Certificación linux lpic 1 en 10 días - adolfo olivera

Tabla de contenidosTabla de contenidosGuía de Estudio LPIAcerca de la certificación LPI1. Arquitectura del SistemaDeterminar y establecer la configuración de hardware

IntroducciónFirmwareEl sistema de archivos /procIRQsDirecciones I/O (Direcciones de entrada y salida)Direcciones DMA (Direct Memory Addressing)Dispositivos coldplug y hotplugUtilidades para detectar dispositivos hotplugConfiguración de placas PCIComando lspciComando setpciConfiguración de Dispositivos USBMódulos del KernelComando lsmodCargar módulos de kernel en tiempo de ejecuciónComando modprobeRemover módulos

Proceso de ArranqueIntroducciónInicio de ejecución con el FirmwareProceso arranque con BIOSProceso de Arranque con UEFIGestores de ArranqueInicio de Linux con initObteniendo información acerca del proceso de arranque

Niveles de ejecución, apagado y reinicio del sistemaConcepto de niveles de ejecuciónModo MonousuarioScripts de Inicio de SysVGestión de los servicios de los niveles de ejecuciónAjuste del nivel de ejecución por defectoCambiando el nivel de ejecución con init o telinitComando ShutdownSistemas de Inicio alternativosUpstart

2

systemd

2. Instalacion del sistema y manejo de paquetesDiseño del Disco Duro

IntroducciónEscenario 1: Espacio de disco limitadoEscenario 2: Sistemas grandesFunción del sistemaCopias de resguardoEspacio de SWAPRecomendaciones generales de diseño

Instalación de un gestor de arranqueIntroducciónMBRGRUBGRUB 2Superbloque

Gestión de LibreríasIntroducciónTipo de LibreríasGestión de Librerías CompartidasConfigurando la ruta global a libreríasCambiar temporalmente la ruta a libreríasComandos para Gestionar Librerías

Gestión de Paquetes en DebianIntroducciónConcepto de PaquetesSistemas de Gestión de PaquetesGestión de Paquetes en DebianComando dpkgAPTApt-cacheApt-GetdselectAptitudedpkg-reconfigure

Gestión de paquetes con RPM y YumRPMNombres de paquetes en RPMUso de RPMYumYumdownloaderRpm2cpio

3. Comandos GNU y UNIXTrabajando en la línea de comando

3

Introducción a Bash¿Que shell estoy ejecutando?Comandos InternosComando historyExplorando la configuración del shellVariables de ambienteObteniendo ayudaComando manComando info

Filtrado de flujos de textoIntroducciónComandos para combinar archivosComando catComando joinComando pasteComandos de transformación de archivosComando expandComando unexpandComando odComando sortComando splitComando trComando uniqComandos para formatear archivosComando fmtComando nlComando prComandos para visualizar archivosComando headComando tailComando lessComandos para resumir archivosComando cutComando wc

Manejo básico de archivosIntroducción¿Cómo son los nombres de archivos en Linux?Reglas de expansión con uso de comodinesInodosComandos de manejo de archivosComando lsComando cpComando rmComando mvComando touch

4

Comando mkdirComando fileCódigo de tipo de archivosComando tarComando cpioComando ddVentajas de ddDesventajas de ddCompresión con gzipCompresión con bzip 2

Flujos de datos, tuberías y redireccionesIntroducciónSTDIN, STDOUT Y SDTERRRedirigiendo entradas y salidasTuberíasComando teeUsar la salida como argumento

Crear, monitorear y matar procesosIntroducciónProcesos en primer y segundo planoTraer un proceso al primer plano con fgReanudar un proceso en segundo plano con bgEjecutar en segundo plano con &Ver los procesos asociados con nuestra sesión con jobs.Ver la memoria libre del sistema con freeVer el estado básico del sistema con uptimeCorrer un comando independiente del estado de la terminalMatando Procesos con killComando killall

Modificar la prioridad de procesos en ejecuciónIntroducciónComando psInterpretación de la salida de psTop: Una variante dinámica de psPrioridad niceComando niceComando renice

Uso de expresiones regulares para filtrar textoIntroducciónMetacaracteresComando grepComando egrepComando fgrepsed

Editar texto con Vi

5

Modos de ViTrabajar con archivosMoverse en el archivoInsertar y sobrescribir textoEliminación de textoModo visualEdición de bloques de textoDeshacer y rehacerBuscar

4. Dispositivos, Filesystems y el FHSCreación de Particiones y Filesystems

IntroducciónVentajas de usar particionesEsquema de particiones MBRParticiones GPTProceso de particionadofdiskPreparar una partición para usoSistemas de archivos nativos de LinuxComandos para crear filesystemsComando mke2fsComando mkdosfsComando mkswapComando mkfs.xfsComando mkfs.reiserfsTipos de discos

Verificar la integridad de Filesystems.IntroducciónComando dumpe2fsComando xfs_infoComando tune2fsComando xfs_adminComando debugfsComando fsckComando e2fsck (aka fsck.ext2)Monitoreo de uso de DiscoComando dfComando du

Controlando el montaje y desmontaje de unidadesIntroducciónMontaje temporal de un filesystemComando mountComando umountOpciones de Montaje

6

Montaje permanente de sistemas de archivosCampos:

Manejo de Cuotas de DiscoIntroducciónHabilitación del Soporte para CuotasFijación de las cuotas para los usuarios.edquotaquotacheckquotaonquotaoffrepquota

Permisos y propiedad de archivosIntroducciónControl de acceso a archivos en LinuxListar los permisosNotación octalFijar el modo por defecto con umaskPermisos EspecialesCambiar la propiedad de un archivo con chownCambiar la propiedad del grupo con chgrpComando chmodMetodo OctalMétodo Simbólico

Crear y cambiar vínculos duros y simbólicosIntroducciónTipos de vínculosUso para la administración del sistemaComando ln

Comprender la ubicación correcta de los archivos del FHSEl FHSComando findComando locateComando whereisComando whichComando type

5. Shells, Scripts y manejo de datos con SQLManejo del entorno de Shell

IntroducciónVariables de entornoVariables de entorno mas comunesModificación de los archivos de configuración de bashArchivos de esqueletoEl comando setAliasFunciones

7

Crear y modificar de scriptsIntroducciónHola Mundo!!!VariablesParámetros PosicionalesComando sourceExpresiones CondicionalesifcaseSentencias de IteraciónSentencia forSentencia whileuntilFunciones

Manejo de datos con SQLIntroducciónTipos de Datos mas comunesMySQLInstalaciónMostrar bases instaladas con “show databases”Crear una base con “create database”Crear de una tabla con “create table”Ver la estructura de una tabla con “describe“Eliminar una tabla con “drop table”Insertar registros con “insert”Consultar registros con “select”Filtrar las consultas con “where”Consultar varias tablas con “join”Eliminar registros con “delete”Ordenar los resultados con “order by”Funciones de agregación y “group by”

6. Interfaces Graficas de UsuarioInstalar y Configurar X11

IntroducciónConfiguración básica de XOpciones para el servidor X en LinuxMétodos para configurar X:Ubicación y nombre de los archivos de configuraciónEl formato de los archivos de configuraciónSecciones de configuración de XSección ModuleSección InputDeviceSección MonitorSección Device

8

Sección ScreenServer LayoutConfigurando y testeando XFuentesInstalar fuentes nuevasConfiguración de fuentes Xft

Gestores de PantallaIntroducciónXDMKDMGDMMétodos para ejecutar un servidor XDMCPArquitectura Cliente/Servidor de X

AccesibilidadIntroducciónConfiguraciones de AccesibilidadOrcaEmacspeak

7. Tareas AdministrativasUsuarios y Grupos

IntroducciónCuentas de usuario y el archivo /etc/passwdGrupos y el archivo /etc/groupEl sistema shadow de contraseñasComandos de gestión de usuarios y gruposComando useraddComando usermodComando userdelComando groupaddComando groupmodComando groupdelComando passwdComando chage

Cron, Anacron y AtIntroducciónCreando trabajos de Cron del SistemaComando crontabAnacronComando at

Localización e internacionalizaciónIntroducciónlocaleCambiar el localeCodificación de caracteresConvertir archivos entre distintos formatos de codificación

9

8. Servicios esenciales del sistemaNTP

IntroducciónComando dateComando hwclockUso de NTPAnatomía de NTP

LoggingIntroducciónSyslog, Syslogd, Rsyslog y KlogdConfiguraciónFacilidadesPrioridadesSintaxisRegistro manual de datosRotación de logsRevisando archivos de Log

Correo electrónicoIntroducciónConceptos básicos de correo electrónicoGestión de Correo electrónicoServidores SMTPUso del programa mailEnvío de correo con mailLeer correo con mailConsultar la cola de correosRedirección de correoProgramas complementarios

Gestión de impresoras e impresiónIntroducciónConceptualización de la arquitectura de impresión en LinuxConfiguraciónPostScript: El lenguaje de Impresión de FactoGhostScriptConfiguración de CUPS

9. Fundamentos de redesConceptos fundamentales de redes

IntroducciónHardware de redPaquetes de redPila de protocolosProtocolo de control de transmisión (TCP)Protocolo de Datagramas de usuarios (UDP)Protocolos IP

10

Redes privadas según RFC-1918Direccionamiento de RedDirecciones de HardwareDirecciones IPMascara de redDNSComando hostComando digPuertos de redPuertos comunesConfiguración DNS

Configuración básica de redIntroducciónConfigurar Linux para una red localDHCPComando ifconfigRouters, Rutas y Default GatewayComando routeArchivos de configuración de interfaces de redComandos ifup e ifdownConfiguración DNSComando pingComando traceroute

Resolución de ProblemasIntroducciónConfiguración manual de tabla de ruteoComando pingComando tracerouteComando HostComando dig

Configuración del cliente DNSIntroducciónCambiar el orden de resolución de nombresArchivo /etc/hostsEstablecer los servidores DNS en el /etc/resolv.conf

10. SeguridadGestión de la seguridad

IntroducciónPeligros de los archivos SUID y GUIDComo encontrar archivos SUID y GUIDComando chageComando usermodMonitoreo de puertos de redComando lsof

11

Comando netstatComando nmapRestringir el uso de el usuario root con SudoBeneficios de usar SudoConfiguración de sudo con el archivo /etc/sudoersComando suUlimit

Seguridad del HostIntroducciónGestión de ContraseñasSúper ServidoresTCP WrappersXinetdBloquear el acceso a usuarios con /etc/nologinDesactivar los servicios que no estén en uso

Técnicas de encriptadoCriptografía con clave publicaOpenSSHConfiguración del servidor SSHClaves SSHAgente SSH (ssh_agent)Túneles SSHGPGGPG Keyring

12

Guía de Estudio LPIAdolfo Olivera

13

Acerca de la certificación LPILa certif icaciones son una manera estándar de tener uncomprobante que acredite un determinado niv el de conocimientoacerca de cierta materia. Si bien tradicionalmente, el mundo OpenSource no le dio may or importancia a las certif icaciones, estatendencia está dando un giro. Ya que si bien no son garantía de queun indiv iduo pueda realizar un determinado trabajo, son un buenpunto comienzo a la hora de buscar y f iltrar candidatos.En lo que respecta a los administradores Linux en general, las doscertif icaciones dominantes del mercado son las prov istas por elLinux Professional Institute y las prov istas por Red Hat.Los conocimientos que conf orman la currícula son f ruto deacabadas inv estigaciones realizadas por LPI y prof esionalesacreditados de la industria. Es una certif icación neutral, lo quesignif ica que no se orienta a ninguna distribución en particular, si noque trata de ser lo más general posible.Si bien la certif icación es neutral en cuanto a las distribuciones, usocomo ref erencia las distribuciones Red Hat y Debian comoref erencia, y a que estas dos distribuciones son las que dieron lugara la may oría de las distribuciones de uso general existentes en laactualidad. Las certif icaciones LPIC del Linux Professional Insititute estándiv ididas en tres niv eles, cada uno f undacional al otro: Nivel 1 (LPIC 1)Este niv el acredita un niv el Junior de conocimientos, la certif icaciónconsta de dos exámenes, 101 y 102; y un prof esional que hay apasado estos dos exámenes debería estar en condiciones de realizartareas básicas de administración de un serv idor.Nivel 2 (LPIC 2)Este niv el de certif icación acredita conocimientos más específ icosen cuanto a los serv icios que suelen correr los serv idores. Comoson los serv icios Web, los serv idores de archiv os, los serv iciosav anzados de red, etc. Además de hacer un análisis más prof undode la arquitectura del sistema operativ o.Nivel 3 (LPIC 3)Este es el niv el de acreditación más alta que otorga el LPI. Losprof esionales que acrediten esta certif icación son expertos en

16

dif erentes especialidades en Linux.Estas especialidades son Ambientes Híbridos (Redes con Windowsy Linux) prov ista por el examen 300; Seguridad prov ista por elexamen 303 y Alta Disponibilidad y Virtualización, prov ista por elexamen 304. Este programa de certif icaciones proporciona una doble oportunidada los prof esionales en administración Linux. Ya que no solo brindalas herramientas necesarias y una hoja de ruta para ser en expertoen la materia; sino que además proporciona la oportunidad deobtener un diploma que sea prueba de esto.

