Apuntes Certificacion LPIC-2 Por Jorge Andrada

Apuntes para la certificacin
LPI nivel 2
Jorge Andrada Prieto
Licencia
Esta obra est licenciada bajo la Licencia Creative Commons Atribucin-
NoComercial-CompartirIgual 3! "nported Para ver una copia de esta
licencia# visita $ttp%&&creativecommonsorg&licenses&b'-nc-sa&3!&
Contacto
monino(gmailcom (monino jandradap
Bibliografa
Aclarar que cubre los objetivos LPIC-2 para la versin 3.5.0
Para la realizacin de los apuntes me baso en pginas man, wiki lpi, Gua de estudio - Exmenes
!" # !, Ana#a $ultimedia %&'(-")* +,---.-."/-)!".-! 0recomendable su compra1 # por
supuesto san google 21
Agradecimientos
Grison # Rano* por su apo#o # su gran amistad
Paquintosita, Carlos Lpe # P!"uintas* por esas risas # ca34s en la biblioteca
Lolo, Bala, #ose, $%uleto, Arboleda # dems colegas* por 5acerme desconectar los 3ines de
semana # pasarlo de arte
Carmen Poo por esos momentos de relax en sitios tan ricos # aguantarme
Colegas del curro como 6&r 'emenino7 por darme ca8a cuando esto# de descanso-estudio,
Rub(n )*u+n, por ser un compi 3ricazo de lo me9or que 5a#: *on por las pec5 de reir #
#pagador, ;uanillo, -egra, (e3er, Pepe, Adolfo, etc<
=olegas de diablo./esp!com* por a#udarme a mendigar al no tener tiempo
*i pelirro0a* por 5acerme ms amena las 5oras de estudio con su bonita sonrisa<<<ains,
gracias desconocida<<<de momento
$is padres # mi vaca asquerosa 0mi 5ermana1 por muc5as cosas<
1ema 2234 5ernel de Linu6
223!3 Componentes del 5ernel
&e puede descargar el >ernel 6Linu6 5ernel Arc7ives7 0www<kernel<org1 o mediante actualizacin
del sistema 0#um, apt, etc1<
Es complicado distinguir entre >ernel estable e inestable<
?ormato* 6versin!subversin!nuevas funciones importantes!arreglos de esa versin7<
Podemos @er la @ersin que se est e9ecutando actualmente con 6uname /a7<
Nota: actualizar el Kernel sin reiniciar (para sisteas !ue no pue"en tener inactivi"a"# se usa la
$erraienta %)splice&' !ue con(ela la ejecucin "e pro(raas !ue (estiona el )ernel' cabia el
nuevo Kernel * retoa la operacin "e los pro(raas. +s totalente transparente.
El cdigo 3uente del >ernel reside en 68usr8src8linu6/version9que9sea7, otras distros lo ubican en
68usr8src8%ernel8linu6/version7<
An @nculo simblico de 68usr8src8linu67 debe apuntar al directorio actual del >ernel 3uente
0modi3icamos con 6ls /ld 8usr8src8linu671< =on @arios >ernels 5a# que 5acerlo a mano 6rm
8usr8src8linu6, # 6ln /s 8usr8src8linu6/version 8usr8src8linu67<
&e puede instalar con 6:um # apt7, buscando 6linu6/source o %ernel/devel7, tambi4n podemos
instalar slo las cabeceras con 6linu6/7eaders o %ernel/7eaders7<
;ocumentacin*
&e encuentra en 68usr8src8linu68R&A;*&7< Ba documentacin espec3ica # subsistemas del
>ernel se encuentra en 68usr8src8linu68;ocumentation7, pero es enorme, 5a# un ndice 622/
I-;&<7<
Binarios del 5ernel*
Ana @ez compilado, el >ernel produce dos arc5i@os, dos categoras*
Arc7ivo principal del %ernel* contiene las partes centrales del >ernel, es procesado por el
bootloader< Ceside en 687<
*dulos del 5ernel* residen 68lib8modules87, con subdirectorios para @ersiones<
1abla de arc7ivos principales del 5ernel*
vmlinu6* @ersin descomprimida del kernel, creado como paso intermedio< (o arrancable<
vmlinu* @mlinux comprimida, arrancable con algunas 3unciones< &uelen ser nombres de
>ernels binarios precompilados<
Image* obsoleto, tama8o limitado a /" >'<
bImage* sustitu#e al obsoleto z%mage< (ombra >ernels compilados localmente<
5ernel* binario estilo bz%mage, usado por bootloaders como Grub<
223!2 Compilar un 5ernel
Configurar las fuentes del 5ernel* 5a# miles de opciones de con3iguracin, para con3igurarlo bien
5a# que*
LPIC 2 1emario 223 b' Jorge Andrada = 8 >?
Investigar su 7ard@are* tener un mdulo innecesario a8ade tiempo de carga del &D< Ea# que leer
los manuales del 5ardware # usar* lspci, lsusb # lsmod<
Atiliar ob0etivos ma%e del 5ernel*
Algunos son*
mrproper* elimina arc5i@os de con3iguracin # temporales antiguos<
oldconfig* actualiza un arc5i@o de con3iguracin antiguo con elementos nue@os<
virtualdconfig* oldcon3ig pero ms ordenado por pantalla<
defconfig* crea un arc5i@o de con3ig nue@o con los @alores por de3ecto<
allmodconfig* crea un arc5i@o de con3iguracin que emplea toda la con3iguracin modular
posible<
config* con3igura todos los elementos del >ernel usando un inter3az basada en texto<
menuconfig* con3igura el >ernel usando un sistema de menF basado en texto<
6config* como menucon3ig, pero con GA% basada en Gt<
gconfig* xcon3ig, pero basado en Gtk<
Bpciones de configuracin*
=on menucon3ig, xcon3ig o gcon3ig< Alguna con3iguracin importante*
Configuracin generalCDersin local* para montar el mismo >ernel con di3erentes
opciones<
Configuracin generalC $oporte Ram inicia : disco inicial* 0intranHHHIinitrd1* si se usa un
disco CA$ inicial<
Configuracin generalC Eabilitar soporte de mdulo cargable* no podra cargar dri@ers
que no @engan del >ernel< $uc5os incon@enientes<
1ipo : funciones el procesadorC $oporte de multiproceso* 5abilita ms de una =PA o
nFcleo por =PA<
1ipo : funciones del procesadorC 'amilia del procesador* se logra rendimiento
especi3icando una =PA concreta<
Compilar un 5ernel4
Eacemos 6ma%e7 en el directorio 3uente del kernel< Podemos compilar el >ernel por separado con
6ma%e nImage o Image7 # los mdulos con 6ma%e modules7< Para localizar errores* 6*a%e
Image F grep /i@ )error,7<
Preparar un disco de RA* inicial*
Es una coleccin de mdulos 3undamentales del >ernel # grupo de utilidades del sistema que el
bootloader pasa al >ernel en el arranque< El >ernel accede a ellos en la memoria como si 3uese un
disco, carga mdulos # e9ecuta scripts para montar 687< Es necesario cuando usamos* CA%J, BK$ o
(A& 0&A( en espa8ol1, pero recomendable para los dems<
Eerramientas de creacin*
m%initrd* RedEatG 'edora : relacionados< Ea# que pasarle el nombre de imagen de disco
CA$ # su nL de @ersin del >ernel* 6m%initrd 8boot8initrd/2!>!.2!?!img 2!>!.=!?7< Esto
crea el arc5i@o 6IbootIinitrd--M-)/-.7< =on 6/f, borra los anteriores antes de crear el nue@o<
m%initramfs* igual que 6m%initrd7 pero 5a# que especi3icar el nombre con 6/o7, e9emplo*
6mkinitram3s -o IbootIinitram3s-<M<)/<.<img <M<)/<.7<
=on el comando 6rdev7 se cambia las opciones de modo KGA, tama8o de disco CA$, etc< $in
argumentos muestra la lnea de 68etc8mtab7 con el sistema root actual<
LPIC 2 1emario 223 b' Jorge Andrada > 8 >?
223!. Parc7ear el 5ernel*
(o siempre es necesario, permite realizar cambios en las 3uentes del >ernel sin tener que descargar
el >ernel nue@o entero, se obtiene el arc5i@o 6patc7/version!g o patc7/version!b27<
=on 6gip8bip2 /cd !!8 patc7/version!g8b2 F patc7 /pl7<
Para quitar el parc5e 6unzip -c <<Ipatc5-@ersion<tar<bz N patc5 -Cp"7<
223!? PersonaliarG compilar e instalar un %ernel personaliado : mdulos
&mpaquetar el 5ernel*
Para instalar el >ernel en otro sistema, se 5ace con 6rpm/p%gG binrpm/p%g o deb/p%g7 como
parmetros a make<
Es recomendable instalarlo sin actualizar el anterior >ernel 0lo borra1 por si no arrancase el pc<
Instalacin de un binario del 5ernel*
Ana @ez compilado el >ernel lo instalamos, copindolo a 68boot7, que suele estar desmontada para
e@itar errores en algunas distros< Ba imagen a copiar es un bz%mage en la ma#ora de las distros 6cp
arc7HHH86I>8boot8bImage 8boot8bImage/2!>!.=!?7<
(o es obligatorio, pero recomendable copiar tambi4n el arc5i@o 6$:stem!map7 que se usa para
depuracin del >ernel< =opiamos # creamos enlace simblico 68boot8$:stem!map7<
Oodo esto nos lo podemos a5orrar con 6ma%e JJ ma%e install7 que compila, copia el >ernel,
copia &#stem<map # modi3ica el bootloader<
Instalar los mdulos del 5ernel*
=on 6sudo ma%e modules9install7< Esta llama tambi4n a 6depmod7 que regenera el arc5i@o
6*odules!dep7 de dependencias<
A+adir el 5ernel a Grub*
Ba manera ms sencilla es copiar una entrada existente, pegarla # editarla<
Grub3* cambiar el 6title7 para identi3icarlo, cambiar el nombre de arc5i@o en la lnea
6>ernel7< &i se usa otro disco CA$, cambiar la lnea 6initrd7< (o borrar la otra sin 5aber
probado a iniciar el nue@o >ernel<
Grub2* copia de seguridad a 68boot8grub8grub!cfg7< Eacemos un 6sudo update/grub2 o
grub/m%config7< &i no lo encuentra porque tiene un nombre personalizado 0no se llama
@mlinuz o >ernel1 5a# que a8adirlo a mano en 68etc8grub!d8?2/custom7< $odi3icar el
6menuentr: 0el ttulo17 # los nombres del >ernel # disco CA$< &i queremos cambiar el
>ernel por de3ecto al inicio cambiamos el parmetro 6default7 en 68boot8grub8grub!cfg7<
Nota: si se instala "es"e binario' probableente lo a,a"a "e -ora auto.tica.
223!= Administrar mdulos del 5ernel durante la e0ecucin*
Bbtener informacin sobre el 5ernel4
=on 6uname /a7, con 6/o7 indica el &D 0Binux, ?ree'&J, &olaris, $acD&<<<1< El directorio 68proc7
tiene muc5a in3ormacin<
Bbtener informacin de los mdulos del 5ernel en e0ecucin4
Asamos 6lsmod7 para @er los mdulos cargados en el sistema< Oiene una columna llamada
LPIC 2 1emario 223 b' Jorge Andrada K 8 >?
6$odule7 que se le pasara como parmetro a 6modinfo7 si queremos @er ms in3ormacin sobre
ese mdulo< Ba columna 6Ased b:7 de 6lsmod7 describe que usa el mdulo< Lsmod no muestra
in3o de los dri@ers que se compilan directamente sobre el >ernel<
Cargar mdulos del 5ernel4 mediante dos programas*
ismod* carga un Fnico mdulo en el >ernel 0(o sus dependencias1< Cequiere el nombre
completo<
e9* 6insmod 8lib8modulos82!>!.=!?85ernel8drivers8cdrom8cdrom!5B7<
modprobe* carga el mdulo # los mdulos de los que depende< Es ms sencillo<
E9* 6modprobe cdrom7<ParLmetros*
/r* elimina<
/f* 3uerza la carga del mdulo<
/l partedelnombreM* lista los mdulos que coinciden<
En la prctica puede que no 5aga 3alta, #a que Binux los carga automticamente, pero puede ser Ftil
para probar nue@os mdulos<
&liminar mdulos del 5ernel*
=on 6rmmod7, que es lo opuesto a 6insmod7, 3unciona como modprobe 6rmmod
nombre9mdulo7< =on 6/f7 3uerza< =on 6/r7 borra el mdulo # los que dependen de 4l<
Eerramientas # arc5i@os para el mantenimiento de mdulos*
;ependencias de los mdulos* se almacenan en
68lib8modules8version5ernel8modules!dep7< El comando 6depmod7 lo reconstru#e<
Configuracin de los mdulos* en 68etc8modules!conf o 8etc8modules!conf!d o
8etc8modprobe!conf o 8etc8modprobe!conf!d7<
Pasar opciones a los mdulos del 5ernel* edita los arc5i@os de con3ig # pasarle opciones
a8adiendo una lnea de este tipo 6options nombre9mdulo opciones7 # luego reconstruir
con 6depmod7<
Nota: para ase(urarnos !ue un "ispositivo usa siepre un "eterina"o "ulo' $a* !ue a,a"ir
%alias dispositivo mdulo& en %/etc/o"ules.con-& o %/etc/o"probe.con-&' ejeplo: %alias et$0
3c501&.
LPIC 2 1emario 223 b' Jorge Andrada I 8 >?
1ema 222 Inicio del sistema
222!3 Personaliar el arranque : procesos de inicio
Identificar los servicios de un modo de e0ecucin*
Ea# maneras*
Editando el arc5i@o 68etc8inittab7 que tiene el siguiente 3ormato
6id4runlevels4accin4proceso7< *odos de e0ecucin4
2 Apagado
3 $onousuario
2 $ultiusuario en deri@adas de Jebian
. $ultiusuario en ?edora, CedEat # deri@adas
?
(o se usa
=
> Ceinicio
Para que los cambios sur9an e3ecto 5a# que reiniciar o 5acer un 6telinit "7<
$cripts de inicio o $:sD* se encuentran en 68etc8init!d8rc7 o en 68etc8rc!d8rc,< Bos scripts
espec3icos para cada ni@el de e9ecucin se encuentran en 68etc8init!d8rc<!d7 0PQ runle@el1<
&e le pasa 6start7 a los nombres que empiezan por 6$7 # 6stop7 a los 657<
&e e9ecutan por orden num4rico 6tipo$85nN-ombre7, e9emplo 6&"! network7<
$odi3icar estado de un ser@icio 68etc8init!d8nombre9servicio start8stop8restart8state7 o
con 6service nombre accin7<
Bos scripts de inicio &#sK de los directorios de los modos de e9ecucin, son @nculos
simblicos al script original<
Apstart* ms moderno que &#sK< En distros modernas< -o usa 68etc8inittab7, usa
68etc8init7 0en antiguos Apstart usa 6IetcIe@ent<d71<
A+adir servicio* crear un nombre9servicio!conf en 68etc8init87 # a8adir con 6start on
runlevel O.?P7 # parar con 6stop on runlevel O23>P7 0inicia en el !," # M1<
Para que Apstart relea los arc5i@os de con3ig, escribimos 6initctl reload7< Es compatible
con &#sK<
Eerramientas para gestionar programas activos en modos de e0ecucin*
c7%config* listar ser@icios con 6/l7< Para un slo ser@icio sera 6c7%config /l
nombre9servicio7<
Para modi3icar modos 6c7%config //level 2. nombre on8off7 0, ) son los runle@els que
queramos1<
&i no aparece un ser@icio, lo registramos con 6c7%config /add nombre7<
Apdate/rc!d* en Jebian, 3ormato 6update/rc!d OopcionesP nombre accin7<
Bpciones*
remove* limpia el ser@icio
defaults* crea ni@eles para iniciar en los runle@els ,),.,/ # detenerlos en !,",M<
start nN runlevels* empieza en esos runle@els<
stop nN runlevels* para en esos runle@els<
LPIC 2 1emario 223 b' Jorge Andrada Q 8 >?
Cambiar el modo de e0ecucin*
=on 6init8telinit nN9runlevel, s7utdo@n, 7alt, reboot # po@eroff7<
Comprobar el modo de e0ecucin*
'uscar 6initdefault7 en 68etc8inittab7 o escribir 6runlevel7<
Grub para indicar el runlevel*
Al final de la lnea del 5ernel escribir 6runlevelRnN9runlevel7<
*odo seguro*
En grub podemos entrar en modo recuperacin si pulsamos 6$7ift, durante el inicio # podremos
elegir la entrada de 6reco@er#7< En ella podemos usar 3sck, actualizar, etc<
Grub s7ell*
Pulsando 6c7 podemos entrar en la lnea de comandos<
Ea# @arias s5ells* normal 6s74grubC7 # la de rescate cuando ocurre algo gra@e 6grub rescueC7<
LPIC 2 1emario 223 b' Jorge Andrada 32 8 >?
1ema 22.4 $istemas de arc7ivos : ;ispositivos
22.!3 *ane0ando el sistema de arc7ivos de Linu6
Oipo de sistemas de arc5i@os*
&6t2fs o e6t2* 3ue creado para Binux<
&6t.* ext con respaldo de transacciones<
&6t?* ext) que permite traba9ar con discos de ) Ob # arc5i@os de ms de O'<
Reiser'$* desde !, popular para muc5os arc5i@os peque8os<
#'$<
<'$!
Btrfs* el candidato 3uturo para sustituir a los dems<
'A1* en Binux con nombres largos-R @3at<
-1'$* linux lee # sobreescribe<
E'$ # E'$S* de $acD&<
I$B/Q>>2* de =J-CD$<
#oilet* cdrom propietario de Tindows<
A;'* 3ormato uni@ersal de disco, d@d, regrabables, etc<
*ontar sistemas de arc7ivos*
Asando 6mount /t tipo9fs /o opciones dispositivo punto9monta0e7<
ParLmetros de mount*
/a* monta lo listado en 6IetcI3stab7<
/r* en slo lectura<
/@* escritura<
/t* tipo de sistema de arc5i@os 0automticamente lo detecta1<
/L etiqueta* a8ade etiqueta<
Bpciones de mount 0-o1*
defaults<
loop* para montar un disco 6<img o <iso7 como si 3uera una particin<
auto8noauto* monta en el arranque<
user8nouser* permite a usuarios normales 5acer mount<
users* umount cualquiera<
o@ner* slo el propietario puede montarlo<
ro* slo lectura<
r@* lectura escritura<
uidR6* indica el propietario de todos los arc5i@os, usando el A%J de 6IetcIpasswd7<
gidR6* como A%J pero para grupos, usa 6IetcIgroup7<
umas%R6* para arc5i@os<
dms%R6* para directorios<
*ontar sistemas de arc7ivos de manera permanente*
El arc5i@o 68etc8fstab7 es la tabla de sistemas de arc5i@os en Binux< =ada una de las lneas que
contiene corresponden a una particin<
=ada lnea contiene M campos*
;ispositivo* indica el dispositi@o montado< E9* 6Ide@Isdb/7< Oambi4n por AA%J 0nL de
particin largo1 o BA'EB< =on 6blkid Ide@Idispositi@o7 se de@uel@e el AA%J<
Punto de monta0e* es donde se montar la particin o disco< =on excepciones 687 # 6s@ap7<
Bos medios estraibles se montan en 68mnt o 8media7<
Oipo de sistema de arc5i@os* con auto lo detecta automticamente<
Bpciones de montado* indica el modo en el que el >ernel tratar el sistema de arc5i@os< &e
pueden especi3icar @arios, separndolos por comas, e9* users, noauto, etc< Bas mismas
opciones que el comando mount<
Copia de seguridad* " si la utilidad 6dump7 5ace copia de seguridad # ! en caso contrario<
Ua no es popular el uso el 6dump7, apenas se usa, por lo que siempre es !<
Brden de revision del sistema de arc7ivos* orden en el que la 5erramienta 6fsc%7 re@isa la
integridad< &i es ! no re@isa< Ba particin 687 debe de tener @alor " # los dems @alor <
E9emplo* AA%JQ!<<"<< ImediaIJatos ext. users ! !
