PRACTICA SERVIDOR WEB (3ª parte)
of 6
-
Upload
victor-sevillano -
Category
Documents
-
view
219 -
download
0
Transcript of PRACTICA SERVIDOR WEB (3ª parte)
-
7/27/2019 PRACTICA SERVIDOR WEB (3 parte)
1/6
Prctica 6.3.c.: Servidores Web con control de acceso y autenticacin.
- Objetivo: Limitar acceso al servidores web virtuales en la misma
mquina aplicando mecanismos de control de acceso sobre los servidores Web
virtuales.
- Procedimiento:
Leer el captulo 5 de la "Gua de supervivencia Apache"Leer el captulo "Ms Opciones" del Curso de Vctor Fuster.
Aplicar mecanismos de control de acceso sobre alguno de los servidores Webvirtuales creados en prcticas anteriores.
- Desarrollo:
Vamos distinguir dos modos de dar seguridad a nuestros servidores web virtuales: por
control de acceso (por IPs) y por autenticacin (por usuario).
1. Distinguir entre control de acceso y la autenticacin.
Control de acceso, allow o deny por IP de mquina.
Autenticacin: A la hora de conectarnos a la mquina, nos aparecer un cuadropidindonos usuario y contrasea.
a) Enumera las Directivas para el control de acceso.
AllowControla qu clientes pueden acceder al recurso protegido.Pueden establecerse controles por IP, subred y nombres de dominios.
DenyControla qu clientes no pueden acceder al recurso protegido.Pueden establecerse controles por IP, subred y nombres de dominios.OrderEstablece en qu orden se aplican las directivas Allow y Deny.Los valores posibles son Deny, Allow, Deny y Mutual-Failure. La ltima prevalece.
b) Enumera las Directivas de Autenticacin.
AuthTypeEstablece el tipo de autenticacin de usuario que se utilizar.Los valores posibles son Basic y Digest.AuthNameEstablece el nombre para el espacio protegido.AuthUserFileEstablece el fichero del servidor que guarda la informacin de usuariosy sus contraseas encriptadas (para autenticacin Bsica).AuthDigestFileEstablece el fichero del servidor que guarda la informacin de usuarios
y sus digests (para autenticacin Digest).AuthGroupFile
-
7/27/2019 PRACTICA SERVIDOR WEB (3 parte)
2/6
Establece el fichero del servidor que guarda la informacin de grupos deusuarios (para autenticacin Bsica).RequireEstablece qu usuarios podrn acceder al recurso protegido.Los valores posibles son: user, group, valid-user o cualquier combinacin de
ellos. Al utilizar user y/o group, debe aadirse una lista separada por espacioscon los nombres de los usuarios y/o los grupos autorizados.
2. Indica qu mdulos has necesitado activar.He activado el mdulo auth_digest con: a2enmod auth_digest
3. Realiza la prctica con el servidor web virtual 'cisco' creado en las prcticasanteriores. Indica IP y nombre completo del servidor y del cliente (IP y/o nombre)
IP Serv: 192.168.0.254 Nombre Serv: HPG62 IP Client: 192.168.0.204 Nombre Client: clienteUbntu
4. Control de acceso: realiza los cambios pertinentes en la configuracin paradenegar acceso por IP de una de tus mquinas clientes. Debes probar que elcliente tenga acceso a la pgina inicial del servidor web cisco pero impedir elacceso a un directorio concreto (ejemplo a un determinado captulo del curso).
Segn la documentacin:
Editamos el site al que queramos aplicar la seguridad (/etc/apache2/sites-avaible/CISCO)
Debemos aadir las lneas: Allow from 192.168.0.0/255.255.0.0 (para que permita a todos los clientes de la
red). Deny from 192.168.0.254 (para denegar el acceso al cliente en particular) Order allow, deny (para ordenar que primero permita, y luego deniegue).
-
7/27/2019 PRACTICA SERVIDOR WEB (3 parte)
3/6
Hay que aadir a para que no tenga permisopara acceder a courses
Reiniciamos el servidor $sudo /etc/init.d/apache2 restart y probamos que no accededesde el cliente.
-
7/27/2019 PRACTICA SERVIDOR WEB (3 parte)
4/6
5. Autenticacin DIGEST por usuario (mediante un fichero de cuentas deusuario).
5.1. Indica qu ficheros de configuracin has modificado, qu mdulos hasactivado, qu has creado nuevo (ficheros, usuarios, etc)
He activado el mdulo auth_digest: $sudo a2enmod auth: digest
Ordenamos que accedan todos excepto la ip 192.168.0.254.El tipo de autenticacin es DigestY el archivo donde se guardaran los usuarios, es el /etc/apache2/userdigestAdems, tenemos que aadir la ltima lnea Require valid-user
*Es importante poner la lnea de Include, para que nos aada el directorioauth_diges.load.
A continuacin creamos el usuario que queramos con la orden que se muestra
en la captura:
Nos pedir una contrasea que tendremos que repetir.
-
7/27/2019 PRACTICA SERVIDOR WEB (3 parte)
5/6
Comprobamos que el sitio userdigest (que es como lo llamamos antes) se hacreado. Hacemos un cat y vemos que contiene el usuario que hemos creado.
5.2. Prueba la autenticacin de un usuario concreto.
Desde el navegador accedemos a la direccin que hayamos bloqueado:www.aulaasi.org/courses, nos pedir usuario y clave:
Si el host tiene la ip que no queremos que acceda, debe salir el error:
http://www.aulaasi.org/courseshttp://www.aulaasi.org/courseshttp://www.aulaasi.org/courses -
7/27/2019 PRACTICA SERVIDOR WEB (3 parte)
6/6
6. a) Qu indica el cdigo de estado 401 que devuelve el navegador? Cundote ha ocurrido?
Error, no tienes autorizacin. Es el error de autenticacin. Si accedo con unusuario que no est en el sistema, aparecer este error.
b) Qu indica el cdigo de estado 403 que devuelve el navegador? Cundo teha ocurrido?
No tienes permiso, aparece un FORBIDDEN.
