funciones y servicios. 3.2.- ItaIc. 3.2.1.- Instrucciones de InstaIacin de Administrador. %. Hacer doble-clic en el archivo setup.exe para iniciar la instalacin. Deber de aparecer una pantalla de Bienvenida, haz clic en siguiente para continuar (Ver magen 1.1.1). magen 1.1.1 $. seleccionar " agree" y haz clic en Next (Ver magen 1.2.1). ! " i n a # $%5 magen 1.2.1 .. Seleccionar en donde se quiere nstalar iTALC (es recomendable la ubicacin por default) y hacer clic en Next (Ver magen 1.3.1). magen 1.3.1 -. Hacer clic en 'Yes' para crear la carpeta o directorio (Ver magen 1.4.1). magen 1.4.1 ! " i n a # $%> 1. Selecciona ambas opciones, 'Client and Master Applications' y hacer clic en Next (Ver magen 1.5.1). magen 1.5.1 5. Selecciona "Create a new key-pair" y hacer clic en Next (Ver magen 1.6.1). magen 1.6.1 >. Especfica en donde quieren nstalar la llaves (keys). Estas llaves son usadas para conectar al servidor con las mquinas clientes y asegurar que solo las computadoras que tienen esta misma llave puedan comunicarse y tambin para permitir tener mltiples "salas de clases" en la misma Red de rea Local. Es recomendable usar la configuracin por default, pero es necesario almacenar la direccin donde fue exportada la llave pblica (Ver magen 1.7.1) magen 1.7.1 6. Ahora iniciar la instalacin.(Ver magen 1.8.1). magen 1.8.1 7. Al llegar al 90% Se recibir una confirmacin de que los Servicios del iTALC Cliente fueron registrados correctamente. Hacer clic en OK.(Ver magen 1.9.1) magen 1.9.1 %8.Ahora la instalacin se ha completado. Haz clic en Quit.(Ver magen 1.10.1) magen 1.10.1 ! " i n a # $%6 3.2.2.- Instrucciones de InstaIacin de Usuario Comun. %. Completar los pasos del 1 al 5 de la seccin "nstrucciones de nstalacin Administrador". $. Seleccione solo la opcin "Client Application", Hacer clic en Next.(Ver magen 2.2.1). magen 2.2.1 .. Seleccionar "mport public key of master computer", Buscar en la unidad USB o carpeta compartida de red en la que coloco la llave pblica del paso 12 de la seccin "nstrucciones de nstalacin Administrado", hacer clic en Next.(Ver magen 2.3.1) magen 2.3.1 -. Especificar localmente en donde se quiere almacenar la llave (es recomendable dejar la opcin por default). Hacer clic en Finish. En este punto la instalacin se ha completado.(Ver magen 2.4.1) magen 2.4.1 ! " i n a # $%7 3.2.3.- Instrucciones de Creacion Nueva "SaIa de CIases". %. Hacer un clic con el botn derecho del mouse sobre el "Administrador de Clases Luego Seleccionar "Aadir Clase (Ver magen 3.1.1), Una vez seleccionada esta Opcin se debe dar un nombre a la nueva clase(Ver magen 3.1.2). magen 3.1.1 magen 3.1.2 ! " i n a # $$8 $. Hacer un clic con el botn derecho del mouse sobre la nueva Clase Creada y seleccionar "Agregar Computadora (Ver magen 3.2.1) magen 3.2.1 ! " i n a # $$% .. Para ngresar un Equipo es necesario conocer la P y la MAC (solo en caso de querer Encender el equipo remotamente), para poder llenar los campos solicitados (Ver magen 3.3.1). magen 3.3.1 Por ltimo Repetir el paso 2 y 3 hasta ngresar Todos los equipos de la clase. ! " i n a # $$$ 3.2.4.- Instrucciones de CIonacion de Administrador. 1. Lo Primero es tener instalado correctamente un Administrado(seguir pasos Anteriores), una vez instalado debemos ir a la direccin donde se almacenan las llaves(key) de nuestro "Administrador correctamente configurado, y hacer un respaldo de dichas llaves(Ver magen 4.1.1). Generalmente las llaves se encuentran en: Windows 2000 o Superior: C:\Archivos de Programas\iTALC\keys Windows 7: C:\Program Files\iTALC\keys magen 4.1.1 2. Una vez hecho el respaldo de nuestras llaves se procede a hacer la instalacin del nuevo equipo de Administrador (Ver "Instrucciones de InstaIacin de Administrador"), luego Acceder a la direccin en donde creamos nuestras nuevas llaves, y reemplazarlas por las que respaldamos en el paso anterior, esto permitir controlar los mismos equipos que el otro administrador. 