Nota: la opcin %credentials& es para coparti"os "e saba !ue re!uieren usuario * contrase,a'
se pue"e poner %username*nombre#pass+ord*contrase,a&' pero se po"r2a leer por cual!uiera.
+n lu(ar "e eso se usa %credentials*arc$ivo&' con periso "e slo lectura para root * -orato:
username*nombre
pass+ord*contrase,a
*ontado automLtico de sistma de arc7ivos*
Antiguamente se en encargaba 6Eal7, pero a5ora lo gestiona 6Adev7< &e inserta el pen, Ade@
detecta el cambio # el gestor de arc5i@os tiene el control<
Autofs*
E@ita tener que montar siempre las particiones de &amba< El arc5i@o de con3iguracin est en
68etc8auto!master7< E9emplo, le a8adimos 6Iremote IetcIauto<ser@ers VtimeoutQ"!7< Buego creamos
68etc8auto!server7 # en el interior aladimos los puntos de monta9e<
;eterminar lo que estL montado*
Asamos 6mount7 sin parmetros o 6cat 8etc8mtab7 0muestra todo lo montado1 o 6cat
8proc8mounts7< U con 6df7<
;esmontar*
=on 6umount7< &i da error porque est en uso, podemos usar las 5erramientas 6lsof7 # 6fuser7 para
listar arc5i@os abiertos # los procesos que estn usando sosos arc5i@os<
Nota: el coan"o %s'nc& sincroniza la cac$3 "e un "isco' pero no "esonta el sistea "e arc$ivos
anterior.
22.!2 *antenimiento de los sistemas de arc7ivos4
Crear un sistema de arc7ivos*
E9emplo 6m%fs -t ext) Ide@IsdaM7< =on 6/C7 se comprueban baques de3ectuosos 6badbloc%7< Ea#
6mk3s7 de * ext, extg) # ext., en estos Fltimos ), una opcin importante es 6-m porcenta9e7, que
de3ine el W de espacio reser@ado en un disco 0/W por de3ecto1, si queremos W pues sera 6-m 7<
En discos extraible m es !<
Nota: con %-L eti-ueta& se a,a"e eti!ueta' e1cepto con )reiser-s (-l# * )-s.v-at (-n#.
Revisar en busca de errores*
=on 6fsc%7< Dpciones
/A* @eri3ica todos los 3s de IetcI3stab< &e suele usar al inicio<
/C* muestra indicador de progreso<
/D* resumen detallado<
Ea# que usarlo con sistemas desmontados o de slo lectura<
Bbtener informacin de los sistemas de arc7ivos*
Para la 3amilia ext, se usa 6dumpe2fs opciones dispositivo7< En P?& 66fs/info dispositi@o7 # para
Ceiser?& 6debugreiserfs7<
A0ustar sistemas de arc7ivos*
?amilia ext con 6tune2fs opciones dispositi@o7< Dpciones de tune3s*
-c nNde montado* nL de monta9es para que salte 3sck<
/C nNde montado* enga8a al contador de montados<
/i nN d@m* das, semanas, meses para que salte 3sck<
/m S* espacio de disco reser@ado<
/L etiqueta* cambia la etiqueta<
Para <'$ usamos 66fs/admin opciones dispositivo7, Dpciones* 6/l etiqueta7 cambia la etiqueta #
6/m nN de montados7 igual que 6tune2fs7<
Para Reiser's usamos 6reiserfstune opciones dispositivo7, con las mismas opciones que 66fs/
admin7<
;epurar el fs de manera interactiva*
=on 6debugfs, 6fs9db # debugraiserfs dispositivo7 # aparece un prompt para meter los siguientes
comandos 6s7o@9super9stats o stats7 que muestra la in3ormacin de superbloques<
*anipular espacio de intercambio*
Ba swap con cdigo !x-< =reamos swap con 6m%s@ap opciones dispositivo7, como opciones se
suele usar 6/L etiqueta7 para etiquetar< (ormalmente se suele crear en particiones, pero tambi4n se
puede usar un arc5i@o<
Para acti@ar 6s@apon dispositivo7, si usamos 6/a7 acti@a todas las listadas en 68etc8fstab7< Para
desacti@ar usamos 6s@apoff7<
Administrar discos pticos*
(o se pueden meter datos directamente, 5a# que crear el sistema de arc5i@os completo con
6m%isofs o genisofs7 que genera un I$B/Q>2!< Para JKJ 6gro@isofs7<
Podemos usar GA% como Gnome Ooaster, >)b, etc
E9emplo* 6mkiso3s -; -r -K 6@olumen nan7 -o <<Iimagen<iso IdirectorioXaXmeter7 # grabaramos con
6cdrecord de@QIde@Id@drw &pead#Q. <<Iimagen<iso7<
.ruco: ontar iso %mount -t iso /00/ -o loop imageiso &mnt&cd1also&.
A;'* 6m%isofs /A;'7< &er de lectura, para escribir tenemos que tener instalado 6udftools7<
Asamos 6m%udffs 8dev8dvdr@7<
LPIC 2 1emario 223 b' Jorge Andrada 3. 8 >?
22.!? A;&D*
=rea entradas para el 5ardware< Ceglas Ade@ en 68etc8udev8rules!d7, se controlan en orden
num4rico< $ostramos in3o con 6udevadm info7, en distros nue@as es 6udevinfo7<
Bpciones de Ade@*
RR* compara igualdad<
TR* compara desigualdad<
R* asigno el @alor a la cla@e reemplazando el antiguo @alor<
UR* a8ade el @alor al grupo de @alores existentes<
4R* asigna el @alor a la cla@e # anula 3uturos cambios<
Crear regla* creamos arc5i@o en 68etc8udev8!d8QQ/m:!rules7<
*onitoriar Ade@* con 6udevmonitor7, escuc5a los e@entos del kernel producidos por una regla
ude@ # muestra la in3ormacin por consola<
Para controlar el comportamiento usamos 6udevadm7<
LPIC 2 1emario 223 b' Jorge Andrada 3? 8 >?
1ema 22?4 Administracin avanada de disco
22?!3 Raid
Crear particiones4
Podemos crear usando la librera 6libparted7, usada por los programas* Gparted, 3disk # 3disk de
GPO 0programas gdis% # sgdis%1<
Oodos los programas se usan de esta manera 6programa 8dev8dispositivo7<
Ba con3iguracin CA%J se almacena en 68etc8raidtab7<
Nota: e1iste s1dis) !ue se usa en o"o no interactivo para usarlo con scripts
=omandos fdis%*
d* borra particin<
l* muestra la lista de cdigos de tipo de particiones 0!x!,Q(O?&, !x-Qswap, etc1<
n* nue@a particin<
o* destru#e la tabla de particiones<
p* muestra la tabla de la particin actual<
q* sale sin guardar cambios<
t* cambia el cdigo tipo de particin<
@* guarda # sale<
.ruco: po"eos visualizar la tabla "e particin con %1dis) -lu &dev&dispositivo& * sale.
-ota* los cdigos de particin en GPO son @alores GA%J de "M b#tes, e9emplo* (O?& sera !x!,!!,
ext sera !x-)!!, swap !x-!!<
1ipos de RAI;*
*odo lineal* no es t4cnicamente CA%J, pero es gestionado por CA%J en Binux< =ombina
discos sumando espacio<
RAI;2* combina discos sumando espacio< &e leeIescribe de 3orma intercalada, una parte en
cada disco< $e9ora @elocidad< &i un disco 3alla, los dems sern inFtiles< BK$ tambi4n usa
di@isin por bloques<
RAI;3* 0mirrow1 crea copias exactas en discos< $e9ora 3iabilidad, pero es ms lento< El
disco adicional puede estar como* 65ot stanb#7 o disco de reser@a 05ost spare1 que
permanece inacti@o 5asta que el otro disco 3alla, por lo que debe de copiar los datos al otro
disco<
RAI;?* intenta mantener bene3icio del ! # "< Bos datos se di@iden como en CA%J!, pero
5a# un disco que almacena sumas de control para regenerar datos perdidos< (ecesita )
discos mnimo<
RAI;=* como CA%J., pero sin el disco que almacena las sumas de control, estas sumas se
intercalan en todos los dscos< $nimo ) discos<
RAI;>* &i ms de una unidad 3alla en CA%J/ o M, se pierden los datos< Para e@itar esto se
usa un disco ms, para sumas de control< P-< $nimo . discos<
RAI;32* mezcla entre CA%J" # !, conocida como CA%J "-!< Parecido a . o /<
Nota: spare si(ni-ica uni"a" "e repuesto.
Nota: para calcular el taa,o "e 45I6 7 * 5: (n8 "e "iscos -9# 1 (sua "e taa,o "e "iscos
restantes#.
LPIC 2 1emario 223 b' Jorge Andrada 3= 8 >?
Raid en Linu6*
Bas particiones se combinan con los dri@ers raid del >ernel, con nombre 68dev8mdV7 0en raid por
so3tware, en 5ardware aparecen normales1< Esto permite usar CA%J para dispositi@os enteros, slo
para particiones o para discos con distinto tama8o<
Nota: :rub9 no soporta 45I6' :rub2 si. ;e pue"e usar :rub9' pero "ejan"o una particin
%&boot& aparte.
Preparar disco para RAI; soft@are*
Jos opciones*
=rear una particin CA%J en cada disco # se de3ine el con9unto entero<
&e crean las particiones en cada disco # luego se unen< $s 3lexible<
CA%J por 5ardware es ms e3iciente que por so3tware<
&nsamblar un con0unto RAI;*
Ana @ez preparadas las particiones que se incluirn en el con9unto CA%J, usamos la 5erramienta
6mdadm7 para ensamblar las particiones<
6mdadm OmodoP dispositivo9raid OopcionesP dispositivos9integrantesP7
Oipos de modo*
-A* ensambla un con9unto #a ensamblado pre@iamente<
/B* crea un con9unto CA%J sin metadatos 0slo para expertos1<
/C* crea con9unto # metadatos<
/'* monitoriza cambios de estado<
/G* modi3ica el con9unto<
/I* a8ade un Fnico dispositi@o CA%J<
sin parLmetros* busca CA%Js # los acti@a<
Bpciones*
/7* a#uda<
/v* in3o adicional<
/D* @ersin<
/f* 3uerza<
/c arc7ivo* especi3ica el arc5i@o de con3iguracin, que por de3ecto es 68etc8mdadm!conf7 o
68etc8mdadm8mdadm!conf7<
/s* obtiene in3ormacin perdida sobre el arc5i@o de con3iguracin<
/e nNnivel* tipo de metatados, por de3ecto !,+!<
/n* establece el nL de dispositi@os acti@os en el con9unto ms el nL sobrantes< Es el total<
/6 num* establece el nL de dispositi@os sobrantes extras<
/c tama+o* tama8o de bloques, por de3ecto M.<
/l nivel de raid* linear, raid!, etc<
/- nombre* establece un nombre para el con9unto<
/a* a8ade dispositi@os al con9unto<
/r* borra dispositi@os del con9unto<
-$* de stop, desacti@a el con9unto<
E9emplo 6mdadm -- create Ide@Imd! --le@elQ/ --raid-de@icesQ) Ide@IsdaM Ide@Isdc" Ide@Isdd"7<
LPIC 2 1emario 223 b' Jorge Andrada 3> 8 >?
Ana @ez creado, lo usamos como particiones, o particionarlos o usarlos como @olFmenes BK$<
E9emplo de particiones de Ide@Imd!* md!p", md!p, etc
Revisar configuracin RAI;*
=on 6cat 8proc8mdstat7, que contiene la in3ormacin del estado de dispositi@os CA%J<
22?!2 A0ustar acceso al disco
Identificar el uso de recursos del disco*
=onsultar los %C= con 6cat 8proc8interrupts7< &i 5a# errores, podemos a9ustar a mano las %CG con
la utilidad 6s:sctl7, cu#o arc5i@o de con3iguracin es 68etc8s:sctl!conf7< Kemos errores 3cilmente
con 6s:sctl /a F grep irq7<
Probar funcionamiento del disco*
=on 67dparm /t 8dev8dispositivo7< =on 6/17 prueba la cac54 del disco, se suele poner 6/t17 para
probar las dos a la @ez< Para discos &=&% es 6sdparm7<
*onitoriar fallos*
=on la 3uncin &$ACO 6smartctl /a 8dev8dispositivo7, podemos monitorizar errores<
22?!. LD*
BK$ es parecido a CA%J, pero ms 3lexible # 3cil< =omprende ) ni@eles de estructuras de datos*
@olFmenes 3sicos, grupos de @olumen # @olFmenes lgicos 0equi@alente a particiones1<
Bas particiones tradicionales empiezan en un sector del disco # terminan en otro, son in3lexibles<
Nota: va por la versin 2' se instala lv2' apt-get install lvm2.
Nota: +<=; es un sistea para a"inistrar 45I6' L<= * otros.
Nota: :rub9 no lee L<=' por lo !ue $a* !ue sacar -uera %&boot3.
&structuras*
DolWmenes fsicos* como las particiones con@encionales<
Grupos de volWmen* coleccin de uno o ms @olFmenes 3sicos, que son gestionados como
un Fnico espacio de asignacin< discos de "O'Q O'<
DolWmenes lgicos* se crean 6particiones 6 sin 5acer re3erencia a sectores del disco<
Nota: +l cisco "e 45= inicia "ebe "e tener 45I6 * L<=.
Nota: si $a* 2 "iscos en L<= * -alla 9' se pier"e to"o.
Crear : manipular volWmenes fsicos*
=digo $'C de particiones LD*R 26I&< Primero 5a# que marcar los @olFmenes 3sicos, para
usarlos como BK$< Buego 5a# que etiquetarlos con las 5erramientas 68sbin8pvM4 pvc7angeG pvc%G
pvcreateG pvdispla:G pvmoveG pvrename, etc<7
E9emplo* p@create Ide@IsdaM Ide@Isdb Ide@Isdc, luego comprobamos con p@displa#<
LPIC 2 1emario 223 b' Jorge Andrada 3K 8 >?
Crear : manipular grupos de volWmen*
=on las 5erramientas 68sbin8vgM4 vgcfgbac%upG vgcfgrestoreG vgc%G vgcreateG vgdispla:G etc7<
E9emplo* @gcreate nombreX@olumen Ide@IsdaM<<<, comprobamos con @gdispla#<
Crear : manipular volWmenes lgicos*
=on las 5erramientas 68sbin8lvM4 lvc7argeG lvconvertG lvcreateG lvdispla:G lve6tendG lvreduceG
lvremoveG lvrenameG lvscan7<
E9emplo* 6l@create -B tama8o -n miX@olumen nombreX@olumen7, 5a# que 3ormatearlo con
6mk3s<ext. Ide@ImapperInombreXgrupo-miX@olumen7 # luego 5a# que montarlo con 6mount
Ide@ImapperInombreXgrupo-miX@olumen ImediaIl@m7<
Por cada KolFmen Bgico que tengamos, se crear un dispositi@o dentro de 68dev8mapper87 que
estar compuesto por el nombre del Grupo de Kolumen, un guin # el nombre del KolFmen Bgico,
por e9emplo, si el Grupo de KolFmen se llama ser@idores # la KolFmen Bgico que 5emos creado se
llama 3tp, entonces se crear el dispositi@o Ide@ImapperIser@idores-3tp< Por otro lado, tambi4n se
crear un enlace simblico con la 3orma 6Idev8grupo9de9volWmen8volWmen9lgico,, en el
caso del e9emplo, se llamara* Ide@Iser@idoresI3tp<
InstantLneas*
Es un @olFmen lgico, que preser@a el estado de otro @olFmen lgico< &e crean mu# rpido<
E9emplo* creo instantneas, intento actualizar # no 3unciona bien, pues restauramos la instantnea<
Nota: >tr-s (sistea "e arc$ivos reciente# inclu*e instant.neas.
=reamos instantneas con 6lvcreate /s7< E9emplo* 6l@create -B "!G' -s -n snapp#
Ide@IspeakerIP=BD&7, que crea un nue@o @olFmen lgico llamadom snapp#, que dublica el
contenido de Ide@IsepakerIP=BD& en una instantnea de "!Gb<
Podemos @er la capacidad de la instantnea* con 6lvs7 # 6lvdispla:7<
Restaurar 6lvconvert //merge 8dev8spea%er8snapp:7<
(ota* el orden es* p@create 0creo @olumen 3sico1, @gcreate 0creo grupo de @olumen1, l@create 0creo
@olumen lgico1, mk3s<ext. 03ormateo la particin1 # monto<

LPIC 2 1emario 223 b' Jorge Andrada 3I 8 >?
1ema 22=4 Configuracin de red
22=!3 Configuracin bLsica de redes
Conectar por @ifi*
'uscamos redes con 6i@list7< &in root slo muestra a la que est conectado # con root conectado
ms disponibles< ?ormato 6i@list adaptador comando7< =omandos i@list*
scan o scanning* muestra la lista de redes disponibles como root # la conectada si se usa
usuario normal<
frec, frequenc: o c7annel* muestra la lista de canales disponibles para el adaptador<
rate, bit o bitrate* muestra todas las @elocidades soportadas para el dispositi@o<
%e:s, enc, encr:ption* lista las cla@es de encriptacin disponibles<
aut7* lista parmetros de autenticacin establecidos actualmente<
@pa o @pa%e:s* lista las cla@es wpa establecidas en el dispositi@o<
po@er* lista de modos de gestin de energa disponible<
t6po@er* parmetros de energa de transmisin del adaptador<
retr:* lista de parmetros de reintento actuales<
event* lista de e@entos inalmbricos soportados por el dispositi@o<
mod o modulation* lista la modulacin usada por el dispositi@o<
Conectamos con wi3i mediante 6i@config adaptador essid -ombreXifi c7annel < mode
*anager %e: s4clave7< Ba 6s7 indica que es una secuencia de texto, en 5exadecimal no 5ace 3alta<
Ea# 5erramientas gr3icas de conexin como 6@icd7 0wicd-gtk1, tambi4n en consola 6@icd/cli7<
=on 6i@sp:7 obtenemos estadsticas de los nodos, comprueba calidad del enlace 09unto con
iwcon3ig1<
Clientes ;ECP*
Algunos clientes son 6pump, d7client # d7cpcd7<
Ponder IP estLtica*
'edora* en el arc5i@o 68etc8s:sconfig8net@or%/scripts8ifcfg/adaptador7 sustituir en la
lnea 6BootprotoRd7cp7 el d7cp por static< Jebe de quedar as*
4E5ICE*et$!