17

1. Arquitectura del SistemaEn esta primera unidad se v en los lineamientos generales quecomparten los sistemas Linux. Explicando cómo es la arquitecturadel sistema, como se relaciona Linux con los componentes dehardware y como comienza la ejecución del sistema cuando seenciende la máquina. La unidad estará div idida en tres subunidades: Determinar y establecer la configuración de hardware (101.1)En esta subunidad v eremos con que comandos y herramientascontamos a la hora de hacer un análisis del hardware con el quecuenta una computadora. También se v erán técnicas para establecerlas conf iguraciones necesarias para lograr un f uncionamiento óptimode este hardware. Proceso de arranque (101.2)El proceso de arranque de una maquina comprende todo lo quesucede desde que presionamos el botón de encendido del equipohasta que tenemos un sistema ejecutándose y listo para serv ir a losusuarios. Si bien este proceso no suele generar problemas y puedepasar desapercibido, es importante saber que componentesinterv ienen en el mismo para saber como proceder en el caso que sequiera modif icar este proceso o realizar una resolución de problemas. Niveles de ejecución, apagado y reinicio del sistema (101.3)En esta subunidad es realiza una introducción al concepto de niv elesde ejecución. Estos niv eles permiten determinar el comportamientodel sistema, def iniendo una serie de acciones y conf iguracionespara cada niv el.También v eremos una introducción a proceso de apagar y reiniciar lamaquina; explicando con que herramientas se cuenta.

19

que está realizando y atienda un ev ento externo, como cuando sepresiona una tecla del teclado. En x86, las interrupciones estánnumeradas del 0 al 15. Computadoras más modernas, comosistemas x86-64, prov een más de 16 interrupciones.

Listado de interrupciones0 - Reserv ado para uso interno1 - Teclado2 - Interrupciones en cascada para IRQs 8-153 - Segundo puerto RS-232 (COM 2 en Windows)4 - Primer puerto RS-232 (COM 1 en Windows)5 - Placa de Sonido o segundo puerto paralelo6 - Controladora de discos floppy7 - Primer puerto paralelo8 - Reloj de tiempo real9-11 - Abierto12 - PS/2 Mouse13 - procesador matemático14 - Controlador ATA primario15 - Controlador ATA secundario Algunas interrupciones están reserv adas para propósitosparticulares, como el teclado y el reloj de tiempo real, otras tienenusos comunes, pero pueden ser reasignados, y otros quedan librespara ser asignados. La lista de interrupciones de puede leer desde/proc/interrupts.

Direcciones I/O (Direcciones de entrada y salida)Las direcciones o puertos I/O son direcciones de memoriareserv adas para la comunicación entre la CPU y dispositiv os dehardware. Una v ez que el sistema se encuentra corriendo, lasdirecciones de I/O, se pueden consultar desde el archiv o/proc/ioports.

Direcciones DMA (Direct Memory Addressing)DMA es un método de comunicación alternativ o a los puertos I/O.En v ez de tener a la CPU como intermediaria entre un dispositiv o yla memoria, los DMA permiten a los dispositiv os mandar datosdirectamente a la memoria, sin uso de la CPU. Esto permite tenermenos requerimientos de uso de CPU para activ idades de I/O. Parael uso de DMA, la arquitectura x86 implementa v arios canales DMA,los cuales pueden usar usados por dispositiv os. La inf ormaciónsobre los canales DMA se pueden encontrar en /proc/dma.

23

Dispositivos coldplug y hotplugLos dispositiv os hotplug son aquellos que pueden ser conectadosmientras el sistema esta corriendo, mientras que los dispositiv oscoldplug precisan que el sistema se encuentre apagado para serconectados y desconectados, corriendo el riesgo de dañarse si asíno se hiciese. Generalmente los componentes internos de lacomputadora como la CPU, la memoria y los discos internos soncoldplug. Y los dispositiv os externos como dispositiv os USB,firewire y Ethernet son hotplug.

Utilidades para detectar dispositivos hotplugDemonio HAL: Las siglas HAL prov ienen Hardware abstractionlayer, el demonio que opera esta capa de abstracción de hardware esllamado hald. Es un programa dentro del espacio del usuario yprov ee inf ormación sobre el hardware disponible. Se conecta a D-Bus y prov ee una API la cual las aplicaciones pueden utilizar paradescubrir, monitorear e inv ocar operaciones en dispositiv os. D-Bus: Su nombre prov iene de Desktop Bus. Es un demonio quepermite a los programas en ejecución comunicarse entre sí y sernotif icados de ev entos. Ya sean ev entos de otros procesos o dehardware, como por ejemplo la conexión de un disco USB. Es elv ínculo que conecta a las aplicaciones con el demonio HAL (hald). Udev: Tradicionalmente, Linux crea a los nodos de dispositiv oscomo archiv os en /dev . /dev se crea como un sistema v irtual dearchiv os, que crea archiv os de dispositiv os dinámicamente amedida que los driv ers de esto son cargados y descargados. Udevse puede conf igurar desde /etc/udev/udev.conf. Se puede crearreglas de Udev dentro del directorio /etc/udev/udev.d/. Las reglasson básicamente archiv os dentro de este directorio, los cuales seránleídos por el demonio udev y utilizados cuando el Kernel notif ica audev sobre algún ev ento. Sysfs (/sys) : El sistema v irtual de archiv os /sys exportainf ormación de dispositiv os. En este sistema de archiv os v irtual seguarda una base de datos con todos los dispositiv os que estánconectados al sistema. Los archiv os dentro de /sys generalmenteestán compuestos por un solo v alor.

24

el estándar.El f irmware del motherboard (placa madre) reside en una memoriaflash o EEPROM (Electrically Erasable Programmable Read-OnlyMemory). Cuando uno enciende la máquina, esta realiza una pruebapara rev isar que todo esté f uncionando correctamente, este pruebase llama POST (Power On Self Test). Una v ez f inalizado esto, cargael gestor de arranque desde el dispositiv o de arranque. Típicamente,este es el primer disco duro. El gestor de arranque toma control ycarga el sistema operativ o.

Proceso arranque con BIOSLuego de iniciado el equipo, un programa llamado BIOS (Basic InputOutput Service), que es guardado en memoria no v olátil, esejecutado. El proceso seria así:

1. El BIOS prueba el correcto f uncionamiento del equipo con elprograma POST.

2. Se le indica al BIOS que dispositiv o de arranque usar (DiscoDuro, CD-ROM, floppy, etc.), mediante la interf az de usuario.

3. BIOS carga el código del gestor de arranque del MBR (MasterBoot Record), localizado en el primer sector del disco duro. ElMBR también guarda la tabla de particiones.

4. El gestor de arranque dentro del MBR puede realizar a su v ezdos acciones dif erentes:

1. Examinar la tabla de particiones y localizar la particiónque tenga la bandera de arrancable. El gestor dearranque primario llama a un gestor de arranquesecundario, localizado en el sector de arranque de esapartición. Este ultimo continua el proceso localizando unkernel de sistema operativ o y cargándolo en memoria.

2. Localizar un Kernel y cargarlo directamente. Esteenf oque se saltea el gestor de arranque secundario.

Tradicionalmente, los gestores de arranque de Windows necesitabanestar en el MBR del disco. Los gestores de arranque en Linuxsoportan estar en el sector de arranque de una partición. Por lo quese aconseja en el caso de tener una maquina con arranque dual,colocar el gestor de arranque de Windows en el MBR del disco y elde Linux en el MBR de la partición.Este es un resumen muy simplif icado del arranque basado en BIOSy MBR. En la práctica, esquemas mas complejos son posibles.

32

Proceso de Arranque con UEFIEl proceso basado en BIOS, f ue diseñado en los años 80, cuando elespacio disponible para el BIOS era diminuto comparado con losestándares actuales. Por lo que el proceso de arranque del BIOSnecesitaba ser simple, y la complejidad se trasladaba al sof twaredentro del disco.El f irmware UEFI es bastante mas complejo que el antiguo BIOS. Enlugar de usar el código que esta en los sectores de arranque de losdiscos, EFI utiliza gestores de arranque almacenados como archiv osen una partición de disco, conocida como ESP (EFI SystemPartition). En Linux, generalmente el ESP se monta en /boot/efi. Losgestores de arranque residen en archiv os con la extensión .efi. Senombran en subdirectorios con el nombre de la distribución y elnombre del archiv o es el nombre del gestor de arranque. Porejemplo, /boot/efi/EFI/Ubuntu/grub.efi .Esta conf iguración permite tener un gestor de arranque dif erentepara cada sistema operativ o que se instala en una computadora. Elf irmware de EFI incluy e un programa propio, llamado boot managerque ay uda a elegir que gestor de arranque se quiere lanzar.EFI debe ser saber acerca de los gestores de arranque almacenadosen el ESP del disco. Normalmente, esto se hace registrando losgestores de arranque con el f irmware, esto se puede hacer medianteuna utilidad que v iene con el f irmware o con alguna otra herramientacomo efibootmgr (http://linux.die.net/man/8/efibootmgr).

Gestores de ArranqueLos gestores de arranque se ejecutan antes que cualquier sistemaoperativ o sea cargado, aunque normalmente son conf igurados desdeLinux o algún otro sistema operativ o.De alguna u otra manera, el f irmware de la computadora lee y cargael código del gestor de arranque. El gestor de arranque, una v ezcargado, será responsable de llamar al kernel de Linux. Por lo queuna correcta conf iguración del gestor de arranque es necesaria parapoder dar inicio a Linux.Si bien las instalaciones de las distribuciones prov een métodosautomáticos de conf iguración del gestor, es importante saber comof unciona. Ya que en ciertos casos, como en la re-complicación de unkernel, podría ser necesario hacer modif icaciones.

Inicio de Linux con initUna v ez que el Kernel pasa a controlar el sistema, se llama alproceso init. Por def ecto este programa se encuentra dentro de

33

/sbin/init. Este programa tomara el PID 1 y a que es el primerproceso que se ejecuta en el sistema. En un sistema Linuxtradicional, /sbin/init leerá los contenidos del archiv o /etc/inittab paradeterminar que otros programas ejecutar. En sistemas masmodernos que usan otros sistemas de inicio como Upstart oSystemd, init leerá otros archiv os de conf iguración.

Obteniendo información acerca del proceso dearranqueCierta inf ormación acerca del Kernel y sus módulos se registra en elkernel ring buf f er. Esta inf ormación es la que se muestra en pantalladurante el proceso de arranque, aunque al pasar tan rápido es muydif ícil su lectura. Se puede inspeccionar esta inf ormación con elcomando dmesg.

34

sistema que actúa como un serv idor de archiv os o un serv idor web,el cambio de un niv el de ejecución sin notif icación podría ser undesastre para otros usuarios. Es imprescindible notif icar a losusuarios antes de realizar cualquier cambio importante del sistema.El comando init no proporciona automáticamente esta f uncionalidad,y en estas situaciones se pref iere el comando shutdown.

Comando ShutdownCuando se inicia el comando shutdown, todos los usuarios que haniniciado sesión en sesiones de terminal son notif icados de que elsistema se está cerrando. Además, otros inicios de sesión sebloquean para ev itar a nuev os usuarios ingresar en el sistema, y aque se está cerrando.

DescripciónEl comando shutdown cierra el sistema de una manera segura yorganizada. De f orma predeterminada, shutdown llev a al sistema amodo de usuario único. Se pueden utilizar otras opciones para apagaro reiniciar su lugar. El comando init utiliza con un argumento niv el deejecución apropiado para af ectar el cambio de sistema.El argumento tiempo obligatorio indica al comando shutdown cuándoiniciar el procedimiento de apagado. Puede ser un momento del díaen el f ormato hh:mm, o puede estar en la f orma + n, donde n es unnúmero de minutos a esperar. El tiempo también puede ser la palabranow, en cuy o caso el cierre ocurre de inmediato. Si la horaespecif icada es más de 15 minutos, shutdown espera hasta 15minutos antes del cierre se mantienen antes de hacer su primeranuncio.Si se proporciona un mensaje de adv ertencia (una cadena de texto),que se utiliza en anuncios del sistema para los usuarios f inales. Noson necesarias comillas para el mensaje de adv ertencia a menosque el mensaje incluy e caracteres especiales como * o &.

Sintaxisshutdown [opciones] tiempo [mensaje de advertencia]

Opciones de uso más frecuente:-f: Fast Boot, no realiza chequeos de los sistemas de archiv os en elpróximo inicio.-F: Fuerza los chequeos de los sistemas de archiv os en el próximoinicio.-k: Solo manda los mensajes de adv ertencia y deshabilita los iniciosde sesión, pero no apaga el sistema.

39

Muestra el estado actual de todas las unidades conf iguradas

42

2. Instalacion del sistema ymanejo de paquetes

Esta unidad describe como realizar la instalación del sistema,incluy endo la instalación de todos los paquetes necesarios paracumplir sus f unciones. También es necesario saber como manteneractualizado el sof tware dentro del sistema, por lo que también seexplican los dif erentes métodos de actualización de paquetes. Esta unidad incluy e 5 subunidades: Diseño del Disco Duro (102.1)El diseño del disco duro implica entender el concepto de particiones.Las particiones nos permiten distribuir espacio de disco de unamanera mas ordenada, ef iciente y segura. Gestores de Arranque (102.2)Los gestores de arranque son programas pequeños que cumplen conla f unción de cargar sistemas operativ os como Linux para utilizarlos.Los mas importantes a tener en cuenta son GRUB y GRUB 2. Gestion de librerías (102.3)Las librerías son los componentes de sof tware que en su conjuntoconf orman todo el sof tware del sistema. Por razones de reutilizacióny f acilidad de mantenimento, el sof tware se div ide en unidadespequeñas llamadas librerías. Gestión de Paquetes en Debian (102.4)En esta unidad se explica el concepto de paquetes de sof tware yconocemos los dif erentes gestores de paquetes que existen para lossistemas Debian y sus deriv ados. Gestión de paquetes con RPM y Yum (102.5)RPM es el gestor de paquetes de paquetes en Red Hat y Yum es elgestor de paquetes que se utiliza para utilizar paquetes desde algúnrepositorio de Red Hat.

