Instalacion Devian - Libro Software Libre

7/23/2019 Instalacion Devian - Libro Software Libre

http://slidepdf.com/reader/full/instalacion-devian-libro-software-libre 1/85

P á g i n a 1 | 85

Sobre el contenido

En este documento encontrarás información sobre tutoriales orientados específicamente para laconfiguración de servicios en un sistema operativo Linux, en su distribución Debian 7. Tutoriales

redactados y recolectados de distintas fuentes en internet.Cada tutorial ha sido redactado por iniciativa propia del autor o unificado de distintas fuentes, por lotanto, todo el documento está licenciado bajo Creative Commons (CC).

Puedes informarte sobre esta licencia en el siguiente enlace: http://creativecommons.org/licenses/by-nc/4.0/deed.es

http://creativecommons.org/licenses/by-nc/4.0/deed.es








P á g i n a 2 | 85

Introducción al Software Libre

Software libre (en inglés free software) es el software que, una vez obtenido, puede ser usado,copiado, estudiado, modificado y redistribuido libremente. El software libre suele estar

disponible gratuitamente, pero no hay que asociar software libre a software gratuito, o a precio del coste de la distribución a través de otros medios; sin embargo no es obligatorio que sea asíy, aunque conserve su carácter de libre, puede ser vendido comercialmente. Análogamente, elsoftware gratis o gratuito (denominado usualmente freeware) incluye en algunas ocasiones elcódigo fuente; sin embargo, este tipo de software no es libre en el mismo sentido que el softwarelibre, al menos que se garanticen los derechos de modificación y redistribución de dichas versionesmodificadas del programa.

No debe confundirse "software libre" con software de dominio público. Éste último es aquél por elque no es necesario solicitar ninguna licencia y cuyos derechos de explotación son para toda lahumanidad, porque pertenece a todos por igual. Cualquiera puede hacer uso de él, siempre con fineslegales y consignando su autoría original. Este software sería aquél cuyo autor lo dona a la humanidad

o cuyos derechos de autor han expirado. Si un autor condiciona su uso bajo una licencia, pormuy débil que sea, ya no es dominio público. En resumen, el software de dominio público es la puradefinición de la libertad de usufructo de una propiedad intelectual que tiene la humanidad porque asílo ha decidido su autor o la ley tras un plazo contado desde la muerte de éste, habitualmente 70 años.

Historia

Entre los años 60 y 70 del Siglo XX, el software no era considerado un producto sino un añadido quelos vendedores de los grandes computadores de la época (los mainframes) aportaban a sus clientes para que éstos pudieran usarlos. En dicha cultura, era común que los programadores y desarrolladoresde software compartieran libremente sus programas unos con otros. Este comportamiento era particularmente habitual en algunos de los mayores grupos de usuarios de la época, como DECUS

(grupo de usuarios de computadoras DEC). A finales de los 70, las compañías iniciaron el hábito deimponer restricciones a los usuarios, con el uso de acuerdos de licencia.

Allá por el 1971, cuando la informática todavía no había sufrido su gran boom, las personas quehacían uso de ella, en ámbitos universitarios y empresariales, creaban y compartían el software sinningún tipo de restricciones.

Con la llegada de los años 80 la situación empezó a cambiar. Las computadoras más modernascomenzaban a utilizar sistemas operativos privativos, forzando a los usuarios a aceptarcondiciones restrictivas que impedían realizar modificaciones a dicho software.

En caso de que algún usuario o programador encontrase algún error en la aplicación, lo único que

podía hacer era darlo a conocer a la empresa desarrolladora para que esta lo solucionara. Aunque el programador estuviese capacitado para solucionar el problema y lo desease hacer sin pedir nada acambio, el contrato le impedía que mejorase el software.

Con este antecedente, en 1984 Richard Stallman comenzó a trabajar en el proyecto GNU, y un añomás tarde fundó la Free Software Foundation (FSF). Stallman introdujo una definición para freesoftware y el concepto de "copyleft", el cual desarrolló para dar a los usuarios libertad y para restringir las posibilidades de apropiación del software.



P á g i n a 3 | 85

El termino free, traducido al castellano, significa tanto libre como gratis, por eso muchasveces suelen confundirse el freeware con el software libre aunque entre ambos existen notablesdiferencias.

Libertades del software Libre

De acuerdo con tal definición, el software es "libre" si garantiza las siguientes libertades: "libertad 0", ejecutar el programa con cualquier propósito (privado, educativo, público,

comercial, militar, etc.) "libertad 1", estudiar y modificar el programa (para lo cual es necesario poder acceder al

código fuente) "libertad 2", copiar el programa de manera que se pueda ayudar al vecino o a cualquiera "libertad 3", Mejorar el programa y publicar las mejoras

Es importante señalar que las libertades 1 y 3 obligan a que se tenga acceso al código fuente. La"libertad 2" hace referencia a la libertad de modificar y redistribuir el software librementelicenciado bajo algún tipo de licencia de software libre que beneficie a la comunidad.

La licencia GNU GPL posibilita la modificación y redistribución del software, pero únicamente bajo esa misma licencia. Y añade que si se reutiliza en un mismo programa código "A" licenciado bajo licencia GNU GPL y código "B" licenciado bajo otro tipo de licencia libre, el código final "C",independientemente de la cantidad y calidad de cada uno de los códigos "A" y "B", debe estar bajo lalicencia GNU GPL.



P á g i n a 4 | 85

¿Qué es Linux?

Linux es la denominación de un sistema operativo tipo -Unix y el nombre de un núcleo. Es uno delos paradigmas más prominentes del software libre y del desarrollo del código abierto, cuyo códigofuente está disponible públicamente y cualquier persona puede libremente usarlo, estudiarlo,redistribuirlo y, con los conocimientos informáticos adecuados, modificarlo – el código fuente

completo escrito en lenguaje C, puede descargarlo desde http://kernel.org.

Los primeros sistemas Linux se originaron en 1992, al combinar utilidades de sistema y librerías del proyecto GNU con el núcleo Linux, completando un sistema también conocido comoGNU/Linux. Desde fines de 1990 Linux ha obtenido el apoyo de diversas empresas multinacionalesdel mundo de la informática, tales como Microsoft, IBM Sun Microsystems, Hewlett-Packardy Novell; es usado como sistema operativo en una amplia variedad de plataformas de hardware ycomputadores, incluyendo los computadores de escritorio (PCs x86 y x86-64, y Macintosh yPowerPC), servidores, supercomputadores, mainframes, y dispositivos empotrados así comoteléfonos celulares.

Linux es un sistema con un aprovechamiento de recursos de lo más eficiente, posee

requerimientos de hardware mínimos, calificables de irrisorios en comparación con otros sistemas.Una configuración mínima para emplearlo podría ser una computadora 386SX con 1 MB de RAM yuna disquetera. A mayores se pueden añadir componentes como el teclado, una placa devídeo cualquiera y un monitor. Con esto es suficiente para arrancar y entrar al sistema. Si quisiéramoslujos, necesitaríamos un disco duro de unos 10 MB, que sería suficiente para disponer de todos loscomandos y un par de aplicaciones pequeñas. Para un sistema más completo se aconsejan 4 MB dememoria RAM, o 8 MB si se tiene pensado utilizar una interfaz gráfica. Si se van a tener muchosusuarios y procesos conjuntamente, sería recomendable 16 MB; 32 MB ya sería para el casode procesos muy pesados. En cuanto al disco duro, varían las necesidades bastante según la cantidadde aplicaciones que se haya pensado en instalar, pero se puede decir que actualmente van desde los10 MB hasta un máximo de 4'7 GB para el caso de una distribución Debian GNU/Linux

instalada con todas sus aplicaciones (en torno a unos 9000 programas distintos). Resulta obviodecir que cuanto más rápido sea el procesador y cuanta más memoria tengamos mejorrendimiento obtendremos.

http://kernel.org/

http://kernel.org/

http://kernel.org/

http://kernel.org/



P á g i n a 5 | 85



P á g i n a 6 | 85

Jerarquía del sistema de archivos

El estándar de jerarquía de archivos (FHS o Filesystem Hierarchy Standar) define los principales directorios y sus contenidos en GNU/Linux, y otros sistemas operativos similares tipoUnix (Open-BSD, MacOSX).

Es una norma que define los directorios principales y sus contenidos en esta familia de sistemasoperativos. Se diseñó originalmente en 1994 para estandarizar el sistema de archivos de lasdistribuciones Linux, basándose en la tradicional organización de directorios de los sistemas Unix.

El FHS es mantenido por Free Standar Group, una organización sin fines de lucro construida porcompañías que manufacturan Hardware y Software, como Hewlett Packard, Dell, IBM y Red Hat. Lamayoría de las distribuciones Linux, inclusive las que forman parte de Free Software Standards,

utilizan este estándar sin aplicarlo de manera estricta.De forma gráfica, el FHS en los sistemas operativos GNU/Linux, puede representarse (de manera básica) con la siguiente figura:

Todos los ficheros y directorios están debajo del root_directory “/” (raíz), aunque estén almacenadosen otros dispositivos o particiones.

A continuación se representa una descripción de la jerarquía específica de la FHS:



P á g i n a 7 | 85

/bin/

Comandos ejecutables esenciales (binarios) para todos los usuarios (como cat, ls o cp) (especialmenteficheros necesarios para arrancar o rescatar el sistema)

boot

Archivos utilizados durante el inicio del sistema (núcleo y discos RAM).

dev

Dispositivos esenciales

etc

Archivos de configuración utilizados en todo el sistema y que son específicos del anfitrión.

/home/ (opcional)

Directorios de inicio de los usuarios locales.

/lib/ y /lib64/

Bibliotecas compartidas esenciales para los binarios de /bin/, /sbin/ y el núcleo del sistema. /lib64/corresponde al directorio utilizado por sistemas de 64-bit.

/mnt/

Sistema de archivos montados temporalmente

/media/

Puntos de montaje para dispositivos de medios, como son las unidades lectoras de discos compactos.

/opt/

/proc/

Sistema de archivos virtual que documenta sucesos y estados del núcleo. Contiene, principalmente,archivos de texto.