677.P87.7*static
IPA448*9/290:92
NE.;A<=*2>>2>>2>>!
NE.?78=*9/290:9!
687A4CA<.*9/290:92>>
@A.E?AA*9/290:99
7N677.*'es
;ebian* en el arc5i@o 68etc8net@or%8interfaces7 buscamos la lnea 6iface adaptador inet
d7cp7 # sustituimos d7cp por static< Jebe de quedar as*
auto lo
i1ace lo inet loopbac) auto et$!
i1ace et$! inet static
address 9/290:92
netmas) 2>>2>>2>>!
LPIC 2 1emario 223 b' Jorge Andrada 3Q 8 >?
net+or) 9/290:9!
broadcast 9/290:92>>
gate+a' 9/290:99
Nota: po"eos a,a"ir varias IPs a un ?nico inter-az' en ese arc$ivo crear2aos otra con-i(uracin
con %et$!%!&' lue(o %et$!%93' etc. @anto en 6ebian coo en Ae"ora.
Oambi4n lo podemos 5acer mediante comandos*
%P # mscara* 6ifconfig adaptador up IP netmas% *A$CARA7
Puerta de enlace 6route add default g@ PA&R1A9&-LAC&7<
Podemos @er la con3iguracin con 6ifconfig # route7 sin parmetros<
Asignar ;-$*
Bos J(& los cambiamos en 68etc8resolv!conf7, con el 3ormato*
B;Cimo 3 4N<
nameserver 2!:0D222222
nameserver ::::
nameserver ::EE
Apagar encender adaptador*
Podemos 5abilitar # des5abilitar un adaptador 6ifup8ifdo@n adaptador7<
Configurar nombres de 7ost*
Podemos a8adir equipos para la resolucin de nombres, a8adi4ndolos a 68etc87osts7 con el 3ormato
6IP nombre7<
Podemos con3igurar nuestro nombre de equipo con el comando 67ostname nombre7 o editando el
arc5i@o 68etc87ostname7 0en Jebian1 o 68etc8s:sconfig8net@or%, 0en ?edora1<
Podemos comprobar si se 5a cambiado usando 6uname /a o 7ostname7<
Comprobar la conectividad bLsica*
Asando ping # luego 6Control/C7 o 6ping /C nNpaquetes IP87ostname7<
ARP permite @er # modi3icar la cac54 ACP, parmetros*
-d IP* borra la de la cac54<
/s IP *AC* a8ade a la cac54<
Comando IP*
El comando %P es un 6todo en uno7, su 3ormato es 6ip OopcionesP ob0eto comando7<
Db9etos*
lin%* realiza acciones en el 5ardware local<
addr* asocia %P<
addrlabel* muestra o a9usta %Ps en una red %P@M<
route* modi3ica la tabla de enrutamiento<
rule* modi3ica iptables<
neig7* muestraImodi3ica entradas ACP<
tunnel* 3unciones de tunneling<
maddr* direcciones de multidi3usin<
mroute* rutas de multidi3usin<
monitor* monitoriza la acti@idad de red<
22=!2 Configuracin avanada de red
Configurar Linu6 como router*
Asando el comando 6route7, podemos redirigir el tr3ico< Para acti@ar el redireccionamiento con*
6ec7o )3, C 8proc8s:s8net8ipv?8ip9for@ard7, aunque ser de 3orma temporal, para 5acerlo de
3orma permanente 5a# que modi3icar 68etc8s:sctl!conf7 con 6net!ipv?!ip9for@ardR37<
DP-*
Jos segmentos pri@ados de red se enlazan a tra@4s de un router< Asamos DpenKP(<
DpenKP( usa criptogra3a de cla@es pFblicas<
Configurar la DP-* editar 68etc8openvpn8client!conf7 o 68etc8openvpn8server!conf7< Bos
parmetros a modi3icar son 6ca, cert, %e: # si es ser@er tambi4n d77<
&i los clientes deben de comunicarse entre si, eliminamos el comentario de 6cliente/to/cliente7 del
ser@idor< Por seguridad borramos los comentarios de las directi@as 6user nobod: # group nobod:7
del ser@er<
En los clientes 5a# que editar el parmetro 6remote7 con la %P del 5ost # el puerto 0""+. por
de3ecto1<
&stablecer cone6in DP-* iniciar KP( con 6openvpn ruta9arc7ivo9config7< &i inicia 5acemos
ping a la %P "!<-<!<" 0que es la red que se crea por de3ecto1< Esta red podemos cambiarla
modi3icando el arc5i@o de con3iguracin<
Configurar un PC como CA para certificados* mediante scripts que se encuentra en
68usr8s7are8openvpn8eas:/rsa7, lo copiamos a 68etc8openvpn87, editamos 68etc8openvpn8vars7 #
luego desde 68etc8openvpn87*
&vars
&clean-all
&build-ca
=uando termine* 6!8build/%e:/server $erver7, luego los clientes 6build/%e: cliente3G etc7< Para
3inalizar 5acemos 6!8build/d77<
Arc7ivo Copiar a Propsito $ecreto
ca<crt &er@idor # todos los clientes =erti3icado =A (o
ca<ke# &lo al 5ost que 3irma la cla@e =la@e =A &i
d5"!.<pem &lo al ser@idor Parmetros Ji33ie Eellman (o
ser@er<crt &lo al ser@idor =erti3icado del ser@idor (o
ser@er<ke# &lo al ser@idor =la@e del ser@idor &i
clientenL<crt &lo al cliente nL =erti3icado del cliente nL (o
clientnL<ke# &lo al cliente nL =la@e del cliente nL &i
Informacin* Jisponemos de dos 3ic5eros con in3ormacin de estado 68etc8openvpn8openvpn/
status!log7, que contiene la in3ormacin sobre los clientes conectados al ser@idor KP( # que es
actualizado cada minuto, # el 3ic5ero 68etc8openvpn8ipp!t6t7,que contiene la in3ormacin sobre las
%Ps asignadas a los clientes de la KP(<
Pasos para instalacin : configuracin*
apt-get install openvpn
m)dir &etc&openvpn&eas'-rsa
cp -r &usr&s$are&doc&openvpn&eCamples&eas'-rsa&2!&F &etc&openvpn&eas'-rsa
$odi3icamos @alores como export >EUX=DA(OCUQ7E&7 con 6gedit &etc&openvpn&eas'-
rsa&vars&
Binkeamos con3iguracin 6cd &etc&openvpn&eas'-rsa7 # luego 6ln -s openssl-9!!cn1
opensslcn17
Generamos =A* 6source vars7, luego 6&clean-all7 # luego 6&build-ca7
Generamos certi3icado del ser@idor con 6&build-)e'-server miservidor7 # luego generamos
los parmetros Ji33ie Eellman con 6&build-d$7<
Generamos certi3icados para los clientes 6&build-)e' cliente97 as con todos<
=opiamos a 6cp &etc&openvpn& miservidorcrt miservidor)e' cacrt d$9!2Epem7<
En los clientes copiamos* ca<crt, cliente"<crt # cliente"<ke#<
=opiamos el arc5i@o de con3iguracin de e9emplo para el ser@idor 6cp
&usr&s$are&doc&openvpn&eCamples&sample-con1ig-1iles &servercon1gG &etc&openvpn&7 # lo
descomprimimos 6gGip -d &etc&openvpn&servercon1gG7<
Editamos con3iguracin del ser@idor* 6gedit &etc&openvpn&servercon17 # modi3icamos los
nombres de 6ca ca<crt , cert miser@idor<crt , ke# miser@idor<ke# , d5 d5"!.<pem7<
Ceiniciamos ser@idor con 6&etc&initd&openvpn restart7<
E9emplo de con3iguracin del ser@idor*
port 99/E
proto udp
dev tun
ca cacrt
cert ;onino;agic6oCcrt
)e' ;onino;agic6oC)e'
d$ d$9!2Epem
server 9/290:2! 2>>2>>2>>!
i1con1ig-pool-persist ipptCt
pus$ Hroute 9/290:9! 2>>2>>2>>!3
pus$ Hredirect-gate+a' de19 b'pass-d$cp3
pus$ Hd$cp-option 4N< 2!:0D2222223
pus$ Hd$cp-option 4N< ::::3
client-to-client
)eepalive 9! 92!
comp-lGo
persist-tun
persist-)e'
status openvpn-statuslog
verb3
Cone6in entre red virtual : real4
Para que las dos redes se @ean*
Editar 6gedit &etc&s'sctlcon17 # descomentar la lnea 6netipvEipI1or+ard*97<
=on3igurar iptables para enrutamiento 6iptables -t nat -A P7<.87".IN@ -s
9/290:2!&2E -o et$! -j ;A<J"E8A4E7<
Probamos que 3uncione # guardamos iptables 6sudo s$ -c Hiptables-save K
&etc&iptablesrules7<
Para 5acer que esa con3iguracin se cargue automticamente 5a# que editar 6gedit
&etc&net+or)&inter1aces7 # a8adir 6pre-up iptables-restore L &etc&iptablesrules7 al inter3az
correspondiente, por e9emplo*
auto lo
i1ace lo inet loopbac)
auto et$!
i1ace et$! inet static
address 9/290:92
netmas) 2>>2>>2>>!
gate+a' 9/290:99
dns-nameservers 2!:0D222222 ::::
pre-up iptables-restore L &etc&iptablesrules
Configuracin de los clientes4
Abuntu4 %nstala DpenKP(* 6sudo apt-get install openvpn&. =opiar 3ic5ero de e9emplo de
con3iguracin de cliente< Este 3ic5ero tambi4n se puede emplear en la con3iguracin de un
cliente Tindows sin 5acer prcticamente ningFn cambio< %sudo cp
&usr&s$are&doc&openvpn&eCamples&sample-con1ig-1iles&clientcon1 &etc&openvpn&&
=opiar los certi3icados a /etc/openvpn # modificar &etc&openvpn&clientcon1 con los
nombres correctos*
ca cacrt
cert cliente9crt
)e' cliente9)e'
Eabilitar o a8adir los siguientes parmetros
client
remote miservidorejemplocom 99/E
Ceiniciar ser@icio DpenKP(* &etc&initd&openvpn restart
XinK4 Jescargar e instalar el cliente desde la web de DpenKP(, # a8adir el siguiente
3ic5ero de con3iguracin # los certi3icados del cliente<
B C%MProgram NilesM7pen5PNMcon1igMclientovpn
client
remote servereCamplecom
port 99/E
proto udp
dev tun
dev-t'pe tun
ns-cert-t'pe server
reneg-sec :0E!!
aut$-user-pass
aut$-retr' interact
comp-lGo 'es
verb 3
ca cacrt
cert HC%MM"sersMMusernameMM;' 4ocumentsMMopenvpnMMcliente9crt3
)e' HC%MM"sersMMusernameMM;' 4ocumentsMMopenvpnMMcliente9)e'3
management 92D!!9 99/E
management-$old
management--uer'-pass+ords
aut$-retr' interact
*ac B$ < Y1unnelblic%Z4 Jescargar 1unnelblic% # situar el siguiente 3ic5ero de
LPIC 2 1emario 223 b' Jorge Andrada 2. 8 >?
con3iguracin de e9emplo cliente<o@pn # los certi3icados correspondientes en el directorio
&"sers&username&Librar'&Application <upport&.unnelblic)&Con1igurations&
B sample clientovpn 1or .unnelblic)
client
remote blueeCamplecom
port 99/E
proto udp
dev tun
dev-t'pe tun
ns-cert-t'pe server
reneg-sec :0E!!
aut$-user-pass
aut$-nocac$e
aut$-retr' interact
comp-lGo 'es
verb 3
ca cacrt
cert clientcrt
)e' client)e'
*onitoriar trLfico de red*
nc* sir@e para abrir conexiones O=PIAJP, en@iar paquetes, etc*
=onexin simple 6nc 32K!2!2!3 YIPZ nNpuerto7, si 5a# alguna conexin corriendo
sobre ese puerto, dar error de conexin cerrada<
Ker puertos abiertos 6nc /v IP PuertosY23/2=Z7 indica si est abierto< Para @er los
AJP sera 6nc /vu IP puertos7 0@ de @erbose1<
=liente Iser@idor* es posible montar un ser@idor de prueba, montamos con 6nc /l
puerto9escuc7a7 # en el cliente 6nc IP puerto7< Podemos mandar datos entre ellos,
en ser@er 6nc /l puerto9escuc7a C algo!out7 # en cliente 6nc IP puerto [ algo!in7<
netstat* muestra conexiones acti@as, podemos usar 6F less7 para leer poco a poco< Dpciones*
/a* muestra las conexiones abiertas, con 6/t7 muestra las O=P # con 6/u7 las AJP<
/i* in3ormacin del inter3az<
/r* in3ormacin de enrutamiento<
/** in3ormacin de enmascaramiento<
/p* in3ormacin de programas que usan la red 0no 3unciona siempre1<
sin parLmetros* muestra los puertos abiertos<
E9emplo 6nestat /ap F grep smtp7< Podemos usar el programa 6@atc77 para e9ecutar cada
segundos, creando una salida, por si el problema es intermitente<
tcpdump* es un sni33er, 5a# que usarlo como root<
@ires7ar%* antiguamente se llamaba Et5ereal, es otro es sni33er< Podemos usarlo como
comandos 6ts7ar%7 o con gui<
-map* es un escner de red, no monitoriza el tr3ico< E9* comprobar puertos abiertos con
6nmap /s1 7ost7 0O para O=P, A para AJP1<
ARP* modi3ica la cac54 ACP< Parmetros*
/a O7ostP* muestra todas las entradas o del 5ost si se indica<
/d 7ost4 borra ese 5ost de la cac54<
/s 7ost mac* crea la entrada<
lsoft* muestra todos los procesos 5aciendo uso de arc5i@os, podemos usar 6lsoft F less7<
Podemos @er de un solo proceso con 6lsoft /p I;9proceso7< =on la opcin 6/i7 muestra
todos los arc5i@os de red usados por el procesos actual 6lsoft /i F grep nombre9servicio7<
22=!. $olucionar problemas de red
LPIC 2 1emario 223 b' Jorge Andrada 2? 8 >?
Consultas sobre red*
ifconfig* @eri3icamos el inter3az<
ping* @eri3icar conecti@idad<
router* @eri3icar las rutas<
traceroute* @eri3ica rutas, con 7/n7 slo muestra las %Ps de las rutas que sigue< Algunos
routers bloquean los traceroute 0apareceran par4ntesis slamente1<
7ost dominio* para 5acer consulta de J(&, si usamos el comando 6dig7 podemos 5acer una
bFsqueda ms completa 6dig \IP9;-$ dominio7<
netstat* @eri3icar conexiones abiertas<
7ostname* @eri3ica el nombre de nuestro pc, con 6/f7 muestra ?GJ(< Podemos saber la %P
escribiendo 67ost nombre97ostname7< &e pueden combinar los dos comandos 67ost
]7ostname/f^7<
iptables* comprobar que %Ptables no est capando 6iptables /L7 para @er reglas< Ea# que
obser@ar en las cadenas 6I-PA1 # BA1PA17, si son 6;RBP o ACC&P17<
1CPXrappers* comprobar 68etc87osts!allo@ # !den:7, por si estn denegando el acceso a
equipos<
Derificar ;-$ del cliente*
=omprobar que en el arc5i@o 68etc8nss@itc7!conf7 est4 puesto 6dns7 en el apartado 67ost7<
Keri3icar que en el arc5i@o 68etc87osts7 no 5a#a redirecciones errneas<
Keri3icar que en 68etc8resolv!conf7 5a#a entradas de J(&
Cealizar ping # 7ost a un dominio<
Btros* @eri3icar 68etc8net@or%7, 68etc8s:sconfig8net@or%/scripts87 si estn por JE=P o esttico<
22=!? -otificar incidencias a usuarios
;efinir mensa0es de acceso*
=uando los usuarios 5acen login a tra@4s de un prompt, se muestran los siguientes mensa9es*
*ensa0e del da* en el arc5i@o 68etc8motd7, se muestra local, telnet # ss5<
*ensa0es de la suerte* 5a# que a8adir el programa 6fortune7 en 68etc8bas7rc7*
i1 OP.E8; Q*3dumb3RS
1ortune
1i
;e acceso local* en el arc5i@o 68etc8issue7
;e acceso de red* en el arc5i@o 68etc8issue!net7, para telnet, pero no para ss5<
En los mensa9es de acceso local # de red, se pueden usar variables*
_n* indica el nombre del 5ost<
_r* indica el nL de @ersin del kernel<
_s* indica el nombre del so<
_m* indica la plata3orma 0x-M, xM.1<
*ensa0es en tiempo local*
Alerta de apagado* 6s7utdo@n /7 U32 )se apaga el equipo por &rror.K,7<
Escribir a todos los terminales* 6@all )Acceso a red se apaga a las 3K,7<
Bos usuarios pueden bloquear estos mensa9es con 6mesg n7 # acti@arlos con 6mesg :7<
LPIC 2 1emario 223 b' Jorge Andrada 2= 8 >?
1ema 22>4 *antenimiento del sistema
22>!3 Compilar e instalar programas desde la fuente
Ea# que tener instalado* G==, los 5eaders, tar # obtenemos el cdigo 3uente<
Nota: si nos encontraos con un arc$ivo %programasrcrpm&' lo copilaos con %rpmbuild
--rebuild programasrcrpm&.
;esempaquetar*
=on el comando 6tar t6vf programa!tg7, con la opcin 6t7 se 3uerza a crear un subdirectorio con
el contenido, #a que en los zip no los crea por de3ecto<
&i se quiere que est4 accesible para todos los usuarios, en @ez de en local, 5a# que copiarlo a
68usr8src87<
Compilar*
Configurar* con 6!8configure7 se escanea el sistema # se genera el 6*a%efile7< Admite
parmetros como 6//prefi6Rdirectorio7, que sir@e para cambiar el directorio de instalacin,
por de3ecto 68usr8local87<
Compilar* e9ecutando 6ma%e7<
Instalar* 6sudo ma%e install7, los binarios se copiarn a 68usr8local8bin7<
Limpiar* 6ma%e crean7<
;esinstalar4 6sudo ma%e uninstall7<
22>!2 Bperaciones de Bac%up
&legir 7ard@are 0precios !"!1*
;ispositivo Coste Anidad Coste dispositivo Capacidad
descomprimido
Delocidad 1ipo de
acceso
Cinta "/!-.!!!Y !,/ - )YIG' )MG' - ",/O' ) - ".!$'Is &ecuencial
E;; interno "!!Y !,!YIG' -!G' - O' /! - "!!$'Is Aleatorio
E;; e6terno /!-,!!!Y !,!YIG' -!G' - O' " - "!!$'Is Aleatorio
`ptico /-!!Y !,!. - !,/!YIG' M/!$' - /!G' " - ./$'Is Aleatorio
Cintas* el ms popular para copias enteras, son menos 3iables que otros medios< &e acceden
desde 68dev8st27 para &=&% o 68dev87t27 en cintas PAOA<
;iscos duros* debe ser extrables 0esataH1<
`pticos* 3iables a corto plazo, suelen tener 3allos tras uno o dos a8os<
$uc5os admins usan la estrategia 6./2/37* . copias de los datos, al menos en 2 tipos de dispositi@os
di3erentes , 3 copia entera<
LPIC 2 1emario 223 b' Jorge Andrada 2> 8 >?