44

otras computadoras para queestas puedan hacer uso de losejecutables que allí residen

/v ar 2 GB En este caso no se necesita unfilesystem /var demasiadogrande y a que solo se guardanlogs dentro de /var. Lasituación seria dif erente en elcaso de que el serv idor sea unserv idor web

/tmp 500 MB Otorgándole a /tmp su propiapartición, nos aseguramos queno causara problemascreciendo mas de lo debido

/home 90 GB Teniendo en cuenta que el f inultimo del sistema es presentardatos a usuario, /home se llev ala may or parte del espacio.

En los serv idores de producción, gran parte del sistema a menudose coloca en los medios de almacenamiento redundantes, talescomo discos duplicados. Grandes sistemas de archiv os, tales como/ home, pueden ser almacenados en algún tipo de arreglo de discosutilizando un controlador de hardware.

Función del sistemaEl papel del sistema también puede dictar la distribución del disco.En una red de tipo UNIX tradicional con serv idores de archiv os NFS,la may or parte de las estaciones de trabajo no necesitaránecesariamente la totalidad de sus propios archiv os ejecutables. Enlos días en que el espacio en disco era un bien escaso, estorepresentaba un ahorro signif icativ o en el espacio en disco. Mientrasque el espacio en los discos de estaciones de trabajo no es elproblema que una v ez f ue, manteniendo ejecutables en el serv idortodav ía elimina el dolor de cabeza administrativ a de distribución deactualizaciones a las estaciones de trabajo.

Copias de resguardoAlgunos esquemas de backup, incluy en copias a disco local, por loque de acuerdo a la f recuencia con la que se realizan estas copias yal periodo de tiempo por el que se mantienen, habría que reserv ar el

48

espacio suf iciente para realizar.

Espacio de SWAPAl instalar Linux, se le pedirá que conf igure un espacio SWAP omemoria v irtual. Este espacio de disco especial se utiliza paraalmacenar temporalmente partes de la memoria principal quecontiene programas o datos de programa que no se necesitanconstantemente, permitiendo que más procesos se ejecuten almismo tiempo. Generalmente se reserv a el doble del tamaño de lamemoria RAM.

Recomendaciones generales de diseñoAquí hay algunas pautas para particionar un sistema Linux: • Mantener el root f ilesy stem (/) pequeño mediante la distribución deporciones más grandes del árbol de directorio a otras particiones.• Separar una partición para /var y asegurarse de que sea losuf icientemente grande como para manejar el esquema de rotaciónde logs.• Separar /tmp. Su tamaño depende de las demandas de lasaplicaciones que se ejecutan. Debe ser lo suf icientemente grandecomo para manejar los archiv os temporales para todos sus usuariosde f orma simultánea.• Separar /usr y montarlo como solo lectura, sí es que se v a acompartir por medio de NFS.• Separar /home para máquinas con múltiples usuarios. Para su usoen producción, es conv eniente colocarlo en algún arreglo de discos(SAN).• Conf igurar el espacio SWAP con el doble de tamaño que lamemoria RAM.

49

Sistemas de Gestión de PaquetesLa manera en que se manejan estos paquetes de sof tware v ariamucho entre distribuciones. Las principales herramientas de manejode paquetes son RPM para sistemas Red Hat y deriv ados y DPKGpata el manejo de paquetes en Debian y deriv ados. Generalmente,solo se usa un solo sistema de manejo de paquetes por cadacomputadora; aunque es útil tener conocimiento sobre los 2.

Un gestor de paquetes mantiene la siguienteinformación: Paquetes: La inf ormación mas básica que los sistemas de manejode paquetes registran, es inf ormación sobre los paquetes. Lospaquetes son colecciones de archiv os que están instalados en lacomputadora. Los paquetes son distribuidos como archiv osparecidos a los tarballs o los archiv os zip. Una v ez instalados, lospaquetes consisten en docenas o cientos de archiv os, el sistema depaquetes tiene registro de todos.Base de Datos de Archivos Instalados: Esta base de datosmantiene inf ormación acerca de cada archiv o instalado por mediodel sistema de manejo de paquetes, el nombre del paquete al quepertenece cada archiv o e inf ormación asociada adicional.Dependencias: Dependencias entre paquetes.Checksums: Esta inf ormación permite v erif icar la v alidez delsof tware instalado.

Tareas que ayudan a realizar: Instalación de Software: Permiten simplif icar el proceso deinstalación de sof tware.Actualizaciones y desinstalaciones: Al registrar dependencias, elsistema de manejo de paquetes f acilita actualizaciones ydesinstalacionesCreación de paquetes binarios: Tanto RPM como los paquetesDebian prov een herramientas para la creación de paquetes binariosdesde código f uente. Esto es de extrema ay uda cuando se trabajacon CPUs extrañas. Esto prov ee v entajas f rente a la compilaciónconv encional y a que permite el uso de los sistemas de manejo depaquetes para registrar dependencias, etc.

Gestión de Paquetes en DebianLas principales herramientas que utilizaremos para gestionarpaquetes en Debian son dpkg, la suite de programas APT y el

60

3. Comandos GNU y UNIXEn general cuando trabajemos con serv idores Linux, la línea decomando v a a ser nuestra herramienta de trabajo principal. Laf ilosof ía Linux es utilizar v arios pequeños programas específ icospara alguna f uncionalidad y combinarlos con otros para resolv ertareas complejas. Esta unidad comprende 3 subunidades: Trabajando en la línea de comando (103.1)Introducción a los shells (interpretes de comandos) y a Bash, el shellmas popular en Linux. Filtrado de flujos de texto (103.2)Uso de herramientas para manipular, f ormatear y f iltrar texto. Manejo básico de archivos (103.3)Herramientas para gestión de archiv os Flujos de datos, tuberías y redirecciones (103.4)Como dirigir los f lujos de datos a trav és de dif erentes programasutilizando tuberías y redirecciones. Crear, monitorear y matar procesos (103.5)Concepto de procesos y creación de los mismos. Modificar la prioridad de procesos en ejecución (103.6)Como darle may or o menos prioridad de ejecución a un proceso Uso de expresiones regulares para filtrar texto (103.7)Introducción a las expresiones regulares básicas y extendidas. Editar texto con Vi (103.8)Introducción a Vi/Vim y comandos básicos.

73

Algunos programas han migrado del uso de man hacia info. Lav entaja de man sobre info es que este ultimo utiliza hipertexto paramov erse a trav és de la documentación. Estas 2 herramientaspresentan inf ormación de una manera que puede resultar pocoamigable para el usuario principiante. Por lo que en ocasionesconv iene ir a las web para buscar ay uda o tutoriales acerca deprogramas.

79

Sintaxis# wc [opciones] [archivos]

86

Sintaxisbzip2 [opciones] [nombre_archivos]bunzip2 [opciones] [nombre_archivos]

97

Mostar con orden jerárquico: -H, -f y –forest muestran lajerarquía de los procesos.Mostrar mas 80 caracteres: Las opciones w y -w muestran unasalida mas amplia que la normal.

Interpretación de la salida de psUsuario: El nombre del usuario que ejecuta el programa. Así comolos archiv os tienen un usuario, un grupo y unos permisosdeterminados asignados, también los procesos pertenecen ausuarios. Un proceso contará de cara al sistema de archiv os con losmismos permisos que tenga el usuario que lo creó.ID del proceso: El PID es el numero de identif icación asociado alproceso. Es importante y a que en el caso de querer modif icar omatar el proceso, seguramente lo necesitemos.ID del proceso padre: El ppid identif ica al proceso padre que dioorigen al proceso actual.TTY: Algunos procesos tendrán asociado un identif icador de terminal.No todos los procesos tienen un numero de terminal; los demonios ylos programas de X no tienen terminal asociada.Tiempo de uso de CPU: Los encabezados TIME y %CPU muestrandos medidas de tiempo de uso de cpu. La primera nos muestra eltiempo que llev amos consumido, mientras que la segunda nos elporcentaje de CPU que consume el proceso al momento de ejecutarps.Prioridad de CPU: La columna NI representa la prioridad de uso deCPU que tienen los procesos. El v alor por def ecto es 0. Valorespositiv os representan menor prioridad, mientras que los negativ osrepresentan may or prioridad.Consumo de memoria: %RSS (Resident Set Size) es el tamañodel proceso en la memoria principal del sistema y %MEM porcentajede la memoria principal usada por el proceso.Comando: Generalmente la ultima columna muestra el comandoque genero el proceso.

Top: Una variante dinámica de psLa herramienta top nos muestra en tiempo real los procesos queestán en nuestro sistema, de una manera más gráf ica que como lohace ps. Por def ecto, top nos ordena los procesos por uso de CPU.

Prioridad niceEl niv el de prioridad nice es un v alor que mide la prioridad que uso

109

EjemploLa expresión a[2-4]z concuerda con a2z, a3z y a4z. Cualquier carácter: El punto (.) representa cualquier caráctersingular, excepto, una nuev a línea.

EjemploLa expresión a.z concuerda con a2z, abz y aQz. Principio y fin de línea: ̂representa el principio de una línea y elsigno de $, el f inal de la misma. Operadores de repetición: Estos operadores indican la cantidad dev eces que debe ocurrir una expresión. Una expresión regular, oalguna parte de ella, puede estar seguida por un símbolo especial,que denota cuantas v eces el ítem debe existir. Específ icamente, unasterisco (*) denota 0 o mas ocurrencias, un signo de pregunta (?)cero o una ocurrencia y un signo positiv o (+) indica 1 o masocurrencias.

EjemploLa expresión C.*Gomes concuerdo con todo lo que empiece con tenga la letra C y Gomes, en ese Orden. Como Carlos Gomes,Cesar Gomes y Cristian Gomes. Múltiples posibles cadenas: La barra v ertical (|) separa dosposibles coincidencias.

EjemploLa expresión peso | dólar concuerda con peso o con dólar. Paréntesis: Los paréntesis () se usan para agrupar sub-expresiones.. Se pueden utilizar alrededor de un grupo de palabrasque están concatenadas por una barra v ertical, para asegurarse queestas palabras sean tratadas como un grupo, sin inv olucrar las otraspartes de la expresión regular env olv ente. Escape de caracteres: Si uno quiere buscar algún carácter especial,como el punto, se debe escapar, precediéndolo con una barrainv ertida \.

EjemploPara coincidir con el nombre de una computadora

113

4. Dispositivos, Filesystems yel FHS

Creación de Particiones y Filesystems (104.1)En esta subunidad se analiza en prof undidad el concepto departiciones y Fylesystems (Sistema de archiv os). Verificar la integridad de Filesystems (104.2)En esta subunidad se hace una introducción a las dif erentesherramientas disponibles para v elar por la buena salud de unFilesystem. Controlando el montaje y desmontaje de unidades (104.3)Un filesytem solo puede ser utilizado una v ez que es sistema realizaun proceso de montaje. En esta subunidad inv estigamos eseproceso. Manejo de Cuotas de Disco (104.4)El sistemas de cuotas de disco permite tener un control del consumode espacio en disco. Permisos y propiedad de archivos (104.5)En esta subunidad se explica como f unciona el sistema de permisosy propiedad de archiv os necesarios para controlar el acceso a losarchiv os por parte de los usuarios. Crear y cambiar vínculos duros y simbólicos (104.6)Esta subunidad es bastante simple y escueta, se explica como usarv ínculos. Comprender la ubicación correcta de los archivos del FHS(104.7)La distribución de los archiv os a los largo de los f ilesy stems tienenun lógica de ser y esta es estandarizada en el Filesystem HierarchyStandard. En esta subunidad v eremos como están organizados losFilesy stems según este estándar.

124

Borrar una particiónLa opción d nos permite borrar una partición. Si existe mas de unapartición, f disk nos v a a preguntar que numero de partición quieroborrar

Cambiar el tipo de particiónCuando se crea una partición Linux le asigna un código de 0x83, quecorresponde a un sistema de archiv os de Linux. Si se quiera cambiara otro, por ejemplo, un swap de Linux (0x83), se ingresa t.

M arcar una partición como partición de arranqueIngresando la opción a, luego Linux me preguntara que particiónquiero marcar como de arranque.

Preparar una partición para usoUna v ez que la partición se crea, se debe preparar para su uso. Esteproceso se llama la creación de un sistema de archiv os o f ormatearuna partición. Requiere la creación de estructura de datos de bajoniv el en la partición.

Sistemas de archivos nativos de Linuxext2fs: Es el sistema tradicional de archiv os en Linux. Fue elsistema dominante durante v arios años, pero en los últimos añosf ue eclipsado por sistemas mas nuev os. Su código es ext2ext3fs: Básicamente es ext2 con journaling. Su código es ext3.ext4fs: Agrega la posibilidad de trabajar con discos de gran tamaño.Por encima de los 16 TiB, que es el limite de los discos con ext2 yext3. Implementa extensiones que mejoran la perf ormance. Elcódigo es ext4ReiserFS: Es particular bueno para trabajar con un gran numero dearchiv os pequeños (menores a 32 KB).XFS: Creado por Silicon Graphics, luego donado a Linux. Es muyrobusto, técnico y sof isticadoFAT: Su nombre es acrónimo de File Allocation Table. Es v iejo yprimitiv o, pero v ersátil. Es el único sistema de archiv os que soportaDOS y Windows 9x/Me. Es un buen sistema para intercambiar datosen medios remov ibles. El código es msdos.NTFS: (del inglés New Technology File System) es un sistema dearchiv os de Windows NT incluido en las v ersiones de Windows 2000,Windows XP, Windows Serv er 2003, Windows Serv er 2008, WindowsVista, Windows 7 y Windows 8.El soporte de Linux sobre el sistema es bastante rudimentario, se

130

mucho mas f inos que los PATA. Al igual que los PATA, sondetectados por el f irmware. La may oría de las distribucionesmodernas trata los discos SATA como si f ueran SCSI y algunasdistribuciones v iejas como si f ueran PATA, por lo que es muy dif ícilencontrar nombres de dispositiv os SATA.

