Material Linux - Editado
Material Linux - Editado
Material Linux - Editado
Capitulo Nº 1
TEMAS
Fundamentos de Linux
Instalación de Linux
OBJETIVOS
RECURSOS
Material Educativo
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 2
GNU/LINUX
Sistema Operativo Libre (Gratuito) su código está basado en lenguaje C, Algunas de sus
características son las Siguientes:
- Multitarea
- Multiusuario
Existen diversas distribuciones bajo el kernel de Linux, las separaremos en cuanto al tipo de uso.
Instalación de Linux
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 3
Y el cursor se ubicara en el promt para que pueda ingresar parámetros para la instalación
La siguiente opción nos da la opción para verificar la integridad de los archivos del CD/DVD
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 4
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 5
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 6
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 7
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 8
En esta pantalla nos muestra las opciones de particionamiento, así como información del disco
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 9
Seleccionamos el disco / Crear y nos muestra la herramienta para crear particiones, seleccionamos
estándar
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 10
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 11
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 12
Comienza la Instalación
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 13
Cargando el sistema
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 14
POST Instalación
Pantalla de Bienvenida
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 15
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 16
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 17
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 18
Los Pasos Para este tipo de instalación son los mismos pasos de la sección anterior, hasta el punto
Donde particionamos el disco, para este caso nos mostraría lo siguiente:
En la información del disco tenemos ya 2 particiones creadas sabemos que en la primera partición
en NTFS tenemos instalado Windows 7 existe una segunda partición en FAT32 y tenemos un
sector Libre que es la que usaremos para instalar Linux.
Seleccionamos la partición Libre y creamos el SWAP y la Raíz para el Sistema y continuamos con el
proceso de instalación
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 19
Llegamos a la parte del gestor de arranque (GRUB), vemos que nos muestra 2 etiquetas cada una
hace referencia a un numero de partición (other -> sda1, CentOS -> sda3)
Sabemos que en sda1 está instalado Windows 7 entonces procedemos a editar la Etiqueta
quedando así:
¿Qué sucede si tengo 2 sistemas Windows instalados, reconocerá ambas particiones como tales?
Capitulo Nº 2
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 20
TEMAS
OBJETIVOS
RECURSOS
Material Educativo
Escritorio GNOME
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 21
Componentes de GNOME:
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 22
- En Linux y UNIX como sistemas operativos, el sistema de archivos está organizado en una
jerarquía, como un árbol invertido.
- La raíz del árbol es el directorio /
- El nivel superior de un sistema de archivo es tratado como si fuera un directorio
para especificar la ubicación de un archivo en el sistema, podemos especificar la ruta
completa a ese archivo a partir de la raíz del árbol a través de sus subdirectorios hasta
llegar al archivo destino o saltar directorio por directorio hasta llegar al destino, se le
denomina Ruta Absoluta y ruta relativa respectivamente
El directorio /var contiene archivos de sistema variables, tales como registros, datos
de servicios
Ejecutables o comandos, se guardan en /usr/bin o /bin para ser accesible por todos
los usuarios. Algunos de los comandos de administración se pueden mantener en
/usr/sbin o /sbin
Cada usuario tiene su propio directorio que se aloja dentro del directorio /home.
Todos los archivos personales del usuario (configuración, datos, o incluso
aplicaciones) se guardan aquí.
El directorio del usuario root no se encuentra dentro de /home por ser el super
usuario su ubicación está en la raíz /root
El directorio /tmp es utilizado generalmente por las aplicaciones para almacenar datos
temporales. El sistema elimina automáticamente los archivos de más de diez días de
permanencia en /tmp
Cuando los medios extraíbles que se carga el sistema de archivos en los medios de
comunicación se instala en un subdirectorio de /media.
Por ejemplo, un CD-ROM puede ser montado en /media/cdrom, y usted podría tener
acceso a ese directorio cada vez que necesite leer un archivo desde el CD-ROM. Si el
medio extraíble tiene una etiqueta de sistema de archivos, que la etiqueta se utiliza a
menudo como el nombre del punto de montaje en /media
4. El directorio __________contiene datos variables como los Web sitios y sitios FTP.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 25
Salir
Bloquear la pantalla
Desbloquear la pantalla
Cierre sesión
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 26
Guardar una copia de este archivo en el directorio activo del usuario student con
el nombre save-gedit-test.txt
Guardar y salir
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 27
Usando Nautilus
Nautilus es el gestor de archivos que viene con el escritorio GNOME. Con Nautilus se puede
explorar
el sistema de archivos, crear archivos y carpetas, ver las propiedades de archivos y manipular
archivos y carpetas
(copiar, borrar, mover, cortar, pegar, y así sucesivamente)
Además de trabajar con archivos y carpetas locales, Nautilus también le permite acceder a los
archivos y carpetas, sistemas remotos.