/root/

Directorio de inicio del usuario root (super-usuario).



P á g i n a 8 | 85

Particiones recomendadas para instalar Debian 7.0

Si las condiciones limitan el número de particiones a utilizar, como mínimo se requieren tres particiones.

/sbin/

Binarios de administración del sistema

/usr/

Jerarquía secundaria para datos compartidos de solo lectura (Unix system resources). Este directorio debe poder ser compartido para múltiples anfitriones, y, debe evitarse que contenga datos específicos delanfitrión que los comparte cuando se hace a través de NFS.

Este directorio incluye:

/usr/bin/ Mandatos binarios

/usr/include/ Archivos de inclusión estándar

/usr/lib/ y /usr/lib64/ Bibliotecas compartidas

/usr/share/ Datos compartidos, independientes de la arquitectura.

/usr/local/ Datos compartidos de solo lectura.

/var/

Archivos variables, como son bitácoras, bases de datos, directorio raíz de servidores HTTP y FTP, colasde correo, archivos temporales, etc.

/ (Raíz)

Si se utiliza el diseño de tres particiones, asignar el resto delespacio disponible en esta partición. Si se van asignar particiones

para los directorios mencionados adelante, se requieren de 3072MiB a 5120 MiB.

/home

En estaciones de trabajo, a esta partición se asigna al menos lamitad del espacio disponible para almacenamiento.

swap

Si se tiene menos de 1 GiB de RAM, se debe asignar el doble deltamaño del RAM físico; si se tiene más de 1 GiB RAM, se debeasignar una cantidad igual al tamaño del RAM físico, más 2 GiB.Ésta será siempre la última partición del espacio disponible paraalmacenamiento y jamás se le asigna punto de montaje.



P á g i n a 9 | 85

Bibliografía

https://es.wikipedia.org/wiki/Filesystem_Hierarchy_Standard

http://refspecs.linuxfoundation.org/FHS_2.3/fhs-2.3.html







P á g i n a 10 | 85



P á g i n a 11 | 85

INSTALACIÓN DE DEBIAN 7.0

Introducción:

Siempre ha existido el mito de que Debian GNU/Linux es una distribución difícil de instalar, que estáorientada a usuarios expertos en el ámbito de servidores, y que no es adecuada para el usuario final.Aunque no es menos cierto que para tener nuestro Debian a punto hay que realizar algunos pasos -ninguno complicado- en este documento mostraremos que tan sencillo es, para un usuario normal, lainstalación de esta magnífica distribución.

Antes de comenzar, determi ne primero los siguientes puntos:

F inalidad productiva ¿Va a ser un servidor, estación de trabajo o escritorio? ¿Qué uso vatener el equipo? ¿Qué servicios va a requerir? Idealmente lo que se establezca en este punto

debe prevalecer sin modificaciones a lo largo de su ciclo productivo. Ciclo de producción ¿Cuánto tiempo considera que estará en operación el equipo? ¿Seis

meses, un año, dos años, cinco años? Capacidad del equipo ¿A cuántos usuarios simultáneos se brindará servicio? ¿Tiene el

equipo la cantidad suficiente de RAM y poder de procesamiento suficiente? Particiones del disco duro Determine cómo administrará el espacio disponible de

almacenamiento. Para más detalles al respecto, consulte el documento titulado "Estándar deJerarquía de Sistema de Archivos."

Limitaciones Tenga claro que Debian es un sistema operativo diseñado y enfocadoespecíficamente para ser utilizado como sistema operativo en servidores, desarrollo de programas y estaciones de trabajo.

Equi pamiento lógico necesari o

ISO Debian GNU/Linux 7.0

Obtener Debian GNU/Linux es muy sencillo, podemos descargar las imágenes de CD enformatos .isos desde el sitio web oficial o bien de algún mirror ftp en internet. Aunque Debianse ofrece de forma gratuita, si usted lo desea puede colaborar económicamente haciendodonaciones o comprando los Cds de instalación. Debian se puede descargar en sets de CD’S

o DVD’s. Nosotros utilizaremos la versión netins (32bits) , éste es un único CD que posibilitaque instale el sistema completo. Este único CD contiene sólo la mínima cantidad de software

para comenzar la instalación y obtener el resto de paquetes a través de Internet. (pesoaproximado: 277MB)

Enlace para la descarga:http://cdimage.debian.org/debian-cd/7.1.0/i386/iso-cd/debian-7.1.0-i386-netinst.iso

http://cdimage.debian.org/debian-cd/7.1.0/i386/iso-cd/debian-7.1.0-i386-netinst.iso





P á g i n a 12 | 85

¿Por quéinstalar Debian GNU/L inux?

Si usted desea un Sistema Operativo libre, funcional, estable, rápido y seguro, entonces Debian es ladistribución que necesita. Además, con un poco más de experiencia (la cual irá ganando paulatinamente sin duda alguna) se pueden lograr resultados sorprendentes en su rendimiento, debidoal alto nivel de personalización que podemos alcanzar a la hora de instalar los paquetes que

necesitamos.

El asistente de instalación de Debian nos ofrece opciones que ningún otro instalador nos brinda deforma sencilla, como por ejemplo instalar un entorno de escritorio o servidores con diferentes tiposde servicios. Pero además, Debian es mantenida y desarrollada por una Comunidad muy activa, porlo que si se presenta algún problema o fallo, el mismo será resuelto de forma rápida y sin costo alguno para el usuario. Debian soporta diversos tipos de arquitectura y plataformas (i386, i686, PowerPC,Mips, kFreeBSD. etc).

En resumen, si usted quiere tener control de su sistema, instalar solo lo que necesita haciendo uso deuna potente herramienta como dpkg y apt, Debian es su mejor opción. De todos modos, en el sitiooficial de Debian nos dejan los pros y los contras de esta distribución.

( Referencia oficial: http://www.debian.org/intro/why_debian.es.html)

http://www.debian.org/intro/why_debian.es.html






P á g i n a 13 | 85

Instalando Debian GNU/Linux 7.0

Antes de iniciar con la instalación es necesario contar con una máquina virtual diseñada para soportareste sistema operativo (puede apoyarse en los videos que están disponibles en el sitio web). Una vezque esté seguro de contar con todo lo necesario, inicie con el proceso de instalación.

1- El igi endo el modo de instalación:

Podemos escoger entre las siguientes opciones:

Install: modo de instalación en modo texto o consola (el que se utiliza en este documento) Graphical Install: modo de instalación apoyados por interfaz gráfica Advanced options: modo de instalación para expertos. Help: ayuda sobre el sistema de instalación y otras opciones.

Elija la primera opción (Install) y presione la tecla Entrar (enter).



P á g i n a 14 | 85

2- Selección de idioma:

El segundo paso es seleccionar nuestro idioma ya que por defecto se instalará en inglés. En este proceso no hay mucho que aclarar. Vamos a realizar la instalación en español para que el propioasistente y la ayuda que nos proporciona se muestren en el idioma seleccionado.

Seleccione Spanish y presione la tecla Entrar (Enter).



P á g i n a 15 | 85

3- Selección de idioma:

Tal y como explica la ayuda, seleccionar la ubicación nos sirve para fijar la zona horaria, además deidentificar la localización para dar soporte al sistema una vez que esté instalado, eligiendo las fuentesmás cercanas a nuestra región para la instalación de software. (El tema de instalación de software seexplica en la siguiente guía de trabajo).

Busque la opción “El Salvador”, lo selecciona y presione la tecla Entrar (Enter).



P á g i n a 16 | 85

4- Elegir la distr ibución de teclado:

En este paso necesitamos determinar qué distribución de teclado posee nuestra computadora. Es

necesario aclarar que en español existen dos tipos de teclado QWERTY, la distribución para Españae Hispanoamérica (Latinoamericano), puede identificarlo rápidamente examinando las siguientesfiguras:

España Hispanoamérica

Cuando lo haya identificado su distribución de teclado, búsquelo en la lista (en este ejemplo, el autor posee un teclado Hispanoamericano – Latinoamericano-) lo selecciona y presione la tecla Entrar(Enter).

Para más información sobre distribuciones de teclados consulte la siguiente dirección web:

http://es.wikipedia.org/wiki/Distribuci%C3%B3n_del_teclado






P á g i n a 17 | 85

5- Confi gurar la red, servi dores de nombre:

Por el momento no utilizaremos ningún servidor de nombres, por lo tanto dejaremos el campovacío. Presiona la tecla Tab para marcar la opción continuar y presione la tecla Entrar (Enter).



P á g i n a 18 | 85


Tal como sugiere la ayuda del asistente de instalación, el nombre de la máquina es una sola palabraque identifica el sistema en una red. El nombre que elegiremos es “debían-server”, lo digitamos,

presionamos la tecla Tab para marcar la opción continuar y presionamos la tecla Entrar (Enter).



P á g i n a 19 | 85


Por el momento no necesitaremos nombre de dominio. Existe un tema específico que habla sobre

nombres de dominio, y lo trataremos con detalle realizando la configuración manual.



P á g i n a 20 | 85

8- Elegir contraseña de superusuar io:

En sistemas operativos del tipo Unix existen dos tipos de cuentas de usuario: usuario root y usuario

común. La cuenta root es el nombre convencional de la cuenta de usuario que posee todos losderechos en todos los modos (mono o multi usuario). root es también llamado superusuario . Normalmente esta es la cuenta de administrador. El usuario root puede hacer muchas cosas que unusuario común no puede, tales como cambiar el dueño o permisos de archivos y enlazar a puertos denumeración pequeña. No es recomendable utilizar el usuario root para una simple sesión de usohabitual, ya que pone en riesgo el sistema al garantizar acceso privilegiado a cada programa enejecución.

A este punto de la instalación, el asistente solicita ingresar una contraseña para el usuario root, lacontraseña debe ser segura. La contraseña debe ser igual o mayor a 6 caracteres, y al menos debe poseer una letra mayúscula, un número y un símbolo como arroba (@), numeral (#), entre otros. Unejemplo de contraseña segura: Iloves@nDwich3s

Cuando hayas ingresado la contraseña elegida, presiona la tecla Entrar (enter) e ingresas nuevamentela contraseña para confirmar.