SCSIHay v arias def iniciones de SCSI, se usan una v ariedad de cables yopera a dif erentes v elocidades. SCSI es tradicionalmente un BUSparalelo, como PATA, aunque la ultima v ariante, Serial Attached SCSI(SAS), es un bus serial, como SATA. Si bien el SCSI es un bussuperior al PATA, tiene un precio considerablemente may or, por loque solo se suele v er en sistemas de alto rendimiento.SCSI soporta hasta 8 o 16 dispositiv os por canal (bus), uno de estosdispositiv os es la controladora, que puede estar en el motherboard ocomo un placa de plugin. En la practica, el numero de controladoresque se puede conectar es menor debido a los limites del cable. Cadadispositiv o tiene un id, que se f ija por medio de un jumper en eldispositiv o.Los discos SCSI se nombran /dev/sda , /dev/sdb , etc. Las cintasSCSI se nombran /dev/st0 , /dev/st1, etc. Y los CD-ROM y DVD-ROM se nombran /dev/scd0 o /dev/sr0. Generalmente los nombresse asignan teniendo en cuenta el ID del dispositiv o, y endo de menora may or. Ambos lados del cable SCSI deben ser terminadosmediante un terminador, para ev itar que queden señales rebotandopor el BUS.

Discos ExternosLos discos externos v ienen en v arias f ormas, los mas comunes sonSCSI, USB y IEEE-1394 (Firewire). Linux trata los discos comoSCSI, desde el punto de v ista del sof tware. Típicamente, seenchuf a el dispositiv o, y un nuev o nodo /dev/sdx debería aparecer.Esto se aplica también a los discos de estado solido.

134

soporta un archiv o por lo que la cantidad de inodos disponibles limitela cantidad de archiv os que puedo tener en un sistema. Esta utilidadse puede ejecutar mientras el sistema de archiv os esta montado.

Comando xfs_infoDescripciónEs similar a dumpe2f s, pero se utiliza para XFS. Esta herramientarequiere que el sistema este montado. La inf ormación que prov eeeste comando es sumamente técnica, como ser el tamaño de losbloques o de los sectores.

Sintaxisxfs_info [dispositivo o punto de montaje]

Comando tune2fsDescripciónNos permite cambiar muchos de los parámetros que nos prov eedumpe2f s.

Sintaxistune2fs [opciones] dispositivo La complejidad de esta herramienta radica en la gran cantidad deopciones que el programa acepta. Cada parámetro que nos permiteajustar requiere su propia opción. El f ilesy stem no debe estarmontado. Algunas de las operaciones que podemos realizar son lassiguientes: Ajustar la cantidad máxima de montadas: -c max-mount-counts.Especificar la cantidad de veces que fue montado: -C mount-count.Ajustar el intervalo entre chequeos: -i intervalo, el interv alo es unnumero seguido de d, w o m. Por día, mes y año, respectiv amente.Agregarle un journal (bitácora): La opción -j agrega el journal,conv irtiendo un sistema ext2 en uno ext3. Igualmente para que estejournal sea ef ectiv o, se debe montar el sistema como ext3 en lugarde ext2.Fijar los bloques reservados: La opción -m porcentaje f ija deporcentaje de disco que queda reserv ado para uso de root. El v alor xdef ecto es 5.

137

Sintaxisumount [opciones] [dispositivo | punto_de_montaje]

Opciones de Montaje defaults Usa todas las opciones por def ecto.loop permite montar un archiv o como si f uese un dispositiv o.auto o noauto Monta cada v ez que inicia el sistema o cuando seejecuta el comando mount –a.user o nouser Permite a usuarios normales montar el sistema. Eldef ault es nouser, user es apropiado para medio extraíbles.users Similar a user, pero para el desmontaje.owner El usuario debe ser dueño del archiv o de dispositiv o paramontarlo.ro read only.rw read write.uid=v alor Fija el owner para todos los archiv os.gid=v alor Fija el grupo para todos los archiv os.umask=Fija la mascara para los permisos de archiv os.dmask= Fija la mascara para los directorios.fmask= Fija una mascara solo para archiv os.

Montaje permanente de sistemas de archivosSe hace por medio del archiv o /etc/fstab, el cual esta compuesto porlos siguientes campos.

Campos:Dispositivo: Se puede indicar el archiv o del dispositiv o, unaetiqueta o un UUID. También se puede indicar un driv e de unserv idor remoto.Punto de Montaje: Es el directorio dentro del cual se podrá accederal f ilesy stem que se monte, debe existir prev iamente.Tipo de sistema de archivos: El código de sistema de archiv os.Opciones de montaje: Son las opciones de montajes v istas en elpunto anterior.Operación de Resguardo: Se f ija en 1 si la utilidad dump debehacer un backup o 0 si debe ignorarlo.Orden de chequeo: Orden en el que se ubica para el chequeo def sck, si es que lo debe hacer (0 indica que no se debe chequear).

143

(umask).Este comando toma un v alor octal que representa los bits a remov ercuando se crea un archiv o o un directorio. Para un archiv o seremuev e desde 666 y para un directorio desde 777.

EjemploSi tenemos una mascara de 022, los archiv os se crearan con 644(rw-r--r--) y los directorios con 755 (rwxr-xr-x).Si tenemos una mascara de 002, los archiv os se crearan con 664(rw-rw-r--) y los directorios con 775 (rwxrwxr-x). La mascara no es una simple substracción de los v alores 777 y 666,es una extracción bit a bit. Cualquier bit que este f ijado en lamascara, es remov ido de los permisos f inales para archiv osnuev os, pero si un bit no esta f ijado, su especif icación en lamascara no af ecta en nada.

Permisos EspecialesSet User ID (SUID)Esta opción se usa en conjunto con archiv os ejecutables. Lo quehace es indicarle a Linux que ejecute el programa con los permisosde quien es dueño del archiv o en lugar de usar los permisos de quienlo ejecuta.Por ejemplo, si un archiv o del cual root es dueño, tiene el bit deSUID seteado, el programa se ejecuta con priv ilegios root. Losarchiv os con SUID se indican con una s en el bit de ejecución delusuario.

Set Group ID (SGID)El SGID es similar al SUID, pero asigna el grupo del programa enejecución al grupo del archiv o. Cuando el SGID esta f ijado en undirectorio, los nuev os subdirectorios y nuev os archiv os creados enel directorio original heredaran la propiedad de grupo, en lugar debasarse en el def ault actual.

Sticky bitEl sticky bit ha cambiado su signif icado a lo largo de la historia deUNIX. En implementaciones modernas de Linux (y v ersiones masmodernas de UNIX), es usado para proteger archiv os de no sereliminados por quien no es dueño de estos archiv os .Hoy en día, el sticky bit se utiliza con directorios. Cuando se leasigna a un directorio, signif ica que los elementos que hay en esedirectorio sólo pueden ser renombrados o borrados por el propietario

150

del elemento, el propietario del directorio o el usuario root, aunque elresto de usuarios tenga permisos de escritura y, por tanto, puedanmodif icar el contenido de esos elementos.Se suele usar en el directorio /tmp.

Cambiar la propiedad de un archivo con chownEl comando chown nos permite cambiar el usuario al cual perteneceun determinado archiv o.

Sintaxischown [opciones] [nuevo_usuario]:[nuevo_grupo] archivo Una de las opciones mas usadas es –R, que permite realizar loscambios de manera recursiv a. Solo root puede cambiar la propiedadde un archiv o.

Cambiar la propiedad del grupo con chgrpEl comando chgrp nos permite cambiar la propiedad de los archiv osniv el de grupo:

Sintaxischgrp [opciones] nuevo_grupo nombre_archivo El comando chgrp acepta muchas de las mismas opciones quechown, incluy endo –R para que los cambios se apliquen de f ormarecursiv as.

Comando chmodDescripciónEl comando chmod nos permite cambiar el modo de un archiv o, esdecir, sus permisos. Este comando se puede ejecutar de v ariasmaneras dif erentes para conseguir el mismo ef ecto. La sintaxisbásica es la siguiente:

Sintaxischmod [opciones] modo nombre_archivo Acepta la opción –R para actuar en modo recursiv o. La may oría dela complejidad de chmod radica en la especif icación del modo delarchiv o. Se puede especif icar el modo de dos maneras dif erentes,de manera octal o de manera simbólica.

Metodo OctalSe pasan 3 dígitos octales, uno por el usuario, otro por el grupo y elultimo por el resto.

151

destinan una carpeta para los archiv os de conf iguración disponiblesy otra para los archiv os habilitados, dentro de la carpeta de archiv oshabilitados se crean v ínculos simbólicos a los originales.Esto f acilita agregar, quitar o modif icar las conf iguraciones queestos archiv os prov een.

Comando lnDescripciónEl comando ln se utiliza para crear links.

Sintaxisln [opciones] fuente destinoDonde f uente es el archiv o original y destino es el nombre delv inculo. Para crear un link simbólico se pasa la opción –s.

155

Este directorio es similar a /bin y a /sbin, pero contiene librerías deprogramas. El subdirectorio /lib/modules contiene módulos del kernel,driv ers que pueden ser cargados y descargados cuando serequieren.

/usrAlmacena el grueso de los programas de Linux. Su contenido escompartible y estático, por lo que puede ser montando como sololectura y compartido con otros sistemas Linux.

/usr/localEste directorio espeja la organización de /usr, así como también/usr/local/bin y /usr/local/lib. El directorio /usr/local contiene archiv osque el administrador de sistemas instala localmente, por ejemplo,paquetes que son compilados en la computadora local. La idea estener un área que este libre de actualizaciones automáticas cuandoel sistema operativ o es actualizado por completo. Algunosadministradores separan esta partición para protegerla de unareinstalación en la que se borre la carpeta padre.

/optEste directorio es muy similar a /usr/local de muchas maneras, peroesta pensado para paquetes listos que no se instalan directamentecon el sistema operativ o, como procesadores de texto o juegos.Típicamente, estos programas residen en subdirectorios dentro de/opt nombrados en base a sí mismos.

/homeContiene datos de usuarios. Suele tener su propia partición.

/rootEs el directorio perteneciente al súper usuario root, allí se guardarándistintos archiv os pertenecientes al mismo.

/varProv iene de variable, contiene colas de impresión, cola de mails,algunos logs de serv icios, etc.

/tmpArchiv os Temporales.

/mntSe usa para montar dispositiv os remov ibles.

Comando find

158

5. Shells, Scripts y manejo dedatos con SQL

Esta unidad contiene 3 subunidades: En las dos primeras v emoscomo conf igurar y usar el shell mediante el cual interactuamos conel sistema, en la segunda inv estigamosCubre los siguientes objetiv os: Manejo del Entorno de Shell (105.1)Se realiza una explicación básica sobre el concepto de shell.Incluy endo el v ariables de entorno , aliases y archiv os deconf iguración. Manejo de Scripts (105.2)La habilidad de crear y modif icar scripts existentes en el sistema esimportante para la gestión y la automatización de tareas. En esteobjetiv o se explica la sintaxis de scripting del shell. Manejo de datos con SQL (105.3)Este objetiv o cubre el concepto y el uso básico de SQL. Haciendouna rev isión de lo que es el Lenguaje Estructurado de Datos. Sehace una introducción al motor de base de datos MySQL.

164

FuncionesAdemás de los aliases, Bash también prov ee f unciones. Lasf unciones trabajan de manera parecida a los aliases, en el sentido enque un nombre de f unción, def inido por el usuario es asignado a unoo mas comandos mas complejos.

Sintaxisfunction nombre () { lista_de_comandos;}

EjemploPodemos agregar la siguiente f unción a nuestro archiv o ~/.bashrc.Es necesario iniciar una nuev a sesión de Bash para que los cambiossurtan ef ecto.…function listartemp(){echo “Estos son los contenidos de /temp”;ls –l /tmp;}…

170

if [ $numero = 1 ]thenecho " El numero es 1"elseecho " El numero es otro pero no 1 "fi

caseCuando hay mas de dos posibles resultados y caminos a seguir, seusa la sentencia case.

Sintaxiscase expresión in patron1 ) acciones ;; patron2 ) acciones ;; ...esac

EjemploEn el siguiente ejemplo, combinamos una sentencia de iteración (for)con la sentencia de control case; para iterar por todos los nombresde los archiv os dentro de un directorio y luego en base a laextensión de los mismo, mostrar en pantalla el tipo de archiv o alcual corresponde esa extensión.…#!/bin/shfor nombrearchivo in $(ls)do # Tomo la extension del archivo ext=${nombrearchivo##*\.} case "$ext" in c) echo "$nombrearchivo : C Programacion" ;; o) echo "$nombrearchivo : Archivo Objeto" ;; sh) echo "$nombrearchivo : Script de Shell" ;; txt) echo "$nombrearchivo : Archivo de texto" ;; *) echo " $nombrearchivo : Extension Desconocida" ;;esacdone

175

…

Sentencias de IteraciónSon estructuras que le indican al script repita una accióndeterminada hasta que se cumple una determinada condición.

Sentencia forEl bucle for realiza una acción determinada, una v ez por cadaelemento dentro de una lista que debemos prov eer.

EjemploEn el siguiente ejemplo, utilizamos la sentencia f or para iterar por lasv ariables que conf orman la lista (v 1, v 2, v 3 y v 4) y mostrar sucontenido con el comando echo.…#!/bin/bashfor i in v1 v2 v3 v4; doecho "Estas son las variables $i"done… Frecuentemente se usa en conjunto con el comando seq, el cualgenera una secuencia. Por ejemplo:for `seq 1 10`Genera una secuencia de 10 números empezando por el 1 yterminando en el 10.