3. A pesar de que ya podemos Controlar los mismos Equipos es necesario configurar las mismas clases que en el otro administrador, para esto no es necesario agregar de un equipo a la vez, por lo que debemos buscar los archivos de configuracin de iTALC, estos son 2: a. gIobaIconfig.xmI :. personaIconfig.xmI Estos Archivos se encuentran en la siguiente posicin: a. Windows 2000 o Superior = C:\Documents and Settings\Administrador\Datos de programa\iTALC A. Windows 7= C:\Users\pedro\AppData\Roaming\iTALC ! " i n a # $$. Una vez Encontrados los archivos es necesario Respaldarlos (Ver magen 4.3.1). magen 4.3.1 ). Ahora que tenemos el respaldo de la configuracin, la copiamos en la direccin del nuevo Administrador y terminamo. niciamos iTALC y tendremos la misma configuracin que el administrador de donde clonamos. ! " i n a # $$- 3. &.- Aplicacione s , Servicios -xtras 4.1.- Switch 3COM 4500 - VIan. Para entrara al Switch 3COM 4500 se hace de la siguiente forma: ! " i n a # $$1 Login: admin. Passwd: (Enter) 4.1.1.- Configuraciones. El S@i(ch .COM -188 en su par(e pos(erior cuen(a con una puer(a con en(rada a un conec(or =O& -1, es(a en(rada es lla'ada puer(a consola, a (ravPs de es(a puer(a se puede acceder a la con2i"uraci+n de es(e S@i(ch. A con(inuaci+n para )ue )uede 'as claro el 'P(odo de con2i"uraci+n a se"uir se especi2icar!n los pasos a se"uir. /aso 1 U:)uese en una es(aci+n de (ra:aJo, conec(e el ca:le )ue viene con el S@i(ch .COM -188 ca:le de color celes(e&. Es(e ca:le por un e;(re'o (iene un (er'inal =O -1, / por el o(ro una en(rada serial. Conec(e la en(rada serial a su C en cual)uiera de los COM disponi:les, el o(ro e;(re'o el del =O& -1 de:e /aso 2 =ecuerde )ue us(ed se ha conec(ado al pun(o de red Q >, )ue es de color verde, el cual es(a seRalado en la 2i"ura an(erior, por lo (an(o dirJase al a(ch anel / localice el pun(o de red Q >, una veK localiKado es(e pun(o de red, conec(e un a(ch Cord derecho ca:le a la :oca Q > el / el o(ro e;(re'o del a(ch Cord conPc(elo al puer(o consola del S@i(ch, )ue se encuen(ra seRalado en el a(ch anel co'o Con. En es(e caso nos conec(are'os al S@i(ch $ el cual se encuen(ra ro(ulado con el color verde, por lo (an(o la cone;i+n en el a(ch anel ir! desde el pun(o Q > )ue es de color verde, has(a el puer(o consola del S@i(ch $ )ue es de color verde, ca:e 'encionar )ue es(os colores iden(i2ican el "rupo de (ra:aJo al cual us(ed per(enece. ! " i n a # $$5 igura 1.1F Ca:le de consola conec(ado al COM% del C ! " i n a # $$> igura 1.2F Ca:le de consola conec(ado al pun(o de red Q > igura 1.3F Ca:le derecho conec(ado al pun(o de red Q> del a(ch anel ! " i n a # $$6 igura 1.)F Ca:le derecho )ue conec(a el pun(o de red Q > del a(ch anel con el puer(o consola del S@i(ch /aso 3 Una veK realiKado los pasos an(eriores, us(ed se podr! conec(ar por ?/per4e'inal al S@i(ch, para as poder realiKar la con2i"uraci+n de es(e. El ?/per4er'inal se encuen(ra en la ru(a de su C, en inicio/ prograas/ accesorios/ co!nicaciones/ .y(erter'inal. *os paso a se"uir se encuen(ran en las si"uien(es 2i"uras. 1GF in"resar el no':re de la sesi+n )ue se va a u(iliKar ! " i n a # $$7 igura 1.,F 3n"reso de usuario 2: Escoger el COM 1 ! " i n a # $.8 igura 1.#F COM 3: Configuracin de puerto ! " i n a # $.% igura 1.1F Con2i"uraciones 4: Se encuentra dentro del Switch, para entrar a la configuracin igura 1.$F Den(ro de la consola Para entrar aI modo de configuracin deI switch ! " i n a # $.$ <4500>system-view Pedir Iogin y passwd, donde login es admin y passwd blank (en blanco) como aparece en el paso siguiente 4.1.2.- Entrando aI Switch 3COM 4500. Login: admin. Passwd: (Enter) 4.1.3.- Configurando Ia VIan 1. Con esta VIan puedo configura el Switch va Web (en este documento solo se abordar a travs de consola) utilizando la misma direccin de red del PC con la del Switch <4500>Interface vIan 1 <4500>ipaddress xxx.xxx.xxx.xxx mmm.mmm.mmm.mmm 4.1.4.- Creando Ia VIan 50. [4500]vIan 50 4.1.5.- Asignando Ia puerta 0/2. ! " i n a # $.. [4500-vIan50]port Ethernet1/0/2 Asignacin por rangos [4500-vIan50]port Ethernet1/0/2 to Ethernet 1/0/8 4.1.6.- Muestra Ia VIan Creada. [4500-vIan50]dispIay vIan The foIIowing VLANs exist: 1(defauIt), 50 4.1.7.- Muestra Ias puertas asignadas a Ia vIan 50. [4500-vIan50]dispIay vIan 50 VLAN ID: 50 VLAN Type: static Route Interface: not configured Description: VLAN 0050 Tagged Ports: none Untagged Ports: Ethernet1/0/2 4.1.8.