Nota:

Un video de cómo elegir una contraseña segura te puede ayudar a escoger una muy original y que tesea fácil de recordad: http://youtu.be/0RCsHJfHL_4

http://youtu.be/0RCsHJfHL_4






P á g i n a 21 | 85

9- Creación de la cuenta de usuar io común:

El usuario común es importante en un sistema operativo tipo Unix, con el puedes realizar cualquier

tarea que no necesite de privilegios administrativos. Con este tipo de usuario tenemos evitamoscometer algún error que sea irreparable en el sistema operativo instalado.

Solo digita tu primer nombre y tu primer apellido, luego presionas la tecla Entrar (Enter).



P á g i n a 22 | 85

10- Elegir el nombre de usuari o para la cuenta del usuar io común:

Este se refiere al nombre de la cuenta del usuario común, es decir con qué usuario deseas ingresar al

sistema. De manera automática el asistente recomendará uno (tu primer nombre). Bien puedes dejarel que propone por defecto, o elegir uno de tu preferencia. Ten en cuenta que si eliges uno diferente,es necesario que tenga conste de una sola palabra, sin espacios ni guiones.



P á g i n a 23 | 85

11- Elegir una contr aseña para el usuari o común:

Al igual que el usuario root, el usuario común necesita de una contraseña para poder ingresar al

sistema operativo. Escoge una contraseña que sea totalmente diferente a la contraseña que elegiste para el usuario root pero que posea las mismas características de seguridad.

Una vez que hayas elegido la contraseña para el usuario común, presiona la tecla Entrar (Enter). Elasistente solicitará confirmar la contraseña para el usuario común, la ingresas nuevamente y presionasla tecla Enter.



P á g i n a 24 | 85

12- Part ici onado de los discos:

El particionado de discos duros, se necesita para poder seleccionar las partes donde se establecerá el

sistema de archivos de Linux. El asistente muestra 4 maneras de poder realizar el particionado al olos discos que tengamos instalados en nuestro equipo.

Guiado – uti li zar todo el disco

Este método no solicita ninguna intervención del usuario, el particionado se realiza de maneraautomática. Este método es ideal para principiantes.

LVM y LVM cifr ado – opciones 2 y 3-

LVM significa Logical Volume Manager (administrador de volúmenes lógicos), es unautilidad que permite crear volúmenes lógicos a partir de discos duros físicos. Por ejemplo, sitienes dos discos duros físicos y quieres que el sistema operativo (y por lo tanto el usuario)

sólo vea una partición en su pc puedes usar LVM, éste "unirá" lógicamente ambos discosduros físicos y tú sólo verás uno de cara al trabajo cotidiano en Linux.

Manual

Este método permite crear el particionado a nuestras necesidades. Es justamente el que

utilizaremos, selecciona esta opción y presiona la tecla Entrar (Enter).



P á g i n a 25 | 85

13- Part ici onado de los discos:

Luego de elegir el método de particionado manual, el asistente mostrará el disco duro que tenemos

instalado en nuestra computadora – en nuestro caso es una máquina virtual-.Ahora nos preparamos para el particionado manual que constará de 3 partes:

Punto demontaje

Tamaño Descripción

/ 5.0 GB Se instala el sistema operativo/home 3.7 GB Directorios y archivos de los usuariosswap 2.0 GB Procesos que no se mantienen en memoria.

Selecciona el disco duro y presionas la tecla Entrar (Enter).



P á g i n a 26 | 85

14- Particionado de los discos Sigue los pasos, tal y como se presentan en la imagen:

Después de cada una, presiona la tecla entrar.



P á g i n a 27 | 85



P á g i n a 28 | 85



P á g i n a 29 | 85



P á g i n a 30 | 85



P á g i n a 31 | 85



P á g i n a 32 | 85



P á g i n a 33 | 85

14- Seleccionando fuentes de repositor ios:

A este punto el particionado de discos duros debió ser exitoso. Te recomiendo también que veas elvideo “Instalación de Debian 7.0”. El siguiente paso requiere de seleccionar las fuentes de

repositorios desde donde deseamos descargar los paquetes o software que posteriormenteutilizaremos para ofrecer servicios. Lo recomendable es hacerlo de forma manual, por lo tanto

vamos a tener que ignorar esta parte de la siguiente manera: (después de cada imagen se presiona latecla Entrar – enter-)



P á g i n a 34 | 85

15- Seleccionado paquetes adici onales:

En este paso de la instalación, el asistente nos pide seleccionar las herramientas adicionales quevienen por defecto con el sistema base. Para seleccionar el software adicional, solo es necesariodesplazarte con las flechas cursoras (arriba y abajo) y presionar la tecla Espacio para elegir. Luego presionas la tecla Entrar (Enter).

Como nosotros necesitamos hacer todo manualmente, para que no quede duda de lo que hacemos,dejaremos los paquetes que vienen seleccionados por defecto, no será necesario elegir ningún otro.



P á g i n a 35 | 85

16- Instalación del GRUB:

GNU GRUB (GNU GRand Unified Bootloader) es un gestor de arranque múltiple, desarrollado porel proyecto GNU que se usa comúnmente para iniciar uno, dos o más sistemas operativos instaladosen un mismo equipo. Esta herramienta se muestra al iniciar el arranque del sistema.

Seleccione Sí y presione la tecla Entrar (enter)



P á g i n a 36 | 85

16- Fi n de la instalación:

En una máquina virtual, solo es necesario presionar la tecla Entrar (enter), esto hará que Debian sereinicie y ya podamos trabajar con un sistema operativo Linux perfectamente instalado. La siguienteimagen es la que debe aparecerte luego de reiniciar:

Ya se ha completado la parte más importante del curso: tener a punto la herramienta que vamos autilizar. Ahora podemos continuar con la configuración y actualización manual del sistemaoperativo.



P á g i n a 37 | 85



P á g i n a 38 | 85

Actualización del sistema operativo con APT

¿Quées APT?

Advanced Packaging Tool (Herramienta Avanzada de Empaquetado), abreviado APT, es unsistema de gestión de paquetes creado por el proyecto Debian. APT simplifica en gran medida lainstalación y eliminación de programas en los sistemas GNU/Linux. No existe un programa apt en símismo, sino que APT es una biblioteca de funciones C++ que se emplea por varios programas delínea de comandos para distribuir paquetes. En especial, apt-get update y apt-upgrade.

Una de las primeras tareas que se debe realizar después de instalar un sistema operativo Linux, esactualizar el mismo a través de su gestor de paquetes. Con esto descargamos las últimas versiones delas herramientas que vienen instaladas por defecto. También nos sirve para poder instalar nuevo

software.Este documento muestra el proceso que debes seguir para poder actualizar el sistema operativo,también puedes apoyarte con el video que describe con mayor detalle este proceso. Para conseguirlosigue los siguientes pasos:

1- Bor rar el contenido sources.li st

Sources.list es el archivo hallado, siguiendo la localización completa /etc/apt/sources.list, endistribuciones GNU/Linux derivadas de Debian GNU/Linux; donde se enlistan las "fuentes" o"repositorios" disponibles de los paquetes de software candidatos a ser: actualizados, instalados,removidos, buscados, sujetos a comparación de versiones, entre otros.

Para poder editarlo tienes que identificarte como superusuario usando el comando su e ingresandola contraseña de la cuentar root. Digita las siguientes instrucciones:

Borra el contenido completo del archivo. Una vez que hayas borrado por completo todo el texto queel archivo traer por defecto, pasaremos al siguiente punto.

root@debian-server# cd /etc/apt/

root@debian-server# nano sources.list



P á g i n a 39 | 85

2- Generar l istas de repositor ios

Las listas de repositorios, son las fuentes de donde se descargan las actualizaciones y el softwareadicional que necesitamos agregar al sistema operativo. Para generar las listas de repositorios, ingresaa la dirección: http://debgen.simplylinux.ch/ encontrarás una aplicación web que nos permite seleccionarlas opciones que nos permitirán generar las fuentes adecuadas: (marca las opciones que se describen

en la imagen siguiente)

Se ha elegido, la versión Stable (Wheezy), arquitectura de 32 bits y Estados Unidos como el origende los archivos. Los recursos seleccionados son: main (paquetes 100% libres), contrib (paquetesque no son 100% libre), non-free (Aquí se encuentran paquetes que no pueden considerarsesoftware libre según las directivas de Debian, por dar un ejemplo, hay software que puede serdistribuido e instalado, pero no se tiene acceso a su código fuente). Puedes encontrar mayorinformación en el siguiente enlace:

Luego de realizar la selección, presiona el botón “Generate sources.list”. La información quemostrara es la siguiente:

Esa es exactamente la información que debes ingresar al archivo sources.list, toma tu tiempo eneditarlo, y cuando estés completamente seguro de que todo está bien, continuas con el siguiente paso.

http://www.debian.org/doc/manuals/debian-reference/ch-system.es.html#s-ftparchives

deb http://ftp.us.debian.org/debian stable main contrib non-free

deb-src http://ftp.us.debian.org/debian stable main contrib non-free

deb http://ftp.debian.org/debian/ wheezy-updates main contrib non-free

deb-src http://ftp.debian.org/debian/ wheezy-updates main contrib non-free

deb http://security.debian.org/ wheezy/updates main contrib non-free

deb-src http://security.debian.org/ wheezy/updates main contrib non-free

http://debgen.simplylinux.ch/









P á g i n a 40 | 85

3- Guar dando los cambios y actual izando el sistema

En informática, nano es un editor de texto para sistemas Unix basado en curses. Es un clon de Pico,el editor del cliente de correo electrónico Pine. nano trata de emular la funcionalidad y la interfaz defácil manejo de Pico, pero sin la integración con Pine. Nano está orientado al manejo del teclado, lasopciones de guardar, cerrar, entre otras opciones, necesitan de una combinación de teclas para

funcionar:

El símbolo ^ hace referencia a la tecla control -Ctrl- acompañado de una letra es una combinaciónde teclas para realizar el proceso descrito. Por ejemplo, si necesitas guardar los cambios, lacombinación es: Ctrl+O. Y para salir se utiliza la combinación Ctrl+X. Realiza esas combinacionesde teclado para guardar y salir de nano.