Puede conectarse y navegar por los archivos de los servidores de FTP, recursos compartidos de
Windows, servidores y otros servidores de la red
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 28
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 29
Teniendo en cuenta la conectividad de red, Nautilus puede mostrar archivos y carpetas de FTP
accesible de forma remota,Windows y otros tipos de servidores. La forma más fácil de lanzar
Nautilus para conectarse de forma remota es abrir una ventana y Conectar al servidor
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 30
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 31
- Conectar por ftp al servidor y copiar cualquier archivo disponible al escritorio del
usuario student
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 32
Capitulo Nº 3
TEMAS
Expresiones Regulares
OBJETIVOS
RECURSOS
Material Educativo
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 33
Introducción a bash
bash programa informático que consiste en ejecutar ordenes, el bash es la shell de las mayoría de
distribuciones GNU/Linux
Consolas virtuales
Consolas de Texto
Consolas Graficas
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 34
passwd
id
su – [username]
exit
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 35
Checklist
exit
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 36
Grafico Nautilus 1
El nombre de una ruta absoluta siempre comienza con /, por ejemplo la ruta absoluta para la
imagen seria /mnt/Tareas
- el símbolo ~, es una abreviatura para el nombre de ruta absoluta del directorio del
usuario actual.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 37
4. ¿Qué comando se utiliza para listar las imágenes en la carpeta de Images de visitor?
___________________________________________________________
6. Usted no está seguro del directorio en que se encuentra. ¿Qué comando mostrará
su ubicación actual?
___________________________________________________________
7. ¿Qué único comando se utiliza para mostrar los archivos, tanto en el directorio Images
y datos del usuario visitor?
___________________________________________________________
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 38
cp : copia archivos
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 39
___________________________________________________________
Eliminar los archivos con extensión .html dentro del directorio bowe-labs/error
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 41
Volver a la consola de texto del usuario root y enviar el siguiente mensaje a todos
los usuarios conectados:
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 42
- Respuesta:
--------------------------------------------------------------------------------------------------------------
-
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 43
$ date
$ cal
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Encadenar comandos:
$ date;pwd
$ echo “cadena”
Parámetros
Parámetro Significado
-l Información detallada
* para un ejecutable
@ para un vinculo simbólico
-R Si existen subdirectorios, entra en ellos de manera recursiva
Parámetro Significado
Parámetro Significado
-f Fuerza la supresión
Parámetro Significado
Parámetro Significado
-p tipo de procesador
Comandos Básicos:
Comando Significado
Visualizar texto:
Comando Significado
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 46
Expresiones Regulares
Comodines:
Caracteres Descripción
[^…] Idem
Buscar Ficheros:
El comando find permite buscar ficheros dentro de la estructura del sistema de archivos con ayuda
de criterios, y da la posibilidad de actuar sobre los resultados devueltos.
Sintaxis:
Criterios de búsqueda:
-name => permite una selección por nombres de ficheros, es posible usar comodines
-user y –group => permite una búsqueda sobre el propietario y el grupo de los ficheros
-size => permite precisar el tamaño de los ficheros buscados
-size 10k -> ficheros de un tamaño de 10KB
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 47
Filtrar archivos:
Se trata de extraer líneas de un fichero según varios criterios. Para ello, se dispone del comando
grep
Sintaxis:
Opciones de grep
Opciones Función
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 48
Ejemplos:
- Ejemplo 1
- Ejemplo 2
- Ejemplo 3
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 49
3. ba[nr]k
a. bank
b. banrk
c. bark
d. bakk
4. ^root
a. root:x:0:0:root:/root:/bin/bash
b. operator:x:11:0:operator:/root:/sbin/nologin
c. root is the best!
d. You are not root.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 50
- Buscar los archivos en el directorio /etc que contengan la primera letra una vocal y sea
de extensión .conf
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 51
Comando sed
Permite filtrar y transformar texto. Permite modificar el texto vía comandos en un paso y sin
edición interactiva
Sintaxis:
Columnas y Campos
a. Columnas:
La Sintaxis es la siguiente:
b. Campos:
El comando cut también permite seleccionar campos. Se deben delimitar estos campos
por defecto por una tabulación, pero el parámetro –d permite seleccionar otro carácter.