&legir el $oft@are*
&o3tware bsico*
tar* los tarball son arc5i@os creados por tar, generalmente comprimidos con 6gzip o bzip7<
?ormato 6tar comando cali3icador7<
Comandos*
c 0//create1* crea un arc5i@o<
A 0//concatenate1* a8ade 3ic5eros tar a un arc5i@o<
r 0//append1* a8ade 3ic5eros al 3inal del arc5i@o<
u 0//update1* a8ade 3ic5eros que son ms recientes que los del arc5i@o<
d 0//diff o //compare1* compara un arc5i@o con los 3ic5eros del disco<
t 0//list1* lista el contenido de un arc5i@o<
6 0//e6tract o //get1* extra 3ic5eros de un arc5i@o<
Certificados*
//director: directorio* pasa al directorio indicando antes de lle@ar a cabo las
operaciones<
g arc7ivo 0//listed/incremental arc7ivo1* realiza una copia o restauracin
incremental, usando arc5i@o como lista de 3ic5eros pre@iamente arc5i@ados<
* 0//multi/volume1* crea o extrae un arc5i@o multicinta<
v 0//verbose1* @a mostrando lo que leeIextrae<
0//gip o //unip1* procesa mediante gzip<
0 0//bip21* procesa mediante bzip<
cpio* similar a 6tar7, pero puede almacenar en disco o escribir directamente en cinta 0sin
pasos intermedios1< Oiene ) modos de 3uncionamiento*
*odo cop:/out* usando 6/o7 o 6//create7, crea un arc5i@o # copia 3ic5eros en este<
*odo cop:/in* usando 6/i7 o 6//e6tract7, extrae in3ormacin< &e le puede pasar
parmetros para extraer slo arc5i@os solicitados<
*odo cop:/pass* con 6/p7 o 6//pass/t7roug77, combina los dos modos anteriores
copiando un rbol de directorio<
Dpciones*
/A 0//append1* a8ade datos a un arc5i@o existente<
/E formato 0//formatRformato1* bin, crc # tar<
/u 0//unconditional1* reemplaza todas los arc5i@os sin solicitar con3irmacin<
/v 0//verbose1* muestra ms in3ormacin<
dd* Bas copias deben de 5acerse en sistema desmontados< Ba copia ocupar la particin
entera, aunque est4 @aca< Dperandos*
bsRtama+o* opera sobre un bloque de ese tama8o<
countRbloques* copia el nL de bloques especi3icado<
ifRarc7ivo* entrada<
ofRarc7ivo* salida<
s%ipRbloques* se salta esos bloques<
see%Rbloques* escribe esos bloques<
E9emplos*
Copiar una particin* 6dd i3QIde@Idispositi@o o3QImediaIbIcopia<img7<
Restaurar copia de particin* 5a# que intercambiar el i3 por el o3 # listo<
Clonar disco entero* 6dd i3QIde@I5da o3 IdebI5db bsQ"$7< =lonara el disco %JE"
al , bsQ"$ indica que la escrituraIlectura se 5aga en bloques de "$', menos es
LPIC 2 1emario 223 b' Jorge Andrada 2K 8 >?
ms lento # ms grande nos arriesgamos a perder datos< Graba $'C, particiones,
etc<
Crear imLgen de C;* 6dd i3QIde@Icdrom o3QI5omeIimagen<iso7< Para montar la
imagen 6mount -o loop IrutaIimagen<iso ImntIimagen7<
Copiar *BR* 6dd i3QIde@Isda o3Qmbr countQ" bsQ/"7< Cestaurar 6dd i3Qmbr
o3QIde@Isda7,
Borrado seguro de disco* BBenar el disco con carcteres aleatorios / @eces para que
no quede rastro de in3ormacin en disco 63or n in Z"<</[2 do dd i3QIde@Iurandom
o3QIde@Igda bsQ-b con@Qnotrue2done7<
Nota: po"eos usar copresin %"" i-B/"ev/$"a C (zip D /ruta/copia.bin.(z&.
rs:nc* realiza peque8as copias de seguridad de red< Oiene GA% 0grs:nc1< E9emplo 6rs#nc -r
-t -@ --progress --delete -s ImediaIJatos ImediaIJatos7<
Dtro e9emplo 6rs#nc -a@ Idirectoriolocal usuario\remote*Idirectorioremoto7<
Dtro 6rs#nc -a@z alberto\"+<"M-<"<)!*I5omeIalbertoI$I I5omeIa5orneroI$I7<
mt* sir@e para controlar un dispositi@o de cinta< Para acceder a cada una de las copias dentro
de una cinta, 5ace 3alta mt, para mo@erse 5acia adelante # atrs en la cinta 6mt /f
dispositivo operacion OcintaP OargumentosP,< Dperaciones*
fsf* mue@e 5acia delante la 6cuenta7 de arc5i@os<
bsf* mue@e 5acia atrs la 6cuenta7 de arc5i@os<
eod o seod* se mue@e al 3inal de los datos<
re@ind* rebobina la cinta<
offline o vre@offl* rebobina # expulsa la cinta<
erease* borra los datos<
status* muestra in3o<
load* carga unidad en cinta<
compresion* 5abilita 0"1 I des5abilita0!1 la compresin o descompresin<
LPIC 2 1emario 223 b' Jorge Andrada 2I 8 >?
1ema K4 $ervidor de -ombre de ;ominio
22K!3 Configuracin bLsica de un servidor ;-$
&urgi porque 68etc87osts7 se qued peque8o< Oiene 3orma 9errquica< An 1L; es un dominio con
el punto 3inal, e9* 6@@@!dominio!e6t!7<$ervidor de nombres de slo cac7(* almacena en cac54 las
resoluciones de nombres #a realizadas<
$odi3icar el arc5i@o de configuracin principal de '%(J*
El arc5i@o de con3iguracin es 6Ietc8named!conf7 0'ind+1< Ores con3ig distintas*
&er@idor de slo reenvo* reen@a a otros ser@idores todas las solicitudes de resoluciones de
nombres que reciba<
&er@idor que slo realiza bWsquedas recurrentes completas* se realiza una bFsqueda
recurrente completa para cada consulta que no pueda responderse con su cac54, lo usan los
%&P<
&er@idor con reenvos : bWsquedas recurrentes completas* consulta # si 3alla 5ace la
bFsqueda completa<
7ptions T
director' H&var&named3S
1or+arders T
9!/903!S
9!93903!S
US
listen-on T
9/290:99S
9D22!29#9S
US
allo+-tran1er THnone3SUS
1or+ard 1irstS
US
logging T
c$annel de1aultIdebug T
1ile Hdata&namedrun3S
severit' d'namicS
US
US
&&sepeci1' t$e root Gone 1iles
Gone H3 IN T
t'pe $intS
1ile Hnamedca3S
US
include H&etc&namedr1c9/92Gones3S
Nota% en la con-i(uracin %&&& es coentario * %S& -in "e una opcin.
Nota: para coprobar !ue >IE6 se est. ejecutan"o %lso1 -n -P -i V grep >3&.
En la opcin de 6for@arders7 se introducen las %Ps de J(& a las que 'ind trans3erir las
solicitudes de bFsqueda que recibe<
Ba lnea 6for@ard first7 indica a bind que debe 3uncionar como ser@idor de trans3erencia si es
posible, pero debe realizar bFsquedas recurrentes completa si 3alla<
LPIC 2 1emario 223 b' Jorge Andrada 2Q 8 >?
&i 6for@ard first7 se cambia por 6for@ard onl:7, bind slo intentar obtener respuesta de los
sistemas especi3icados en la seccin 6for@arders7, siempre se realizarn bFsquedas completas<
En el apartado 6listen/on7 se le indica a 'ind las %Ps que debe escuc5ar<
Ba seccin 6allo@/transfer7, es una opcin de seguridad<
Ba opcin de 6logging7 # 6one7 es para la creacin de zonas<
=on 6allo@/quer: abcd27 indica que redesI5osts pueden consultar<
Nota: >in" por "e-ecto viene con-i(ura"o para !ue slo -uncione localente' por si se instal por
error' (9F2.0.0.9' ::9' local$ost#.
*odificar arc7ivos de ona*
Ana zona J(& es una coleccin de ordenadores relacionados, cu#as relaciones nombre8IP son
gestionadas por un ser@idor autoritario<
En un ser@idor de slo cac54 no 5abr que realizar apenas con3iguraciones<<
An ser@idor de slo reen@os no requiere mantenimientos de zona<
&i se usa un sistema de bFsqueda recurrentes completas, se debe de incluir una seccin zona 6!7
para la zona raz J(&<
Ba lnea 6file7 de las seccin 6one7 se re3iere a un arc5i@o en el directorio especi3icado en la lnea
6director:7, normalmente en 68var8named87<
Nota: las IPs "e ra2z no cabian' pero si por error borraos el arc$ivo' lo po"eos recuperar con
%dig (aroot-serversnet nsKdbcac$e&.
Comprobar cambios*
Ceiniciamos con 68etc8init!d8named reload o restart0ms agresi@o17< Ana @ez reiniciado podemos
controlarlo con 6rndc7*
rndc reload* recarga los arc5i@os de con3ig<
rndc stop* para el ser@idor<
rndc flus7* elimina cac54 del ser@idor<
rndc status* muestra in3ormacin<
Podemos usar 67ost7 # 6dig7 para 5acer pruebas<
Configurar un servidor como esclavo*
&e con3igura igual que uno maestro, pero en 6one7 5a# que poner 6slave7 en el apartado 6t:pe7<
&e pueden tener @arios ser@idores maestros<
22K!2 Crear : mantener onas4
Bas zonas deben de ser de tipo master, para cada zona se crear un arc5i@o< Estos arc5i@os tienen
que tener permisos M.. pertenecer a root*bind<
LPIC 2 1emario 223 b' Jorge Andrada .2 8 >?
Configurar arc7ivos de ona*
&e encuentra en 68var8named,<
P..L 94
pangaeaedu IN <7A dns9pangaeaedu adminpangaeaedu W
2!99!22!!3 S serial
30!! S re1res$
0!! S retir
0!E:!! S eCpire
:0E!! S de1aultIttl
dns9pangaeaedu IN A 9/290:99
coelop$'sispangaeaedu IN A 9/290:99
peteinosaurus IN A 9/290:99
IN A 9/290:99
pangaeaedu IN A 9/290:99
dns9+generpangaeaedu IN A 9/290:99
+++ IN CNA;E +eb$ostingeCamplecom
1tp IN CNA;E plateosaurus
( IN ;X 9! peteinosaurus
( IN ;X 2! maileCamplecom
( IN N< dns9pangaeaedu
+egener IN N< dns9+egenerpangaeaedu
Ba ma#ora de las lneas tienen el 3ormato 6nombre I- tipo9registro contenido9registro,*
-ombre* es el nombre del P= o la %P en caso de resolucin in@ersa 0el nombre de dominio
lle@a 6!7 3inal1< &i el nombre est @aco, las lneas siguientes # la actual se asocian al
anterior< El signo 6\7 representa el propio dominio<
I-* signi3ica %nternet<
1ipo de registro*
A* 5ost %P@., nombre-R %P<
AAAA* 5ost %P@M, nombre-R %P@M<
C-A*&* registro de nombre cannico 0los subdominios1<
-$* proporciona el nombre de 5ost de un ser@idor J(& para el dominio<
*<* de intercambio de correo< &e pueden tener @arios # el nL de prioridad organiza a
quien en@iar<
1<1* a8ade texto explicati@o asociado al dominio<
$BA* inicio de autoridad<
P1R* %P a nombre, registro in@erso<
Contenido registro*
nN de serie* es una 3ec5a de Fltima modi3icacin para que los ser@ers locales copien
la in3o del ms actualizado<
1iempo de actualiacin* indica cada cuanto tiempo debe comprobar el ser@idor
maestro para actualizar<
1iempo de nuevo intento4 tiempo entre intentos de contactar con el ser@idor
maestro si la conexin 3alla<
*nimo de tiempo de vida Y11LZ* tiempo mnimo que se almacenar una respuesta
de error de subdominio no encontrado<
Configuracin de onas inversas*
En algunos ser@icios se realiza una consulta normal # una in@ersa, si los resultados no coinciden, la
identidad queda ba9o sospec5a< E arc5i@o de con3iguracin es igual, con su registro &DA, pero los
dems son POC # (&< Bas direcciones @an sin el Fltimo octeto # en orden in@erso<
E9* "+<"M-<"!I. sera 6"<"M-<"+<in-addr<arpa<7, si 3uese %P@M sera 6<ipM<arpa<7<
Eost*
Puede re@elar los registros A, =(A$E # POC del ser@idor<
?ormato 67ost OopcionP dominio8IP7< Bpciones*
/c* muestra el registro &DA del dominio<
/d o /v* @ista detallada<
/t tipo de dato* consulta el tipo de datos 0&DA2 =(A$E, etc1<
-?* realiza bFsqueda %P@.<
/>* realiza bFsqueda %P@M<
-sloo%up* #a no se usa, es parecido a 5ost<
;ig* 'ormato* 6dig O\servidorP OopcionesP OnombreP OtipoP7< Dpciones*
/b direccin* usa la direccion indicada por si ese 5ost tiene @arias %Ps<
/f arc7ivo* consulta 5ost de ese arc5i@o 0" por lnea1<
/p puerto* por de3ecto es el /)<
/t tipo* tipo de registro a buscar<
/q nombre* nombre del 5ost o dominio, suele omitirse<
/6 direccin* realiza bFsqueda in@ersa<
/?* busca slo %P@.<
/>* busca slo %P@M<
E9emplo* 6dig \-<-<-<- topgamespro<com7<
22K!. $ecuriar un servidor ;-$
Asegurar transferencias de ona*
$ediante la directi@a 6allo@/transfers7 se pueden negar las trans3erencias de zona, para que los
atacantes no obtengan toda la in3ormacin interna<
Para negar todas las trans3erencias 6allo@/transfera)name,cdc7, pero si tenemos ser@idores
escla@os, pondremos las %Ps de ellos para que se puedan emitir los arc5i@os de zona<
;-$$&C*
Aparte de asgurar las trans3erencias de zonas, se pueden usar extensiones de seguridad J(&, que
de3iende el ser@idor J(& del cac54 en@enenado<
Esto e@ita que en la cac54 del ser@idor se inserten datos 3alsos de direcciones %Ps de otros dominios,
permitiendo que no 5a#a redirecciones maliciosas<
Pasos*
cd 6I@arInamed7<
6dnssec/%e:gen /a R$A$EA3 /b K>I /n eB-& nombreeona7<
Esto crear una cla@e pri@ada # una pFblica, que debe distribuirse a otros ser@idores< =on la cla@e
pri@ada generamos los arc5i@os de zona*
6dnssec/signone /o dominio named!dominio7<
Esto crear 6ona!dominio!signed7 # es el que se usar como arc5i@o de zona, en lugar del original<
#aula C7root*
E9ecuta 'ind en una 9aula c5root, lo que e@ita que un ser@idor errneo o @ulnerable el resto del
sistema<
Ba idea es e9ecutar el programa 5aci4ndole creer que el directorio raz del pc 687 es distinto del que
es en realidad< Entonces el ser@idor slo puede acceder a los arc5i@os de ese rbol de directorio
alternati@o<
Pasos*
=omprobar que exista una entrada 6named7 en 68etc8pass@d7< E9emplo*
6named*x*!!*!!*(ameser@er*Ic5rootInamed*IbinI3alse7<
Preparar el directorio 68c7root8named7*
m)dir -p &c$root&named
cd &c$root&named
m)dir -p dev &etc&namedb&slave &var&run3
cp -p &etc&namedcon1 &c$root&named&etc&
cp -a &var&named&F &c$root&named&etc&namedb&
cp &etc&localtime &c$root&named&etc&
c$o+n -8 named%named &c$root&named&etc&namedb&slave
c$o+n named%named &c$root&named&var&run
;onod &c$root&named&dev&null c 9 3
m)nod &c$root&named&dev&random c 9 :
c$mod 000 &c$root&named&dev& Tnull#randomU
%niciamos named con la opcin 6/t 8c7root8named7<
LPIC 2 1emario 223 b' Jorge Andrada .. 8 >?
LPIC 2 1emario 223 b' Jorge Andrada .? 8 >?
1ema 22I4 $ervicios Xeb
22I!3 Implementando un servidor @eb YApac7eZ
El arc5i@o de con3iguracin principal es 6apac7e!conf o 7ttpd!conf7, o en Apac5e <x
)apac7e2!conf o 7ttp2!conf,< (ormalmente se encuentran en 68etc8apac7e87, 68etc8apac7e27,
68etc87ttpd7 o en 68etc87ttpd8conf7< Ba con3iguracin es la misma<
Est di@idido en ) secciones* parmetros globales, directi@as de 3uncionamiento # 5ost @irtuales<
Bos comentarios empiezan con V # las lneas con 6;irectiva Dalor7< Ba directi@a es el nombre del
parmetro que se quiere a9ustar # el Kalor es el @alor del parmetro< Algunas Jirecti@as aparecen
entres par4ntesis angulares 6[ C7<
LI14e1ine 5ariableK
4irectiva valor
L&I14e1ineK
Apac5e es modular, muc5as de sus 3unciones se pueden compilar como mdulos separados que se
pueden cargar en tiempo de e9ecucin< Para cargar un mdulo se usa la directi@a )Load*odule,!
En Apac5e "<)<x 5a# que usar la directi@a )Add*odule, en el binario principal, pero en Apac5e
<x no 5ace 3alta<
Nota: es recoen"able coentar las 6irectivas %Load;odule& !ue no se usen.
Ba directi@a 6Include7 carga arc5i@os adicionales como si 3ueran parte de los arc5i@os de
con3iguracin principal< &e usa con los mdulos de subdirectorios 6mods/available # mods/
enabled7<
Algunas directi@as*
[;irector:C* sus parmetros slo se apricarn en el directorio # subdirectorios<
[;irector: *at7C* como Jirector# pero en el nombre del directorio acepta expresiones
regulares<
['ilesC* control de acceso de los 3ic5eros por su nombre<
['iles *at7C* permite control de acceso a 3ic5eros # uso de expresiones regulares<
[LocationC* control de acceso de los 3ic5eros mediante 5tml 0no puede lle@ar
AllowD@erride1<
&tc<
Btros arc7ivos de configuracin4
access!conf4 le indica a Apac5e como tratar ciertos directorios, muc5os sistemas los
inclu#en en el arc5i@o de con3iguracin principal<
mime!t:pes o apac7e/mime!t:pes4 de3ine tipos de $%$E, que son cdigos que a#udan a
identi3icar el tipo de arc5i@o< Asocia las extensiones de los arc5i@os a tipo $%$E, como*
<txt, <5tml, etc<
magic* es un segundo m4todo para determinar el tipo de $%$E< En lugar de basarse en
extensiones, se basa en 65uellas digitales7<
Oodos los arc5i@os de con3iguracin residen en el mismo directorio principal de con3iguracin de
Apac5e<
LPIC 2 1emario 222 b' Jorge Andrada .= 8 >?
Nota% al(unas opciones se pue"en anular localente e"iante un %$taccess&.