Una vez realizados esos cambios, procedemos a actualizar el sistema. Para ello sigue las siguientes

instrucciones:

Son dos instrucciones a la vez:

aptitude update:

Lo que en realidad estamos haciendo es actualizar los repositorios --ver si hay algo nuevo--,es decir actualizar la lista de todos los paquetes, con la dirección de dónde obtenerlos paraque a la hora de hacer la búsqueda y su posterior descarga, sea más rápida.

aptitude upgrade:

Lo que hacemos es una actualización de nuestro sistema con todas las posiblesactualizaciones que pudiera haber, es decir no sólo actualiza nuestro sistema operativo sinoque también las aplicaciones que están contenidas en los repositorios.

En resumen: el update lista los paquetes de los repositorios y el upgrade instala las actualizaciones.

Al final del proceso de actualización e instalación, la pantalla debe arrojar datos parecidos a los de lasiguiente imagen:

La información mostrada difiere, ya que es muy probable que en tu caso si existan actualizacionesque instalar.

root@debian-server# aptitude update && aptitude upgrade



P á g i n a 41 | 85

http://es.wikipedia.org/wiki/Sources.list

https://help.ubuntu.com/community/AptGet/Howto







P á g i n a 42 | 85



P á g i n a 43 | 85

Instalar y desinstalar programas desde la terminal

Una Shell de Unix o también shell, es el término usado en informática para referirse a un intérpretede comandos, el cual consiste en la interfaz de usuario tradicional de los sistemas operativos basados

en Unix y similares como GNU/Linux.En esta ocasión estudiaremos cómo instalar y desinstalar programas usando APT y conexión ainternet. Aunque lo podemos usar sin conexión a Internet, apt está orientado para ser usado de maneraóptima conectado a la red de redes.

Para usar apt, básicamente debemos:

1.

Decirle que actualice la lista de paquetes disponibles2.

Decirle los paquetes que queremos Instalar/desinstalar

Entonces apt se encarga de:

a)

Buscar los paquetes en Internet o localmente b)

Solucionar las dependencias (a veces para que un paquete funcione necesita que haya otros paquetes instalados previamente: se dice que ‘depende de’)

c)

Descargar de Internet (cuando sea necesario) los paquetes y sus dependenciasd)

Instalar y configurar en el orden correcto los paquetes y sus dependencias

Para efectos de prueba, vamos a instalar el editor de texto VIM (del inglés Vi IMproved) es unaversión mejorada del editor de texto vi, presente en todos los sistemas UNIX y GNU/Linux. Paralograrlo sigue los siguientes pasos:

1- Actual iza las l istas de repositor ios y el sistema operativo

Ahora utilizaremos el programa aptitude como interfaz para APT (puedes encontrar más informaciónsobre aptitude en el siguiente enlace: http://es.wikipedia.org/wiki/Aptitude).

aptitude es una interfaz que lista los paquetes de software y permite al usuario elegir de modointeractivo cuáles desea instalar o eliminar. Dispone de un poderoso sistema de búsqueda que utiliza patrones de búsqueda flexibles, que facilitan al usuario entender las complejas relaciones dedependencia que puedan existir entre los paquetes.

root@debian-server:# aptitude update aptitude upgrade

http://es.wikipedia.org/wiki/Aptitude






P á g i n a 44 | 85

Digita el comando aptitude, y se ejecutara la interfaz para APT:

Presiona la letra <q> para salir de la interfaz, luego elige la opción sí.

2- Buscar el paquete que queremos instalar y mostrar su información

Podemos buscar información de los paquetes que vamos a instalar usando los comandos:

Recuerda que vim es el paquete que servirá como ejemplo.

A continuación se desplegará un listado extenso con los paquetes y dependencias que estánrelacionadas con vim. Lo mismo sucede si ingresas el paquete apache2, por ejemplo.

También podemos obtener la información del paquete que queremos instalar utilizando los comandos:

Muestra información sobre el paquete. Nos informa también sobre las dependencias del paquete, esdecir, de qué paquetes depende.

root@debian-server:# aptitude search vim

root@debian-server:# aptitude show vim



P á g i n a 45 | 85

A continuación se muestra la siguiente información:

install - instala/actualiza paquetes

remove - elimina paquetes

purge - elimina paquetes junto con sus ficheros de configuraciónhold - bloquea paquetes

unhold - desbloquea un paquete

markauto - marca paquetes como instalados manualmente

unmarkauto - desmarca paquetes como instalados manualmente f

orbid-version - prohíbe a aptitude actualizar a una versión específica de un

paquete.

update - descarga las listas de paquetes nuevos/actualizables

upgrade - realiza una actualización segura

root@debian-server:# aptitude install vim

root@debian-server:# aptitude -d install vim

root@debian-server:# aptitude reinstall vim



P á g i n a 46 | 85

dist-upgrade - realiza una actualización, posiblemente instalando y eliminando

paquetes

forget-new - olvida qué paquetes son "nuevos"

search - busca un paquete por nombre y/o expresión

show - muestra información detallada de un paquete

clean - elimina los ficheros de paquetes descargados

autoclean - elimina los ficheros de paquetes descargados obsoletos

changelog - muestra el registro de cambios del paquetedownload - descarga los ficheros .deb para un paquete

reinstall - descarga y (posiblemente) reinstala un paquete ya instalado



P á g i n a 47 | 85



P á g i n a 48 | 85

Práctica

Algunas de las tareas que se mencionan en este documento no son evaluadas, la siguiente actividades el caso.

Atajos del teclado para la edición de la línea de órdenes (Termi nal )

Para proveer de una mayor interacción con la terminal de comandos de Linux, los programadores deésta dejan a disposición de los administradores una serie de atajos de teclas que en alguna medidaagilizan el trabajo. Las más utilizadas son las siguientes:

Ir al principio de la línea Ctrl + A

Ir al final de la línea Ctrl + E

Borrar hasta el principio de la línea Ctrl + U

Borrar hasta el final de la línea Ctrl + K

Borrar la palabra a la izquierda Alt + espaciador

Moverse una palabra adelante Alt + F

Moverse una palabra atrás Alt + B

Limpiar la pantalla Ctrl + L

Pegar la línea anterior Ctrl + Y

Repetir el último parámetro Alt + .

tree



P á g i n a 49 | 85

Ahora en la carpeta del usuario sin privilegios que tenemos en el sistema, vamos a crear un conjuntode carpetas para que compruebes la utilidad del paquete que instalaste. Digita las siguientesinstrucciones (Investiga para qué sirve cada instrucción y lo agregas en el documento junto con lascapturas):

Una vez terminada la tarea, digita el comando tree, y te mostrará la siguiente pantalla (haz unacaptura y la agregas al documento):

usuario@debian: ~$ mkdir Pertenencias

usuario@debian: ~$ cd Pertenencias

usuario@debian: ~/Pertenencias$ mkdir Imagenes Videos Musica www Share

usuario@debian: ~/Pertenencias$ mkdir –p Videos/2013/Juicios

usuario@debian: ~/Pertenencias$ mkdir –v Imagenes/Wallpapers

usuario@debian: ~/Pertenencias$ mkdir –pv Musica/Clasica/Richard\ W

usuario@debian: ~/Pertenencias$ touch Share/public.txt

usuario@debian: ~/Pertenencias$ mkdir -pv www/{lib/db/sql,c/{PIL,Python}}



P á g i n a 50 | 85



P á g i n a 51 | 85

Gestión de usuarios y grupos

Cuando se realiza el proceso de instalación de Debian 7.0, el asistente solicita la contraseña para poder ingresar como superusuario, y además pide la información para crear un usuario sin privilegios

(es de suponer que ingresa sus datos). Pero existe la posibilidad de que en algún momento seanecesario incluir más usuarios al sistema.

La creación de usuarios es un tema delicado y que no puede ser tomado a la ligera, cada uno de ellosrepresenta un peligro potencial para el sistema, ya que pueden ingresar por medio de éstos, por lotanto siempre está la recomendación de asignar una contraseña segura para que sea difícil deaveriguar.

En este documento se explica el uso del comando useradd que es utilizado por root para crear usuarios.useradd Gebi

Sus valores por defecto no son muy útiles, por lo tanto hay que aplicar una serie de argumentos quelo acompañan para poder crear usuarios de manera adecuada.# useradd -d /home/gebi -s /bin/bash -g users gebi

Las variables que se usan son las siguientes:-d dir el directorio home del usuario -s shell Shell de inicio de sesión para el usuario.-u uid Establece el UID del usuario. No establecer si no se sabe para qué sirve. -c string Para establecer un comentario al usuario. -g group Establece el grupo por defecto al que pertenecerá el usuario -G Hace que el usuario pertenezca a varios grupos. (Separados por coma: g1, g2…)

-m Copia todos los archivos de la estructura básica del sistema.

Para eliminar usuarios se utiliza el comando userdel y el nombre del usuario. En ocasiones querráeliminar todos los archivos del usuario en cuestión (carpeta /home/usuario), se acompaña de lavariable – r más el nombre del usuario.

Una vez que se registra el nuevo usuario, es imprescindible agregar una contraseña segura, paralograrlo, se debe utilizar el comando passwd más el nombre del usuario.

Si se desea agregar información como: nombre completo y números telefónicos, se debe utilizar elcomando chfn más el nombre de usuario, luego solo debe completarse la información solicitada.



P á g i n a 52 | 85

Gestión de grupos

Un grupo es un conjunto de cuentas tratadas como una sola entidad. Usted, comosuperusuario, puede determinar qué grupo puede tener tales privilegios sobre un archivo o directorio.

El comando groupadd se utiliza para crear grupos. En la mayoría de los casos usted tendrá que utilizarla variable – f para evitar problemas de duplicidad de grupos.

# groupadd –f developers

Para agregar usuarios a grupos se utiliza el comando:

# gpasswd -a gebi developers

Para eliminar grupos utilice el comando groupdel más el nombre del grupo que desea eliminar.