Sentencia whileSe ejecuta mientras se cumple una determinada condición

Sintaxiswhile [condición]do comandosdone

EjemploEn el siguiente ejemplo, se inicializa un contador en 0, y se le v asumando uno cada v ez que entra en el bucle. Se mostraran enpantalla 10 mensajes diciendo “ El contador es n”, donde es n es unnumero entre 0 y 9.…#!/bin/bashCOUNTER=0while [ $COUNTER -lt 10 ]; do

176

echo The counter is $COUNTER let COUNTER=COUNTER+1done…

untilEs similar a while pero se ejecuta mientras una condición sea f alsa.

FuncionesEn Bash se pueden def inir f unciones. Una f unción en Bash(denominada subrutina o procedimiento en otros lenguajes deprogramación) se podría def inir como un script dentro de un script.Sirv e para organizar un script en unidades lógicas de manera quesea mas f ácil de mantener y programar. En Bash las f unciones sepueden def inir de la siguiente manera:function nombre_funcion(){

comandos_del_shell}

177

6. Interfaces Graficas deUsuario

Si bien, para las tareas de administración de serv idores, la línea decomando es la herramienta de trabajo; es necesario saber comoconf igurar interf aces graf icas de usuario. La siguiente unidad trata 3subunidades: Instalación y configuración de X11 (106.1)X11 es la interf az graf ica de usuario mas utilizada hoy en dia enLinux. Si bien la may oría de la conf iguración se realizaautomáticamente al momento de la instalación del sistema, es buenosaber la estructura de sus archiv os de conf iguración. Gestores de Pantalla (106.2)Los gestores de pantalla (Display Managers) nos prov een una seriede elementos que completan a la interf az graf ica que prov ee X11.Como ser los gestores de v entanas y los gestores de graf icos deinicios de sesión. Los mas importantes son XDM, KDM y GDM. Accesibilidad (106.3)Entre los usuarios de escritorios Linux, hay una población la cualtiene ciertas limitaciones f ísicas. En lo que respecta a la capacidadde v er bien, maniobrar el teclado y el ratón.Para ellos hay v arias herramientas que nos permiten conf igurar elsistema para que sea mas amigable a personas con limitaciones.

185

EjemploSection “Module”Load “dbe”Load “extmod”Load “freetype”Load “type1”Endsection Los módulos freetype y type1 se ocupan de renderizar las f uentesTrueType y Adobe Type1, respectiv amente. Si no entendemos unmodulo, no deberíamos preocuparnos, seguramente esta ahícumpliendo algún f unción útil.

Sección InputDeviceLas secciones “InputDev ice” manejan el mouse y el teclado.

TecladoSection “Input Device”Identifier “Keyboard0”Driver “kbd”Option “XkbModel” “pc105”Option “AutoRepeat” “500 200”Endsection Las líneas indican los siguiente:Identifier: Prov ee un identif icador que luego será usado por otrasección (Server Layout). Si bien, el texto a poner es arbitrario, esbueno poner algo descriptiv o. Driver: La línea donde dice driv er le indica a X que controlador usarpara acceder al dispositiv o. Kbd y Keyboard son controladoresespecíf icos para teclado, mientras que evdev es un controladorgenérico para dispositiv os de entrada de datos de distinto tipo.Option: Las líneas donde dice opción f ijan las dif erentes opcionesque ajustan la f uncionalidad del teclado, como ser, modelo, ratio derepetición y distribución de las teclas.

RatónSection “Input Device”Identifier “Mouse0”Driver “Mouse”Option “Device” “/dev/input/mice”Option “Protocol” “IMPS/2”EndSection

190

El controlador puede ser mouse o evdev. Las líneas masimportantes son Device y Protocol. Device indica a X que dispositiv ode Linux debe leer para acceder al mouse. La opción protocol indicaque señal debe esperar cuando se muev e el mouse y se aprietanbotones.

Sección MonitorUno de los aspectos mas dif íciles en la conf iguración de X es elajuste de las v ariables del monitor. Esto se ajusta en la sección“Monitor”. Una v ersión modesta puede ser la siguiente: Section “Monitor”Identifier “Monitor0”ModelName “”HorizSync 30.0 – 83.0VertRefresh 55.0 – 75.0End Section HorizSync y VertRefresh def inen el rango de ref resco horizontal yv ertical, respectiv amente, que acepta el monitor.Data Display Channel: Es un protocolo que permite a los monitorescomunicar el máximo ratio de ref resco horizontal y v ertical quesoporta un monitor.

Sección DeviceEl monitor generalmente manda la inf ormación a trav és de la tarjetade v ideo. La v ersiones mas modernas de X.org-X11 pueden escogerel controlador de la placa de v ideo de manera automática,seleccionando el mas optimo. En otras ocasiones, se debe prov eerla inf ormación al archiv o de conf iguración XF86Config o xorg.conf .En particular, el modulo del controlador se ajusta mediante la líneaDriver “valor” dentro de la sección Device. …Driver “nv”… Esta línea indica el nombre del controlador, que generalmente seencuentra en /usr/X11R6/lib/modules/drivers o/usr/lib/xorg/modules/drivers en general los nombres de los driv ersterminan en _drv.o .

191

Si se tipea Xorg –configure para crear una conf iguración inicial, elarchiv o probablemente tenga múltiples secciones de Device, cadauna para un driv er dif erente. Algunos de estos, como fdev y vesa,son driv ers genéricos que f uncionan en una gran v ariedad de placasde v ideo. Actualmente, se utilizan controladores nv o nouveau paraplacas nVidia, radeon para placas ATI/AMD y controladores Intel paraplacas Intel .

Opciones específicas de la placa de video…Section “Device”Identifier “Videocard0”Driver “nv”VendorName “nVidia”EndSection…

Sección ScreenLa sección Screen le indica a X sobre la combinación de monitores yplacas de v ideo que se están utilizando. Section “Screen”Identifier “ Screen0 ″Device “ Videocard0 ″Monitor “ Monitor0 ″DefaultDepth 16SubSection “Display”Depth 24Modes “ 1280 × 1024 ″ “ 1280 × 960 ″ “ 1152 × 864 ″ “ 1024 × 768 ″“ 800 × 600 ″ “ 640 × 480 ″EndSubSection SubSection “Display”Depth 16Modes “ 1152 × 864 ″ “ 1024 × 768 ″ “ 800 × 600 ″ “ 640 × 480 ″EndSubSection Incluy e una o mas subsecciones de Display.

Server Layout La sección “server layout” v incula todos los otros componentes de la

192

id:5:initdefault: Cambiando el 5 al niv el de runlev el que se desea ejecutar pordef ecto. La may oría de las distribuciones prov een métodos para determinarel serv idor XDMCP por def ecto. Existen dos métodos comunes:

Selección por medio de un archivo de configuraciónAlgunas distribuciones ocultan la elección del serv idor,f recuentemente en el directorio /etc/sysconfig . En Fedora, elarchiv o /etc/sysconfig/desktop f ija la v ariable DISPLAYMANAGERcon el v alor de la ruta al ejecutable DISPLAYMANAGER=/bin/xdm.En openSUSE, /etc/sysconfig/displaymanager.

Selección por medio de los scripts de inicioEn Debian y sus distribuciones deriv adas, como Ubuntu, el gestorde pantalla se elige por medio de un script de inicio de SysV, Upstarto Systemd.

Arquitectura Cliente/Servidor de XLa may oría de la gente imagina a los serv idores comocomputadoras muy potentes dentro de centros de cómputos. Si bieneste concepto es acertado a v eces, no aplica los serv idores X.El serv idor X se ejecuta en la computadora que el usuario utiliza,f ísicamente. Los clientes X, son los programas que el usuarioejecuta (xterm, KMail, LibreOffice, etc). En la may oría de los casos,el serv idor X y los clientes residen en la misma computadora, peroen los casos en que se usa X para acceso remoto, hay que tener encuenta que el serv idor X se encuentra en la computadora del usuario. Supongamos que tenemos 2 computadores en la red, Zion y Lion.Zion es una computadora potente que contiene importantesprogramas y Lion es un sistema menos potente, pero que tiene unteclado, un mouse y un monitor.Queremos estar sentados en Lion y correr programas que seencuentran en Zion.

1. Iniciamos una sesión con X en Lion.2. Abrimos una terminal3. Escribimos xhost + Zion en la terminal de Lion. Este comando

le indica a Lion que muestre datos originados de Zion en

199

pantalla.4. Iniciar una sesión ssh en Zion desde Lion.5. En Zion, escribir export DISPLAY=Lion:0.0 Este comando le

indica a Zion que use Lion para mostrar programas basadosen X.

6. Lanzar un programa de Zion, como lof f ice (LibreOf f ice)

200

RepeatKeys: Permite a un usuario con coordinación limitada tiempoadicional para largar las teclas antes de empezar a repetir las teclas.BounceKeys: Inserta un tiempo muerto entre tecla y tecla, paraev itar pulsaciones no intencionadas.

OrcaOrca es una tecnología de asistencia f lexible, extendible y potentepara las personas con discapacidad v isual. Usando v ariascombinaciones de síntesis de v oz, braille y magnif icación, Orcaay uda a proporcionar acceso a las aplicaciones GNOME y algunasotras.

EmacspeakEs similar a Orca, habilita a personas con discapacidad v isual autilizar una computadora.

203

7. Tareas AdministrativasEn el siguiente capitulo v eremos como llev ar a cabo las rutinas deadministración necesarias para administrar el sistema, como laadministración de usuarios, la planif icación y programación de tareasrecurrentes el f uturo y las conf iguraciones de localización einternacionalización.Esta unidad consiste de 3 subunidades: Gestión de usuarios y grupos (107.1)En esta unidad se explica como gestionar cuentas de usuario ygrupos. Cuales son los archiv os de conf iguración y los comandosque interv ienen en la administración de usuarios. Programación de tareas futuras con Cron y At (107.2)La herramientas f undamental para que el sistema realice tareasprogramadas a f uturo es el demonio Cron. En esta subunidadexaminaremos su f uncionamiento y conf iguración. También v eremosel comando at. Localización e Internacionalización (107.3)Es importante tener la habilidad de conf igurar el sistema para que seadapte a dif erentes lenguajes y locales. Para eso v eremos lasdif erentes conf iguraciones que podemos realizar.

206

almacenada en este campo que se encuentra encriptado. A pesar dela encriptación, por razones de seguridad, la may oría de lossistemas almacena contraseñas en un archiv o separado, el/etc/shadow. Si no se incluy e la contraseña, su campo se rellena porla letra x, que indica que el sistema de contraseñas shadow está enuso.

ID de usuarioCada nombre de usuario requiere un identif icador de usuario único, oUID. El UID es simplemente un entero no negativ o. La cuenta rootse le asigna el UID de 0. Por conv ención, los v alores de UID de 0 a99 están reserv ados para uso administrativ o, los may ores de 99 sonpara los usuarios regulares del sistema. En algunos sistemas, seempiezan a asignar UID para usuarios regulares a partir del numero500.

ID de grupoCada usuario tiene un identif icador de grupo primario o GID. El GIDes también un entero no negativ o. Los números de grupo y susnombres asociados se especif ican en el archiv o /etc/group. El GIDalmacenado para cada usuario en /etc/passwd es su ID de grupo pordef ecto, aunque el usuario puede pertenecer a v arios grupos.

El nombre completo del usuario o misceláneaEl nombre del usuario u otra inf ormación se almacena como textosin f ormato y por lo general contiene el nombre completo delusuario. Este campo puede contener espacios.

Directorio de inicioEl directorio de inicio el directorio por def ecto en el sistema dearchiv os para la cuenta. Si una cuenta es para una persona,probablemente se creará un directorio en el sistema de archiv os conarchiv os de conf iguración estándar que el usuario puedepersonalizar. La ruta completa al directorio de inicio está aquí.

Shell por defectoEste campo especif ica el shell por def ecto para el usuario o elserv icio, que es el shell que se ejecuta cuando el usuario iniciasesión o abre una v entana de shell. En la may oría de los casos, elshell será /bin/bash o /bin/tcsh, pero puede ser cualquier shell, oincluso otro programa ejecutable.

Grupos y el archivo /etc/groupLos grupos son similares a los usuarios en su administración y se

209

def inen en el archiv o /etc/group. Al igual que el archiv o passwd, elarchiv o de grupo contiene campos separados por dos puntos:

Nombre del grupoEste campo indica el nombre del grupo. Cada grupo debe tener unnombre único.

ContraseñaAl igual que las cuentas de usuario tienen contraseñas, los grupospueden tener contraseñas para sus miembros. Si el campo de lacontraseña está v acío, el grupo no requiere una contraseña. Lacontraseña en un grupo puede usarse para acceder temporariamenteal grupo por medio el comando newgrp.

ID de grupoCada grupo requiere un GID único. Como los UID, los GID sonnúmeros enteros no negativ os.

M iembros del GrupoEl último campo es una lista de los miembros del grupo por nombrede usuario, separados por comas.

El sistema shadow de contraseñasEn los comienzos de Linux, las contraseñas se podían leer, demanera encriptado, desde el archiv o /etc/passwd. Eso los haciasusceptibles a ataques de f uerza bruta. Para corregir esav ulnerabilidad, se trasladaron las contraseñas a los archiv os/etc/shadow para los usuarios y /etc/gshadow para los grupos. Elúnico con permisos para leer estos archiv os debería ser root.

Comandos de gestión de usuarios y gruposAunque es posible, rara v ez es necesario (ni aconsejable) manipularla cuenta y los archiv os de def inición de grupo manualmente con uneditor de texto. En cambio, una f amilia de comandos está disponiblepara la gestión de cuentas, grupos y contraseñas.

Comando useraddDescripciónCrea cuentas de usuarios en el sistema. Tanto los v alores pordef ecto del sistema y las opciones especif icadas def inen cómo seconf igurara la cuenta. Una contraseña inicial debe ser establecidaposteriormente.Una alternativ a a useradd es el comando adduser, el cual nospermite ingresar los parámetros de manera interactiv a.

