cabecera d-xl

Administración de Redes(II)

Existen dos tipos de servicios en funcion de cuando se produce su arranque. Los servicios de arranque directo que se inician con arranque del sistema. Los servicios de arranque bajo demanda, se encuentran en el fichero "/etc/inetd.conf". Y están bajo la supervisión del demonio inetd, lanza el servicio cuando recibe una petición asociada a dicho servicio.

En la Red Hat 8.0 los servicios de arranque bajo demanda los controla el demonio "xinetd" (Extended Internet Services Daemon). Unos de los servicios que controla este demonio son:

  • ftp: Para transferencia de ficheros.
  • telnet, ssh: Abre sesiones remotas.
  • pop3: Servidor del protocolo de correo POP3.
  • Configuración de xinetd. La configuración de xinetd se basa en el siguiente fichero:
  • "/etc/xinetd.conf", que contiene los parámetros de configuración global. El fichero "/etc/xinetd.conf" que trae la Red Hat 8.0 por defecto es el siguiente:
  • instances: Indica el número máximo de peticiones que puede atender simultáneamente el servicio.
  • log_type: Indica en que formato vamos a recoger la salida del servicio. Puede ser SYSLOG o FILE. Si usas SYSLOG el fichero en el que se recoge la salida es "/var/log/secure", si es FILE el fichero sería "/var/log/xinetdlog".
  • log_on_success: Indica que información quedará registrada cuando se inicie el servicio con éxito. Los posibles valores son:
  • HOST: Dirección IP de la máquina remota.
  • USERID: Identificador del usuario remoto.
  • PID: Identificador del proceso del servidor que recibe la petición.
  • EXIT: Indica el estado o la señal de terminación del servicio.
  • DURATION: Indica el tiempo que un sistema remoto usa el servicio.
  • log_on_failure: Indica que información quedará registrada cuando no sea posible iniciar el servicio. Los posibles valores son:
  • HOST: Dirección IP de la máquina remota.
  • USERID: Identificador del usuario remoto.
  • ATTEMP: Indica que hubo fallo al intentar realizar la conexión.
  • RECORD: Graba información sobre el sistema remoto en el caso de que no se pueda iniciar el servicio.
  • include /etc/xinetd.d: Indica el directorio donde estarán los ficheros de configuración de cada servicio.

 El resto de los ficheros de configuración se encuentran en el directorio:

  • /etc/xinetd.d", aqui están los ficheros de configuración de los distintos servicios que controla xinetd. En ellos se especifican los parametros de configuración individuales para cada uno de los servicios.

Servicios de acceso: Telnet/SSH


Telnet:El protocolo Telnet se usa para abrir sesiones remotas. Dicho protocolo no tiene encriptación, luego no proporciona seguridad. Por este motivo no suele recomendarse tener acceso vía Telnet en el ordenador. Si deseas que tu ordenador pueda actuar como un servidor de Telnet debes instalar el paquete telnet-server, y además si tu sistema tiene un firewall, debes configurarlo de manera que se permita la entrada de este tipo de peticiones.

SSH: SSH (Secure Shell) es un paquete que permite conectarse y ejecutar aplicaciones en máquinas remotas, pero a diferencia de Telnet, SSH si es seguro puesto que usa encriptación. Si vas a utilizar SSH y tienes firewall deberás habilitar la entrada a este tipo de tráfico. Además necesitas el paquete openssh-server

La información de configuración del SSH se encuentra almacenada en el directorio "/etc/ssh":

  • moduli: Es imprescindible para la construcción de una capa de transporte segura.
  • ssh_config: fichero de configuración por defecto de cliente SSH.
  • sshd_config: fichero de configuración del demonio de ssh "sshd". Si quieres que tu ordenador sea un servidor de SSH este es el fichero que debes usar para configurarlo.

El fichero de configuración que trae por defecto, es ya válido en muchos casos. Las distintas variables que puedes configurar son:

  • ListenAddress: Aquí debes poner la dirección IP del servidor a configurar.
  • PermitRootLogin: Aquí se puede indicar si se permite el acceso directo del root al servidor SSH. Si se va a permitir el acceso desde redes públicas lo mejor es poner "no".
  • X11Forwarding: Indica si se va a permitir la ejecución en remoto de aplicaciones gráficas. Si el acceso es solamente desde una red local se puede poner "yes" . Si el acceso también puede ser desde la red pública es mejor poner "no".