&stablecer el usuario : grupo de Apac7e4 Apac5e empieza e9ecutndose como root # luego ba9o
el usuario que queramos< Bas directi@as son* Aser # Group< Ana @ez establecidas, podemos
comprobarlo con 6ps au6 F grep apac7e7 o 6ps au6 F grep 7ttpd7<
Ba primera instancia seguir e9ecutndose como root<
Cambiar las ubicaciones de las pLginas @eb 4 el @alor predeterminado es la directi@a
6;irector:Inde67, si se proporciona ms de un @alor para esta directi@a, Apac5e las busca todas<
Ba directi@a 6;ocumentRoot7 le indica a Apac5e donde buscar las pginas web<
Para emitir las pginas desde otro sitio 5a# dos opciones* =ambiar la directi@a 6;ocumentRoot7 al
nue@o directorio, en algunos sistemas se encuentra separado en 6sites/available8defaults7 o
sustituir las creadas por otras<
&i queremos usar otro directorio, debe ser legible para el usuario ba9o el que se e9ecuta Apac5e<
Eabilitar pLginas @eb de usuario* usando la directi@a 6Aser;ir7 que toma el nombre de un
directorio del 5ome del usuario como argumento< Puede aparecer en 6mods/
available8userdir!conf7<
E9* 6Aser;ir public97tml7, una @ez creado, los usuarios pueden crear subdirectorios llamados
6public97tml7 # almacenar sus webs all< Accederamos como 5ttp*IIlocal5ostI]usuarioIweb<5tml<
Estas directi@as tienen que tener permiso de lectura # e9ecucin para Apac5e<
$ervir dominios virtuales* se usa la directi@a 6Dirtual;ocumentRoot7 para indicarle a Apac5e
que directorio usar dependiendo del nombre del 5ost< Ea# que poner 6AseCanonical-ames Bff7,
para que 3uncione que por de3ecto est en Dn<
?unciona como 6;ocumentRoot7, pero tiene @ariables*
SS4 un Fnico W en el nombre del directorio<
S-!** 5ttp*IIwww<aaa<com
W" W W)
Bos nFmeros negati@os cuentan desde el 3inal W-"QW), cuando es !, es el nombre del 5ost
completo< $ es el nFmero de caracteres que tiene el nombre, e9* W"<Q ww<
E9emplo* 687ome87ttpd8com8e6ample7 como directorio raz de 5ttp*IIwww<example<com, su
con3iguracin sera 6Dirtual;ocumentRoot 87ome87ttpd8S/38S/27<
Nota: si se !uieren establecer "oinios virtuales en base a la IP "el server' se usa
%5irtual4ocument8ootIP& * se usan "irecciones IP en lu(ar "e nobres "e $ost.
Btro modo de usar dominios virtuales es usar )DirtualEost,* la @enta9a es que es ms
personalizable< Oambi4n debe de estar 6AseCanonical-ames Bff7<
L5irtualYost FK
<erverName +++eCamplecom
4ocument8oot &$ome&$ttpd&pelirroja
L&5irtualYostK

îndica todos los inter3aces, si queremos a tra@4s de uno, se pondra<
LPIC 2 1emario 222 b' Jorge Andrada .> 8 >?
E9emplo de casa*
L5irtualYost F%:!K
<erverAdmin +ebmaster(local$ost
4ocument8oot &media&4atos&<ervidor?eb
L4irector' &K
7ptions Nollo+<'mLin)s
Allo+7verride None
L&4irector'K
L4irector' &media&4atos&<ervidor?eb&K
7ptions IndeCes Nollo+<'mLin)s ;ulti5ie+s
Allo+7verride None
7rder allo+#den'
allo+ 1rom all
L&4irector'K
<criptAlias &cgi-bin& &usr&lib&cgi-bin&
L4irector' Z&usr&lib&cgi-binZK
Allo+7verride None
7ptions [ECecC@I -;ulti5ie+s
[<'mLin)sI17+ner;atc$
7rder allo+#den'
Allo+ 1rom all
L&4irector'K
L&5irtualYostK
Configurar $cripts* Para acti@ar el soporte =G% en Apac5e se usa la directi@a 6$criptAlias7
apuntando a un directorio =G% parte del directorio padre*
6$criptAlias 8cgi/bin 8usr8@@@8cgi/bin7<
Activar PEP en Apac7e* instalarlo # descomentar las lneas*
B"se 1or PYP >C
Load;odule p$p>Imodule modules&libp$p>so
AddYandler p$p-script p$p
BAdd indeCp$p to 'our 4irector'IndeC line%
4irector'IndeC indeC$tml indeCp$p
Add.'pe teCt&$tml p$p
Puede ser necesario modi3icar 68etc8p7p!ini7<
Instalar Perl* permite e9ecutar script Perl directamente< Ea# que instalar* apac7e/mod/perlG
libapac7e2/mod/perl2 # luego acti@ar copiando el arc5i@o de con3iguracin 6perl!load7 o
6perl!conf7, si estos arc5i@os no estn, a8adimos la siguiente lnea a Apac5e 6Load*odule
perl9module 8usr8lib8apac7e28modules8mod9perl!so7<
22I!2 *antenimiento de servidores @eb
Eabilitar E11P$* para ello necesitamos*
Instalar Apac7e con $$L4 5a# que tener instalado Bpen$$L # 6apac7e/mod9ssl7<
1ener un certificado4 lo normal es comprar uno a un =A, pero tambi4n podemos crear
nuestro propio certi3icado 0generara alertas ante 3irmas desconocidas1< Ana @ez lo
tengamos, lo copiamos a 68etc8ssl8apac7e7< &on dos arc5i@os* un arc5i@o de certi3icado
6<crt7 # una cla@e 6<ke#7 0deben de tener permiso !M!!1<
LPIC 2 1emario 222 b' Jorge Andrada .K 8 >?
Configurar Apac7e para que escuc7e el puerto 7ttpsG aceptando solicitudes de cifrado*
se necesita cargar el mdulo &&B con 6Load*odule ssl9module
8usr8lib8apac7e28modules8mod9ssl!so7 0puede que sea distinto en otras distro1< Jirecti@as
&&B*
Listen* para cambiar el puerto por de3ecto ..)<
$$L&ngine off8on* para el 5abilitar o no &&B<
$$LRequire$$L* usando esta opcin slo 3unciona 5ttps<
Limitar el acceso a Apac7e*
LI1;odule mpmIpre1or)ImoduleK
<tart<ervers > inicia con 5 servi"ores
;in<pare<ervers > =anten"r. entre 5
;aC<pare<ervers 9! * 90 servi"ores "isponibles
;aCClients 9>! n8 .1io "e instancias por servi"or
;aC8e-uestPerC$ild ! ipone l2ites al n8 "e solicitu"es (0 no tiene#
L&I1;oduleK
Bpciones de autenticacin de usuarios* para usarlo 5a# que cargar el mdulo 6mod9aut77, en
@ersiones posteriores a la <" se usan mdulos ms especializados* 6mod9aut79basic7 0igual que
_<"1, 6mod9aut79pam7 0usa sistema PA$1 # 6mod9aut79ldap7 0usa ldap1<
Para el uso de arc5i@os de contrase8a, generamos el arc5i@o con 67tpass@d /c 8ruta8arc7ivo
usuario7 0debe de estar en un directorio 3uera de los directorios web1 # tras ello pide contrase8a
para ese usuario<
Para que pida pass 5a# que con3igurar el arc5i@o principal, o usar un 6!7taccess7 que se encuentra
en el directorio que se quiere proteger*
Aut$.'pe 6asic
Aut$Name HArc$ivos restringidos3
Aut$6asicProvider Nile
Aut$"serNile &etc&apac$e&pass+d&pass+ords
8e-uire user usuario
Podemos a8adir ms usuarios como antes, pero sin 6/c7<
Podemos usar grupos de acceso* creamos el arc5i@o 68etc8apac7e8pass@d8group7< =on la
siguiente lnea 6Group-ame4 usuario3 usuario2 usuario-7, cambiamos la lnea 6Require user
usuario7 por 6Requiere group -ombreGrupo7 # a8adir el arc5i@o de grupos 6Aut7Group'ile
8ruta8!7tgroup7<
En @ez de crear grupos, podemos pedir usuarios @lidos con la lnea 6Require valid/user7<
Nota: Para !ue slo sea accesible "es"e esa re":
7rder den'# allo+
4en' 1rom all
Allo+ 1rom 9/290:9!&2E
Controlar Apac7e* mediante la 5erramienta 6apac7e2ctl7, comandos*
start* inicia Apac5e<
stop* 3inaliza Apac5e<
graceful/stop* para, pero permite que se completen las solicitudes que se estn atendiendo<
graceful* reinicia,pero permite que se completen las solicitudes que se estn atendiendo<
restart* reinicia<
LPIC 2 1emario 222 b' Jorge Andrada .I 8 >?
fullstatus* muestra in3o de todo, inclu#e la lista de solicitudes que se estn atendiendo<
Cequiere que est4 5abilitado el mdulo 6mod9status7<
status* muestra in3o, pero no inclu#e la lista de solicitudes<
configtest* comprueba el arc5i@o de con3iguracin<
Logs de Apac7e* &e encuentran en 68var8log8apac7e2 o 7ttpd7 # son*
error!log* mensa9es de error # noti3icaciones de arranqueI3in<
access!log* in3ormacin de accesos a la web<
ot7er9v7osts9access!log* in3ormacin del 5ost @irtual<
&e pueden examinar de 3orma manual o usar 5erramientas de anlisis* webalizer, AT&tat, etc<
Redireccin de directorios* 6Redirect .23 8@ebmail 7ttp488!!!!7, si se accede a webmail se
redirecciona 0)!"Qredireccin permanente1<
22I!. $ervidor $quid
El arc5i@o de con3iguracin se encuentra en 68etc8squid8squid!conf7< &e usan tres comandos para
con3igurar*
aut79param* indica que mecanismo usar para autenticar usuarios* PA$, &amba, BJAP, etc<
ACL* e9emplo 6acl m#acl prox#Xaut5 CEGA%CEJ7, 5a# muc5as acl<
7ttp9access* de3ine las acl que usa la acl creada<
7ttp9port nNpuerto Y.32IZ4 de3ine el puerto de escuc5a<
Nota: las contrase,as "e acceso a ;!ui" se transiten en te1to plano.
E9emplos de acl*
tipo src 0direccin de origen1*
acl redlocal src "+<"M-<"<!I.
acl colegasXK%P src "+<"M-<"<"! "+<"M-<"<!
tipo dst 0destino1* acl webmail dst www<gmail<com
tipo dstdomain 0da permisos sobre destinos1* acl denegados dstdomain www<xx<com
Aplicarlas con* 5ttpXaccess allow colegasXK%P o por e9emplo 5ttpXaccess den# redlocal<
LPIC 2 1emario 222 b' Jorge Andrada .Q 8 >?
1ema 22Q4 Comparticin de arc7ivos
22Q!3 $amba
El paquete se llama 6samba o samba/server7 # mane9a el protocolo &$'I=%?&<
El arc5i@o de con3iguracin se encuentra en 68etc8samba8smb!conf7< =on un 6c7 es parmetro
comentado<
Ba con3iguracin de 6smb!conf7 se organiza en dos secciones*
OglobalP4 de3ine los @alores globales< (o distingue ma#Fsculas, pero las rutas de Binux si<
Dpciones*
@or%group R moninocasa* nombre del dominio o grupo de traba9o<
netbios name* nombre del ordenador<
printing* sistema de impresin BPCng o =AP&<
printcap name* nombre del arc5i@o 6IetcIprintcap7 o en =AP&, necesario para
compartir impresoras<
load printers fes8-o* indica si la impresora est disponible localmente cuando est
compartida<
7ost allo@ # 7osts den: nombre7ost8IP* permite o deniega el acceso<
securit: $7are 0win+xI$e1, Aser, &er@er, Jomain, AJ& o &ecurit#<
encr:pt pass@ords fes8-o* encripta contrase8as<
smb pass@d file arc7ivo* arc5i@o de contrase8as ci3radas<
pass@ord server IP8nombre7ost* indenti3ica al controlador de dominio<
username mal arc7ivo* arc5i@o que contiene asociaciones de nombres de usuario<
name resolve order lm5ost 5ost wins bcast* indica a samba como resol@er nombres<
&e usa cuando 5a# un ser@idor wins 0antiguo J(&1<
server stringRS7 server Y$ambaG AbuntuZ* nombre del ser@idor<
interfacesR32K!2!2!28I et72* es el inter3az por el que escuc5ar<
Recursos compartidos* impresoras, carpetas, etc<
&stablecer opciones de contrase+as4
=on la opcin global de 6encr:pt pass@ords7*
-o* &amba usa la base de datos de usuarios # contrase8as de Binux<
fes* &amba requiere su propia base de datos de contrase8as 0independiente1< E9ecutamos
6sudo smbpass@d /a usuario7 # pedir contrase8a, para borrar de la bd usamos
6smbpass@d /6 usuario7< Ba base de datos se llama 6passdb!tdb7, 5a# que especi3icar el
tipo de bd con 6passdb bac%endRtdbsam7 en 68var8lib8samba7, la bd est ci3rada<
&i 5a# que a8adir muc5os usuarios se puede usar el script 6m%smbpass@d o !s77, que
meter todos los usuarios de Binux en la bd de &amba, pero no es capaz de con@ertir las
contrase8as 0es algo inFtil1<
Nota: para usar lo anterior $a* !ue tener %securit' * "ser&' *a !ue coo controla"or "e "oinio
es "istinto.
Bpciones de grupos de traba0o o dominios4
El parmetro 6@or%group nombregrupotraba0o7 indica que es un grupo de traba9o, pero para usar
un controlador de dominio necesitamos*
Establecer el nombre del controlador de dominio con la opcin 6pass@ord server7<
Establecer 6encr:pt pass@ords R fes7
LPIC 2 1emario 222 b' Jorge Andrada ?2 8 >?
Establecer 6securit:7 en*
$erver* no es miembro completo del dominio<
;omain* dominios antiguos<
A;$* dominio moderno<
&i usa seguridad ;omain o A;$, 5a# que unirse al dominio con 6net 0oin member /A
usuarioadmindeldominio7<
=on esta seguridad, &amba no necesita bd de usuarios, pero debe manter una bd de cuentas
con@encionales de Binux, para ello existe* $cript local Ycon la opcin 6adduser script7 de &amba1,
L;AP # Xindbind<
Asociar nombres de Linu6 : Xindo@s4
En Binux son cortos # en Tin largo # con espacios, por lo que 5a# que traducirlo< Ea# que usar la
opcin 6username map nombrearc7ivo7 0normalmente username!map1 para el mapeo<
'ormato de username<map 6usuarioLinu6 R usuarioXin7<
&i tiene espacios se usarn comillas dobles< &e puede asignar un usuario de Binux a un grupo Tin
con 6usuarioLinu6 R \grupoXin7< &e puede usar ^ para asignar nombres desconocidos<
Configurar arc7ivos compartidos*
=omienza con el nombre entre corc5etes # luego las opciones*
comment R comentario* descripcin del recurso compartido<
pat7 o director: rutaacompartir* lo que compartimos<
bro@seable R fes8-o* indica si el recurso aparece en los na@egadores, por de3ecto Ues<
@riteable R fes8-o* indica si se puede escribir en el recurso, por de3ecto (o<
create mas% R mLscara* permisos de los arc5i@os creados por los clientes<
director: mas% R mLscara* premisos para nue@os directorios<
nt acl suppport R fes8-o* indica si asocia los permisos de arc5i@o de Binux a una A=B
estilo Tin< Por de3ecto Ues<
force user usuario* usuario que se asignar a todos, una @ez conectados 0usuario con el que
se e9ecutarn todas las tareas1, tambi4n se puede 3orzar grupo<
available R fes8-o* 5abilitaIdes5abilita ese arc5i@o compartido<
valid users R usuario3G usuario2<<<* indica los usuarios autorizados<
veto filesR8M$ecurit:M8M!tmp* no de9a acceder ni son @isibles para los clientes<
Existe un arc5i@o compartido especial O7omesP que muestra el 5ome del usuario registrado, por
de3ecto no es browseable<
Nota: con un P al -inal "el coparti"o se oculta' por ejeplo O4atos9PR.
E9emplo de casa*
O4atosR
pat$*&media&4atos
+riteable*'es
bro+seable*'es
valid users*monino
Configurar impresoras compartidas*
Es igual que los arc5i@os compartidos, excepto la opcin 6printeable R fes8-o7, que le indica a
&amba que trate el recurso como una impresora<
El en@i de arc5i@o se 5ace a una cola de impresin del mismo nombre que la impresora
compartida, pero lo podemos cambiar con 6printerRnombreimpresora7<
En muc5as con3iguraciones se comparte una impresora global, en @ez de una a una OprintersP, la
opcin global 6load printers7 debe de estar en (o<
Ba opcin 6printing R B$;8CAP$8&tc7 indica el m4todo<
1esteo : e0ecucin*
Oras modi3icar smb<con3, podemos testear la nue@a con3iguracin con 6testparm7, que escanea
smb!conf : marcarL los errores! &i usamos 6testparm /v7 se muestran los valores que no se
modificaron por smb<con3<
&amba consiste en dos programas ser@idor*
smbd* que mane9a las taeas de intercambios de arc5i@o<
nmbd* que mane9a las 3unciones de 6unin ocultos de (et'ios7, como resolucin de
nombres<
Podemos usar la 5erramienta 6nmblooc%up7 para consultar ser@idores sobre us nombres #
3unciones (et'ios relacionadas, sir@e tambi4n para localizar grupos de traba9o o nombres de
dominio local<
Ba 5erramienta 6smbstatus7 indica el estado del ser@idor &amba, los clientes conectados # los
arc5i@os abiertos actualmente<
Arc7ivos de registro de $amba*
&e encuentran en 68var8log8samba87*
log!nmbd # log!smbd* contienen in3ormacin de los ser@idores<
log!nombreequipo, log!IPequipo* contiene in3ormacin de los intentos de conexin de esos
clientes<
Aso de Linu6 como cliente $*B8CI'$*
El programa cliente se llama 6smbcliente7, con 3ormato*
6smbcliente O88servidor88recursoPOcontrase+aPOopcionesP7, en Tin las barras son 6``ser@idor7<
Bpciones*
/I IP* se conecta por %P<
/L EB$1* lista los recursos compartidos por el Eost<
/s nombrearc7ivo* usa nombrearc5i@o como con3iguracin, en lugar de smb<con3<
/-* elimina la solicitud de contrase8a, si el recurso lo requiere, la conexin 3allar<
/A nombre arc5i@o* obtiene el nombre de usuario # contrase8a del arc5i@o especi3icado<
/A nombredeusuario OScontrase+aP* conecta con ese usuario # pass<
/n nombre* pasarle nombre como el nombre (et'%D&<
/X grupotraba0o* especi3ica el grupo de traba9o o dominio<
/ c comandos smbcliente* usa ls, cd, rename, get, put<<< 0separados por comas1<
Oambi4n podemos montar recursos compartidos, para ello* 6mount /t cifs o smbfs
88servidor8recurso 8rutade8monta0e7 0smb3s 3ue eliminado del kernel R <M<),<
Dpciones de montado ci3s 05a# que usar /o # luego las opciones1*
user R nombre
pass@ord R pass!
credential R nombrearc7ivo* obtiene el usuario # pass del arc5i@o especi3icado<
&e pueden montar los recursos al inicio del sistema modi3icando fstab, e9emplo*
6II&ECK%=E&IJatos ImntIJatos ci3s credentialsQIetcIsambaIarc5 ! !7<
Nota: para ocultar los arc$ivos !ue epiezan por %.& (ocultos "e Linu1#' escribios en el recurso
coparti"o la opcin %$i"e "ot -ileBGes&.