P á g i n a 53 | 85



P á g i n a 54 | 85

Permisos en Linux

La gestión de permisos en Linux (proceso de autorización para uso de recursos) es bastante distinta ala que usa Windows. Linux usa un esquema de permisos bastante más simple, ya que las ACL de los

recursos sólo admiten 3 tipos de usuarios, y básicamente 3 tipos de permisos. Sin embargo, aunquees un sistema muy simple, con una buena planificación permite desarrollar políticas de seguridad losuficientemente buenas para el uso cotidiano de un sistema. En Linux cada recurso pertenece a un

usuario, y a un grupo de usuarios.

La columna permisos, consta de 10 caracteres y se divide de la siguiente manera:

-rwxrw-r-- 1 ronald developers 102 jul 8 07:50 file_ronald.py

1er. carácter: Nos indica que tipo de fichero es, los valores posibles para este carácter son: (-)

d : directorio

l : enlace simbólico (ver sección ) b : dispositivo de bloque c : dispositivo de caracteres s : socket p : tubería (pipe) - : fichero regular

2do 3ro 4to carácter: Es el primer trío de permisos, y nos indican los permisos que el usuario (U)tiene sobre ese fichero. Este usuario es el que aparece en la línea del ls: (rwx)

5to 6to 7mo carácter: Es el segundo trío de permisos, y nos indica los permisos que el grupo (G)tiene sobre ese fichero. Este grupo es el que aparece en la línea del ls: (rw-)

8vo 9no 10mo carácter: Es el tercer trío de permisos, y nos indica los permisos que los otros (O)tienen sobre ese fichero. Otros se refieren a cualquier usuario que no sea el usuario del fichero (U)ni pertenezca al grupo del fichero (G): (r--)



P á g i n a 55 | 85

Para cada uno de estos tres tríos vemos que existen tres tipos de permisos fundamentales:

r: read (lectura). El usuario que tenga este permiso podrá si es un directorio listar los recursosalmacenados en él, y si es cualquier otro tipo de fichero podrá leer su contenido.

w: write (escritura). Todo usuario que posea este permiso para un fichero podrá modificarlo.Si se posee para un directorio se podrán crear y borrar ficheros en su interior.

x: execute (ejecución). Este permiso para el caso de los ficheros permitirá ejecutarlos desdela línea de comandos y para los directorios, el usuario que lo posea tendrá acceso para realizarel resto de las funciones permitidas mediante los otros permisos (lectura y/o escritura). Si unusuario no tiene permiso de ejecución en un directorio, directamente no podrá entrar en elmismo, ni pasar por él.

Los tres tipos de permisos mencionados poseen una representación numérica basada en el sistema

octal que parte de representar como 1'' los bits de los permisos otorgados y 0'' para los negados. Luegose transforma la representación binaria así obtenida en octal. De esta forma se obtienen para cada tipode permiso los siguientes valores:

r = 4

w = 2

x = 1

La combinación de los tres tipos de permisos para un tipo de usuario oscila desde cero (ningún permiso) hasta siete (todos los permisos).

En el ejemplo que tratamos, los permisos son:

- rwx rw- r —

7 6 4



P á g i n a 56 | 85

Ejemplos

rw- = 110 (4 + 2 + 0) (6 en octal)

rwx = 111 (4 + 2 + 1) (7 en octal)

r-x = 101 (4 + 0 + 1) (5 en octal)

r-- = 100 (4 + 0 + 0) (4 en octal)

Los permisos "totales'' de un recurso constan de nueve indicadores, donde los tres primeros indicanlos permisos asociados al dueño, los otros tres, al grupo y los últimos, al resto de los usuarios.

Ejemplos:

rwx r-x --- = 111 101 000 (750 en octal)

rw- r-- r-- = 110 100 100 (644 en octal)

Sólo el dueño de un recurso siempre tendrá derecho a cambiar sus permisos, además del root, porsupuesto.

Comando chmod

Para cambiar los permisos de un recurso se utiliza el comando chmod.

Sintaxis:

chmod [opciones] <permisos> <ficheros>

Las formas de expresar los nuevos permisos son diversas, se puede emplear la representaciónnumérica o utilizando caracteres.

Ejemplo:# chmod 764 file_ronald.py



P á g i n a 57 | 85



P á g i n a 58 | 85

SSH: introducción

Secure Shell (SSH) es un protocolo de conectividad cifrada, utilizada por usuarios, administradoresy aplicaciones para la interacción en el mantenimiento de sistemas. SSH tiene sus ventajas comparado

con otros servicios tradicionales de comunicación, como: telnetf, ftpd, rshd y rlogind, normalmenteincluidos en sistemas UNIX o Linux. SSH proporciona un profundo nivel de autenticación, adiferencia de los servicios antes mencionados. SSH utiliza nombre de usuario y contraseñaestableciendo comunicación cifrada entre cliente servidor.

SSH es la herramienta de conexión más utilizada en el ambiente Linux, y este documento veremoscómo instalarlo y ponerlo en uso, para conseguir el objetivo, digita las siguientes instrucciones:

Ahora ya podemos realizar nuestra primera conexión remota al servidor, es decir que en un ambiente

de trabajo real, con un servidor físico, no tendremos necesidad de estar frente a este y manipularlo,sino que de manera remota podremos realizar tareas de administración. (Para poder lograr el siguiente paso, necesitas configurar la máquina virtual, de tal manera que cuentes con dos tarjetas de red, terecomiendo que veas el video de instalación de SSH para poder contar con ello).

Existen muchos programas para lograr la conexión de manera remota, a estos se le conocen comoSoftware Clientes, el más utilizado hasta el momento es PuTTY.

PuTTY es un cliente SSH, Telnet, rlogin, y TCP raw con licencia libre. Disponible originalmentesólo para Windows, ahora también está disponible en varias plataformas Unix, y se está desarrollandola versión para Mac OS clásico y Mac OS X. Otra gente ha contribuido con versiones no oficiales para otras plataformas, tales como Symbian para teléfonos móviles. Es software beta escrito y

mantenido principalmente por Simon Tatham, open source y licenciado bajo la Licencia MIT.

Para descargarlo haz clic en el siguiente enlace:

Una vez descargado, ejecútalo y se abrirá el siguiente cuadro de diálogo:

root@debian: ~# aptitude install openssh-server ssh

http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe





P á g i n a 59 | 85

1: La dirección IP del servidor: en el video de instalación de SSH.

2: El puerto por el que escucha el servicio SSH, por defecto utiliza el 22.

Cuando ingreses la información solicitada, das clic al botón “Open” y de inmediato entrarás de

manera remota al servidor, ingresa los datos de tu usuario y te darás cuenta que es la misma terminalde comandos. Puedes identificarte como superusuario y apagar el sistema utilizando el comando halt.

1 2



P á g i n a 60 | 85



P á g i n a 61 | 85

Servidor WEB

Lo primero que vamos a instalar es el conjunto de paquetes por tareas llamado LAMP: este es elacrónimo usado para describir un sistema de infraestructura de internet que usa las siguientes

herramientas:a)

Linux, el sistema operativo (ya lo tenemos instalado) b)

Apache, el servidor web;c)

MySQL, el gestor de bases de datos;d)

Perl, PHP, o Python, los lenguajes de programación. (En nuestro caso será PHP)

Apache 2.0

Una vez instalado, comprueba si está funcionando. Ingresa a un navegador web en la máquina real ydigita la IP el resultado debe ser parecido al de la siguiente imagen:

Ahora habilitamos el módulo mod_rewrite para crear urls amigables, favoreciendo sobre todo el posicionamiento en. Éste se puede configurar haciendo uso de los archivos htaccess.

Reiniciamos apache

MySQL

Ningún servicio web debe prescindir de un gestor de bases de datos relacional, nosotros utilizaremosMySQL, aunque de momento no lo utilizaremos, pero en las semanas posteriores nos será de muchautilidad para estudiar métodos de seguridad.

El asistente pedirá la contraseña del usuario root de MySQL, ingresa una de tu preferencia, lacontraseña que elijas tendrás que repetirla para efectos de confirmación.

root@debian: ~# aptitude install apache2

root@debian: ~# a2enmod rewrite

root@debian: ~# invoke-rc.d apache2 reload

root@debian: ~# aptitude install mysql-server mysql-client



P á g i n a 62 | 85

Una vez que esté instalado, comprueba si funciona correctamente, sigue los siguientes pasos parahacerlo:

Por el momento, con MySQL, es lo único que necesitamos hacer.

PHP

Ahora ha llegado el momento de instalar un lenguaje de programación que funcione del lado delservidor y que, además, pueda trabajar con bases de datos en MySQL y correr con Apache. Paraefectos de práctica escogeremos PHP, un lenguaje en el que están trabajados cientos de CMS útiles para diferentes contextos, como por ejemplo: enciclopedias Wiki, plataforma de aula virtual, redessociales, blogs, entre otros. Es necesario mencionar que PHP no puede instalarse solo, sino que esobligación incluir los agregados que permiten trabajar con las herramientas antes instaladas:

Para todas las interrogantes ingresar la tecla Y.