Sintaxis:
Sintaxis:
Ordenación de Líneas:
El comando sort permite ordenar líneas, por defecto la ordenación se hace en orden creciente. La
ordenación es posible a partir de uno o más campos
Sintaxis:
Algunas Opciones
El comando diff indica las modificaciones que hay que aportar a los dos ficheros en entrada para
que su contenido se idéntico
Sintaxis:
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 53
Capitulo Nº 4
TEMAS
Pipes y Redirección
OBJETIVOS
RECURSOS
Material Educativo
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 54
Pipes y Redirección
Las redirecciones de entrada y salida permiten redireccionar los resultados hacia un fichero. Luego
se puede inyectar este fichero en un filtro para extraerle otros resultados. Las tuberías o pipes
permiten redireccionar el canal de salida de un comando hacia el canal de entrada del otro. El
carácter que lo permite es |
En todas las variantes de GNU/Linux tenemos tres flujos estándar que a modo de canales
conectan la entrada y salida (I/O) de un comando ó aplicación con la terminal ó consola cuando se
ejecuta.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 55
______________________________________________________________________
e. Ejecutar el siguiente comando como Student y redireccionar STDOUT y STDERR al
archivo /tmp/all.txt
______________________________________________________________________
f. Agregar al archivo /tmp/output.txt el resultado de listar todos los ficheros de /var
Editor vi
El Editor de texto vi es un poderoso editor de texto que se puede encontrar en cualquier sistema
GNU/Linux
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 56
El editor de texto vim es una versión mejorada de vi, soporta manipulación de texto sofisticadas
que son muy útiles para la administración del sistema
vi es pequeño => ocupa poco espacio en disco en disco, consume poca memoria
Modo comando:
Modo de visualización se accede a este modo presionando la tecla esc
Modo inserción:
Se trata de insertar texto
Operaciones de vi
a. Introducción de datos
Comando Acción
a Añade después del carácter actual
A Añade al final de línea
i Inserción de texto al inicio de la línea
o Añade debajo de la línea actual
O Añade arriba de la línea actual
b. Salir y guardar
Comando Acción
ZZ Guarda el fichero y sale
:q! Sale sin guardar
:q Sale si no se modifico el fichero
:w Guarda
:wq Guarda y sale
:x Guarda y sale
c. Desplazamiento
Comando Acción
h Ir a la izquierda
l Ir a la derecha
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 57
k Ir hacia arriba
j Ir hacia abajo
0 (cero) Principio de línea
:0 Principio de fichero (primera línea)
$ Fin de línea
:$ Fin de fichero ultima línea
w Ir a la palabra siguiente
b Ir a la palabra anterior
G Ultima línea del fichero
d. Las correcciones
Comando Acción
x Borra el carácter bajo el cursor
X Borra el carácter detrás del cursor
r<c> Sustituye el carácter bajo el cursor por el carácter <c>
dw Borra desde el cursor hasta el final de la palabra
d$ ó D Borra desde el cursor hasta el final de la línea
d0 Borra desde el principio de línea hasta el cursor
df<c> Borra todo hasta el carácter <c>
dG Borra todo hasta la última línea, incluyendo línea actual
d1G Borra todo hasta la primera línea, incluyendo la línea actual
dd Borra la línea actual
u Cancela la última acción
e. Búsqueda en el texto
Algunos criterios
- /[CcBb]ola => Cola,cola,Bola,bola
- /[A-Z]e => todo lo que empieza con mayúscula con una e en segunda posición
- /[A-Za-z0-9] => todo lo que empieza con mayúscula, minúscula y una cifra
- /al.r => el punto sustituye un carácter
- /^cadena => el ^ indica que la cadena buscada deberá estar al principio de la línea
- /cadena$ => indica que la cadena buscada deberá estar al final de la línea
f. Copiar – Pegar
g. Sustitución
Permite reemplazar de manera automática varias coincidencias por otra cadena como
cuando usamos el comando sed.
NOTA: Para ver el número de líneas en el editor vi tenemos el comando: set number y para quitar
los números de línea: set nonumber
Alias
alias
NOTAS:
- En el bashrc de cada usuario
- Si deseo que todos los usuarios tengan acceso al alias lo puedo editar en
/etc/bashrc
Capitulo Nº 5
TEMAS
Utilidad yum
OBJETIVOS
RECURSOS
Material Educativo
Empaquetar Ficheros
Sirve para empaquetar varios archivos en un único archivo, así como también desempaquetar
archivos empaquetados el comando a usar es el tar
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 60
Sintaxis:
Empaquetar:
v Modo verbose
c Crear
f file/archivo
Desempaquetar
v Modo verbose
x Extrae
f File/archivo
Observación:
un directorio con el mismo nombre al directorio “original” (no la del archivo) será creado
aplastando cualquier directorio con el mismo nombre si es que existiera
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 61
Comprimir archivos:
gzip archivo.tar
bzip2 archivo.tar
Descomprimir archivos
gunzip archivo.tar.gz
bunzip2 archivo.tar.bz2
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 62
RPM es un gestor de paquetes desarrollado por Red Hat que ha sido adoptado de manera masiva
por muchas otras distribuciones. Se basa en comandos, una base de datos local y paquetes en
formato rpm.
La base de datos está colocada en /var/lib/rpm. No se debe modificar NUNCA esta base de datos,
se deben utilizar las herramientas RPM
Instalación:
Parámetros
i Instalación
v Verboso
Actualización
Parámetros
Desinstalación
Opciones
Consultas RPM
Se puede consultar la base de datos RPM con el parámetro -q seguida de algunas opciones.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 63
Ejemplo 1:
Ejemplo 2:
Usando YUM
yum es un programa de gestión de paquetes, busca los paquetes dentro de los repositorios y
resuelve las dependencias de manera automática
1. Refrescar la cache:
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 64
El parámetro list permite listar los paquetes. Por defecto se listan todos pero existen
varias opciones disponibles:
- all : es el caso por defecto, se listan primero los paquetes instalados y luego los
disponibles
- available : los paquetes disponibles para la instalación
- updates : los paquetes que se pueden actualizar
- recent : los últimos paquetes añadidos al repositorio
4. Instalar paquetes
5. Desinstalar un paquete
6. Actualizaciones
Comando Función
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 65
Notas:
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 66
Para ver los paquetes individuales que se instalan o que están disponibles, seleccione Todos los
paquetes del panel de la izquierda, navegar por la lista en el panel derecho.