210

Iconv –f formato [-t formato] [archivo_entrada] Las opciones f y t representan los f ormatos de codif icación deentrada y de salida. Si se omite el f ormato de codif icación de salida,iconv utiliza el que este como def ecto en las conf iguraciones delocale.

223

8. Servicios esenciales delsistema

Mantener la hora del sistema (108.1)Esta subunidad analiza como Linux mantiene la f echa y la horaactualizadas. Se rev isa como realizar esta tarea manualmente yutilizando un serv idor NTP (Network Time Protocol).También se explica como conf igurar un serv idor para que prov ea elserv icio NTP a otras computadoras dentro de nuestra red. Registro de actividad del sistema o “Logging” (108.2)Es importante registrar lo que suceden a diario y hacen a la v ida delsistema. La inf ormación que se guarda en estos archiv os de registrode activ idad (log f iles) no serv irá para solucionar problemas y paraestar al tanto de lo que sucede en nuestro sistema. Correo electrónico (108.3)El correo el electrónico es uno de los serv icios mas importante queprov ee un serv idor Linux. Si bien saber el detalle de todos losserv idores SMTP no es necesario para la certif icación LPIC-1, si esnecesario saber como estos f uncionan. Además de los demásprogramas complementarios. Gestión de Impresoras (108.4)En esta subunidad se inspecciona como es la arquitectura de lossistemas de impresión en Linux. Algunos de los conceptos sonPostScript, Ghostscript y el serv icio CUPS.

225

LoggingIntroducciónMuchos de los ev entos que ocurren durante el f uncionamiento de unsistema v alen la pena de ser registrados. Para ellos se desarrollaronprogramas llamados loggers, los cuales gestionan los logs (registrosde activ idad).El concepto detrás de un logger es prov eer una manera unif icada demanejar los archiv os de registros de activ idad. Este guardamensajes que suelen tener inf ormación sobre la activ idad delsistema, junto con cada mensaje se incluy e la f echa y la hora delenv ío.

Syslog, Syslogd, Rsyslog y KlogdAntes de empezar, v ale la pena tomarse el tiempo de aclarar ciertostérminos para f acilitar la comprensión del resto del texto.

SyslogEl termino Syslog puede resultar un tanto ambiguo, y a que se losuele usar para ref erenciar dif erentes cosas. Antes que nada, sysloges un estándar, que def ine una arquitectura para manejar losmensajes que registran activ idad dentro de un sistema. También seusa syslog para ref erirse al demonio sy slogd, que def inimos acontinuación.

SyslogdHasta hace poco tiempo f ue el programa de syslog mas comúndentro de la may oría de las distribuciones, se instala con un paquetellamado sysklogd.

RsyslogÚltimamente es mas común v er a rsyslogd instalado como serv idorde logging en las distribuciones mas populares. Si bien acepta unaconf iguración tradicional (estilo sysklogd) , muchas de las mejorasque implementa necesitan un archiv o de conf iguración con losmétodos nuev os.

KlogdTanto syslogd como rsyslog generalmente f uncionan en paralelo conel demonio klogd, cuy a tarea es guardar un registro de la activ idaddel kernel. En lo que respecta a los objetiv os de la certif icación LPI, solo hay

232

que conocer en detalle el f uncionamiento de sy slogd. Solo esnecesario tener una noción básica acerca de rsy slogd.

ConfiguraciónSyslogd se conf igura a trav és de el archiv o/etc/syslog.conf . Elconcepto de este archiv o de conf iguración es muy simple ypoderoso al mismo tiempo. El f ormato básico de las líneas que locomponen es el siguiente.

Línea de ejemplo syslog.conffacilidad.prioridad acción Facilidad: es una palabra que codif ica el tipo de programa oherramienta que genera el mensaje a ser registrado.Prioridad: este campo codif ica la importancia del mensaje.Acción: Representa el destino de los mensajes. Puede ser unarchiv o, una computadora remota u otra locación que acepte elmensaje. La f acilidad y la prioridad muchas v eces son ref eridas enconjunto como el selector.

Facilidadesauth: Autenticación.auth-priv: Autenticación que no son creados por el sistema.cron: Serv icio Cron.daemon: Serv icios de ejecución. Este código es utilizado por losdemonios que no tienen asignado un código especif ico, como mail ocron.kern: kernellpr: Serv icio impresión.mail: Serv icio de Mailnews: Serv icio News.security (auth): Similar a auth.syslog: sy slog.user: Usuarios.uucp: Serv icios uucp.local0 a local7: Se pueden usar estas f acilidades para programasque creen los usuarios. Es posible que las distribuciones y a esténusando alguna de estas f acilidades para programas específ icos, asíque, es conv eniente consultar la documentación de cada distribuciónantes utilizarlas.

Prioridadesdebug: depuracióninfo: inf ormativ o

233

notice: notif icacioneswarning: adv ertenciaserr: errorescrit: críticosalert: alertasemerg: emergencia Las prioridades tienen un orden ascendente de importancia. emergindica el niv el mas alto de importancia e indica serios problemas. Elniv el de debug es el que registra la may or cantidad de inf ormación,se usa para depurar programas que no se comportan de la maneraesperada.

SintaxisIgual o mayor prioridadCuando un programa env ía un mensaje al logger, incluy e un códigode prioridad, el logger registra el mensaje a un archiv o si estaconf igurado para registrar esa prioridad o may or. Por cual, si seespecif ica un código de prioridad de alerta, el sistema registraramensajes de alerta, pero no mensajes crit o de menor prioridad.

Igual prioridadSi se quiere indicar una prioridad que solo se registre si coincide conesa prioridad, se utiliza el singo (=).

M enor o igual prioridadEl signo de exclamación (!) indica un v alor de menor o igualpropiedad.

Todas las facilidadesUn asterisco (*) se ref iere a todas las f acilidades.

M últiples facilidadesSe pueden especif icar v arias f acilidades en un solo selectorseparándolas por comas.

M últiples selectoresSe pueden especif icar múltiples selectores para una acción particularseparando los selectores con ";"

Registro manual de datosEn la may oría de los casos, el sistema o algún serv idor generan lasentradas de registros en el logger, aunque en ocasiones, un puedollegar a querer generar una entrada manual o un script que se ocupede ello. La herramienta para este trabajo es llamada logger.

234

usuario. El serv idor de correo almacena los mensajes para cadausuario dentro del directorio /v ar/spool/mail .

Servidores SMTPLinux soporta v arios serv idores de correo dif erentes.Probablemente, alguno de estos programas este instalado en nuestrosistema. Estos son los cuatro serv idores de correo mas popularesen Linux.

SendmailDurante un tiempo, f ue el paquete para gestionar correo electrónicomas usado en Internet. Sendmail tiene 2 def ectos importantes, elprimero, es que su conf iguración suele ser bastante compleja; elsegundo radica en la cantidad de v ulnerabilidades de seguridad quepresenta.Como respuesta a estas def iciencias, con el tiempo, aparecieronv arios programas que f ueron ganándole terreno a Sendmail.

PostfixPostf ix f ue diseñado como un reemplazo modular a Sendmail, estaconf ormado por v arios programas, cada cual de ellos realiza tareasespecif icas. Su conf iguración es mas simple que la de Sendmail yse ha conv ertido en el paquete de correo electrónico por def ectopara muchas distribuciones.

EximSi bien tiene un diseño monolítico, al igual que Sendmail, pero no estan dif ícil de conf igurar como este ultimo. Exim llego como unarespuesta a los problemas de seguridad de Sendmail, por lo que tieneun buen niv el de seguridad. Muchas distribuciones, incluy endoDebian, usan Exim como MTA por def ecto.

QmailTiene un diseño modular, se f ocaliza en la seguridad y es mas f ácilde instalar que Sendmail. No tiene una licencia GPL, lo que limita unpoco su uso.

Uso del programa mailEl programa mail nos permite env iar correos y leer correosalmacenados localmente en el serv idor. Vale la pena mencionar, queademás del programa mail, existen una v ariación de el, llamada nail,la cual permite env iar archiv os adjuntos al mensaje de correo.

Envío de correo con mailSintaxis

239

mail [-v] [s- asunto] dirección_destino

Opciones-v: Muestra mas inf ormación-s: Permite especif icar el asunto.-c: dirección: Env ía el mensaje con copia-b: dirección: Env ía el mensaje con copia oculta Para env iar un mail podemos ejecutar el comando mail seguido poruna alguna dirección de correo electrónico o algún usuario delsistema. Si las opciones de asunto, copia y copia oculta no sonprov istas, el programa nos dará la oportunidad de agregar estosparámetros. Luego el prompt desaparecerá y podremos escribir elcuerpo de nuestro mensaje. Una v ez que hay amos f inalizadoescribiendo el mensaje, podemos f inalizar el proceso con Ctrl-D.

Leer correo con mailSintaxismail [-v] [f- [nombre | -u usuario] Se puede utilizar el programa mail para leer correos, pero soloaquellos almacenados en el spool local de Linux. Para hacerlo, solotenemos que ejecutar la aplicación mail sin ninguna opción, a no serque queramos especif icar otro archiv o de spool dif erente con laopción -f .

Consultar la cola de correosEl serv idor SMTP debe gestionar una cola de correos electrónicos, lacual contiene mensajes que deben ser entregados. Para la gestiónde la cola de correos, se utiliza el comando mailq. Este programa eraoriginalmente parte de Sendmail, pero los programas que deriv aronSendmail (Postfix, Qmail y Exim) implementan una capa de emulaciónde Sendmail, que prov ee con una serie de comandos de Sendmail alos usuarios y a los programas. Dentro de esta capa de emulación,todos los programas tienen una implementación de mailq.

Redirección de correoLos aliases de correo, permiten que una dirección represente a otra.Por ejemplo, todos los serv idores de correo deberían mantener unacuenta llamada postmaster. El correo dirigido a esta cuenta deberíaser leído por alguien responsable por la administración de esesistema. Una manera de realizar esto es v incular la cuentapostmaster a otra cuenta que se use en la realidad. Para implementar

240

ese v inculo, hay que editar el archiv o de aliases, que sueleencontrarse dentro de /etc o también dentro de /etc/mail. La sintaxis es bastante simple…nombre: direccion1[, direccion2] … Donde nombre es el nombre de la cuenta local, como puede serpostmaster. Cada dirección puede ser el nombre de una cuenta local,el nombre de un archiv o local en el cual se guardan los mensajes oel nombre de una dirección de correo electrónico completa.Es normal encontrar conf iguraciones donde se redirige el correo decuentas como postmaster y otras similares a root. No esaconsejable leer correo como root, por lo que root a su v ez puedeestar redirigido a otra cuenta.Algunos programas de correo, requieren que se compile el archiv o/etc/aliases a un f ormato binario, para que pueda ser procesado masrápido. Para realizar esto se utiliza el comando newaliases.Otra f orma de redirigir el correo es hacerlo desde las cuentas deusuarios, para eso se edita el archiv o ~/.forward dentro de losdirectorios de inicio de los usuarios.

Programas complementariosAdemás del serv idor SMTP, un serv idor de correo seguramente tengamas sof tware. Como los programas para implementar los protocolosPOP o IMAP. Fetchmail: Este programa rellena un agujero en la cadena de env íode correos. Si se tiene un pequeño sitio que depende del ISP paraenv íos de correo, seguramente el ISP soporte nada mas que IMAP oPOP. Si se quiere usar una v ariedad de clientes de correo, es posibleque se quiera tener su propio serv idor SMTP, y tal v ez su propioserv idor POP o IMAP, para entregar correos localmente. Para haceresto, se necesita un programa que saque el mail usando POP eIMAP y luego lo iny ecte dentro de una cola SMTP. Este es el trabajoque realiza Fetchmail. La may oría de los sitios no lo tiene, pero paralos que lo necesitan, es indispensable.Cyrus Imap: Soporta tanto IMAP como POP.Dovecot: Es un MDA (Mail Delivery Agent)También soporta IMAP yPOP, hace énf asis en la v elocidad y en la seguridad..

241

lpr env ía un trabajo de impresión a una cola especif ica. Esta colacorresponde a un directorio en el disco rígido, generalmente unsubdirectorio dentro de /var/spool/cups/ . El demonio de CUPS correen el segundo plano, esperando a trabajos de impresión que seanenv iados. El sistema de impresión acepta trabajos de impresión delpr o de otras computadoras remotas, monitorea colas de impresión.

ConfiguraciónEn otros sistemas operativ os, como Windows o Mac, se utiliza uncontrolador de impresión, que se ubica en el medio de la aplicación yla cola de impresión. En Linux, el controlador, es parte deghostscript, que es parte de la cola de impresión. No todas lasaplicaciones o impresoras necesitan de ghostscript, Ghostscriptsirv e como una manera de traducir a PostScript, un lenguaje deimpresión común, en f ormas que sean entendidas por todas lascomputadoras. Entender la capacidad de ghostscript, y como encajacon la cola de impresión, es importante para entender comoconf igurar impresoras.

PostScript: El lenguaje de Impresión de FactoLas impresoras PostScript se v olv ieron populares como accesoriosde sistemas de Unix durante los años 80. Las colas de impresión deUnix no f ueron pensadas con driv ers del estilo Windows en mente.Por lo que las colas de Unix se construy eron en base a PostScript.El problema con PostScript es que las impresoras de precio bajo ymedio generalmente no lo entienden, por lo que necesitan untraductor en el medio. Aquí es donde Ghostscript hace su aparición.