Comprobaremos si PHP está correctamente instalado, lo primero que haremos es crear un archivoPHP para enterarnos de los módulos que tenemos instalados en el servidor (siempre se debe iniciar por aquí). Todos los archivos que necesitamos que sean vistos por los usuarios que se conectaran anuestro servicios se encuentran en el directorio /var/www/. De manera que haremos lo siguiente:

Creamos el archivo info.php

Se abrirá el editor nano, ahora ingresamos las siguientes líneas

root@debian: ~# mysql -u root –p

Enter password: (ingresa la clave que escogiste)

Welcome to the MySQL monitor. Commands end with ; or \g.Your MySQL connection id is 7Server version: 5.5.31-0+wheezy1 (Debian)

Copyright (c) 2000, 2013, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its

affiliates. Other names may be trademarks of their respectiveowners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql> exit (Este es el único comando que necesitas ingresar) Bye

root@debian: ~# aptitude install php5 php-pear libapache2-mod-php5 php5-mysql

root@debian: ~# nano –w /var/www/info.php

<?phpphpinfo();

?>



P á g i n a 63 | 85

Guardamos los cambios. Salimos de nano e ingresamos en el navegador web la siguiente dirección:http://direcion_ip/info.php

Deberá aparecer la información que aparece en la siguiente imagen:

Hasta este punto tienes el servicio web ejecutándose adecuadamente en tu servidor (faltan muchasconfiguraciones que hay que realizar para que tengamos un servicio óptimo, pero ese tema loabordaremos en las semanas que restan).

http://direcion_ip/info.php





P á g i n a 64 | 85



P á g i n a 65 | 85

Servidor FTP (VSFTPD)

FTP (File Transfer Protocol) o Protocolo de Transferencia de Archivos (o ficheros informáticos) esuno de los protocolos estándar más utilizados en Internet siendo el más idóneo para la transferencia

de grandes bloques de datos a través de redes que soporten TCP/IP. El servicio utiliza los puertos 20y 21, exclusivamente sobre TCP. El puerto 20 es utilizado para el flujo de datos entre cliente yservidor. El puerto 21 es utilizando para el envío de órdenes del cliente hacia el servidor.Prácticamente todos los sistemas operativos y plataformas incluyen soporte para FTP, lo que permiteque cualquier computadora conectada a una red basada sobre TCP/IP pueda hacer uso de este servicioa través de un cliente FTP.

VSFTPD (Very Secure FTP Daemon) es un sustento lógico utilizado para implementar servidores dearchivos a través del protocolo FTP. Se distingue principalmente porque sus valores por defecto sonmuy seguros y por su sencillez en la configuración, comparado con otras alternativas como Wu-ftpd.

Actualmente se presume que VSFTPD es quizá el servidor FTP más seguro del mundo.

I nstalando equipamiento lógico necesari o

Configur ación básica

Con el editor nano podemos buscar las variables utilizando la combinación de teclas: Ctrl+w.Modifique cada una de ellas, tal y como se muestra a continuación.

La variable local_umask asigna los permisos 755 al directorio del usuario que ingresa al servicio, solo

basta restar el valor 022 – 777, para obtener los privilegios que serán asignados. Guarde los cambiosy realice el siguiente paso.

Creamos el usuar io que ingresará al servici o FTP y asignamos permisos a la carpeta

root@debian:~# aptitude install vsftpd

root@debian:~# invoke-rc.d vsftpd stop

root@debian:~# nano /etc/vsftpd.conf

root@private# useradd -d /home/ronald -s /bin/bash ftpuser

root@private# passwd ftpuser

root@private# chown -R ftpuser /home/ronald

root@private# chmod 775 /home/ronald

anonymous_enable = NO

local_enable = YES

write_enable = YES

connect_from_port_20 = NO

chroot_local_user = YES

local_umask = 022

chroot_list_file = /etc/vsftpd.list

chroot_list_enable = YES



P á g i n a 66 | 85

Creamos la li sta de usuar ios permi tidos y agregamos el usuar io creado

Agregamos al usuario ftpuser guardamos los cambios y salimos de nano.

Para evitar el error 500, el cual no permitirá el ingreso al sistema, es necesario modificar el archivoshells.

Agregue al final del archivo la línea:

/bin/bash # hay que buscar la línea en el archivo, si está, no agregar.

Guarde los cambios y cierre el editor nano.

Creamos un grupo para usuar ios que ingresarán al servicio (agregaremos al usuario recién creado)

Rein iciamos el servicio

Ahora ya podemos utilizar el servicio FTP utilizando un software cliente. RecomendamosFILEZILLA licenciado bajo la Licencia Pública General de GNU. Soporta los protocolos FTP, SFTPy FTP sobre SSL/TLS (FTPS). Puedes descargarlo desde su sitio web oficial:

https://filezilla-project.org/

root@private# nano /etc/vsftpd.list

root@private# nano /etc/shells

root@private# addgroup ftpusers

root@private# usermod -Gftpusers ftpuser

root@debian:~# invoke-rc.d vsftpd start





P á g i n a 67 | 85



P á g i n a 68 | 85

Sistema de nombre de dominios (DNS-BIND9)

BIND (Berkeley Internet Name Domain, anteriormente: Berkeley Internet Name Daemon) es elservidor de DNS más comúnmente usado en Internet, especialmente en sistemas Unix, en los cuales

es un Estándar de facto. Es patrocinado por la Internet Systems Consortium. BIND fue creadooriginalmente por cuatro estudiantes de grado en la University of California, Berkeley y liberado por primera vez en el 4.3BSD. Paul Vixie comenzó a mantenerlo en 1988 mientras trabajaba para la DEC.

Una nueva versión de BIND (BIND 9) fue escrita desde cero en parte para superar las dificultadesarquitectónicas presentes anteriormente para auditar el código en las primeras versiones de BIND, ytambién para incorporar DNSSEC (DNS Security Extensions). BIND 9 incluye entre otrascaracterísticas importantes: TSIG, notificación DNS, nsupdate, IPv6, rndc flush, vistas, procesamiento en paralelo, y una arquitectura mejorada en cuanto a portabilidad. Es comúnmenteusado en sistemas GNU/Linux.

I nstalar bind9 en Debian

Una vez instalado habrá que configurar el archivo

Al final del archivo añade las siguientes líneas

zone: indica la creación de una nueva zona type: es el tipo de zona (master o slave) file: indica la ruta donde se encuentra ubicado el fichero que contendrá los registros de la

zona.

Es obligatorio acabar todas las lineas con punto y coma;

Añadiendo registros de resolución di recta

A continuación vamos a crear el fichero donde guardaremos los registros y lo editaremos:

Añadimos las siguientes líneas:



P á g i n a 69 | 85

Explicación:

Primero definimos el nombre de la zona (olocuilta.net,) IN hace referencia al tipo de protocolo usado (IN = Internet)

SOA es el tipo de registro (State of Authority), indica el servidor que tiene autoridad en lazona ns.olocuilta.com es el nombre dado al servidor DNS de esta red (NS viene de Name Server) Parámetros que están dentro de los paréntesis:

o

Número de Serie: es el número de revisión del archivo de zona. En mi caso yo he puesto la fecha de la última modificación, es importante actualizar ese camposiempre que vayamos a editar el archivo de la zona.

o

Tiempo de refresco: es el tiempo que tarda el servidor secundario en pedirle alservidor Maestro la copia de la zona. El servidor DNS secundario compara el númerode serie del registro SOA del archivo de zona del servidor DNS principal y el númerode serie de su propio registro SOA. Si son diferentes, el servidor DNS secundario

solicitará una transferencia de zona desde el servidor DNS principal. El valor predeterminado es 3.600 (que es 1 hora).o

Tiempo entre reintentos de consulta: Esto es el tiempo que un servidor secundarioespera para recuperar una transferencia de zona fallida. Este tiempo suele ser menoral intervalo de actualización

o

Tiempo de expiración de zona: es el tiempo antes que un servidor secundario deje deresponder a las búsquedas una vez se haya producido un intervalo de actualizaciónde la zona.

o

Tiempo Total de Vida: Tiempo en el que el servidor de nombres mantiene la cachécualquier registro del recurso de este archivo en base de datos.

Editando el archivo / etc/resolv.conf

En este fichero tenemos que agregar el nameserver 192.168.56.2 que es la IP del servidor DNS.



P á g i n a 70 | 85

Ahora resta únicamente reiniciar el servicio:



P á g i n a 71 | 85



P á g i n a 72 | 85

WEB segura

OpenSSL es un proyecto de software libre basado en SSLeay, desarrollado por Eric Young y TimHudson. Consiste en un robusto paquete de herramientas de administración y bibliotecas relacionadas

con la criptografía, que suministran funciones criptográficas a otros paquetes como OpenSSH ynavegadores web (para acceso seguro a sitios HTTPS). Estas herramientas ayudan al sistema aimplementar el Secure Sockets Layer (SSL), así como otros protocolos relacionados con la seguridad,como el Transport Layer Security (TLS). Este paquete de software es importante para cualquiera queesté planeando usar cierto nivel de seguridad en su máquina con un sistema operativo libre basado enGNU/Linux. OpenSSL también permite crear certificados digitales que pueden aplicarse a un servidorweb, por ejemplo Apache.

Por lo general, los puertos más comunes que se utilizan para servir sitios web son el 80 y el 443, peroambos tienen una enorme diferencia. El primero (80 o http) transfiere información por medio de unnavegador web o software con capacidades de conexión a internet por medio de ese protocolo, sinembargo todos los datos viajan desnudos, es decir que cualquier usuario con conocimientos de

seguridad informática puede escuchar las conversaciones que ocurren entre el cliente y el servidor(muy parecido al viejo telnet) utilizando un software apropiado para esto.

Por ningún motivo se debe desestimar el puerto 80, aunque sea vulnerable al ataque Man-In-The-Middle (hombre en el medio), ya que es muy útil para servir sitios web estáticos, servidor de archivoso mirror de repositorios para un sistema operativo, sin embargo no es apropiado para interactuar conel usuario y transferir información confidencial (correo electrónico, salas de chat, banca en línea,comercio electrónico…), porque toda la información puede ser interceptada. Para este propósito esmuy útil utilizar el puerto 443 (https) que no es otra cosa que el puerto http seguro, es decir que lasconversaciones entre el cliente y el usuario son cifradas aplicando firmas digitales, por lo tantoentender estos datos resulta casi imposible.

Para identificar qué protocolo utiliza algún sitio web, simplemente debemos fijarnos en la barra denavegación. La dirección de un sitio que transfiere la información por el puerto 80 luce de la siguientemanera:

La dirección de un sitio web que utiliza el puerto 443, luce así:

El ícono del candado y la franja verde indican que la transferencia por medio del sitio web en cuestiónes cifrada y solo el usuario y el servidor pueden ver la conversación por medio de este protocolo. Estosin lugar a dudas da confianza a los usuarios. Incluso puede comprobar como: Facebook, Google,Twitter… lo utilizan.