Nota: po"eos "ene(ar el acceso a ciertos arc$ivos -iltran"o por e1tensin o por ca"enas' usan"o
%veto 1iles&. +jeplo: %veto -ilesB/H;ecurit*H/H.tp/&' !ue "enie(a lo !ue conten(a ;ecurit* * /o
lo !ue terine en .tp. Itro ejeplo: %veto -ilesB/H.p3/H.avi/&' ipi"e esa e1tensiones.
Nota: se pue"en a,a"ir antivirus a saba con %<amba-vscan&.
Nota: po"eos evitar el borra"o "e arc$ivos "e un coparti"o a,a"ien"o una papelera "e
reciclaje con:
Hv1s objects*rec'cle
rec'cle%repositor'*Nombrepapelera3
<e crear la carpeta NombrePapelera# si se borra de esta 'a es permanente
7tras opciones% Hrec'cle%minsiGe*9!3 Wen b'tes\# Hrec'cle%maCiGe*>92!3
' Hrec'cle%)eeptree3 -ue guarda copias aun-ue coincida el nombre
22Q!2 -'$
(?& respeta los permisos de Binux< Ea# clientes (?& para Tindows, pero es me9or usar &amba<
Ba implementacin de (?& se basa en @arios programas CP=*
rpc!idmapd* en @ersiones R (?&@), asocia nombres de usuario # A%J entre sistemas<
%mportante si dos pcs inclu#en los mismos usuarios, pero tienen A%J di3erentes<
rpc!mound* administra las peticiones de montado de clientes (?& # controla quienes estn
conectados< En ocasiones se denomina 6rpc<mountd7<
rpc!nfsd* realiza la ma#or parte del traba9o<
rpc!statd* indica a los clientes cuando est a punto de @ol@er a arrancar el ser@idor (?&<
portmap* conocido como 6portmapper7, indica a los clientes que puerto usar<
El arc5i@o 68etc8e6ports7 contiene los directorios que exporta un ser@idor (?&, con el 3ormato*
68directorio clienteYopcionesZ OclienteYopcionesZP!!!7<
Bos clientes se pueden a8adir por* nombre del 5ost, comodines, %Ps, direcciones de red o grupos
(%& 0sin uso #a1<
Dpciones de clientes*
secure o insecure* especi3ica que el cliente debe conectar secure 0con un puerto _ "!.1,
por de3ecto es secure<
r@ o ro4 acceso rw o slo ro< Predeterminado ro, aunque en algunos es rw, por lo que debe
especi3icarse<
s:nc o as:nc* as#nc me9ora el 3uncionamiento a costo del riesgo de corrupcin de datos en
caso de 3alla del sistema<
7ide o no7ide* cuando se usa 5ide, se oculta subdirectorios montados en otros lados< Bo
me9or es exportar a (?& cada particin # montarla como (?&<
root/squas7 o no9root9squas7* el acceso a root desde el cliente se trans3orma
sustitu#4ndose su %J por la de root< =on noXrootXsquas5 se es root al "!!W 0el root remoto
es considerado como local, con mismo A%J # GA%J1<
all9squas7 o no9all9squas7* especi3ica si trans3orma los accesos de usuarios normales<
0=on allXsquas5 cambia todos los usuarios al usuario annimo1<
LPIC 2 1emario 222 b' Jorge Andrada ?. 8 >?
acl o no9acl* con acl aplica reglas de acceso< Asar noXacl requiere un >ernel parc5eado<
fsidROnumP rootFuuid* cambia el uuid0nL de serie del sistema de arc5i@os1 por uno corto
para no compartir el uuid real<
E9emplo de 6IetcIexports7* I5ome monino0w,insecure1 pepito 0ro1<
*odificar un servidor -'$ en e0ecucin*
&e pueden 5acer cambios temporales en las exportaciones usando 6export3s7*
sin opciones* muestra la lista de exportaciones acti@as<
/a* lee 6IetcIexports7 # exporta todos los directorios listados all<
/u* como -a pero elimina<
/r* @uel@e a exportar, pero elimina la exportacin de los directorios de 6IetcIexports7<
/f* @aca # @uel@e a crear la tabla de exportaciones<
/v* inclu#e mensa9es detallados en la salida del programa<
=uando se usa 6/u7 o 6-a7, 5a# que especi3icar un cliente # directorio con el siguiente 3ormato*
6cliente*IexportacinIdirectorio7<
E9emplo de quitar un directorio para una red 6export3s -u "+<"M-<"<!I.*I5omeImonino7<
E9emplo de exportar 6export3s "+<"M-<"<!I.*I@arIapac5e7<
1odo es temporal # 5abr que editar 68etc8e6ports7<
Identificar e6portaciones montadas*
=on la 5erramienta 6s7o@mount7 se muestra las acti@idades actuales de n3s*
sin opciones* re@ela las direcciones %Ps de los pcs que estn usando el ser@idor<
/a* muestra las direcciones %Ps de los clientes # los directorios en uso<
-d* muestra los directorios actualmente compartidos<
/e* igual que sin argumentos, pero en una sola lnea, lista exportaciones montadas<
/7* a#uda<
/v* @ersin<
// no/7eaders* elimina la salida de cabeceras explicati@as<
Por de3ecto muestra in3o del pc local, pero si se a8ade un 5ost, muestra de ese 5ost< E9emplo*
6s5owmount -a $oninoP=7<
*edir la actividad de nfs*
=on 6nfsstat7 se proporciona estadsticas del kernel (?&< $uestra la in3o de cliente # ser@idor, por
lo que puede usarse para consultar desde ser@er o cliente para @er in3o 0es distinta la in3ormacin
que se muestra1*
/s* muestra in3o slo del ser@er<
/c* muestra in3o slo del cliente<
/n* muestra slo estadsticas (?&<
/r* muestra slo estadsticas CP=<
28.8?* muestra estadsticas de la sesin (?& especi3icada<
/m* muestra in3o sobre exportaciones (?& montadas<
/o* muestra in3o sobre la instalacin especi3icada* n3s, rpc, net, 35, rc o all<
/* toma una instantnea de estadisticas # las compara con otra instantnea al 5acer &%G%(O
0=ontrol-=1<
LPIC 2 1emario 222 b' Jorge Andrada ?? 8 >?
Comprobar la actividad de RPC*
=on 6rpcinfo7 proporciona acceso a datos CP=< &e usa para identi3icar los ser@idores con CP=
5abilitados en una red< Dpciones
/p 7ost* explora el 5ost<
/u programa 7ost* usando AJP e9ecuta el procedimiento e in3orma de los resultados<
/t programa 7ost* como 6-u7 pero en O=P<
/n numpuerto* complementa a 6/u7 # 6/t7 indicando el nFmero de puerto a usar<
/b versinY2G.G?Z programa* en@a una solicitud de multidi3usin para que se e9ecute el
procedimiento<
Administrar un servidor -'$*
Asar Linu6 como cliente* se pueden usar con 6mount7 o como entrada en IetcI3stab7<
Por mount* 6mount -t n3s %pser@er*Idirectoriocompartido ImntIdondemonto7<
Por fstab 6%pser@er o (ombre&er@er*Idirectorio=ompartido ImntIdondemonto n3s
de3aults ! !7<
Para @er lo que exporta un ser@idor 6s5owmount -e nombre&er@er o %P&er@er7<
Portmap* este mapeador se encarga de gestionar la asignacin entre aplicaciones # puertos<
Bo normal es que el portmap se encuentre #a instalado # e9ecutndose, comprobar con 6ps
au6 F grep portmap,< Asa el puerto """ en O=P o AJP<
1CP Xrappers* en 6IetcI5ost<allow7 # 6IetcI5ost<den#7 5a# que especi3icar las %ps o rangos
que pueden acceder al ser@icio Portmap de la siguiente manera* 6portmap *
"+<"M-<"<!I//<//<//<!7<
Nota: se pone los !ue si pue"en * en el "en* se "enie(an to"os con %portap :5LL&' es
necesario para !ue arran!ue n-s.
LPIC 2 1emario 222 b' Jorge Andrada ?= 8 >?
1ema 2324 Administrar clientes de red
232!3 Configuracin ;ECP
El paquete se llama 6d7cpG d7cp/serverG d7cp./server o d7cp?/server7< El cliente d5cp se llama
6d7cpd7 # en otros sistemas 6d7client7< A parte de mane9ar JE=P, es capaz de mane9ar
6Bootstrap YBootPZ7<
El arc5i@o de configuracin del ser@idor JE=P es 68etc8d7cp.o?8d7cpd!conf7<
Nota: Jin"oKs necesita !ue las respuestas 6LCP se an"en a la .scara * Linu1 las env2a a la
broa"cast. ;i $a* errores con ello se pue"en cabiar el coportaiento con la .scara' ejeplo
para /27: %route a""-$ost 255.255.255.0 "ev a"apta"or&.
Bpciones globales de d7cpd!conf*
default/lease/time tiempo* tiempo de @ida de la concesin %P en segundos< (ormalmente
entre 5oras # das<
ma6/lease/time tiempo* tiempo mximo de cesin %P, aunque el cliente solicite ms tiempo,
el ser@idor no se lo da<
min/lease/time tiempo* tiempo mnimo de cesin %P<
get/lease/7ostnames true8false* el ser@er busca el nombre de 5ost asociado con la %P # lo
de@uel@e al cliente<
Ase/7ost/decl/names true8false* almacena el nombre del 5ost al darle %P<
Ping/c7ec% true8false* si es true el ser@er 5ace ping a una direccin antes de asignarla<
option subnet/mas% mascaraentera* establece la mscara que asignar<
option routers IP* la direccin o direcciones para el router o routers de la red<
option domain/name/servers direccionesIP* direccin o direcciones de los ser@idores
J(& que se en@iarn<
option domain/name nombre;ominio* nombre de dominio en el que reside<
option netbios/name/servers direcciones IPs* %Ps de los ser@idores T%(&, es importante
para &A$'A en redes Tindows<
option netbios/node/t:pe cdigo binario*
3* multidi3usin<
2* ser@idor T%(&<
?* "S<
I* ser@idor T%(& con el parmetro options netbios-name-ser@ers<
Configurar el envo de direcciones dinLmicas*
subnet 9/290:9! netmas) 2>>2>>2>>! T
range 9/290:99!! 9/290:92>ES
U
Configurar envo de direcciones fi0as*
=onseguir la $A= del 5ost al que se le en@iar la %P 3i9a # a8adir entradas por 5ost<
$ost 7rde@ordoT
$ard+are Et$ernet !!%99%22%33%EE%>>S
1iCed-address 9/290:93S
U B el $+ puede ser Et$ernet# .o)en-ring# etc
Nota% I;C 6LCP no pue"e con-i(urarse para "ar slo Ips a los clientes conoci"os.
LPIC 2 1emario 222 b' Jorge Andrada ?> 8 >?
Configuracin de un agente rela: ;ECP*
&i la red abarca @arios segmento de red, podemos*
E9ecutar @arios ser@idores JE=P, uno por subred<
E9ecutar el ser@idor JE=P en el router<
=on3igurar el router para que en@e multidi3usiones JE=P<
E9ecutar un agente rela# de JE=P, que es un programa que permite transmitir
multidi3usiones JE=P de una subred a otra< Este programa debe instalarse en un ordenador
de cada subred que no tenga su propio ser@idor JE=P<
=on la opcin de agente rela#, 5ace 3alta instalar 6d7crela:7<
&e usa la %P del ser@idor d5cp de manera remota 6d7crela: IP;-$$erver7<
=on la opcin 6/i interfa7 indicamos porque interfa escuc5ar<
Para que al iniciar #a retransmita, modi3icamos 68etc8default,d7cp./rela:7 # en la opcin de
&ECKEC& se indica la %P<
Logs* &e encuentra en 68var8log8daemon!log7 # 68var8log8messages7<
;ECP!Leases*
=omo el ser@idor JE=P puede pararse # reiniciarse, necesita mantener la lista de direcciones
asignadas< El 3ic5ero 68var8lib8d7cp8d7cpd!leases, o 68var8state8d7cp8d7cpd!leases7 mantiene
esta lista de asignaciones< =uando se inicia el ser@idor, primero lee el 3ic5ero de con3iguracin
d7cpd!conf, despu4s el 3ic5ero d7cpd!leases # marca qu4 sistemas tienen asignaciones acti@as<
232!2 Autenticacin PA*
Permite cambiar el modo en el que Binux autentica a los usuarios, adems de 68etc8s7ado@7 #
68etc8pass@d7 se puede ampliar por un ser@idor de contrase8as, 5ardware biom4trico, etc< PA$
migr las contrase8as de 68etc8pass@d7 a 68etc8s7ado@7<
El directorio principal de con3iguracin es 68etc8,pam!d7, que contiene arc5i@os de con3iguracin
de todos los programas que usan PA$< Bos arc5i@os de con3iguracin usan el nombre de la
5erramienta que los in@oca, por e9emplo 68etc8pam!d,gdm7 para GJ$, 68etc8pam!d8login7 para
acceso al login de texto<
'ormato de arc5i@os PA** 6grupo9gestin mrca9control mdulo OopcionesP7< Estos campos
signi3ican*
grupo9gestin* 5a# cuatro grupos # cada uno controla un de la autenticacin 0aut5-R
autenticacin, account-R gestin de la cuenta, session-R gestin de sesin # password-R
gestin de las contrase8as1<
marca9control* cuando se llama a un mdulo, este puede 3allar o no 0como una contrase8a
correcta o no1< Este campo indica a PA$ como reaccionar a este 4xito o 3racaso< Ea# cuatro
marcas*
requisite* D> continua e9ecutndose, >D de9a de e9ecutarse<
required* D> continua, >D continua<
sufficiente* D> de9a # tiene 4xito, >D continua<
optional* D> continua, >D continua<
*dulo* indenti3ica el arc5i@o de mdulo PA$< %nclu#e la ruta completa o relati@a,
normalmente es 6IlibIsecurit#7 0dnde se almacenan los mdulos PA$1<
Bpciones* pues eso mismo<
LPIC 2 1emario 222 b' Jorge Andrada ?K 8 >?
&ditar una pila PA**
Para modi3icar una con3iguracin PA$, se debe editar una o ms pilas PA$, que son grupos de
mdulos que se llaman para realizar tareas espec3icas< =ada arc5i@o de con3iguracin en
68etc8pam!d7, consiste en una o ms pilas PA$<
=ada grupo de gestin tiene su propia pila<
*dulos*
Algunos mdulos @ienen con el paquete PA$ # otros con paquetes auxiliares, como BJAP< =on
independencia de su origen, se pueden a8adir a la pila PA$ para cambiar la 3orma en la que opera<
$dulos comunes*
pam9uni6* pertenece a los . grupos, realiza la autenticacin tradicional de Binux en base a
6pass@d # s7ado@7<
pam9crac%lib* grupo password, comprueba la 3uerza de una contrase8a cuando se cambia<
pam9limits* grupo sesion, establece un lmite de sesin de acceso en la memoria, tiempo de
=PA # otros recursos del sistema< &i no se indica arc5i@o de con3iguracin, por de3ecto ser
68etc8securit:8limits!conf7<
pam9listfile* pertenece a los . grupos, busca reglas que permitan o denieguen el acceso en
el arc5i@o especi3icado<
A0ustar -ame $ervice $@itc74
Proporciona listas de usuarios # grupos, asocia nFmeros de %J de usuario 0A%J1, identi3ica los
directorios 5ome de usuarios, etc<
El arc5i@o de con3iguracin se encuentra en 68etc8nss@itc7!conf,<
&i a8adimos BJAP para autenticacin 5a# que a9ustar la con3iguracin de (&&, de la siguiente
manera*
pass+d% compat ldap
group% compat ldap
s$ado+% compat ldap
232!. Aso del cliente L;AP
Ea# que instalar el cliente de DpenBJAP # editar 6IetcIopenldapIldap<con37, que especi3ica la base
de datos de directorio BJAP, ser@idor, cla@e, etc< E9emplo*
6A<E dc*pangaea# dc*edu
"8I ldaps%&&ldappangaeaedu
.L<ICACE8. &etc&openldap&ssl&certs&slapd-certcrt3
BJAP usa L;I' 0BJAP Jata %nter3ace ?ormat1 como m4todo de trans3erencia de datos< =onsiste
en un arc5i@o con una serie de nombres # @alores de atributos separados por dos puntos< Estos
arc5i@os deben contener in3ormacin equi@alente a las entradas en 68etc8passd@7 # 68etc8s7ado@7<
LPIC 2 1emario 222 b' Jorge Andrada ?I 8 >?
A+adir cuentas*
E9emplo* 6ldapadd V J cnQmanager, dcQpangaea, dcQedu -T -3 acct<ldi37<
Bpciones de ldapadd*
/c* continua procesando aunque se detecten errores<
/$ arc7ivo* el log de errores se escribe en ese arc5i@o<
/n* no modo3ica el directorio, pero muestra lo que 5ara<
/v* salida detallada<
/d ni@el* ni@el num4rico de depuracin<
/f arc7ivo* lee registros de ese arc5i@o<
/6* usa un m4todo sencillo de autenticacin, en lugar de &A&B<
/; usuario* se une al directorio usando el nombre distinguido especi3icado<
/X* solicita autenticacin<
/@ contrase+a* usa esa contrase8a 0no recomendable1<
/: arc7ivodecontrase+a* lee la contrase8a desde el arc5i@o<
/E ldapuri* accede a tra@4s de AC%<
/P versin 28.* usa esa @ersin<
/e* intenta usar &tartOB&<
Nota: $a* scripts para i(rar "es"e passK" a -orato L6IA' pero no s$a"oK' por lo !ue no tiene
uc$a utili"a".
*odificar cuentas*
&e usa 6ldapmodif:7 que contiene las mismas opciones que 6ldapadd7< Para cambiar la contrase8a
se usa 6slappass@d7 con las siguientes opciones*
/v* salida detallada<
/s contrase+a* crea un encriptado de la contrase8a especi3icada<
/1 arc7ivo* crea un encriptado de los contenidos del arc5i@o<
/7 esquema* usa el esquema especi3icado para encriptar< Puede ser* =CUPO, $J/, &$J/,
&&EA U &EA< El predeterminado es &&EA<
Podemos cambiar la pass directamente usando 6ldappass@d7 0combina ldapmodi3# # slappasswd1,
e9emplo* 6ldapasswd -J cnQmanager, dcQpangaea, dcQedu -T -& uidQmar#am, ouQPeople, dcQ
pangaea<<<7
Borrar cuentas*
Asamos 6ldapdelete7 con las mismas opciones que 6ldapadd7<
Consultas sobre cuentas ldap*
=on el comando 6getent7 consultamos< &i a8adimos 6/s ldap7 realiza la bFsqueda sobre ldap<
=on la 5erramienta 6ldapsearc77 podemos buscae empleando cualquier campo de la base de datos<
E9emplo 6ldapsearc5 uidQmonino7<
LPIC 2 1emario 222 b' Jorge Andrada ?Q 8 >?