Los paquetes con un check en la casilla de verificación están instalados.
Los paquetes sin check en la casilla de están disponibles para ser instalado
Para ver los grupos de paquetes que están instalados o disponibles, seleccione las colecciones del
paquete en el panel izquierdo y navegar por la lista en el panel derecho.
Los grupos con un check en la casilla de verificación están instalados, aquellos que no tienen un
check en la casilla están disponibles para ser instalado.
Seleccione Todos los paquetes para administrar los paquetes individuales o seleccione las
colecciones de paquetes para gestionar los grupos de paquetes, Marque la casilla junto al paquete
o grupo que desee instalar.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 67
Para actualizar el software del sistema inicie la aplicación Actualización de Software, haga clic en
Sistema –> Administración -> Actualización de software.
Todos los paquetes disponibles para la actualización están marcados para ser actualizados, Usted
puede quitar la selección de las actualizaciones del paquete que usted no desea instalar.
yum (actualización)
httpd (desinstalar)
vsftpd (Instalar)
xsane-gimp (Instalar)
Capitulo Nº 6
TEMAS
Administración de Procesos
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 69
OBJETIVOS
RECURSOS
Material Educativo
Los Procesos
Un proceso es una instancia de un programa en ejecución. Los procesos tienen su propio espacio
en memoria, el hilo de ejecución, y las características tales como el contexto de seguridad y La
prioridad actual.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 70
El kernel de Linux rastrea todos los aspectos de un proceso por su número de identificación de
proceso (PID).
La información sobre cada proceso que anuncia el kernel de los programas de usuario se da a
través de /proc /PID directorios.
La gestión de procesos comprende la monitorización, detención y cambio de prioridad
Señales
El sistema operativo se comunica con los procesos a través de señales. Estas señales se encargan
de informar sobre eventos o situaciones de error en los procesos. En muchos casos, estas señales
se traducirán en el proceso de salida.
Una señal típica es SIGTERM, que termina el proceso de manera amable otra señal típica es
SIGKILL, que mata el proceso de manera forzada
Prioridades
El rango de valores para dar prioridad a un proceso va desde -20 hasta +19 a mayor valor menor
prioridad y lo puede ejecutar cualquier usuario, a menor valor mayor prioridad esta opción solo
puede ser modificada por el usuario root, la mayoría de procesos se ejecutan con prioridad 0
(Prioridad normal)
Monitoreando Procesos
El comando ps se puede utilizar para enumerar los procesos.
Por defecto, se le da muy poca información útil. Sólo muestra los procesos iniciados a partir de
este terminal. Sin embargo, el comando ps tiene más opciones para mostrar y puede ser adaptado
para proporcionar información muy concisa.
Parámetros
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 71
- ID de proceso principal
- ID de usuario
- Clase de programación
- Prioridad
- Dirección del proceso
- Memoria utilizada
- Tiempo de CPU utilizado
Campo Descripción
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 72
Deteniendo Procesos
SIGKILL = 9
SIGTERM = 15
kill -9 2484
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 73
nice y renice
Permite iniciar un comando con una prioridad más baja para permitir a otros posibles procesos
ejecutarse más rápidamente.
El comando renice funciona como nice, pero permite modificar la prioridad en función del PID. El
proceso se debe encontrar en ejecución.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 74
q: sale
k: terminar procesos
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 75
Administrando Procesos
1. Abrir 2 terminales
4. En la terminal donde ejecuto top ordene los procesos por consumo de CPU
presionando la tecla P
8. Use el comando nice para iniciar un nuevo proceso cat con una prioridad de 5
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 76
Puede retomar el control de la shell si ha iniciado un proceso en segundo plano. Puede pararlo de
manera temporal presionando CTRL+Z
Se ha parado el proceso: se ha suspendido su ejecución hasta que vuelva ponerlo en primer plano
con el comando fg
Cuando ejecuta un comando, obtiene un numero entre corchetes es el numero de job. Puede
obtener una lista de todas las tareas con el comando jobs
Los comandos bg y fg permiten actuar en estos jobs tomando como parámetro su número. Se
ejecuta el comando bg en un job parado para iniciarlo de nuevo en un segundo plano. Se vuelve a
iniciar el job 2 en segundo plano
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 77
Capitulo Nº 7
TEMAS
OBJETIVOS
RECURSOS
Material Educativo
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 78
Administración de usuarios
Identificación y autenticación:
La identificación consiste en saber quién es quién para determinar los permisos del usuario que se
conecta. Se identifica un usuario mediante un login.