- Configuracin de ip de Ia vIan. [4500]interface VIan-interface 50 [4500-VIan-interface50]ip address 192.168.20.2 255.255.255.0 ! " i n a # $.- 4.1.9.- Mostrando Ia configuracin de Ia vIan. [4500-VIan-interface50]dispIay vIan 50 VLAN ID: 50 VLAN Type: static Route Interface: configured IP Address: 192.168.20.2 Subnet Mask: 255.255.255.0 Description: VLAN 0050 Tagged Ports: none Untagged Ports: Ethernet1/0/2 Ethernet1/0/3 Ethernet1/0/4 Ethernet1/0/5 4.1.10.- Borrar una IP. [4500-VIan-interface50]undo ip address 192.168.20.2 255.255.255.0 4.1.11.- Borra Bocas Asignadas. [4500-vIan50]undo port Ethernet1/0/5 4.1.12.- Guardando Ia Configuracin. <4500>save The configuration wiII be written to the device. Are you sure?[Y/N]y PIease input the fiIe name(*.cfg)[fIash:/3comoscfg.cfg]: ! " i n a # $.1 Now saving current configuration to the device. Saving configuration. PIease wait... ........ Configuration is saved to fIash memory successfuIIy. Unit1 save configuration fIash:/3comoscfg.cfg successfuIIy ------------------------------------------------------------------------------------------------------- 4.1.13.- Configuraciones avanzadas / ReaIizando Trunk (TroncaIes). En este caso se encuentra en un Switch cIiente que quiere tener conectividad a travs de un Switch centraI que se conecta a un servidor con FreeBSD 6.2 con soporte de mltiples Vlan. Esto se hace de la siguiente forma: Situndose en el switch cliente que contiene la vIan 10, esta "pasar por la boca 1 del switch. En el switch servidor se debe tener creada la VIan 10 para que esta sea reconocida y se pueda realizar el trunk. El procedimiento en el switch servidor es el mismo que en el Switch cliente. Se crea un troncal por donde pase la vlan 10 [4500]interface Ethernet1/0/1 [4500-Ethernet1/0/1]port Iink-type trunk [4500-Ethernet1/0/1]port trunk permit vIan 10 to 10 PIease wait... Done. [4500-Ethernet1/0/17] A continuacin se realiza un ejemplo de una empresa en la cual se implementan vlan, las cuales se encuentran implementadas con switch clientes y un switch central conectada a un servidor ! " i n a # $.5 En la figura 1 (Switch)se aprecia que la boca 1 del Switch CIiente se realizaron los comandos mostrados anteriormente para realizar el trunk (troncal) que tiene comunicacin con el Switch CentraI. Cabe sealar que para hacer el trunk la VIan 10 tuvo que haber estado previamente creada. Laboratorio 1 Switch 3COM Laboratorio 1 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 2 4 25 26 27 28 # 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 4 8
! " i n a # $.6 19 Conectividad con Switch 2 20 Cable ponchado con punto de red 47 Patch Panel Laboratorio de Redes 21 Cable ponchado con punto de red 48 Patch Panel Laboratorio de Redes 22 Cable ponchado con punto de red 11 Patch Panel Laboratorio de Tesis 23 Cable ponchado con punto de red 12 Patch Panel Laboratorio de Tesis 24 Cable de sala de servidores a Patch Panel 20 21 Conectados a 2 1 22 22 23 Conectados a 2 3 24 24 Conectado a 1
En la figura 2.1 (Switch) se aprecia que en la boca 19 se realiza trun'ing con el Switch cliente (Figura 1), el procedimiento es el mismo, se debe tener creada la Vlan y luego ejecutar los comandos mostrados anteriormente Switch CentraI (SaIa de Servidores) Switch CentraI 1 2 3 4 5 6 7 8 9 10 11 12 1 3 1 4 15 1 6 17 1 8 1 9 20 2 1 22 2 3 24
1 Reservado para TFTP (192.168.50.1 1 8 Coneccin a servidor de aIumnos 1 9 Trunk VLAN 10 Laboratorio 1 (desde Departamento a SW CentraI) 2 0 Trunk VLAN 20 Laboratorio 2 (desde Departamento a SW CentraI) 2 1 Trunk VLAN 30, 40, 50 Lab 3. Lab 4, Lab 5
! " i n a # $.7 2 3 Trunk Servidor T1 2 4 Reservado Trunk VLAN 100 profesores
4 1 Conectado a 20 4 2 Conectado a 19 4 3 Conectado a 21 Figura 2.2: Switch Central VLAN Direccin de red Laboratorio Rango ip utiIizado
VLAN 10 192.168.10.0 Laboratorio 01 101 a 130 VLAN 20 192.168.20.0 Laboratorio 02 101 a 132 VLAN 30 192.168.30.0 Laboratorio Gestin 101 a 41 VLAN 40 192.168.40.0 Laboratorio de Redes 5 a 60 VLAN 50 192.168.50.0 Laboratorio de Tesis 101 a 111 Servidores Descripcin Interfac e ip Red / Descrip