GhostScriptCuando una computadora utiliza una impresora tradicional dePostScript, esta le env ía una archiv o PostScript directamente a laimpresora. PostScript es un lenguaje de programación, cuy o objetiv oprincipal es conseguir una pagina impresa como salida. Ghostscriptes un interpretador de PostScript que corre en una computadora.Toma una entrada de PostScript y produce una salida en unav ariedad de f ormatos de mapas de bits, los cuales pueden serentendidos por impresoras que no usen PostScript.

Configuración de CUPSCUPS utiliza v arios archiv os de conf iguración ubicados en /etc/cupsy sus subdirectorios para manejar esta operación. Estos archiv ospueden ser editados directamente, y es probable que se necesario

244

hacerlo si se quiere compartir la impresora entre v arios subsistemasCUPS. La manera mas simple de agregar impresoras a CUPS escon la utilidad de conf iguración Web.

Archivos de configuración de CUPS.Se pueden agregar, quitar o editar impresoras a trav és de/etc/cups/printers.conf, el cual consiste de def iniciones deimpresoras. Cada def inición empieza con el nombre de la impresora,identif icado por el string DefaultPrinter o Printer.

245

9. Fundamentos de redesConceptos fundamentales de redes (109.1)Protocolos componentes de la pila TCP/IPConfiguración básica de red (110.2)Comandos básicos para conf igurar la redResolución de problemas de red (109.3)En esta subunidades se v en herramientas y consejos parasolucionar problemas en la red.Configuración del cliente DNS (109.4)En esta subunidad rev isamos como realizar la conf iguración delcliente DNS.

247

Paquetes de redLas redes modernas operan en base a bloques de inf ormaciónconocidos como paquetes. Cuando se env ía un archiv o de 100KBdesde una maquina hacia otra, la computadora div ide este archiv oen bloques mas pequeños. Si se div iden los 100KB en 20 paquetesde 5KB, en el caso de que un paquete se pierda en el camino, no esnecesario retransmitir todo el archiv o de v uelta, sino queretransmitiremos solo los 5KB que perdimos.

Pila de protocolosEl conjunto de protocolos que f orman parte del proceso que se dacada v ez que se intercambia un datos entre dos computadoras, sellama la pila de protocolos. Esta pila se div ide en v arias capas, cadauna de las cuales cumple un determinado tipo de f unciones.Cada una de estas capas interactúa con las capas pares de la otracomputadora para intercambiar datos y a su v ez hace uso de lacapa que tiene abajo para que ella encapsule sus paquetes y losllev e a destino.Las capas de la pila TCP/IP son:

Capa de AplicaciónEsta capa prov ee serv icios al sof tware de aplicaciones corriendo enuna computadora. Algunos protocolos de capa de aplicación son FTP,HTTP, DNS y SMPT.

Capa de TransporteEs la capa que se ocupa de gestionar la entrega de los paquetes dedatos entre la computadora que origina estos datos y lacomputadora que es la destinataria f inal de estos datos. Los dosprotocolos f undamentales de esta capa son TCP y UDP.

Capa IP o de InternetEncuentra las rutas correctas para dirigirse a las direcciones IP dedestino. El protocolo IP es el protocolo f undamental de Internet.

Capa de Acceso a DatosDef ine el protocolo y el hardware necesario para entregar datos pormedio de una red f ísica. Incluy e todas las v ariaciones de losprotocolos de Ethernet y otros estándares de LAN. También incluy eestándares de WAN como PPP y frame relay.

Protocolo de control de transmisión (TCP)TCP es el protocolo de capa de transporte mas usado. Como su

250

cima de esta jerarquía se encuentran los dominios de niv el superior,como son .ar, .com y .edu. Dentro de los dominios de niv el superiorencontraremos dominios de segundo niv el, que corresponden aorganizaciones, como uba.ar o google.com. Y dentro de esosdominios, podemos tener otros dominios de menor jerarquía onombres de computadoras, asociados a direcciones IP.El sistema de Nombres de Dominio (DNS) es una base de datosdistribuida que conv ierte direcciones IP en nombres de dominio.Cada dominio debe mantener al menos dos serv idores DNS quetengan la capacidad de prov eer los nombres de dominio de cadacomputadora dentro del dominio.

Comando hostDescripciónEl comando host realiza búsquedas DNS y nos dev uelv e losresultados.

Comando digDescripciónEste comando puede realizar consultas DNS mas complejas quehost.

Puertos de redUna v ez que se realiza la conexión con una computadora remota, sedebe especif icar que programas queremos contactar. Por ejemplo, sise quiere conectar con el serv idor web o con un serv idor FTP. Lamanera que se dirige el traf ico a los programas correctos y a su v ezse restringe este traf ico es mediante puertos lógicos.

Puertos comunesTCP20 FTP21 FTP22 SSH23 Telnet25 SMTP53 DNS80 HTTP110 POP3111 Portmapper113 Auth/Ident119 Network News Transf er Protocol

253

139 NetBios Session143 Imap389 Ldap443 HTTP ov er SSL445 Microsof t Directory Serv ices465 SMTP sobre SSL631 Internet Printing Protocol993 Imap sobre SSL

UDP67 DHCP161 SNMP177 XDMCP

Configuración DNSPara resolv er nombres DNS podemos optar por 2 opciones o unacombinación de las dos. La primera es usar un archiv o local quecontenga los pares que v inculan direcciones IP y nombres DNS.Ese archiv o v iene por def ecto en todas las distribuciones y se llama/etc/hosts. La segunda es usar serv idores DNS, los cuales podemoslistar dentro del archiv o /etc/resolv.conf . Lógicamente, hay queref erenciar los serv idores DNS por su dirección IP, y a que Linux nopodrá resolv er nombres si no puede ubicar a los serv idores DNS.Generalmente, se consulta primero al archiv os local hosts antes quea los serv idores DNS. En el caso de que queramos cambiar el ordenen que Linux realiza consulta de DNS, podemos editar el archiv o/etc/nsswitch.conf .

254

Establecer los servidores DNS en el/etc/resolv.confEste archiv o nos permite establecer cuales son los serv idores DNSque debemos consultar, podemos indicarle entre 1 y 3 serv idores.Aunque generalmente se suelen poner solo dos.La sintaxis es la siguiente:…nameserver 173.203.4.9nameserver 173.203.4.8…La dirección IP de los serv idores DNS v a precedida por la palabraclav e nameserver.

267

10. SeguridadGestión de la seguridad (110.1)En esta subunidad se hace una introducción a los conceptos básicosde seguridad. También se v en como podemos usar algunoscomandos para realizar tareas de seguridad.Seguridad del host (110.2)Esta subunidad detalla los pasos necesarios para aumentar laseguridad de un sistema Linux. Es importante entender esta tareacomo un proceso recurrente el cual siempre puede ser mejorable. Técnicas de encriptado (110.3)En esta subunidad se hace una introducción a las técnicas deencriptado disponibles. Se hace f oco en las herramientas SSH yGPG.

269

Gestión de la seguridadConceptos Claves

Inspeccionar un sistema para encontrar archiv os con el bitSUID/SGID.Gestionar las contraseñas de usuarios y su política deexpiración.Saber utilizar nmap y netstat para descubrir puertos abiertos.Establecer límites de inicios de sesión, uso de procesador yuso de memoria.Conf iguración y uso básico de sudo.

Términos y utilidadesf ind passwdlsof nmapchage netstatsudo /etc/sudoerssu usermodulimit

IntroducciónUna buena gestión de la seguridad nos permitirá mantener nuestrosistema f uncionando sin interrupciones y mantener nuestros datos asalv o. Hay una serie de conceptos que hay que entender para poderutilizar las herramientas disponibles para gestionar la seguridad.

Peligros de los archivos SUID y GUIDRecordemos que estos archiv os le otorgan al usuario los mismospermisos con los que cuenta el usuario que es dueño del archiv o. Sibien este esquema de delegación de permisos es importante paraadministrar el sistema, tiene sus consecuencias en cuanto a losriegos que genera.Es lógico que el programa passwd (/usr/bin/passwd) tenga estospermisos. Ya que para cambiar su propia contraseña, un usuariodebe escribir en el archiv o /etc/shadow; sobre el cual solo rootdebería tener permisos de escritura. Por lo que este es un caso deuso adecuado de SUID.

271

Para v er un caso potencialmente muy peligroso, podemos v er lospeligros que se generarían si el programa Vi tuv iera permisos deSUID. Recordemos que VI tiene la posibilidad de ejecutar comandosde Shell, los cuales toman los permisos que el proceso de Vi. Por lotanto, si se ejecuta Vi con SUID de root, se obtienen todos lospermisos para ejecutar comandos con los que cuenta root. Con laimplicancia en materia de seguridad que esto trae.Es entendible, entonces, que debamos inspeccionar regularmentenuestro sistema, en busca de archiv os que utilicen este tipo depermisos especiales.

Como encontrar archivos SUID y GUIDPara localizar estos archiv os se puede utilizar el comando find,aprov echando que este comando tiene la habilidad de buscar pormodo (permisos de usuarios). Aquí se pueden v er algunos ejemplosde búsquedas con find.

Encontrar archivos con SUID# sudo find / -perm +4000

Encontrar archivos con GUID# sudo find / -perm +2000

Encontrar archivos con GUID o SUID# sudo find / -perm +6000

Encontrar archivos con GUID y SUID# sudo find / -perm -6000 Si se precede el modo con un signo más (+), find busca todos losarchiv os en los que alguno de los bits de permisos especif icadoseste f ijado. En cambio si se utiliza un signo menos (-), solo trae losarchiv os en los cuales los dos bits estén f ijados.

Comando chageDescripciónEl comando chage modif ica v arios parámetros relacionados a laexpiración de las contraseñas y las cuentas de usuario.

Sintaxischage [opciones] usuario

Opciones-E fecha_expiración: Establece la f echa de expiración de lacontraseña.-d ultimo_día: Establece la f echa en el que la contraseña se

272

cambio por ultima v ez-I días_inactivo: Luego de cuantos días de expirada la contraseñase deshabilita la cuenta-m días: Establece mínimo de días que tienen que pasar desde elultimo cambio de contraseña para poder v olv er a cambiar-M días: Estable máximo de días que un usuario puede manteneruna mismo contraseña antes de cambiarla.-w días: La cantidad de días antes de que expire la contraseña queel usuario recibirá el mensaje de adv ertencia.-l: Lista las opciones de contraseña de un usuario.

Comando usermodDescripciónModif ica una cuenta de usuario existente. Como herramienta deseguridad, nos permitirá habilitar y deshabilitar cuentas de usuario.

Sintaxisusermod [opciones] usuario

Opciones de uso más frecuente -L: Bloquea la contraseña, deshabilitando la cuenta.-U: Libera la contraseña, habilitando la cuenta.-c Comentario: Establece el v alor del comentario (campo 5 delpasswd)-d Directorio: Estable el directorio de inicio

Monitoreo de puertos de redHay tres herramientas que nos permiten monitorear puertos abiertosen la red. Dos de ellas v ienen instaladas y la tercera hay queinstalarla. Ellas son lsof, netstat y nmap.

Comando lsofDescripciónEste programa nominalmente lista archiv os abiertos, pero tambiénse puede usar para identif icar que serv icios están en uso, usando laopción -i.

Ejemplo# lsof –i

Comando netstatSe usa para listar conexiones de red, tablas de ruteo y otrainf ormación sobre la operaciones de red en general. Para v er las

273

conexiones de red, podemos usar las opciones –a y –p.# sudo netstat –ap

Comando nmapNmap permite inspeccionar una red para encontrar puertos que esténabiertos, y a sea en la computadora local, en una computadoraremota o en una red entera.

Sintaxisnmap [ Tipo Sondeo ] [Opciones ] IP_objetivo Nmap es una herramienta muy potente y compleja que permitedif erentes tipos de sondeos de red. Dif erentes escenarios requierendif erentes tipos de sondeos, esta en la experiencia del administradorsaber cual es el adecuado.Se usa tanto para examinar redes propias como redes ajenas, por loque es una herramienta habitual entre las que suelen usar loscrackers.

Ejemplo 1Examinar la red para v er que hosts están activ os# nmap 192.168.0.0/24

Ejemplo 2Ver que puertos están abiertos y que serv icios corren en ellos# nmap 192.169.0.20

Ejemplo 3Intentar detectar sistema operativ o# nmap -O 192.169.0.20

Ejemplo 4Ver que programas corren en los puertos# nmap -sV 192.169.0.20

Restringir el uso de el usuario root con SudoPor el hecho de que el usuario root puede hacer cualquier cosadentro de una computadora, es lógico restringir su acceso.Sudo es un programa que se utiliza para que los administradores desistema permitan que ciertos usuarios ejecuten ciertos comandoscomo root (u otro usuario).

274

La f ilosof ía básica es dar la menor cantidad de priv ilegios, peroigualmente permitir que se realicen las tareas necesarias.Sudo también permite llev ar una auditoria de quien ejecuto quecomando y cuando lo ejecuto.

Beneficios de usar SudoRegistro de Comandos: Se puede tener un registro de comandos.Los cuales pueden ser trazados al usuario que los emitió.Permitiendo realizar auditorias.Registro centralizado de comandos: Se puede usar en conjuntocon el demonio de registros (sy slog) para centralizar los registros enuna sola computadora.Restricción de comandos: Cada usuario o grupo puede ser limitadoen cuanto a cuales comando podrá ejecutarSistema de Tickets: El sistema de tickets establece un limite detiempo cuando un usuario ingresa en modo sudoAdministración centralizada de múltiples sistemas: Lasconf iguraciones sudo son escritas al archiv o /etc/sudoers. Estearchiv o puede ser usado en múltiples sistemas y permite laadministración desde una computadora central.