P á g i n a 73 | 85

OpenSSL y Apache

A continuación aplicaremos seguridad al servidor apache, para que pueda servir y escuchar por el puerto 443. Primero instalamos el equipamiento lógico necesario:

Es necesario crear los certificados de seguridad, se recomienda crear un directorio para almacenarlos,y de esta manera tener orden en la estructura de directorios de nuestro sistema de archivos. Crearemos

un certificado de seguridad válido durante 365 días (un año).

A continuación debemos ingresar la información necesaria para nuestra firma digital (el texto en colores la información que ingresamos).

Editamos el archivo default-ssl para agregar el certificado a Apache aplicar el cifrado deinformación. Agregamos las líneas que aparecen en color rojo.

# Apachetaller ~ # aptitude install apache2

# Habilitando el módulo SSL

taller ~ # a2enmod ssl

# Reiniciamos el servicio

taller ~ # invoke-rc.d apache2 restart

# Creamos el directorio

taller ~ # mkdir /etc/apache2/ssl

# Creamos el certificado (una sola línea)

taller ~ # openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout

/etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [AU]:SV

State or Province Name (full name) [Some-State]:San Miguel

Locality Name (eg, city) []:SM

Organization Name (eg, company) [Internet Widgits Pty Ltd]:Security Inc

Organizational Unit Name (eg, section) []:Dept de seguridad

Common Name (e.g. server FQDN or YOUR name) []:example.comEmail Address []:[email protected]

# editor nano mostrando número de líneas

taller ~ # nano –c /etc/apache2/sites-available/default-ssl



P á g i n a 74 | 85

Buscamos las líneas 35, 42 y 43; editamos tal como aparece en el siguiente recuadro:

Guardamos los cambios y activamos SSL para apache:

Ahora puede comprobar la navegación por el puerto 80 y 443, las diferencias son notables, y semuestran en las imágenes siguientes:

HTTP

HTTPS

Solo hacemos clic en el botón Continuar de todos modos (ya explicaremos el porqué de este error).

Notaremos que el usuario puede navegar por cualquiera de las dos modalidades (versión segura o nosegura) pero es un error dejar habilitada esa posibilidad, lo ideal es re direccionar del puerto 80 al 443(como lo hace Facebook) una vez que el usuario acceda al sitio web en cuestión. Esto se lograrealizando una pequeña modificación en el servidor web que estemos utilizando. Veamos cómolograrlo con Apache:

SSLEngine on

SSLCertificateFile /etc/apache2/ssl/apache.crt

SSLCertificateKeyFile /etc/apache2/ssl/apache.key

taller ~ # a2ensite default-ssl

taller ~ # invoke-rc.d apache2 restart

# editamos el archivo default

taller ~ # nano /etc/apache2/sites-available/default



P á g i n a 75 | 85

Agregamos la línea de texto en color rojo:

Comprobamos que funciona correctamente.

¿Por qué Error SSL

No hay nada que temer, ya que la seguridad ha sido agregada al servidor Apache, lo que sucede enrealidad es que el navegador no reconoce como válida la firma que está emitiendo el certificado deseguridad. Caso contrario es con las compañías como Google, Facebook y Scotiabank (por mencionar

algunos) ellos utilizan firmas digitales reconocidas por los navegadores, por eso la razón de la famosafranja verde y el ícono del candado.

<VirtualHost *:80>

ServerAdmin webmaster@localhost

Redirect permanent / https://192.168.56.102/

DocumentRoot /var/www



P á g i n a 76 | 85



P á g i n a 77 | 85

El Firewall de Linux

Existen varias aplicaciones de cortafuegos ( firewall ) para Linux, pero independientemente de cuál seuse, el corazón de todos estos programas es una sola aplicación bastante poderosa que está integrada

en el mismo Kernel de sistema operativo, su nombre: iptables.Pero ¿por qué es importante un firewall? Porque su propósito es controlar el flujo de datos que saleno entran por una interfaz de red. Este se construye mediante un filtro de paquetes, que es un códigoque lee el encabezado de un paquete de red que recibe e inmediatamente decide si aceptarlo,rechazarlo o redirigirlo antes de alcanzar un proceso local (demonio: ssh, vsftpd…). En Linux, el

filtro de paquetes es parte del núcleo.

Independiente del sistema operativo, un firewall es un programa que se ejecuta en un Gateway,Bridge, PC, Laptop o teléfono inteligente capaz de filtrar los paquetes de red entrantes, salientes yreenviarlos a un proceso previamente definido. iptables puede dar una sensación falsa de seguridad. No existe red completamente segura, aunque esta herramienta es considerada de primera línea para

la defensa de la información, es necesario disponer de otros mecanismos de vigilancia anteactividades extrañas para mantener el sistema seguro.

Filtro de datos

El núcleo parte con una tabla que contiene tres listas básicas de reglas llamadas “cadenas” (chain):INPUT, OUTPUT y FORWARD, respectivamente (entrada, salida y redirección). Cuando un paquete entra a una interfaz de red, el núcleo examina primero el destino del paquete y decide queruta tomar (INPUT o FORWARD). Luego el paquete es examinado en la cadena, en donde la decisiónde desechar (DROP) o aceptar (ACCEPT) el paquete es tomada. Si la decisión es aceptada, el paquete

continúa hacia el destino, siendo recibido por algún proceso local (demonio). En cambio, si la decisiónes desechar, el paquete es descartado completamente, muriendo en el lugar, antes de alcanzar un proceso local.

Una cadena es entonces una lista de reglas de control. Cada regla dice, “Si el encabezado del paquete

es de esta manera, aplico tal acción sobre él”. La reg la puede estar compuesta de una o múltiplescondiciones. Si cualquiera de las condiciones de la regla no se cumple, la próxima regla es consultada.

Importante: iptables lee las reglas implícitas en una cadena desde arriba hacia

abajo. Detendrá su búsqueda en la primera coincidencia que encuentre.



P á g i n a 78 | 85

Reglas específicas

Las opciones más comunes son

Opción Descripción

-A Añade una cadena

-i Define una interfaz de tráfico entrante

-o Define una interfaz de tráfico saliente

-jEstablece una regla de destino del tráfico (ACCEPT, DROP,

REJECT)

-m Define que se aplique la regla si hay coincidencia específica.

--stateDefine una lista separada por comas de distinto tipo de estados delas conexiones. (INVALID, ESTABLISHED, NEW, RELATED)

--to-source Define qué IP reporta al tráfico externo

-s Define tráfico de origen.

-d Define tráfico de destino--source-port Define el puerto desde el que se origina la conexión

--destination-port Define el puerto hacia el que se dirige la conexión

-t Tabla a utilizar, puede ser nat, filter, mangle, o raw.

-D Elimina una cadena o la primera coincidencia que encuentre



P á g i n a 79 | 85

Una instalación Linux por defecto, trae consigo una configuración iptables vacía, que podemosobservar ingresando el comando iptables – L, su aspecto es el siguiente:

Agregando reglas

Supongamos que queremos añadir una regla que permita que cualquier usuario pueda conectarse al puerto 22. Recuerde que el puerto 22 es designado por defecto al protocolo SSH. Por supuesto, un buen administrador de sistemas tomará otras medidas de seguridad, inclusive cambiar el puerto 22 por uno totalmente inesperado, esto puede lograrlo modificando el archivo sshd_config, pero comoeste es solamente un ejemplo, continuaremos con el número de puerto por defecto.

Examinemos el comando:

-I Ingresamos una nueva regla INPUT Especificamos a qué cadena pertenece esta regla (paquetes entrantes) -i Establecemos la interfaz de red que recibirá el paquete (eth0) -p Protocolo (tcp, udp) --dport Puerto de destino (22 en el ejemplo SSH)

-j Salto para la toma de una decisión (para el ejemplo es aceptado)

Como el lector puede comprobar, las reglas no son tan complejas (aunque existen algunas querequieren de un vasto conocimiento sobre el tema). Lógicamente, estas reglas se pueden reforzar paramayor seguridad. A continuación veremos una variación de la regla anterior, en esta ocasión solo permitiremos que una determinada dirección IP, pueda acceder al puerto 22.

taller ~ # iptables -L

Chain INPUT (policy ACCEPT)

target prot opt source destination

Chain FORWARD (policy ACCEPT)


Chain OUTPUT (policy ACCEPT)


taller ~ # iptables -I INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

taller ~ # iptables -LChain INPUT (policy ACCEPT)


ACCEPT tcp -- anywhere anywhere tcp dpt:ssh



P á g i n a 80 | 85

En la primer regla ingresada, se agregó la opción -s que significa cuál es la dirección IP origen del paquete, es decir la dirección IP del host que se permitirá el acceso al puerto 22. A continuación se

agrega otra regla que indica que todas las demás peticiones de conexión hacia SSH serán rechazadas.Incluso se puede determinar que la conexión al puerto 22 solo podrá ser realizada desde una direcciónMAC específica (la complejidad de las reglas depende de la paranoia del administrador de sistemas)

( La barra invertida se utiliza para salto de línea sin ejecutar la instrucción)

Nuevamente el lector puede comprobar que estas reglas básicas no son para nada complejas. A

continuación escribiremos una regla para descartar peticiones ICMP desde el servidor. A pesar de seruna regla básica, puede salvar al equipo de un ataque puesto que el atacante pensará que la direcciónIP a la que está realizando ping no ha sido asignada, o que el equipo que la posee está desconectado.

Los únicos cambios notables son la opción – icmp-type y echo-request, que son las peticiones detipo ICMP y la acción que se ha determinado como respuesta (en el ejemplo: no se hace nada).

Una regla en la cadena OUTPUT tiene la misma secuencia de comandos que convergen en unadecisión (-j ACCEPT, DROP o REJECT), un ejemplo sencillo:

Simplemente le estamos informando a iptables que todas las conexiones salientes para el serviciotelnet sean rechazadas.