! " i n a # $-8 GodziIIa Alumnos 192.168.20.5 VLAN 20 Kinkong Tesistas 192.168.20.6 VLAN 20 Terminator NAT Prof/Alum fxp0 10.100.6.205 Profesores
De esta forma se hace el trun'ing entre todos los Switch cIientes y el Switch CentraI. Para realizar el trun'ing entre el Switch centraI y el servidor con FreeBSD 6.2 con soporte de mltiples Vlan se "pasan todas las vlan por la boca 23 deI switch (figura 2 boca color caf) de la misma forma que se realizaron los otros trun'ing 4.1.14.- PosibIe ProbIema con Puertos Trunk. En el Switch de Redes/ Tesis se tiene una Vlan 50 creada esta vlan en un principio se asignaron las bocas 0/2 a la 0/20. Mientras que en el Switch Central se realiza trunk con este switch en la boca 18. ! " i n a # $-% Lo que sucede es lo siguiente: Al crear la Vlan 40 (Para Tesistas) no deja asignar la puerta 0/18 a la nueva Vlan, debido a que esta puerta est asignada en el Switch Central como trunk. [4500-vlan40]port Ethernet1/0/11 to Ethernet1/0/20 Error: Trunk or hybrid port(s) cannot be added or deleted in this manner. [4500-vlan40]port Ethernet1/0/12 [4500-vlan40]port Ethernet1/0/13 [4500-vlan40]port Ethernet1/0/14 [4500-vlan40]port Ethernet1/0/15 [4500-vlan40]port Ethernet1/0/16 [4500-vlan40]port Ethernet1/0/17 [4500-vlan40]port Ethernet1/0/18 Error: Trunk or hybrid port(s) cannot be added or deIeted in this manner. [4500-vlan40]port Ethernet1/0/19 [4500-vlan40]port Ethernet1/0/20 Como se aprecia en la salida de comandos se identifica la puerta 0/18 como trunk. Y arroja el siguiente error Error: Trunk or hybrid port(s) cannot be added or deIeted in this manner. 4.1.15.- Borra eI puerto trunk 0/18 de Ia VIan. Los puertos trunk no pueden ser borrados asignndolos a otras Vlan si no que de la siguiente forma [4500]interface Ethernet1/0/18 [4500-Ethernet1/0/18]undo port trunk permit vIan aII PIease wait... Done. [4500-Ethernet1/0/18]quit [4500]dispIay vIan 40 VLAN ID: 40 VLAN Type: static Route Interface: not configured Description: VLAN 0040 Tagged Ports: Ethernet1/0/19 4.1.16.- PoIticas de seguridad. (.1.1.1.) *espaldo de imgenes de +witch en ,-. ! " i n a # $-$ Las imgenes de los Switch deben ser respaldadas (una vez terminada todas las configuraciones), ya que cualquier problema que tenga el switch, ya sea por configuracin o por hardware estas puedan ser cargadas posteriormente al dispositivo (.1.1.2.) +u.ir imagen /-&0 (#"" desde el +witch al ,- 1232,4. Nota: TFTP utiIizado 3CServer Para respaldar desde el Switch al PC se realiza lo siguiente: Para tener conectividad con el Switch se debe conectar un PC en el cual se encuentre un TFTP, ambos dispositivos deben tener la misma direccin de red, en el ejemplo es 192.168.50.0 Switch: 192.168.50.1 PC: 192.168.50.10 (.1.1./.) 5 trav6s de la consola del +witch se escri.e. pp s3n03_01_00s56p01.app The fiIe unit1>fIash:/s3n03_01_00s56p01.app exists. Overwrite it?[Y/N]: <4500>tftp 192.168.50.10 put s3n03_01_00s56p01.app s3n03_01_00s56p01.app FiIe wiII be transferred in binary mode. Copying fiIe to remote tftp server. PIease wait... \ TFTP: 4008232 bytes sent in 53 second(s). FiIe upIoaded successfuIIy. Donde: get s3n03_01_00s56p01.app = es Ia imagen deI Switch 192.168.50.10 = ip deI PC ! " i n a # $-. /.(.) ,ara ver los archivos que se encuentran en la flash . <4500>dir fIash: Directory of unit1>fIash:/ 0 -rw- 4008232 Jan 21 2006 12:03:08 s3n03_01_00s56p01.app 1 -rw- 641242 Jan 21 2006 12:04:01 s3p01_00.web 2 -rw- 5195 Jan 21 2006 12:04:24 3comoscfg.def 7239 KB totaI (2562 KB free) Observacin. Para respaIdar Ia informacin de Ios otros archivos que se encuentran en Ia fIash no se utiIiza get como en eI caso de respaIdar Ia imagen si no que se utiIiza put <4500>tftp 192.168.50.10 put s3p01_00.web s3p01_00.web FiIe wiII be transferred in binary mode. Copying fiIe to remote tftp server. PIease wait... | TFTP: 641242 bytes sent in 8 second(s). FiIe upIoaded successfuIIy. <4500>tftp 192.168.50.10 put 3comoscfg.def 3comoscfg.def FiIe wiII be transferred in binary mode. Copying fiIe to remote tftp server. PIease wait... / TFTP: 5195 bytes sent in 0 second(s). File uploaded successfully. (.1.1.#.) 