Configuración de sudo con el archivo /etc/sudoersEl f uncionamiento de sudo se conf igura a trav és del archiv o/etc/sudoers, el cual no debe ser editado directamente, debe sereditado con el programa v isudo. El contenido de este archiv oconsiste en dos tipos de entradas:Aliases: Son básicamente v ariables, se pueden usar para def inirgrupos de comandos, grupos de usuarios, etc.Especificaciones: Vinculan usuarios o aliases con computadoras ycomandos.

Tipos de AliasesAliases de Usuario: Se utilizan para especif icar grupos de usuarios.Se pueden especif icar nombres de usuario y grupos del sistema(con el pref ijo %).Aliases de “ejecutar como” : Son muy similares a los Aliases deusuario, con la dif erencia que se pueden indicar usuarios por UID.Aliases de Host: Es una lista de nombres de hosts, direcciones IP yredes.Alias de Comandos: Son listas de comandos y directorios.

Ejemplo# Comandos para apagar el sistema

275

Cmnd_Alias SHUTDOWN_CMDS = /sbin/shutdown,/sbin/reboot, /sbin/halt# Comandos de impresiónCmnd_Alias PRINTING_CMDS = /usr/sbin/lpc, /usr/sbin/lprm# Comandos administrativosCmnd_Alias ADMIN_CMDS = /usr/sbin/passwd,/usr/sbin/useradd, /usr/sbin/userdel, /usr/sbin/usermod,/usr/sbin/visudo# Comandos WebCmnd_Alias WEB_CMDS = /etc/init.d/apache2

Comando suEl comando su se utiliza para cambiar de usuarios, su nombre v ienede Switch User (Cambiar Usuario). En el caso de que se ingrese elcomando si ningún parámetro, intentara iniciar sesión como root, porlo que se pedirá la contraseña de root.Si se le pasa como argumento el nombre de otro usuario, seintentara pasar a ese usuario. Para ejecutar un solo comando comootro usuario, se puede usar la opción -c.

UlimitEl comando ulimit limita el uso de recursos del sistema, es uncomando interno de Bash, por lo que af ecta solo a Bash y losprogramas que se lanzan desde Bash.

Sintaxisulimit [opción [limite]]

OpcionesOpción Descripción-a Muestra los limites actuales

-u numero Numero máximo de procesosdisponibles a un usuario.

-x numero Numero máximo de bloqueo dearchiv os

-v numero Máxima memoria disponible parael shell, en kiloby tes.

-H El limite es rígido.

-S El limite es f lexible.

276

Seguridad del HostConceptos Claves

Conocimiento de contraseñas shadow y su f uncionamiento.Desactiv ar serv icios de red que no estén en uso.Comprender el rol de los TCP wrappers.

Términos y utilidades/etc/nologin /etc/passwd/etc/shadow /etc/xinetd.d/*/etc/xinetd.conf /etc/inetd.d/*/etc/inetd.conf /etc/inittab/etc/init.d/* /etc/hosts.allow/etc/hosts.deny

IntroducciónPara mantener segura nuestra computadora debemos tener encuenta detalles como el uso apropiado de contraseñas, el monitoreode puertos de red y el control sobre los serv icios que se ejecutancon acceso a la red.

Gestión de ContraseñasLa may oría de las distribuciones de Linux implementa el sistema decontraseñas Shadow. En el cual, las contraseñas no sonalmacenadas en el archiv o /etc/passwd como se hacia en loscomienzos sino que son almacenadas en un archiv o separado, el/etc/shadow.El /etc/shadow, además de contener las contraseñas de losusuarios, contiene la siguiente inf ormación, almacenada en 8campos separados por dos puntos (:). Una línea del archiv o shadow se v ería así.…adolfo:$6$OTVKm:15786:0:99999:7:::… Los campos son:

279

Campo Descripción1 Nombre usuario

2 Contraseña

3 Ultimo Cambio de Contraseña

4 Mínimo de días que tienen quepasar desde el ultimo cambio decontraseña para poder v olv er acambiar

5 Máximo de días que un usuariopuede mantener una mismacontraseña antes de cambiarla

6 La cantidad de días antes deque expire la contraseña que elusuario recibirá el mensaje deadv ertencia.

7 La cantidad de días después deque hay a expirado lacontraseña, después de loscuales se deshabilitara lacuenta.

8 Fecha de expiración de lacuenta

Súper ServidoresMuchos programas que son serv idores en una red, abren puertos yescuchan conexiones directamente. Algunos otros, usan unintermediario, llamado súper serv idor.Este programa escucha por conexiones en representación de otroprograma y luego, una v ez iniciada la conexión le pasa el control alprograma indicado. Estos trae v entajas desde el punto de v ista deperf ormance y seguridad.Históricamente el súper serv idor estándar era inetd, peroactualmente es mas f recuente encontrarse con su sucesor, xinetd.

Archivo Inetd.confEste archiv o contiene la siguiente inf ormación.

Línea Típica…ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.ftpd -l

280

… Nombre del Servicio: El nombre del serv icio como aparece en elarchiv o /etc/services.Tipo de Socket: Stream (f lujo), dgram(datagrama) o raw (conexiónde bajo niv el).protocol: Si se utiliza tcp o udp como protocolo de capa detransporte.wait/no wait: Si se conecta y libera el socket o si procesa todos lospaquetes y luego realiza un timeout (wait).Usuario: El usuario que corre el serv icio. root y nobody sonopciones comunes.Servidor: El serv idor que corre el serv icio.Parámetros: Aquí se indica quien es quien realmente corre elserv icio.

TCP WrappersEstos prov een un programa llamado tcpd. En lugar de que inetdinv oque al serv icio directamente, inetd llama a tcpd, que chequea siel programa esta autorizado a correr; si es así, lo inv oca.TCP wrappers se conf igura por medio de 2 archiv os, /etc/hosts.allowy /etc/hosts.deny . El primero especif ica computadoras que tienenpermitido acceder al sistema de determinada manera, los sistemasno listados, no tienen acceso.El archiv o hosts.deny, en contraste, def ine todos los hosts conacceso denegado, si un host no f igura en la lista, tiene accesopermitido. Si existen los 2 archiv os, hosts.allow tiene precedencia.

XinetdXinetd es el sucesor tanto de inetd como de los wrappers tcp, y aque incorpora las f unciones de f iltrado de los wrappers.Se conf igura a trav és de el archiv o /etc/xinetd.conf. Este contienelas opciones globales por def ecto y una directiv a para incluir losarchiv os dentro de el directorio /etc/xinetd.d.Cada serv icio que corre por medio de xinted instala un archiv odentro de xinetd.d con sus propias opciones de conf iguración.El f ormato es distinto al inetd.conf, pero las opciones son similares,agrega un opción disable, para habilitar y deshabilitar el serv icio.

Bloquear el acceso a usuarios con /etc/nologinEn el caso de que se necesite realizar tareas de mantenimientodurante las cuales sea necesario restringir el acceso a usuarios queno sean root. Lo que se puede hacer es crear un archiv o, llamado

281

/etc/nologin; el cual con su sola presencia, le indica a Linux que sololos usuarios normales no pueden iniciar sesión en el sistema. Si seingresa algún texto en ese archiv o, los usuarios que intenten iniciarsesión, recibirán el mensaje ingresado en el /etc/nologin.

Desactivar los servicios que no estén en usoEs importante tener controlado la cantidad de serv icios que tengoejecutándose en el sistema. Una manera de rev isar esto, esinspeccionar los directorios que contienen rutinas de inicio.Dependiendo si se trabaja con SysV, Upstart o . Estos directorios v ariaran.

282

Técnicas de encriptadoConceptos Claves

Conf iguración básica del cliente SSH 2Comprender el rol de OpenSSHConf iguración y uso de GnuPGComprender el f unción de los túneles SSH (Incluy endotúneles X11)

Términos y utilidadesssh ssh-keygenssh-agent ssh-add~/.ssh/id_rsaid_rsa.pub~/.ssh/id_dsaid_dsa.pub/etc/ssh/ssh_host_rsa_keyssh_host_rsa_key.pub/etc/ssh/ssh_host_dsa_keyssh_host_dsa_key.pub~/.ssh/authorized_keys /etc/ssh_known_hostsgpg ~/.gnupg/*

Criptografía con clave publicaUna clav e es un archiv o que contiene una clav e utilizada para cif rary descif rar inf ormación. Si se usa un esquema de clav epublica/clav e priv ada, hay dos tipos de clav es a tener en cuenta.clave publica: se guarda en un serv idor publico y se utiliza paraencriptar.clave privada: se guarda secretamente, y es usada para decriptarcualquier mensaje encriptado con la clav e publica. Las clav espriv adas también se usan para f irmar mensajes digitalmente.

OpenSSHOpenSSH (Open Secure Shell) es un conjunto de aplicaciones quepermiten realizar comunicaciones encriptadas a trav és de una red,usando el protocolo SSH. Es un desarrollo de sof tware libre realizadopor el proy ecto OpenBSD. La suite OpenSSH reemplaza a Telnet con

284

el programa ssh, a rcp con scp, a f tp con sftp.

Configuración del servidor SSHLa misma se realiza editando el archiv o /etc/ssh/sshd_config

OpcionesProtocol: Establece que protocolo SSH utilizar, 1 o 2. Lo ideal essoportar solo SSH 2, y a que la v ersión 1 ha demostradov ulnerabilidades.PermitRootLogin: Esta opción sirv e para determinar si se aceptaninicios de sesión directamente como root. El v alor por def ecto esy es.X11Forwarding: Establece que los túneles para X11 estándisponibles.

Claves SSHUn proceso de autenticación basado en contraseñas puede serv ulnerable a ataques de f uerza bruta. Para mitigar estav ulnerabilidad, ssh soporta autenticación por clav e publica. ~/.ssh/authorized-keys: guarda las clav es publicas de lasmaquinas objetiv o. Estas clav es no son inf ormación sensitiv a ypueden ser conocidas por cualquier persona, mientras que laspriv adas pueden ser cuidadosamente protegidas.SSH-Agent recuerda la clav e decriptada para que no sea necesariorecordarla. Parte de la seguridad de SSH inv olucra clav es de encriptación. Cadaserv idor tiene una clav e única para identif icarse. SSH usa unsistema que inv olucra dos clav es, una publica y una priv ada. Lascuales están matemáticamente v inculadas de una manera que losdatos encriptados con la clav e publica, solo pueden serdesencriptados con la clav e priv ada. Cuando se establece unaconexión, cada parte le env ía su clav e publica a la otra. Después deeso, cada parte encripta los datos con la clav e publica de la otraparte. Los clientes SSH típicamente conserv an las clav es públicasde los serv idores que han contactado. Esto los habilita a reconocercambios, los cuales pueden ser un indicio de alguna manipulación delserv idor.La may oría de los scripts de inicio de los serv idores SSH contienencódigo que busca clav es publicas y priv adas que estén

285

almacenadas, si no las encuentra, genera clav es nuev as. En total,entre 4 y 6 clav es son necesarias: clav es publicas y priv adas para2 o 3 herramientas que encriptado que soporta SSH. Estas clav esgeneralmente se almacenan dentro de /etc/ssh y se llamanssh_host_rsa_key y ssh_host_dsa_key para las clav es priv adas yel mismo nombre pero con la extensión .pub para las publicas.Algunos sistemas agregan ssh_host_rsa1_key y su respectiv aclav e publica. En el caso que no se tengan estas clav es, se puedengenerar con el comando ssh-keygen. # ssh-keygen -q -t rsa1 -f /etc/ssh/ssh_host_rsa1_key -C '' -N ''# ssh-keygen -q -t rsa -f /etc/ssh/ssh_host_rsa_key -C '' N ''# ssh-keygen -q -t dsa -f /etc/ssh/ssh_host_dsa_key -C '' N ''

Cuando se conf igura un sistema cliente, es una buena idea crear uncache global de clav es. Si bien cada usuario guarda las clav esconocidas dentro ~/.ssh/known_hosts, es bueno mantener el cacheglobal. Para eso hay que popular el archiv o ssh_known_hosts quesuele guardarse dentro de /etc o de /etc/ssh/

Ejercicio1. Iniciar sesión en la maquina cliente2. Ejecutar el siguiente comando para generar una nuev a clav e

SSH:

ssh-keygen -q -t rsa -f ~/.ssh/id_rsa -C '' -N ''

3. El paso anterior genera 2 archiv os, id_rsa y id_rsa.pub. Hayque transf erir el segundo al serv idor SSH, copiar el archiv obajo un nombre temporal, como temp.rsa.

4. Iniciar sesión en el serv idor SSH5. Agregar el contenido del archiv o que acabamos de transf erir

al f inal del archiv o ~/.ssh/authorized_keys o~/.ssh/authorized_keys2 .

Agente SSH (ssh_agent)El agente SSH nos permite gestionar nuestras conexiones SSH deuna manera mas ef iciente. Este recuerda, mientras dure la sesión,todas las clav es priv adas del usuario, por lo que solo deberemosingresar la contraseña una v ez.

286

Túneles SSHLos túneles SSH permiten que protocolos de red que no soportanencriptación, se monten encima de una conexión SSH para encriptarsus datos.

GPGGPG nos permite encriptar correos electrónicos. GPG GnuPG es unaimplementación de código abierto del sof tware propietario PGP(Pretty Good Privacy).GnuPG no solo permite encriptar mensajes, sino que tambiénpermite f irmar digitalmente estos mensajes. Para generar clav es, hay que ejecutar el comandogpg --gen-keygpg --export [email protected] > gpg.pub

GPG Keyring El repositorio de clav es publicas de llama keyring y almacena todaslas clav es priv adas y publicas que tengamos. Para agregar unaclav e publica usamos el siguiente comando:gpg --import archivo.asc

Para v er las clav es que tenemos en el key ring, podemos usar elcomando:gpg --list-keys

287

Certificación linux lpic 1 en 10 días - adolfo olivera

Technology

Transcript of Certificación linux lpic 1 en 10 días - adolfo olivera