La autenticación consiste en aportar la prueba de quienes somos mediante una clave compartida
entre el usuario y el sistema, solo conocen ellos. Se autentica el usuario mediante una contraseña
Los usuarios:
Un usuario es la asociación de un nombre de conexión “el login”. Todo usuario cuenta con un UID
y al menos un GID
Los UIDs y los GIDs suelen ser únicos. El UID identifica al usuario a lo largo de su conexión. Se
utiliza para el control de sus derechos y de los procesos que ha iniciado, dentro de la tabla de los
procesos son los UID y GID, y no los logins
Los grupos:
Cada usuario forma parte de al menos un grupo. Un grupo también tiene su identificador GID que
siempre acompaña al usuario para controlar sus privilegios. Un usuario puede formar parte de
varios grupos en este caso hay que distinguir el grupo primario de los secundarios
El comando id permite conocer la información esencial sobre un usuario: uid, gid, grupos
secundarios
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 79
Las contraseñas:
Las contraseñas permiten autenticar a los usuarios. Deben ser los bastante complejas para que no
se puedan descubrir fácilmente, pero lo bastante intuitivas como para que se pueda recordar. Las
contraseñas están cifradas y no son directamente legibles bajo su forma cifrada por el usuario con
el fin de que nadie pueda descifrarlas.
Los Ficheros:
- /etc/passwd :
Contiene la lista de los usuarios del sistema local. Cualquier usuario puede leerlo. La
información que contiene es pública y útil tanto para el sistema como para los usuarios se
compone de 7 campos:
- /etc/group:
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 80
- /etc/shadow:
En este fichero se coloca las contraseñas cifradas de los usuarios, contiene toda la
información son respecto a las contraseñas y su validez de tiempo, se componen de nueve
campos:
Campo 1 : el login
Campo 2 : contraseña cifrada
Campo 3 : número de días desde el 01/01/1970 al último cambio de contraseña
Campo 4 : número de días sin poder cambiar la contraseña ( 0 se puede cambiar en
cualquier momento )
Campo 5 : número de días a partir de los cuales se debe cambiar la contraseña
Campo 6 : número de días antes del vencimiento de la contraseña durante los cuales
se debe avisar al usuario
Campo 7 : número de días después del vencimiento de la contraseña tras los cuales se
desactiva la cuenta
Campo 8 : número de días desde el 01/01/1970 hasta el momento que se desactivo la
cuenta
Campo 9 : reservado
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 81
Creación de usuarios
Sintaxis:
Opciones:
Opción Descripción
-u Especifica el UID
-g Especifica el grupo primario del grupo
-G Especifica grupos adicionales
-c Especifica un comentario
-s Especifica el Shell
-d Especifica el directorio personal
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 82
Administración de Contraseñas
Sintaxis:
passwd <opciones> usuario
Opciones:
Opción Descripción
-l Bloquea una cuenta
-u Desbloquea la cuenta bloqueada
-n <valor> Duración de vida mínima en días de la contraseña
-x <valor> Duración de vida máxima en días de la contraseña
-w <valor> Número de días antes de avisar
-i <valor> Periodo de gracia antes de la desactivación si ha vencido la contraseña
Debe esperar 3 días después de la inserción de una nueva contraseña para poder
cambiarla
Su contraseña es válida 30 días
Se le avisa 5 días antes de que deba cambiar la contraseña
Si no cambia la contraseña después de 30 días, dispone de 7 días antes de que sea
bloqueada
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 83
El comando chage permite hacer algo parecido al comando passwd, a diferencia que es
interactivo.
Sintaxis:
Opciones:
Opción Descripción
-m Mindays: equivale a passwd -n
-M Maxdays: equivale a passwd -x
-d Fecha de Ultima modificación de la contraseña (desde el 01/01/1970)
-E Fecha de vencimiento de la contraseña (desde el 01/01/1970)
-I Inactive: equivale a passwd -i
-W Warndays: equivale a passwd -w
-l Lista detalle del usuario
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 84
Para modificar una cuenta de usuario use el comando usermod, utiliza la misma sintaxis y las
mismas opciones que useradd.
Sintaxis:
Opciones:
Opción Descripción
-L Bloqueo de la cuenta, como passwd -l
-U Desbloqueo de la cuenta, como passwd -u
-u <UID> Modifica el UID asociado al login
El comando userdel suprime un usuario. Por defecto no se suprime el directorio personal. Para ello
debe pasar la opción -r
Sintaxis:
userdel -r usuario
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 85
Gestión de Grupos
Al igual que los usuarios, los grupos tienen un nombre y un número (GID). Los grupos locales se
definen en / etc / group
Grupos principales
Grupos suplementarios
Creación:
groupadd nomgrupo
Suprimir:
groupdel grupo
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 86
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 87
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 88
Gestor de usuarios
Seleccionamos la cuenta del usuario
Click en borrar
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 89
Gestor de usuarios
Seleccionamos el nombre del grupo
Click en borrar
- Usuario = Practica
- Contraseña = practice
- Usuario = pepito
- Contraseña = pepito
Capitulo Nº 8
TEMAS
OBJETIVOS
RECURSOS
Material Educativo
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 91
Los directorios y archivos tienen sólo tres categorías de permisos para los usuarios. El archivo es
propiedad de un usuario, normalmente el usuario que creó el archivo. El archivo también es
propiedad de un solo grupo, por lo general el grupo principal del usuario que creó el archivo, pero
esto se puede cambiar.