7escargar imagen de +8 desde el ,- al +witch . ! " i n a # $-- Nota: TFTP utiIizado 3CServer En el caso que el switch no tenga una imagen (no tenga configuracin alguna) obviamente no se puede entrar a ningn prompt por lo que se realiza lo siguiente Para entrar al men que se mostrar se debe presionar las teclas CtrI. + B cuando se esta iniciando el systema. Aparecer el siguiente menu. Las alternativas que se escogen en cada men sern resaltadas en color rojo BOOT MENU 1. DownIoad appIication fiIe to fIash 2. Select application file to boot 3. Display all files in flash 4. Delete file from flash 5. Modify bootrom password 6. Enter bootrom upgrade menu 7. Skip current configuration file 8. Set bootrom password recovery 9. Set switch startup mode 0. Reboot Enter your choice(0-9): 1 1. Set TFTP protocol parameter 2. Set FTP protocol parameter 3. Set XMODEM protocoI parameter 0. Return to boot menu Enter your choice(0-3): 3 ! " i n a # $-1 Please select your download baudrate: 1. 9600 2.* 19200 3. 38400 4. 57600 5. 115200 0. Return Enter your choice(0-5): 2 Download baudrate is 19200 bps Please change the terminal's baudrate to 19200 bps and select XMODEM protocol Press enter key when ready Enter your choice(0-5): 2 Download baudrate is 19200 bps Please change the terminal's baudrate to 19200 bps and select XMODEM protocol Press enter key when ready Now please start transfer file with XMODEM protocol f you want to exit, Press <Ctrl+X> Loading ...CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCdone! (.1.1..) 5hora se ingresa el nom.re del archivo. Please input a new file name :s3n03_01_00s56p01.app >>Luego, eI Sw entra aI mismo men ah se escoge Ia aIternativa 2 ! " i n a # $-5 >>Luego reboot #################La imagen estar cargada ############## (.1.1.9.) ,ara resetear el +witch : .orrar todas las configuraciones. <4500>reset saved-configuration The saved configuration wiII be erased. Are you sure?[Y/N]y Configuration in fIash memory is being cIeared. PIease wait ... ... Configuration in fIash memory is cIeared. <4500>reboot This wiII reboot device. Continue? [Y/N] y #Apr 1 23:56:54:914 2000 4500 COMMONSY/5/REBOOT:- 1 - Reboot Fabric by command. <4500> %Apr 1 23:56:58:901 2000 4500 DEV/5/DEV_LOG:- 1 - Switch is rebooted. Starting..... ****************************************************************** * * * SuperStack 3 Switch 4500 26-Port BOOTROM, Version 1.01 * * * ****************************************************************** ! " i n a # $-> Copyright (c) 2004-2006 3Com Corporation and its Iicensors. Creation date : Apr 19 2006, 12:50:28 CPU type : BCM4704 CPU CIock Speed : 200MHz BUS CIock Speed : 33MHz Memory Size : 64MB Mac Address : 0016e0c1df80 Press CtrI-B to enter Boot Menu... 0 Auto-booting... Decompress Image................................................................ ................................................................................ ................................................................................ ................................................................................ ................................................................................ ............................................OK! Starting at 0x80100000... User interface aux0 is avaiIabIe. Press ENTER to get started. (.1.1.!.) *e.ooteando el +witch. Login authentication ! " i n a # $-6 Username: admin Password: c %Apr 1 23:55:46:01 2000 4500 SHELL/5/LOGIN:- 1 - admin(aux0) in unit1 Iogin <4500>syst <4500>system-view System View: return to User View with CtrI+Z. [4500]dispI [4500]dispIay vI [4500]dispIay vIan The foIIowing VLANs exist: 1(defauIt) [4500]dispIay current-configuration # (.1.1.9.) ,oner password a los +witch. <4500>system-view System View: return to User View with CtrI+Z. [4500]IocaI-user admin [4500-Iuser-admin]password Password:******** Confirm :******** Updating user password, pIease wait......... ! " i n a # $-7 4.2.