1ema 2334 $ervicios de correo
233!3 Asando servidores de correo
Configurar un dominio para que acepte correo4
An dominio requiere una entrada J(& especial< =onocida como registro $P< E9emplo 6\ %( $P
smtp<pangaea<edu7<
$ervidores de correo*
$endmail* 3ue el ms importante< =on3iguracin di3cil<
Postfi6* tan popular como &endmail, con3iguracin media< $odular< 'uena seguridad<
&6im* dise8o monoltico, con3iguracin sencilla<
"mail* no permite la distribucin de binario< Es modular< Poco popular<
Postfi6*
?cil de con3igurar, arc5i@o de con3iguracin 68etc8postfi68main!cf7< El nombre del 5ost lo adquiere
automticamente< Dpciones*
m:7ostname nombre7ost* lo que de@uel@e el comando 5ostname<
m:domain gm:7ostname* nombre de dominio, de3ine el dominio para que Post3ix entregue
correo localmente<
m:destination* indica la mquina local donde en@iar<
masquerade9domains* dominios a los que se le reduce la direccin 0como quitar
subdominios1<
masquerade9classes envelope9sender87eader9sender* tipo de direcciones a3ectadas por
masqueradeXdomains<
masquerade9e6ceptions* nombres de usuario que no se enmascararn<
sender9canonical9map* cambia la direccin del remitente usando una base de datos de
bFsqueda 3lexible<
sender9canonical* cambia la direccin del remitente para emails salientes<
Aceptar correo entrante* (ormalmente acepta correo local dirigido a 6gm:7ostname7 o
6local7ost!gm:7ostname7< &e puede ampliar o reducir el rango de direcciones aceptadas
cambiando el parmetro 6m:destination7< E9emplo* 6am#destinationQam#5ostname, local5ost,
am#domain7< &e pueden a8adir ms dominios<
Dtro parmetro a cambiar es 6inet9interfaces7 que establece desde que adaptador se escuc5a 0si
5a# @arios # se quiere escuc5ar desde todos, se pone 6all71<
Configuracin de transmisin* Ba con3iguracin de transmisin se constru#e sobre la base de la
con3ianza, el ser@idor transmite el correo de las mquinas en las que con3a< Dpciones*
m:net@or%s9st:le 7ost8subnet8class* subnet signi3ica la misma subred donde est el
ser@idor, class la misma clase que la direccin %P del ser@idor # 5ost implica con3iar slo en
el propio pc<
m:net@or%s listadoderedes* lista de redes con3iables %PI$scara<
rela:9domains gm:destination* mquinas # dominios listados de 3orma explcita por
nombre<
Nota: el "eonio pue"e enjaularse con el -la( c$root en %masterc1&.
LPIC 2 1emario 222 b' Jorge Andrada =2 8 >?
$endmail*
El arc5i@o de con3iguracin principal es 68etc8mail8sendmail!cf7 0largo # di3cil de entender1, no se
edita, es me9or usar un arc5i@o de con3iguracin, que se usar para generar este 6sendmail<c37< Este
arc5i@o de con3iguracin est en lenguace 6procesador de macros m.7, para editarlo 5a# que
instalar el lengua9e de macros m@ 0IusrIbinIm.1 # los arc5i@os de con3iguracin de sendmail m.
0paquete sendmail/cfZ<
El nombre de este arc5i@o de con3iguracin @ara 6sendmail!mcG linu6!smtp!mcG etc7 # podra
residir en 68etc8mail8G 8usr8s7are8sendmail8cfG etc7<
Para realiar cambios en sendmail*
Cealizar copia de seguridad de 68etc8mail8sendmail!cf7<
%r al direcotiro del arc5i@o de con3ig m. # crear copia<
&ditar el arc7ivo m?<
=rear el nue@o sendmail<c3 e9ecutando 6m? arc7ivom?!mc 8etc8mail8sendmail!cf7<
Btros arc7ivos de config*
8etc8mail8access!db* controla el acceso al ser@idor sendmail< Es una base de datos de
binarios creada a partir del arc5i@o de texto plano 6access7 usando el programa
6ma%emap7<
8etc8mail8aliases!db* 0puede estar en Ietc1 es una base bd creada a partir del arc5i@o
6aliases7 empleando 6ne@ aliases7<
Cambiar el nombre de 7ost en $endmail* a8adimos al m.
;A<J"E8A4EIA< W]direccin destino^\
NEA."8E Wmas-ueradeIenvelope\
Nota% 9M coilla es til"e inversa' la 28 es noral.
Configurar para aceptar correo entrante* editar la lnea
4AE;7NI7P.I7N< W]Port*smtp# Addr*92D!!9# Name*;.A^ \ dn9
Nota% 9M coilla es til"e inversa' la 28 es noral.
=on dn3 # un espacio al principio de la lnea, esta se con@ierte en comentario< Ana @ez
comentado, a8adir una lnea con 6'&A1AR& Yuse9c@9fileZ7, luego editar 68etc8mail8local/7ost/
names7 # a8adir los nombres que sendmail quiere que reconozca como locales, e9emplo*
pangaea<edu, mail<paganea<edu<
Configurar $endmail para que transmita correo* en el m. ponemos 6'&A1AR& Yhaccess!dbb17,
editar 68etc8mail8access7 # a8adir la red o %Ps seguido de*
B5* acepta correo aunque otra regla lo rec5ace<
R&LAf* transmisin bidireccional, por de3ecto<
R&#&C1* bloquea lo que @enga de resa red, genera mensa9e de de@olucin<
;I$CAR;* como CE;E=O pero sin mensa9e<
&RRBR nN te6to* como CE;E=O, pero el mensa9e lo proporcionamos nosotros
Buego 5a# que convertir 68etc8mail8access7 en binario con* 6ma%emap 7as7 8etc8mail8access!db
[ 8etc8mail8access7<
Probar un $*1P4
telnet local$ost 2>
YEL7 local$ost
;AIL N87;% Lusuario(pangaeacomK
8CP. .7% Ldestino(pangaeaeduK
4A.A es unmensaje de prueba
J"I.
Comprobar cola de correo4
=on el programa 6mailq7 se gestiona la cola # se mostrar los pendientes< =on 6sendmail /q7 o
6postqueue7 en Post3ix limpiamos la cola< Esta cola se almacena en 68var8spool8mail7<
Alias4
$odi3icando 68etc8aliases7 podemos redireccionar, por e9emplo 6monino4postmaster7< Buego 5a#
que recompilar el arc5i@o con 6ne@aliases7<
Logs*
&e encuentra en 6Ivar8log8mail!log7 o 68var8log8mail!err7<
*a0ordomo4
Es una aplicacin para mane9ar listas, el programa corre cada @ez que un correo llega a
ma9ordomo\5ostname< Jebe crearse el usuario ma9ordomo, el arc5i@o de con3iguracin es
6!!!8ma0ordomo8ma0ordomo!cf7<
233!2 *ane0o de colas
Para mane9ar las colas de mail ms e3icientemente se usa 6Procmail7<
Almacenamiento de correo*
*bo6* usado por &endmail, Post3ix # Exim, los mensa9es se almacenan en un slo arc5i@o,
normalmente en 68var8spool8mail8usuario7< Jebera ser el ms lento, pero es rpido<
Acceso secuencial<
*aildir* usado por Gmail, un directorio a cada carpeta de correo # coloca cada mensa9e en
su propio arc5i@o< $aildir no se usa, Gmail se suele con3igurar para ser usado como $box<
Nota: ;i se usa I;AP es recoen"able usar ;aildir.
Reglas de Procmail*
El arc5i@o de con3iguracin es 68etc8procmailrc7 # el arc5i@o 6i8!procmailrc7 de los directorios
5ome de los usuarios< Bas 3rmulas de Procmail tienen el siguiente 3ormato*
%!O;arcasRO%Oloc)1ileRR
OcondicionesR
accin
*arcas*
/E* se realiza la concordancia en la cabecera del mensa9e, predeterminado<
/B* concordancia en el cuerpo del mensa9e<
/;* concordancia distinguiendo entre ma#Fsculas # minFsculas<
/C* la concordancia se realiza en una copia del mensa9e<
/@* espera a que se complete la accin, si no tiene 4xito se 5ace coincidir con 3ormulas
posteriores<
/X* igual que w, pero se suprime los mensa9es de 3allo del programa<
Condiciones* son expresiones regulares que comienzan siempre con un asterisco*
j* denota inicio de lnea<
!* coincide con cualquier carcter excepto una nue@a lnea<
M* denota una secuencia de cualquier longitud<
F* comparacin<
_* des5ace el 3ormato especial del siguiente carcter<
T* in@ierte el sentido de la comparacin<
Acciones*
Ana referencia de nombre de arc7ivo* Porcmail almacena en $box, para que almacene en
$aildir 5a# que a8adir 687 al 3inal del nombre de arc5i@o<
An programa e6terno* si la lnea accin comienza con una barra @ertical 6F7, Procmail trata
esa lnea como un programa a e9ecutar<
Ana direccin de correo* una exclamacin 6T7 al principio de la lnea denota una direccin
de correo electrnico, lo mandara all<
An bloque de anidamiento* comienza con lla@e de apertura 6a6 # denota una 3rmula
anidada< &e 3inaliza con 6d7<
233!. Configuracin PBP e I*AP
&on del tipo PALL, 5a# @arios ser@idores* AT %$AP, =#rus%$AP, =ourier # Jo@ecot<
Configuracin de Courier*
Arc5i@os de con3iguracin en 68etc8courier7, el arc5i@o 6aut7daemonrc7 controla el demonio de
autenticacin e 6imapd7 controla los parmetros de ser@icio<
Parmetros de =ourier %$AP*
A;;R&$$* establece la %P que escuc5a el ser@idor, si se pone 6!7, escuc5a todas<
PBR1* el nL de puerto, por de3ecto ".)<
*A<;A&*B-$* limita el nL de demonios # con ello las conexiones simultneas<
I*AP9CAPABILI1f* capacidad del ser@er, no se suele modi3icar<
*AIL;IRPA1E* nombre del directorio en el que se almacenarn los correos<
Configurar ;ovecot*
Arc5i@o de con3iguracin en 68etc8dovecot8doveco!conf7< ParLmetros*
protocols* indica los protocolos 0imap, imaps, pop), pop)s1<
listen* %P de escuc5a # si el nL de puerto< &i ponemos 6^7 escuc5a %P@. # 6**7 %P@M<
login9process9per9conection fes8-o* si cada registro inicia sus propios procesos< Por
de3ecto Ues<
login9ma69processes9count* nL mximo de procesos de acceso Jo@ecot< &i
loginXprocessXperXconection est a Ues<
login9ma69conections* nL mximo de conexiones, si loginXprocessXperXconection est a
(o<
mail9location* ruta de los arc5i@os $box< Asa @ariables*
Su* nombre de usuario<
Sd* parte del dominio del correo<
S7* directorio 5ome<
LPIC 2 1emario 222 b' Jorge Andrada =. 8 >?
1ema 2324 $eguridad del sistema
232!3 Configurar un router
Para usar el pc como router 5a# que con3igurarlo para que use dos o ms inter3aces de red<< Buego
5a# que @incular los inter3aces de red escribiendo*
6ec7o )3, C 8proc8s:s8net8ipv?8ip9for@ard7<
IPtables*
Ea# ) tipos de cadenas dentro de la tabla 6filter7*
I-PA1* paquetes destinados a programas locales<
'BRXAR;* paquetes que el sistema @a a emitir<
BA1PA1* paquetes originados localmente # destinados a sistemas externos<
Ba tabla 6nat7 gestiona el natting # la tabla 6mangle7 modi3ica paquetes de 3orma especializada<
Para guardar la con3iguracin actual de iptables en un arc5i@o, usamos 6iptables/save C arc7ivo7 #
para restaurarla 6iptables/restore [ arc7ivo7<
Nota: iptables lee en -ora secuencial.
Bpciones de IPtables*
tabla* especi3ica la tabla sobre la que se @a a operar, normalmente 3ilter o nat<
/L OcadenaP* muestra la con3ig de todos las cadenas o de la seleccionada<
/$ OcadenaP* como -B pero ms concisa<
/' OcadenaP* elimina todas las reglas o la indicada<
/Pcadena destino* establece poltica para la cadena especi3icada<
/A cadena regla* a8ade una nue@a regla a la cadena<
/; cadena regla* borra una regla de una cadena, indicada por el nL o descripcin<
/I cadena OnNP regla* inserta una nue@a regla en una cadena, en la posicin especi3icada 0nL1,
si se omite el nL, la regla se inserta en la cabeza de la cadena<
/R cadena nN regla* reemplaza la regla especi3icada en ese nL<
Reglas predeterminadas* 5a# ) opciones # slo puede predeterminarse una*
ACC&P1* acepta el paquete, por e9emplo, si la poltica predeterminada de input es
A==EPO, entrara todo<
;RBP* no de9a pasar<
R&#&C1* como JCDP, pero de@uel@e un cdigo de rec5azo a esa aplicacin<
=on 6iptables /L7 se muestra la poltica predeterminada 0la que actualmente est en uso1< Para
cambiar la poltica predeterminada, primero 5a# que borrar todas las reglas 6iptables /'7 # luego
6iptables /P poltica9predeterminada7<
Por seguridad se suene denegar todo con 6iptables /t filter /P I-PA1 ;RBP7<
Aso de IPtables* Para a8adir una regla a una cadena*
Iptables -A CA4ENA seleccinIcriterios -j 76JE.I57<
INP". ACCEP.
7".P". 487P
N78?A84 8EJEC.
LPIC 2 1emario 222 b' Jorge Andrada =? 8 >?
Criterios*
/m nombre* a8ade reglas de coincidencia por el mdulo nombrado<
/p protocolo* tcp, udp, udplite, icmp, HHH, HHH, sctp o all<
//sport puerto O4puertoP* puerto de origen 0o rango1 entre "!. # M//)/<
//dport puerto O4puertoP* especi3ica el puerto de destino o rango,
/s direccin O8mLscaraP* la direccin de origen o un bloque mediante la mscara<
/d direccin O8mLscaraP* especi3ica la direccin de destino<
/i nombre* especi3ica la inter3az de la regla<
/o nombre* especi3ica la inter3az de salida<
//state estado* especi3ica el estado* %(KAB%J, (ET, &OA'B%&EEJ, CEBAOEJ<
/0 ob0etivo* le indica que 5acer si un paquete coincide<
/g cadena* le indica que continFe procesando en una nue@a cadena<
E9emplos*
Acepta cualquier %P al tcp por el puerto -!* 6iptables -5 IEPN@ -s 0.0.0.0 -p tcp O"port P0 -j
5CC+P@7<
Permitir que una mquina 5aga ss5 # denegar las dems* 6iptables -5 IEPN@ -s 902.9QP.9.3
-p tcp O"port 22 -j 5CC+P@7 e 6iptables -5 IEPN@ -s 0.0.0.0 -p tcp O"port 22 -j 64IP7<
-at*
Primero 5a# que 5abilitar (AO 6iptables /t nat /A PB$1RBA1I-G /o interfa /0
*A$"A&RA;&7< El reen@io de puertos se realiza con 6/07, e9emplo de redirigir el puerto *
6iptables -t nat -A PCECDAO%(G -p tcp -i et5! --dport -9 J(AO --to-destination
"+<"M-<"!,<M.*7<
Restaurar reglas de enrutamiento de forma ordenada*
Bo me9or es crear un script para establecer la con3iguracin # a8adirlo como inicio del &D<
Routed*
Para enrutar redes mediante un protocolo de enrutamiento como C%P< 'asta con e9ecutar 6routed7 #
lo 5ar slo<
232!2 $ecuriando servidores '1P
El problema de ?OP es que en@a las contrase8as en texto plano<
Algunos ser@idores ?OP son*
Pure/'1Pd* mu# seguro<
Dsftpd* destaca en seguridad, estabilidad # @elocidad<
Pro'1P;* di3cil de con3igurar<
Asa el puerto 22 para transferencia de datos # el 23 para emitir comandos< Ea# dos modos de
funcionamiento*
Activo* inicia conexin # luego conexin in@ersa<
Pasivo* el cliente inicia ambas conexiones<
$odos de transmisin de datos*
A$CII* corrompe arc5i@os binarios 0gr3icos, docs, etc1<
Binar:* para arc5i@os en texto plano<
LPIC 2 1emario 222 b' Jorge Andrada == 8 >?
Pure/'1P
El arc5i@o de con3iguracin se encuentra en 68etc8default8pure/ftpd/common7 # 68etc8pure/
ftpd8conf7, en otros se encuentra en 68etc8conf!d8pure/ftpd7<
Bpciones de 6pure/ftpd7*
/?* slo acepta conexiones %P@.<
/>* slo acepta conexiones %P@M<
/a gid* (o usa c5root excepto en los directorios 5ome<
/A* usa c5root con todos excepto root, para cambiar al 5ome<
/B* inicia el ser@idor en segundo plano<
/c nN* acepta un nFmero mximo de conexiones de clientes simultneas, por de3ecto /!<
/C nN* igual que 6/c7 pero por %P del cliente<
/e* slo acepta conexiones annimas<
/&* slo acepta acceso que no sean annimos<
/i* no de9a subir a annimos<
/** permite a los usuarios annimos crear directorios<
/-* usa el modo acti@o por de3ecto<
/u uid* des5abilita el acceso a los usuarios con nFmero A%J menor<
El acceso annimo implica que el ordenador tenga una cuenta llamada 6ftp7<
Dsftpd*
&e e9ecuta desde un superser@idor, pero se puede desde local< El arc5i@o de con3iguracin se
encuentra en 68etc8vsftpd!conf7 o en 6Ietc8vsftpd8vsftpd7< ?ormado por 6opcinRvalor7 0sin
espacios1<
Bpciones*
listenRfes8-o* con Ues escuc5a conexiones %P@., si se e9ecuta como super@isor 5a# que
poner (D<
listen9ipv>Rfes8-o* como listen, pero para %P@M<
ftpd9bannerRsecuencia* mensa9e de bien@enida<
nopriv9userRusuario* nombre de usuario para operaciones no pri@ilegiadas<
ftp9usernameRusuario* usuario para acceso annimo, por de3ecto 63tp7<
local9enableRfes8-o* indica si acepta acceso de usuarios locales autenticados<
anon:mous9enableRfes8-o* indica si acepta accesos annimos<
anon9rootRdirectorio* establece el directorio que se usar como root para los accesos
annimos, por de3ecto 6I5omeI3tp7<
c7root9local9userRfes8-o* le indica a @s3tpd si usar c5root acuando acepte accesos de
usuarios locales<
userlist9enableRfes8-o4 en Ues se comprueba el arc5i@o 6userlistX3ile7 # deniega el acceso
a usuarios antes de solicitar contrase8a<
@rite9enableRfes8-o4 subir arc5i@o<
anon9upload9enableRfes8-o4 subir para annimo<
Nota: se pue"e usar con certi-ica"os.
LPIC 2 1emario 222 b' Jorge Andrada => 8 >?
232!. $$E
El ms popular es Bpen$$E< El arc5i@o de con3iguracin est en 68etc8ss78ss7d9config7<
Nota: no con-un"ir %ss$dIcon1ig& ("el servidor#' con %ss$Icon1ig& ("el cliente#.