Los diferentes permisos se pueden establecer para el usuario propietario, grupo propietario, y
para todos los demás usuarios del sistema que son no el usuario o un miembro del grupo
propietario.
También hay sólo tres tipos de permisos que se aplican: leer, escribir y ejecutar.
Estos permisos afectan el acceso a los archivos y directorios de la siguiente manera:
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 92
Grupo Usuarios
lucy lucy,ricardo
ricky ricky,ricardo
ethel ethel,mertz
fred fred,mertz
Responder en base a los Siguientes atributos
-rw-rw-r-- lucy lucy lfile1
-rw-r--rw- lucy ricardol file2
-rw-rw-r-- ricky ricardo rfile1
-rw-r----- ricky ricardo rfile2
- Verdadero
- Falso
- Verdadero
- Falso
fred puede eliminar lfile1
- Verdadero
- Falso
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 93
- Verdadero
- Falso
fred puede eliminar lfile1
- Verdadero
- Falso
Grupo Usuarios
lucy lucy,ricardo
ricky ricky,ricardo
ethel ethel,mertz
fred fred,mertz
Ricardo
Responder en base a los Siguientes atributos
-rw-rw-r-- lucy lucy lfile1
-rw-r--rw- lucy ricardo file2
-rw-rw-r-- ricky ricardo rfile1
-rw-r----- ricky ricardo rfile2
- Verdadero
- Falso
- Verdadero
- Falso
ricky puede eliminar lfile2
- Verdadero
- Falso
ethel puede ver el contenido de lfile2
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 94
- Verdadero
- Falso
ethel puede modificar contenido de lfile2
- Verdadero
- Falso
Grupo Usuarios
lucy lucy,ricardo
ricky ricky,ricardo
ethel ethel,mertz
fred fred,mertz
Responder en base a los Siguientes atributos
-rw-rw-r-- lucy lucy lfile1
-rw-r--rw- lucy ricardol file2
-rw-rw-r-- ricky ricardo rfile1
-rw-r----- ricky ricardo rfile2
- Verdadero
- Falso
- Verdadero
- Falso
fred puede ver el contenido de rfile1
- Verdadero
- Falso
fred puede modificar contenido de rfile1
- Verdadero
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 95
- Falso
Grupo Usuarios
lucy lucy,ricardo
ricky ricky,ricardo
ethel ethel,mertz
fred fred,mertz
Responder en base a los Siguientes atributos
-rw-rw-r-- lucy lucy lfile1
-rw-r--rw- lucy ricardol file2
-rw-rw-r-- ricky ricardo rfile1
-rw-r----- ricky ricardo rfile2
- Verdadero
- Falso
- Verdadero
- Falso
fred puede ver el contenido de rfile2
- Verdadero
- Falso
fred puede modificar contenido de rfile2
- Verdadero
- Falso
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 96
Sintaxis:
Modificaciones:
Modificación Ejemplo
Mascara de Permisos:
- Por defecto, se crean todos los archivos con los permisos 666
- Por defecto, se crean todos los directorios con los permisos 777
- Una máscara no modifica los permisos de los ficheros existentes, sino solamente los de los
ficheros creados a partir de este momento
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 97
Sintaxis:
Usted puede especificar un UID o GID en este caso, el sistema no efectuara comprobación alguna.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 98
Permisos Especiales
SUID y GUID
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 99
Modificación Ejemplo
STICKY BIT
Capitulo Nº 9
TEMAS
Niveles de Ejecución
Montaje de Dispositivos
fstab
OBJETIVOS
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 100
RECURSOS
Material Educativo
Función de init
El programa init es el primer proceso iniciado y el ultimo que se para dentro del sistema y tiene
como misión ejecutar todas las demás tareas. El papel inicial de init consiste en iniciar y parar
todos los servicios.
Una vez iniciado el sistema y ejecutados los servicios, init sigue activo para gestionar los cambios
de estado de los procesos que controla y de los niveles de ejecución.
El proceso init es el padre de todos los procesos tiene el PID 1. Su configuración esta en el archivo
/etc/inittab. Si este archivo está corrompido o es inutilizable, abra que arrancar el sistema en
modo Single y arreglarlo.
Nivel de ejecución
Un nivel de ejecución corresponde al estado en el cual se encuentra Unix/Linux. Init controla este
estado y Cada estado dispone de su propia configuración.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 101
Nivel Descripción
0 Apaga la Maquina
1 Modo monousuario
4 Igual a 3
6 Reinicia el Sistema
Administración de servicios
Mediante Scripts:
Se pueden iniciar los servicios en todos los casos individualmente o con la ayuda de herramientas
según la distribución.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 102
Sintaxis:
Ejemplos:
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 103
Varios métodos permiten parar correctamente una maquina Linux. Init gestiona las paradas con
los niveles 0 y 6
El comando shutdwon
Sintaxis:
Parámetros:
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 104
Parámetro Acción
-r Reiniciar
-h Parada
-c Cancela shutdown
Montaje de Dispositivos
mount
El comando mount permite acceder a los periféricos de tipo bloque (las particiones) donde se
encuentra el sistema de ficheros. El comando mount sitúa el sistema de ficheros a montar en un
punto del sistema principal llamado punto de montaje.