Nota: Las líneas que modifiques en el fichero "sshd_config" debes descomentarlas, si quieres que los cambios tengan efecto. Para iniciar el demonio (servicio) se usa /sbin/service sshd start. Para reiniciar el demonio se usa /sbin/service sshd restart. Para detener el demonio se usa /sbin/service sshd stop.

  • ssh_host_dsa_key: clave privada DSA usada por sshd.
  • ssh_host_dsa_key.pub: clave pública DSA usada por sshd.
  • ssh_host_key: clave privada RSA usada por sshd para la versión 1 del protocolo SSH.
  • ssh_host_key.pub: clave pública RSA usada por sshd para la versión 1 del protocolo SSH.
  • ssh_host_rsa_key: clave privada RSA usada por sshd para la versión 2 del protocolo SSH.
  • ssh_host_rsa_key.pub: clave pública RSA usada por sshd para la versión 2 del protocolo SSH.

Servicios de transferencia de ficheros : FTP /SFTP/ SCP


Configuración de un servidor FTP. Vamos a utilizar el demonio VSFTPD (Very Secure FTP Daemon). Para configurarlo existen lo siguientes ficheros:

"/etc/vsftpd/vsftpd.conf" , dentro de este fichero se pueden configurar las siguientes variables:

  • anonymous_enable: YES/NO, dependiendo de si se quieren permitir accesos anonimos al servidor de archivos.
  • local_enable:YES/NO, dependiendo de si se quieren permitir accesos autenticados de usuarios locales.
  • write_enable:YES/NO, especifica si se permite la escritura o no en el servidor de archivos.
  • ftpd_banner: sirve para dar un mensaje de bienvenida cada vez que un usuario se conecte al servidor de archivos.

    /etc/vsftpd.user_list: El fichero viene predeterminado para que se permita el acceso dentro y fuera de su directorio personal a todos los usuarios que se autentiquen. Si se desea restringir el acceso de cada usuario solamente a su directorio personal basta con poner chroot_local_user=YES chroot_list_file=/etc/vsftpd.chroot_list

    Por último debes ir a "/etc/xinetd.d/vsftpd" y activar el servicio disabled=no y reiniciar el demonio "xinetd" para que coja la nueva configuración, ejecutando en la línea de comandos etc/rc.d/init.d/xinetd restart , etc/rc.d/init.d/xinetd reload.

    SFTP,SCP: SFTP y SCP se usan para transferencias de ficheros, SCP es útil en transferencias simples, SFTP se usa para transferencias más complicadas. El comando SFTP tiene la misma funcionalidad que el comando FTP, pero es más seguro puesto que la información intercambiada entre el ordenador y el servidor está encriptada. Si ya has configurado tu ordenador como servidor de SSH, dispondrás a su vez del servicio SFTP y SCP.     

Servicio de resolución de nombres: DNS


DNS (Domain Name Service) permite a los usuarios utilizar nombres descriptivos para localizar equipos y recursos dentro de una red TCP/IP.

El software que posibilita instalar y configurar un servidor de nombre en la Red Hat, se encuentra en los siguientes paquetes:

  • bind_utils: utilidades para consultas a servidores de nombres.
  • bind: BIND(Berkeley Internet Name Domain). Incluye un servidor de nombres (named) y una libreria de resolución de nombres.

    Zone: Se definen las zonas sobre las que va a actuar nuestro servidor, pueden ser primarias o secundarias. Entre comillas tenemos el nombre de la zona, teniendo en cuenta que para las zonas de resolución inversa se pone la dirección IP al revés seguido de IN-ADDR.ARPA.
  • type: indica si la zona es primaria (master) o secundaria (slave).
  • file: indica el fichero donde estará la base de datos para poder realizar la resolución.

    Veamos el fichero localhost.zone: Los registros SOA (Start Of Authority) tienen los siguientes campos:
  • serial: es el número de serie, que muestra cuantas veces se actualizó la zona.
  • refresh: muestra las veces que un servidor secundario de la zona comprueba si hay cambios.
  • retry: define el tiempo que el servidor secundario, después de enviar una solicitud de transferencia de zona, espera para obtener una respuesta del maestro antes de volverlo a intentar.
  • expiry: define el tiempo que el servidor secundario de la zona, después de la transferencia de zona anterior, responderá a las consultas de la zona antes de poner la suya propia como inválida.
  • minimum: Tiempo de media mínimo en segundos que se guarda en cache una entrada antes de descartarla.

Fichero named.local, que define la zona de resolución inversa (averiguar el nombre de una máquina a partir de su dirección IP).


Contacto