- Monitorizar servidores Apache con Cacti. Aqu veremos cmo podemos monitorizar servidores Web Apache con ayuda de Cacti. Para ello, nos basaremos en el post http://forums.cacti.net/about9861.html. %. Descargar el fichero ws_apachestats.pl.gz, descomprimirlo y copiar el script ws_apachestats.pl al directorio los scrips, de nuestro servidor cacti. scp ws_apachestats.pl root@SERVDOR_CACT:/var/www/cacti/scripts/ $. Ahora, descargar el fichero cacti087b_host_template_webserver_-_apache.xml. Abrir la consola de Cacti como administrador, e importarla (;mport 2emplates) .. Cconectarnos al servidor 5pache que queremos monitorizar, y asegurarnos de que tenemos descomentada la seccin server-status, y que permitimos a nuestro servidor Cacti acceder al recurso. ExtendedStatus On <Location /server-status> SetHandler server-status Order deny,allow Deny from all Allow from 192.168. </Location> Cuando lo configuremos, tendremos que reiniciar el servicio Apache. Podremos comprobar que est accesible, accediendo ahttp<//+ervidor/server)status. Tendremos que ver una pagina Una vez lo hayamos hecho, ir a un servidor que ya tengamos dado de alta (y si no, dar de alta un nuevo 7evice). Luego, ya en la pgina de edicin del dispositivo, dentro de la seccin 5ssociated =raph 2emplates, elegir 8e.+erver ) 5pache +tatistics ) >:tes / *equest en el apartado 5dd =raph 2emplate. Luego pulsar el botn 5dd. Repetir el proceso para 8e.+erver ) 5pache +tatistics ) -,? @oad,8e.+erver ) 5pache +tatistics ) '>its / s, 8e.+erver ) 5pache +tatistics ) 2hread 7etails, 8e.+erver ) 5pache +tatistics ) 2hread 7etails 1A4 y 8e.+erver ) 5pache +tatistics ) 2hread +core.oard. Cuando lo hayamos hecho, hacer click en -reate =raphs for this Bost, y luego marcar todas las grficas que hemos seleccionado, y luego el botn -reate. Esperar unos minutos a que se recopilen valores y se pinte la grfica. 4.3.- Monitorizar S ervidor MySQL desde Cacti . Aqu veremos cmo podemos monitorizar un servidor MySQL con Cacti, lo cual nos puede venir bien para detectar cuellos de botella y mal funcionamientos. Esta configuracin est bastante bien explicada en http://code.google.com/p/mysql-cacti-templates/, pero os la resumo en unas pocas lneas: %. Descargar las plantillas de GoogleCode, http://mysql-cacti-templates.googlecode.com/files/mysql- cacti-templates-1.1.1.tar.gz ! " i n a # $18 $. mportar la plantillacacti_host_template_x_db_server_ht_0.8.6i.xml en Cacti como Administrador, y copiar el script ss_get_mysql_stats.php al directorio /var/www/cacti/scripts/ del servidor. .. Crear en MySQL un usuario cactimon, con contrasea cactipwdmon, al gusto, que ser el que usaremos desde cacti para monitorizar el servidor de base de datos. GRANT PROCESS ON *.* TO \ cactimon@'SERVDOR_CACT' \ DENTFED by 'cactipwdmon'; GRANT SUPER ON *.* TO \ cactimon@'SERVDOR_CACT' \ DENTFED BY 'cactipwdmon'; flush privileges; -. Ahora en Cacti desde la consola del administrador, -onsole)$7ata2emplates, buscar todas las grficas que sean: C 0:+D@ loEqueEsea, y en todas ellas editar y marcar en -ustom 7ata, elusername y el password, y fijar: ?sernameFcactimon y ,asswordFcactipwdmon Ya podremos dar de alta un nuevo dispositivo de tipo MySQL Server para que empiece a pintarnos grficas. 4.4.- Monitorizar S ervidores Tomcat con Cacti . Retomando la serie de posts dedicados a Cacti, en esta ocasin contaremos cmo podemos monitorizar servidores Tomcat con ayuda de Cacti. Para ello, nos basaremos en el posthttp://forums.cacti.net/about19744.html. Antes de empezar a trabajar con Cacti, nos interesar saber si tenemos correctamente configurado nuestro servidor Apache Tomcat. Para ello accederemos con un navegador a la direccinhttp://P_TOMCAT:PUERTO/manager/status?XML=true, dondeP_TOMCAT ser la direccin P de nuestro servidor tomcat, y PUERTOser el puerto de escucha del -onnector)B22,: en mi caso yo ushttp://code.casa.tecnoquia.com:9080/manager/status?XML=true. Para ello, tambin ser necesario tener desplegado el conteGto manager que viene con la distribucin del Tomcat. Cuando nos pregunte un Login y Password no estar pidiendo el nombre de un usuario y su contrasea que tenga el roI manager. Esto, como sabrs, viene configurado por defecto en el server.xml de tu tomcat (habitualmente se guardan tomcat- users.xml) dentro del *ealm ?ser7ata.ase. Una vez consigas autenticarte, deberas podeer ver una pantall ! " i n a # $1% con una salida similar a la siguiente: Lo ms importante ser que nos fijemos en Ios