Sintaxis:
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 105
Ejemplo: Tengo una partición sda4 es un nuevo sistema de ficheros ext4, Montar el sistema de
ficheros mencionado al directorio /HD4
El comando mount, cuando es ejecutado sin parámetros, muestra todos los detalles en los
sistemas de ficheros actualmente montados (periféricos, sistema de ficheros, punto de montaje,
opciones)
Cada sistema de ficheros dispone de un identificador único llamado UUID: Universal Unique
Identifier, el UUID no cambia y mount encuentra el sistema de ficheros, en teoría es más posible
que dos sistemas de ficheros lleven la misma etiqueta
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 106
umount
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 107
Si un sistema de ficheros se está utilizando, umount no funcionara debe asegurarse que ningún
proceso se esté ejecutando sobre este sistema de ficheros
El comando lsof determina que proceso está utilizando un fichero del punto de montaje en el
momento de iniciar el comando. En el ejemplo hay un proceso que lo está ejecutando el usuario
student
De esta manera el punto de montaje queda libre para desmontar el sistema de ficheros.
CD/DVD:
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 108
Los CD-Rom,DVD-Rom se montan como cualquier otro sistema de ficheros a diferencia que el
sistema de ficheros para este caso es iso9660.
Imágenes ISO:
Un fichero ISO es una imagen del contenido de un CD o DVD. Es un sistema de ficheros iso9660 en
un fichero. Es posible utilizar esta imagen como periférico con ayuda de la opción loop. Esta
opción consiste en relacionar la imagen como periférico en modo loopback y conseguir así que las
herramientas los traten como un disco más.
/etc/fstab
El archivo fstab contiene una configuración estática de las diferentes opciones de montaje
de los sistemas de ficheros. Este fichero es invocado siempre que se inicia el sistema, ya
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 109
que es aquí donde se especifican los periféricos y sus puntos de montaje. Contiene seis
campos.
Tabla:
Campo Descripción
Montar todo
Capitulo Nº 10
TEMAS
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 110
OBJETIVOS
RECURSOS
Material Educativo
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 111
fdisk es un utilitario para administrar las particiones. Permite listar la tabla de particiones como
también permite comenzar a crear particiones nuevas al disco duro.
Una vez creada la partición tenemos que asignarle un sistema de archivos (ext4)
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 112
La partición creada ya cuenta con un sistema de archivos el siguiente paso es montar esta
partición a un directorio para poder trabajar sobre ella.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 113
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 115
2. mkswap /dev/sdax
4. Agregar a /etc/fstab
Capitulo Nº 11
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 116
TEMAS
LVM
OBJETIVOS
RECURSOS
Material Educativo
Componentes de LVM
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 117
Volumen físico: una partición marcada como espacio utilizable para LVM. Marcado
con 0x8e como tipo de partición.
Grupo de volúmenes: una colección de uno o más volúmenes físicos. Puede ser
pensado como un disco virtual.
El volumen lógico: se puede considerar como una partición virtual del grupo de
volúmenes. Esto se formatea con un sistema de archivo y se utiliza como una partición
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 118
2. pvcreate /dev/sdx
3. mkdir /data
1. pvdisplay /dev/sdax
2. vgdisplay vgname
3. lvdisplay /dev/vgname/lvname
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 119
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 121
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 122
PASOS:
- df -h
- vgdisplay vgname
- resize2fs -p /dev/vgname/lvname
- df -h
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 123
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 125
PASOS:
- umount /directorio
- fsck -f /dev/mapper/vgname-lvname
- resize2fs -p /dev/mapper/vgname-lvname 1G
- lvreduce -L 1G /dev/mapper/vgstorage-lvstorage
- mount -a
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 126
2. Desmontar el volumen lógico y Verificar la estructura de los datos del file system
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 128
PASOS:
- pvcreate /dev/sdax
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 129
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 130
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 131
Volumen físico: una partición marcada como espacio utilizable para LVM. Marcado
con 0x8e como tipo de partición.
Grupo de volúmenes: una colección de uno o más volúmenes físicos. Puede ser
pensado como un disco virtual.
El volumen lógico: se puede considerar como una partición virtual del grupo de
volúmenes. Esto se formatea con un sistema de archivo y se utiliza como una
partición.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 132
c. Click en ok
d. Especificamos el nombre
e. Especificamos el tamaño
g. Click en ok
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 133
Pasos:
3. Click en agregar
Pasos:
4. Ajustar el tamaño
5. Click en ok
Capitulo Nº 12
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 134
TEMAS
OBJETIVOS
RECURSOS
Material Educativo
Concepto de IPV4
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 135
Ejemplo de Direcciones IP
Configuración de red
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 137
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 138
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 139
Capitulo Nº 13
TEMAS
Shell Script
Uso de cron
OBJETIVOS
RECURSOS
Material Educativo
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 140
Programación Shell
Estructura de un script
Se agrupan todas las instrucciones y los comandos dentro de un script. Durante su ejecución cada
línea se leerá una por una y se ejecutara. Para crear un script solo creamos un archivo con las
siguientes características:
Ejemplo:
Una vez creado, podemos editar el archivo usando un editor de texto (gedit, vim, nano, emacs,
etc) En la primera línea del script se debe indicar que shell que vas a usar (/bin/bash/
#! /bin/bash
Los valores #! Que se insertan al inicio de un script se le conoce con el nombre de Sha Bang, Su
función es indicarle al sistema que se trata de un conjunto de comandos para que sean
Interpretados.