Bos comentarios se 5acen con 6V7 o 6c7< Bpciones importantes*
ProtocolR3G o 2 o 3G2* especi3ica @ersiones compatibles<
Pass@ordAut7enticationRfes8-o* especi3ica si se permite la autenticacin a tra@4s de
contrase8a, por de3ecto Ues<
Pub5e:Aut7enticationRfes8-o* slo en ni@el, permite la autenticacin por cla@e pFblica<
AsePA*Rfes8-o* autenti3ica a tra@4s de PA$, por de3ecto (o<
Allo@AsersRusuarios* grupo de usuarios separados por espacios, que se podr conectar<
Oambi4n 5a# para 3iltrar grupos<
;en:AsersRusuarios* in@erso a AllowAsers<
PermitRootLoginRfes8-B* por de3ecto Ues<
<33'or@ardingRfes8-o* por de3ecto no< Permite tuneling de programas P<
Allo@1cp'or@ardingRfes8-o* por de3ecto #es, acepta tuneling<
Generar claves ss7*
&e encuentra en 68etc8ss77 # se llaman*
ss797ost9rsa9%e: # ss797ost9dsa9%e:* pri@adas<
ss797ost9rsa9%e:!pub # ss797ost9dsa9%e:!pub* pFblicas<
Nota: si en las claves aparece el n?ero 9 antes "e %-)e*& es para ss$ nivel 9.
Para generar las cla@es usamos 6ss7/%e:gen7*
ss$-)e'gen -- -t rsa -1 _&ss$&idIrsa -C H-N3
ss$-)e'gen -- -t rsa9 -1 _&ss$&idIrsa -C H-N3
ss$-)e'gen -- -t dsa -1 _&ss$&idIrsa -C H-N3
Bas claves deben de tener premisos 2>22 # root como propietario, pero las pWblicas )^<pub7 deben
de tener 2>?? # due8o root<
El programa 6ss7, registra las cla@es de 5ost para cada usuario indi@idual en 6i8!ss78%o@n97osts,,
se pueden meter en el global 68etc8ss79%no@97osts,<
Copiar arc7ivos por ss7*
&&E inclu#e el comando 6$CP, para copiar arc5i@os, e9emplo 6scp arc7ivo
usuario\7ost9o9IP4, Bos 64, al 3inal son imprescindible< &i desea renombrar el arc5i@o, se
pondra el nue@o nombre despu4s de los dos puntos<
Acceso sin contrase+a*
Ea# que generar una cla@e en el sistema cliente usando 6ss7/%e:gen, # copiar ese arc5i@o de cla@e
al ser@idor en 6i8!ss78aut7oried9%e:s,<
Asar ss7/agent*
Cecuerda la contrase8a< Para ello usamos el 6ss7/%e:gen, pero sin 6/-,, se solicita una 3rase de
contrase8a, que ser la cla@e para todos los accesos gestionados< En el cliente e9ecutamos 6ss7/
agent 8bin8bas7, # en la consola escribimos 6ss7/add i8!ss78id9rsa,<
LPIC 2 1emario 222 b' Jorge Andrada =K 8 >?
1Wneles $$E*
Encripta otro protocolo< =omprobar que 68etc8ss78ss7d9config, tiene a 6fes, la opcin
6Allo@1cp'or@arding,< En el cliente 5a# que establecer una conexin especial, e9emplo 6ss7 /-
/f /L 3?24servidor43?. usuario\servidor,<
Nota: si se usa un puerto R9027 $a* !ue $acerlo coo root.
1Wneles para <*
Ea# que asgurarnos que 6ss7d9config, tenga el parmetro 6<33'or@arding, est4 a 6fes,< En el
lado del cliente 6ss79config, debe de tener 6'or@arding<33, a 6Ues7<
Btros*
=ambiar el puerto por seguridad dentro de la con3iguracin, el cliente conectara con 6ss7 /p puerto
usuario\ip,<
232!? 1CPXrapper
El ser@icio se llama 6tdpd7, 5a# que con3igurar 68etc87osts!allo@7 # 68etc87ost!den:7, 6allo@7
tiene pre3erencia sobre 6den#7 si el 5ost est en los dos arc5i@os<
Bo ms seguro sera a8adir 6ALL4ALL7 en 6den:7 # despu4s ir abriendo 5osts<
'ormato* 6servicio/nombres 4 cliente/lista O4 consola/comandoP7*
servicio/nombre* puede ser 6in<3tpd7, se sacan usando 6ps7<
cliente/lista* es para especi3icar clientes por*
;ireccin IP<
Rango de IPs 0con mscara o I1<
-ombre de 7ost<
-ombre de ;ominio<
-ombre de grupo de red -I$<
Comodiles* ABB, BD=AB, A(>(DT(, >(DT(, PACA(D%J<
-ombres de usuario* como usuario\5ost<
&e puede usar 6&<C&P17 para omitir una regla, e9emplo* denegar todos de un rango de %Ps
excepto una<
O=PTrapper slo protege a los ser@icios que se inician a tra@4s de 6inetd7<
Lib@rap* es la bibliteca que implementa la 3uncionalidad de O=PTrapper<
232!= 1areas de seguridad
1elnet* se puede usar para un anlisis rpido, 6telnet web<com -!7<
-etstat* con 6/l7 in3orma de los puertos abiertos<
-c* en@a in3o entre equipos, monitoriza puertos<
LPIC 2 1emario 222 b' Jorge Andrada =I 8 >?
-map* escaneo de red, como 6nc7 pero ms completo<
BpenDas* escaner de red<
$nort* esni3er de paquetes # puede 3uncionar como %J& 0sistema de deteccin de intrusos1<
=on3iguracin en 68etc8snort8snort!conf7<
Bo iniciamos con 6snort7 # @a de9ando registros en 68var8log8snort7<
'ail2Ban* ?ailban es una aplicacin escrita en P#t5on para la pre@encin de intrusos en un
sistema, que se basa en la penalizacin de conexin 0bloquear conexin1 a los orgenes que intentan
accesos por 3uerza bruta<
Podemos descargar reglas desde su web, que iremos a8adiendo< Oambi4n podemos guardar logs en
$#&GB<
&e encarga de buscar en los registros 0logs1 de los programas que se especi3iquen, las reglas que el
usuario decida aplicarle una penalizacin< Ba penalizacin puede ser bloquear la aplicacin que 5a
3allado en un puerto, bloquearla para todos los puertos, etc< Este @eto se realiza actualizando el
3irewall 0iptables1< Por e9emplo lee* I@arIlogIpwd3ail o I@arIlogIapac5eIerrorXlog # @eta todas
aquellas ips que 3allan un determinado nFmero de @eces<
?ailban se caracteriza por su simplicidad a la 5ora de con3igurar la aplicacin, #a que slo tiene un
Fnico 3ic5ero de con3iguracin, que se encuentra en* 68etc8fail2ban!conf7 o
68etc8fail2ba8fail2ban!conf # 0ail!conf7<
Dpciones de ?ailban*
/b* e9ecuta 3ailban en background<
/d e9ecuta 3ailban en modo depuracin<
/c arc7ivo* lee el arc5i@o de con3iguracin<
/p arc7ivo* crea P%J lock en un arc5i@o<
/7* muestra la a#uda<
/i OIPsP* %Ps a ignorar<
/%* mata el proceso ?ail'an<
/r nN* nFmero mximo de 3allos de contrase8a<
/t tiempo* tiempo de baneo para %P<
/v* muestra ms in3ormacin<
/D* muestra la @ersin de ?ailban<
Actualmente 3ailban establece 3iltros para Apac5e, ss5d, qmail, @s3tpd, lig5ttpd, Post3ix # =ourier
$ail &er@er< Bos 3iltros son escritos con expresiones regulares de P#t5on que establecen la regla que
5ar disparar una determinada accin sobre la %P que origina el 5ec5o< Ba tupla 0regla, accin1 o
03iltro-R carpeta 3ilter<d, accin-R carpeta action<d1 es llamado 6;ail7 o 6prisin7, # es lo que
determina la penalizacin a un 5ost maligno<
LPIC 2 1emario 222 b' Jorge Andrada =Q 8 >?
1ema 23.4 $olucin de problemas
23.!3 Identificacin de las estapas del arranque : solucin de problemas del
bootloader
Identificar el cargador de arranque*
Grub Begac#* El grub", 5asta el !"!, slo '%D&<
Grub2* '%D& # E?%<
Burg* 3ork de Grub, pero con temas gr3icos<
LILB* ms antiguo que Grub Begac#, slo con '%D&<
&LILB* B%BD pero con soporte E?%<
D&'I1* de uso 5abitual de P=s con E?% # que arrancan P=s con $acD& # Binux<
Loadlin* desde $&JD&<
$:slinu6* es una 3amilia* isolinux, extlinux, pxlinux, etc<
&l de Xindo@s<
&'I* necesita Grub o Elilo<
Existe un script para a@eriguar que bootloader usa 6bootinfoscript7 desde source3orge<
Localiar los arc7ivos : el cdigo del cargador de arranque*
Abicaciones cla@e*
*BR* en 4l reside parte de Grub # B%BD<
$ectores posteriores a *BR sin asignar* los M sectores siguientes al $'C estn sin
asignar, aunque algunos bootloaders lo usan para contenido adicional # puede acarrear
problemas<
La particin de arranque BIB$* Grub lo usa en sistemas con GPO<
$ector de arranque de una particin Linu6* un bootloader puede usar el primer sector de
una particin Binux como $'C<
Arc7ivos de apo:o al arranque* como el disco CA$<
Arc7ivos de configuraciones previas a la instalacin* lilo<con3, grub<d<
Arc7ivos de configuracin del tiempo de arranque* grub<c3g, menu<lst, etc<
Binarios<
*ensa0es de error de los bootloaders*
lilo* aparece en pantalla*
-ada* lilo no 5a cargado, no est instalalo lilo o la particin est da8ada<
LVV4 carga la primera 3ase, pero no es capaz de localizar la segunda que est en
68boot8boot!b7<
LI* localiza la segunda 3ase, pero no la puede e9ecutar<
LI3232!!!* indica que no es capaz de localizar la imagen del kernel<
LIL* carga # e9ecuta la segunda 3ase, pero no se puede leer el arc5i@o 68boot8map7<
LILH* e9ecuta la segunda 3ase en direccin equi@ocada, ocurre si se mue@e
68boot8boot!b7 sin @ol@er a instalar lilo<
LIL/* se detectan 3allos en 68boot8map7, ocurre si se mue@e este arc5i@o sin @ol@er a
instalar lilo<
LILB* error en >ernel o en disco CA$<
Grub Legac:* tiene ) fases* 3-R arranca grub desde $'C, 3G=-R cdigo despu4s de $'C #
3ase 2-R carga desde arc5i@os en la particin de arranque< Errores*
LPIC 2 1emario 222 b' Jorge Andrada >2 8 >?
Eard ;is% &rror* 03ase "1 la geometra del EJJ no se puedo determinar<
'lopp: &rror* 03ase "1 la geometra del disquete no se puedo determinar<
Read &rror* 03ase "1 no se pudo leer el disco<
Geom &rror* 03ase "1 el arc5i@o que est siendo leido reside 3uera del rea incluida
en la '%D&<
&rror nN* 03ase "</1 el nL de error corresponde con un error de 3ase <
&rrores de fase 2* 5a# ). distintos<
Grub2* aparece la consola de rescate, esto sucede cuando no se puede localizar
68boot8grub8grub!cfg7< (ormalmente ocurre por error en la @ariable interna 6prefi67<
Jesde consola buscaramos donde est 687 # luego la asignaramos con 6set
prefi6RYdiscoGparticinZ 8grub7, # luego 6set rootRYdiscoGparticinZ7*
Buego podemos @ol@er al menF normal con 6insmod normal7 # luego 6normal7<
Oodo es temporal # 5abr que @ol@er a instalar grub con 6sudo grub/install
8dev8dispositivo7<
&i en el menF pulsamos 6e7, podemos editar las entradas de &D<
Nota: po"eos recuperar bootloa"ers (rub * (rub2 con el "isco "e rescate %<uper@rub&' usan"o
%grub-install&.
Nota: con el coan"o %rdev& o"i-icaos el "ispositivo %/&' el intercabio' el "isco 45=' o el
o"o "e v2"eo "e una ia(en. ;in par.etros uestra %/etc/tab&.
23.!2 Problemas generales
Comprobar el bufer circular del 5ernel*
Asamos 6dmseg7, es pre3erible canalizarla con 6dmesg N less7 o redirigirla a un arc5i@o<
(ormalmente se encuentra estos datos en 6I@arIlogIdmesg o I@arIlogIboot<log7<
Identificar 7ard@are*
lspci* muestra in3ormacin de los dispositi@os P=% conectados< 0-@ ms in3o # -s nLXbus para
@er uno en concreto1<
lsusb* muestra in3ormacin de los dispositi@os A&' conectados< 0-@ ms in3o # -s nLXbus
para @er uno en concreto1<
lsdev* no instalada por de3ecto 0instalar procin3o1, muestra las lneas J$A, %CG # los
puertos %ID-
lsmod* para mdulos con 6insmod7 # 6modprobe7<
-ota* 6uname7 indica arquitectura, >ernel, etc<
Arc7ivos de log*
Jepende de la distro, 5a# que mirar 6s:slog7 # 68var8log87< Cecomendable establecer 6tail /n
nNdelineas arc7ivo7 para que muestre las Fltimas nL de lneas<
Ea# una 5erramienta para mirarlas como 6Logc7ec%7 del paquete 6$entr:tools7<
$eguimiento de las actividades de un programa*
En @ez de gui, probar por terminal para @er los mensa9es< Podemos usar 6strace programa
arc7ivo9salida7 # mirar las acti@idades, re3le9ndolas en el arc5i@o, esto monitoriza las llamadas al
sistema<
Existe tambi4n 6ltrace7, pero monitoriza las llamadas a bibliotecas dinmicas<
Identificar bibliotecas compartidas*
Para conocer las bibliotecas necesarias por un programa se usa el comando 6ldd,,
e9emplo* 6ldd 8usr8bin8vi, # mostrar todas las bibliotecas que necesita< &i aparece 6not found, es
que 5a# un error # no encuentra esa biblioteca<
Localiacin de las bibliotecas*
El programa responsable de cargar la biblioteca # @incularla al programa es 6ld!so, que es in@ocado
cada @ez que un programa necesita una 3uncin de biblioteca externa<
El ld<so consigue localizar con la a#uda del mapeo encontrado en 68etc8ld!so!cac7e,<
Bas blibliotecas estandar del sistema suelen encontrarse en Ilib # IusrIlib, si se
a8aden otros directorios se deben de incluir en 68etc8ld!so!conf, o en 68etc8ld!so!conf!d8,
en algunas distros< El comando 6ldconfig, actualiza esta cac54 con las con3iguraciones de ld<
&ncontrar arc7ivos abiertos*
=on 6lsof7 encontramos arc5i@os abiertos, podemos 3iltrar con 6/u usuario7 # tambi4n por el
programa con 6lsof F grep programa7<
Localia secuencias en arc7ivos binarios*
=on 6strings arc7ivo9binario7 busca texto A&=%%< Bo ideal es redirigirlo a un arc5i@o o usar
6less7< Bpciones*
/a* escanea todo el arc5i@o<
/f* muestra el nombre del arc5i@o antes de cada secuencia<
23.!. $olucin de problemas relacionados con los recursos del sistema
Problemas de $:sD*
Estara relacionado con 68etc8inittab7, 5a# que comprobar el runle@el por de3ecto
6id4.4initdefault7<
*odificar las opciones del 5ernel*
$odi3icando el sistema de arc5i@os 6Iproc7 o usando 6s:sctl7 podemos modi3icar parmetros<
'ormato s#sctl* 6s:sctl OopcionesP OclaveP OclaveRvalor F nombrearc7ivoP7<
Dpciones de s:sctl*
/a* muestra todas las cla@es # sus @alores<
/A* igual que 6-a7 pero 3ormateado<
/n* des5abilita la @ista de nombres<
/-* des5abilita la lista de @alor<
/q* como 6-(7, pero slo a3ecta a stdout<
/e* des5abilita errores al encontrar una cla@e desconocida<
/@ claveRvalor* asigna @alores<
/p arc7ivo* cambia parmetros especi3icadas en el arc5i@o<
E9emplo 6s#sctl >ernel<5ostnameQmoninopc7<
Bas opciones se encuentra en 68etc8s:sctl!conf7<
Arreglar problemas de scripts de inicio*
&i al iniciar un ser@icio 3alla, 5a# que comprobar que el runle@el sea el adecuado< =omprobar
@nculo simblico en 68etc8rcH!d, 8etc8rc!d8rc o 8etc8init!d8rc7<
Bos nL de secuencia de inicio deben de sumar ++, e9* 6>),ser@idor7 pues el de inicio debe ser ++-
),QM 6&Mser@icio7< Dtra 3orma de controlarlo es con 6rc/update # update/rc!d7<
Probelas con Apstart*
Apstart es ms reciente que &#sK< Ea# que mirar 68etc8init o 8etc8event!d7 # a9ustar los runle@els<
$cripts de inicio locales*
&e encuentran en 68etc8rc!local o 8etc8rd!rc!local o 8etc8rc!d8boot!local7< Para a8adir ponemos la
ruta del binario con 6J7 al 3inal para que sea en L plano<
23.!? $olucin de problemas con variables de configuracin
A0ustar variables de acceso* Bos @alores se encuentran en 68etc8login!defs7<
Problemas con bas7* &cript de inicio de consola<
Arc7ivos de acceso Arc7ivos de no acceso
Arc7ivos globales
IetcIpro3ile # IetcIpro3ile<d IetcIbas5<bas5rc
IetcIbas5Ibas5rc
IetcIbasrc
Arc7ivos de usuario
]I<bas5Xpro3ile
]I<bas5Xlogin
]I<pro3ile
]I<bas5rc
Bpciones de acceso*
=on el demonio 6s:slog!d7 se pueden mandar logs a otros ser@idores<
El arc5i@o de con3iguracin es 68etc8s:slog!conf7<
Cron*
=ron es impulsado por un 6crond3, un arc5i@o de con3iguracin que especi3ica comando s5ell para
e9ecutarse peridicamente a una 5ora espec3ica< Bos usuarios 5abilitados para crear su 3ic5ero
crontab se especi3ican en el 3ic5ero 6cron!allo@7 # los que no en 6cron!den:7< Estos dos Fltimos
3ic5eros se encuentran en 68etc8cron!d8 o 8etc87<
minuto W!->/\
V $ora W!-23\
V V dà del mes W9-39\
V V V mes W9-92\
V V V V dà de la semana W!-0 donde !*4omingo\
V V V V V comandos
9> !2 F M M
E9emplo* c)! "! ^ ^ " IusrIbinIw5o RR I5omeIquien<texc<E9ecuta la orden w5o todos los lunes a las
"!*)! # guarda la salida en el 3ic5ero quien<tex<
Para listar las tareas cron de un usuario 6sudo crontab -u usuario -l7<
LPIC 2 1emario 222 b' Jorge Andrada >. 8 >?
LPIC 2 1emario 222 b' Jorge Andrada >? 8 >?

Apuntes Certificacion LPIC-2 Por Jorge Andrada

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Apuntes Certificacion LPIC-2 Por Jorge Andrada

Încărcat de

Drepturi de autor:

Formate disponibile

Apuntes para la certificacin

S-ar putea să vă placă și