Una regla también puede ser eliminada. Imagine que el administrador se haya equivocado en unaregla y esta evite el funcionamiento adecuado de alguno de los servicios. Veamos como deshacernosde una regla:

taller ~ # iptables -A INPUT -p tcp -s 192.168.56.1 --dport 22 -j ACCEPT

taller ~ # iptables -A INPUT -p tcp --dport 22 -j REJECT

taller ~ # iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

Importante: Es posible utilizar REJECT en lugar de DROP, la diferencia entre

estas dos acciones radica en que DROP descarta silenciosamente los paquetes

entrantes y REJECT emite un error ICMP como respuesta.

taller ~ # iptables -A INPUT -m mac --mac-source 00:e0:6c:f1:41:6d -p tcp \

--dport ssh -j ACCEPT

taller ~ # iptables -A INPUT -p tcp --dport ssh -j REJECT

taller ~ # iptables -A OUTPUT -p tcp --dport telnet -j REJECT

taller ~ # iptables -D INPUT -p icmp --icmp-type echo-request -j DROP



P á g i n a 81 | 85

reación de un firewall básico

En un cortafuegos no hay que perder el objetivo (filtrar datos). Es necesario aclarar que la única tablaque se ha tratado en este documento, es, en efecto, la tabla de filtro de contenidos, cuyo único propósito es permitir o denegar el envío de información para acceder a un servicio.

Para estudiar un poco la tabla nat le invitamos a estudiar el video (paso a paso) “Linux como Router”.

También es necesario aclarar que las reglas que ingresamos a iptables solo están presentes mientrasla computadora esté funcionando, es decir que una vez que la computadora se reinicie o apague, estasreglas se borrarán. Obviamente Linux posee muchas alternativas para que estas reglas no se borren.Mencionamos algunas de ellas:

Escribir estas reglas de manera íntegra al archivo rc.local del SO Linux Debian. Esto haráque las reglas de iptables se ejecuten cada vez que arranque del sistema.

Crear un Bash Script con las reglas de iptables, otorgar permisos de ejecución copiar la ruta

de este archivo en rc.local. Instalar algún módulo persistente que mantenga las reglas aunque la computadora se apague.

Cualquiera de las anteriores es válida. En este documento estudiaremos la tercera alternativa (lainstalación de una herramienta persistente), la cual conseguimos con la siguiente instrucción:

Iniciamos la herramienta:

Lo primero es definir las reglas necesarias para los servicios que vamos a ofrecer, partiendo de unadecisión muy importante:

Permitimos todo y bloqueamos los servicios que no utilizaremos o Bloqueamos todo y permitimos solo los servicios que utilizaremos.

Evidentemente la segunda opción es la más acertada: bloquear todo y solamente liberar lo quenecesitamos. Para conseguir este propósito ingresamos las reglas a continuación: (estas reglas no permitirán entrada de información, por eso debemos permitir que nuestra propia computadora tenga permisos para entrar datos, así como también aceptar paquetes de peticiones que se originen en la

misma)

taller ~ # aptitude install iptables-persistent

taller ~ # invoque-rc.d iptables-persistent start

taller ~ # iptables –P INPUT DROP

taller ~ # iptables -A INPUT -i lo -j ACCEPT

taller ~ # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT



P á g i n a 82 | 85

Iniciamos ahora con las reglas para los servicios que ofrecemos

En la última regla aplicamos el flag – m conntrack , esta regla es especial porque crea un registro quemantiene información de cada conexión y toda la información necesaria para esa conexión, esto esrealmente útil para las conexiones FTP.

El administrador puede definir, además, algunas restricciones (bloquear ip, dar acceso solo a ciertasip a servicios específicos, entre otros).

Ahora solo resta guardar las reglas que se han especificado:

Hasta este punto el lector notará que iptables no es tan complejo (no obstante existen reglas que sí loson). Siempre es importante conocer las bases de herramientas útiles como esta, una vez que hemosganado un poco de conocimiento es recomendable (mientras el estudio continua) apoyarse de otrasherramientas que facilitan la inserción de reglas en iptables, una de ellas (muy gentil y cómoda deusar) es firehol (http://firehol.org/) cuyo eslogan es “iptables para humanos”. Le invitamos a que

estudie la documentación, notará la gran diferencia que existe.

No olvide la importancia de conocer las bases de iptables en crudo, esto puede informar aladministrador sobre alguna regla mal escrita que esté causando alguna incomodidad en el servidor.

# Permitimos el acceso a los puertos 80 y 443

taller ~ # iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

taller ~ # iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT

# permitimos el acceso al servicio FTP (puertos 20 y 21)

taller ~ # iptables -A INPUT -p tcp --dport 20 -j ACCEPT taller ~ # iptables -A INPUT -p tcp --dport 21 -j ACCEPT taller ~ # iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Permitimos el tráfico DNS

taller ~ # iptables -A INPUT -p tcp --dport 53 -j ACCEPT

taller ~ # iptables -A INPUT -p udp --dport 53 -j ACCEPT

taller ~ # invoque-rc.d iptables-persistent save

# o

taller ~ # /etc/init.d/iptables-persistent save

http://firehol.org/

http://firehol.org/

http://firehol.org/

http://firehol.org/



P á g i n a 83 | 85

SSH seguro

Lo primero que un administrador de sistemas debe tener en cuenta es que “la seguridad no es un

producto, es un proceso”. Los administradores de servidores, muchas veces cometen el error de creer

y evangelizar con la teoría de que “x ” software es más segur o que

“ y ” software , cuando lo correctoes decir que tal sistema permi te tal mecanismo que permi te la seguri dad en tal sentido . Para que un

sistema sea considerado seguro en determinado grado, deben definirse, respetarse y revisarse

continuamente políticas y procedimientos tendientes a lograr ese objetivo.

SSH no es solo un reemplazo de telnet, rlogin, rexec, ftp, XDMCP y otros. Además de brindar todasestas posibilidades con, básicamente, un único programa, brinda comunicaciones seguras (cifradas)entre el cliente y el servidor.

Las técnicas de cifrado consisten en manipular la información de asegurar las siguientes propiedades:

1.

Confidencialidad : no puede acceder a la información nadie que no sea su legítimodestinatario.

2.

Integridad : la información no puede ser alterada (sin ser esto detectado) en el tránsito desdeel emisor hacia el destinatario.

3. No repudio : el creador o emisor de la información no puede dejar de conocer su autoría.

4.

Autenticación : tanto el emisor como el receptor pueden confirmar la identidad de la otra parte involucrada en la comunicación.

En definitiva, para lo que nos interesa, prestaremos atención a tipos de algoritmos: los de cifradosimétrico (con clave compartida) y los de cifrado asimétrico (con clave púbica y clave privada).

Ci frado simétr ico

Esta técnica consiste en el uso de una clave que es conocida tanto por el emisor como por el receptor

(y, se supone, por nadie más). Al respecto del algoritmo utilizado, es deseable que cumpla varias propiedades, entre ellas:

Que sea muy difícil descifrar el mensaje sin conocer la clave. Que la publicidad del algoritmo de cifrado/descifradono tenga influencia en la seguridad del

mismo. (¡Nunca un algoritmo de cifrado puede basarse en la suposición de que nadie conoceexactamente cómo funciona!)

Que una mínima alteración de la clave, produzca grandes cambios en el mensaje cifrado.

La principal desventaja del cifrado simétrico consiste en que ambas partes deben conocer la clave:Un secreto compartido no es un secreto por mucho tiempo.

Entre los algoritmos de cifr ado simétrico más utilizados podemos nombrar 3DES, Blowfish, IDEA,

CAST128 y Arcfour.

Ci frado asimétr ico

La Wikipedia lo describe de la siguiente manera: es el método criptográfico que usa un par de claves para el envío de mensajes. Las dos claves pertenecen a la misma persona que ha enviado el mensaje.Una clave es pública y se puede entregar a cualquier persona, la otra clave es privada y el propietariodebe guardarla de modo que nadie tenga acceso a ella. Además, los métodos criptográficos garantizan



P á g i n a 84 | 85

que esa pareja de claves sólo se puede generar una vez, de modo que se puede asumir que no es posible que dos personas hayan obtenido casualmente la misma pareja de claves.

Si el remitente usa la clave pública del destinatario para cifrar el mensaje, una vez cifrado, sólo laclave privada del destinatario podrá descifrar este mensaje, ya que es el único que la conoce. Por tantose logra la confidencialidad del envío del mensaje, nadie salvo el destinatario puede descifrarlo.

1.

Ana redacta un mensaje2.

Ana cifra el mensaje con la clave pública de David

3.

Ana envía el mensaje cifrado a David a través de internet, ya sea por correo electrónico,mensajería instantánea o cualquier otro medio4.

David recibe el mensaje cifrado y lo descifra con su clave privada5.

David ya puede leer el mensaje original que le mandó Ana

1.

David redacta un mensaje2.

David firma digitalmente el mensaje con su clave privada3.

David envía el mensaje firmado digitalmente a Ana a través de internet, ya sea por correoelectrónico, mensajería instantánea o cualquier otro medio

4.

Ana recibe el mensaje firmado digitalmente y comprueba su autenticidad usando la clave pública de David

5.

Ana ya puede leer el mensaje con total seguridad de que ha sido David el remitente

El algoritmo criptográfico que se utiliza para generar la firma digital con SSH, se le conoce como

llave pública RSA.El algoritmo de clave pública RSA fue creado en 1978 por Rivest, Shamir y Adlman, y es el sistemacriptográfico asimétrico más conocido y usado. Estos señores se basaron en el artículo de Diffie-Hellman sobre sistemas de llave pública, crearon su algoritmo y fundaron la empresa RSA DataSecurity Inc., que es actualmente una de las más prestigiosas en el entorno de la protección de datos.

El sistema RSA se basa en el hecho matemático de la dificultad de factorizar números muy grandes.Para factorizar un número el sistema más lógico consiste en empezar a dividir sucesivamente éste



entre 2, entre 3, entre 4,..., y así sucesivamente, buscando que el resultado de la división sea exacto,es decir, de resto 0, con lo que ya tendremos un divisor del número.

Para mayor información puedes visitar los siguientes enlaces:

http://es.tldp.org/Tutoriales/doc-ssh-intro/introduccion_ssh-0.2.pdf

http://neo.lcc.uma.es/evirtual/cdd/tutorial/presentacion/rsa.html







Instalacion Devian - Libro Software Libre

Documents

Transcript of Instalacion Devian - Libro Software Libre