nombres de nuestros conectores, y de ellos, aquellos que queremos monitorizar. En mi ejemplo se puede ver que tengo dos conectores: uno llamado jk-9009 con 8 conexiones en el momento de la captura y otro llamado http-9080 que recoge la conexin que hice desde mi navegador. Para ilustrar el ejemplo, usar eI conector jk-9009, que adems es el que recibe las conexiones va 0odHI desde el Apache que hace de proG: inverso transparente. Una vez ya sabemos el puerto, ip, usuario, contrasea y el nombre del conector que queremos monitorizar podemos empezar con Cacti. %. Descargar el fichero TomcatStats-0.1.zip, descomprimirlo. Copiar el script tomcatstats.pl al directorio los scrips, de nuestro servidor cacti y darle permisos de ejecucin. scp tomcatstats.pl root@SERVDOR_CACT:/var/www/cacti/scripts/ ssh root@SERVDOR_CACT chmod 755 /var/www/cacti/scripts/tomcatstats.pl $. Ahora nos conectaremos a nuestro servidor CACT, e intentaremos lanzar la consulta que ms tarde har Cacti para dibujar las grficas. Esto nos permitir saber las libreras de perl que nos faltan por instalar al equipo. Una vez conectados ejecutar el comando... perl /var/www/cacti/scripts/tomcatstats.pl \ P_TOMCAT:PUERTO \ USUARO_CON_ROL_MANAGER \ CONTRASEA_USUARO \ NOMBRE_CONECTOR Deberas obtener algo similar a lo siguiente, en una sla lnea. jvm_memory_free:28303544 jvm_memory_max:830013440 jvm_memory_total:55246848 connector_max_time:183042 connector_error_count:0 connector_bytes_sent:83477881 connector_processing_time:624695 connector_request_count:378 connector_bytes_received:0 connector_current_thread_count:12 connector_min_spare_threads:4 connector_max_threads:200 connector_max_spare_threads:50 connector_current_threads_busy:9 Si no lo obtienes, ser porque te falta alguna librera de Perl. Al ejecutar el comando te dir qu librera no encuentra. Busca el error en Google y es posible qe alguien le haya pasado algo similar y te de alguna pista. Hasta que no consigas ver la lnea similar a la que te indico, no es necesario que sigas configurando porque no se dibujarn las grficas. Por si si te srive de algo, yo algunas veces necesito instalar los paquetes perl-XML-Simple: yum -y install perl-XML-Simple perl-XML-Simple.noarch .. Una vez nos funcione el comando en la consola del servidor Cacti, accederemos como 5dministrador a la consola Web de Cacti y acceder a -onsole)$;mport/EGport)$;mport 2emplates y cargar el fichero:cacti_host_template_tomcat_server.xml, que obtuvimos al descomprimir TomcatStats-0.1.zip. Luego pulsar el botn +ave Con esto tendremos lo bsico para poder monitorizar tomcats, pero el autor de la plantilla no tuvo en cuenta que podramos tener diferentes tomcats en la misma mquina y en diferentes puertos, usando diferentes nombres de conector, diferentes usuarios, etc. Vamos a modificar Ia pIantiIIa para parametrizar todas estas variabIes. Para hacerlo: %. r a -onsole)$-ollection 0ethods)$7ata ;nput 0ethods y pulsar en la parte derecha en2omcat+tatus. $. En el campo ;nput +tring, se le dice a Cacti que comando debe ejecutar para leer los datos con los que luego poder realizar la grfica. Debemos cambiar los siguientes campos: "8444" por <tcpport> "admin" por tomcatadmin "passwords" por cocacola "http-8080" por <conname> * Pulsar el boton SAVE o 8444 por <TcpPort> o admin por <UserManager> o passwords por <Password> o http-8080 por <ConnectorName> Cuando lo hayamos hecho pulsar el botn +ave. .. Nos devolver a la pantalla anterior, con el mensaje +ave +uccessful.. Volver hacer click en2omcat+tatus ! " i n a # $1$ -. En ;nput 3ields hay que pulsar 5dd. En 3ield J;nputK, en el combobox elegir L2cp,ort$ y en3riendl: %ame escribir ,uerto, *egular EGpression )$ escribir MdN . Luego pulsar el botn-reate... 1. Volver a ;nput 3ields y pulsar 5dd. En 3ield J;nputK, en el combobox elegir L?ser0anager$ y en3riendl: %ame escribir ?suario. En *egular EGpression escribir M+N . Luego pulsar el botn-reate... 5. De nuevo en ;nput 3ields, pulsar 5dd. En 3ield J;nputK, en el combobox elegir L,assword$ y en3riendl: %ame escribir -ontraseOa. En *egular EGpression escribir M+N . Luego pulsar el botn-reate... >. Otra vez en ;nput 3ields, pulsar 5dd. En 3ield J;nputK, en el combobox elegir L-onnector%ame$ y en 3riendl: %ame escribir %om.re-onector. En *egular EGpression escribir M+N . Luego pulsar el botn -reate... 6. Pulsar el botn +ave. 7. Ahora, en la consola de Cacti, acceder a -onsole)$2emplates)$7ata 2emplates, y luego seleccionar2omcat +tatus. En la parte de abajo de la pgina, dentro de la seccin -ustom 7ata, marcar las casillashostnameP ,uertoP ?suarioP -ontraseOa : %om.re-onector. Cuando lo hayamos hecho pulsar el botn+ave, que est muy a la derecha de la pgina (tendremos que usar la .arra de desaplaQamiento horiQontal). Con esta accin, permitimos poder personalizar estas variables, cuando incluyamos las grficas para algn Host. La importacin del XML, nos cre una plantilla de Host llamada TomcatServer con las cuatro grficas. La usaremos porque en el mismo servidor Linux/Windows podramos tener diferentes Tomcats configurados ejecutndose en diferentes puertos. As, en vez de dar de alta las cuatro grficas para un servidor (Linux/Windows), podramos crear un nuevo 7evice que tuviera slo estas cuatro grficas, y estaramos dando de alta un Tomcat: Cacti no tiene probIema en que se repitan Ias direcciones IP, siempre que no se repitan Ios nombres de dispositivo. Me he encontrado clientes que tienen servidores Tomcat dedicados a una sla aplicacin, y que ejecutan varios de estos en el mismo servidor. Ya slo nos queda dar de alta una nueva aplicacin o tomcat: %. r a -onsole)$7evices)$5dd $. En la ventana que nos aparecer rellenar los siguientes campos: o 7escription: app-NOMBRE_APLCACON-SERVDOR o Bostname: Escribir la direccin P del servidor. o Bost 2emplate: Seleccionar 2omcat +erver o 7owned 7evice 7etection: Seleccionar ,ing or +%0, Pulsar en el botn -reate. Cambiar la pgina y nos dir +ave +uccessful.. Haremos click en -reate =raphs for this Bost. .. Cambiar la pgina. Ahora nos aparecern las 4 grficas de la plantilla: -reate< 2omcat ) -onnection *ate, -reate< 2omcat ) Beap +tatistics, -reate< 2omcat ) 2hread +tatistics y -reate< 2omcat ) 2hroughput.Marcar las casillas de verificacin de cada fila y luego el botn -reate. -. Ahora llega la hora de darle valor a las variables que hemos estado configurando para sean parametrizables. Lo bueno es que podremos monitorizar los tomcats que queramos y cmo queramos (puerto, usuario, conector, etc). Lo malo es que cada vez que demos de alta un nuevo Tomcat tendremos que rellenar estos campos cuatro veces, aunque podremos hacerIo copiando y pegando.Para completar estos campos necesitaremos saber los datos del tomcat que queremos monitorizar, y que averguamos al principio del post, cuando accedimos ahttp://P_TOMCAT:PUERTO/manager/status?XML=true. o Bostname: escribir la direccin P del servidor Tomcat o ,uerto: Escribir el puerto en el que escucha HTTP ese Tomcat para poder llamar a la URLhttp://P_TOMCAT:PUERTO/manager/status?XML=true. o ?suario: Escribir el login del usuario con el Rol Manager que puede accederhttp://P_TOMCAT:PUERTO/manager/status?XML=true o -ontraseOa: escribir la password de acceso para ese usuario. o %om.re-onector: escribir el nombre del conector que queremos monitorizar. En mi ejemplo usar R')9""9. Esto debemos hacerIo para Ias cuatro grficas: Copiando y pegando podemos ir bastante rpido. Cuando terminemos pulsar el botn -reate. ! " i n a # $1. 1. Ahora crearemos la entrada en el rbol de grficas. Vamos a =raph 2rees y desplegamos el rbol. Luego en 2ree ;tems pinchamos en 15dd4 de ,roduccion)$5plicacionesEHava, o la rama que nos interese. 5. Cambiar 2ree ;tem 2:pe y seleccionar Bost. Luego buscar en Bost el device que acabamos de crear y pinchar en el botn -reate para guardar los cambios. Despus de esperar algunos minutos, podremos empezar a ver el resultado. Si por lo que sea alguna de las grficas no se dibujara, deberamos entrar en modo debug de la grfica y ver cul es la causa. Yo tuve este problema con las grficas -onnection *ate y Beap +tatistics y segn del depurador se deba a invalid :)grid. Fui a -onsole)L2emplates)L=raph 2emplates de cada una y elimin el valor que vena establecido por defecto, dejando el campo vaco. 5lfonsoP perdona por el retraso. Espero que os sirva.