Ejecución de script
Para ejecutar un script primero debemos asegurarnos de que tenga permiso de ejecución si no los
tuviera tendríamos que asignar permisos con chmod
./nombredelscript.sh
sh nombredelscript.sh
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 141
Editando un Script
Variables:
NombreVariable=variable
Ejemplo:
!#/bin/bash
mi_linux=`comando_linux`
Ejemplo:
#! /bin/bash
clear
lee=`cat /etc/passwd`
echo -e "Mostrando el archivo passwd \n$lee"
Opciones:
Ejemplo:
#!/bin/bash
clear
read -p "Ingrese Nombre Distribución: " nombre
echo "El Valor de La Variable Ingresada es $nombre"
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 142
a=1
b=$((a+1)
echo “$b”
Resultado 2
Estructuras Condicionales
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 143
Si la condición se cumple la secuencia entra a ejecutar las órdenes de then, en caso contrario
ingresan a ejecutar las órdenes dentro de else.
Ahora lo que hace es evaluar la condición, si es verdadera entra por el then, pero si no y se da el
caso de otra condición entraría por el elif, los elif no se cierran, solamente el fi final corresponde a
la apertura del if.
La condición es cualquier cosa que de un return (que devuelva) algo que sea 0 o Verdadero.
Ejemplo 1:
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 144
El siguiente script Verifica que la ruta sea un directorio si es correcto mostrara un mensaje ES UN
DIRECTORIO en caso contrario mostrara un mensaje NO ES UN DIRECTORIO.
#!/bin/bash
clear
if `cd /tmp/directorio/ 2> /dev/null`
then
echo "Es Un Directorio"
else
echo "No es un directorio"
fi
Ejemplo 2:
El script le pedirá que ingrese un usuario y un grupo y le mostrara en pantalla si el usuario existe o
no así como el nombre de grupo ingresado.
#!/bin/bash
read -p "Ingrese usuario: " user
read -p "Ingrese grupo: " grupo
if `grep -e "^$user" /etc/passwd > /dev/null`
then
if `grep -e "^$grupo" /etc/group > /dev/null`
then
echo "Existe Usuario y grupo"
else
echo "Existe Usuario pero Grupo no"
fi
elif `grep -e "^$grupo" /etc/group > /dev/null`
then
echo "No existe usuario pero grupo si"
else
echo "No existe usuario ni grupo"
fi
Condicionales Case
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 145
El siguiente ejemplo sirve para comprobar lo que uno digite por teclado.
#! /bin/bash
clear
read -n 1 -p "Pulsa una tecla: " tecla
case $tecla in
[a-z,A-Z]) echo -e "\nHa introducido una letra";;
[0-9]) echo -e "\nHa introducido un numero";;
*) echo -e "\nHa introducido un caracter especial";;
esac
#! /bin/bash
clear
num=0
echo "1. Suma "
echo "2. Resta "
read -n 1 -p "Introduce una opcion: " opcion
case $opcion in
1) echo -e "\n"
read -p "\nIngrese Numeros a Sumar: " num1 num2
num3=$(($num1+$num2))
echo "LA Suma es " $num3 ;;
2) echo -e "\n"
read -p "Ingrese Numeros a Restart: " num1 num2
num3=$(($num1-$num2))
echo "La diferencia es: $num3" ;;
*) echo "No has introducido ni un dos ni un uno" ;;
esac
Expresiones test
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 146
Comprobación de cadenas:
Uso de test
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 147
Ejemplo 1:
#! /bin/bash
clear
read -p "Introduce dos Numeros " num1 num2
if [ -z $num1 -o -z $num2 ]
then
echo "Debes introducir dos Numeros por favor"
elif [ $num1 -eq $num2 ]
then
echo "Los Numeros son iguales"
elif [ $num1 -gt $num2 ]
then
echo "El Numero $num1 es mayor que $num2"
elif [ $num2 -gt $num1 ]
then
echo "El Numero $num2 es mayor que $num1"
fi
Ejemplo 2:
#! /bin/bash
clear
read -p "Introduce directorio a buscar " dir
read -p "Nombre de fichero a buscar " nom
if [ ! -d $dir ]
then
echo "$dir no existe"
else
find $dir -name "$nom" -exec ls -dl '{}' \;
fi
Bucles While
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 148
Sintaxis:
#! /bin/bash
clear
opcion=2
while [ $opcion -ne 5 ]
do
echo "1.suma"
echo "2.resta"
echo "3.multiplicacion"
echo "4.division"
echo "5.salir"
read -n 1 -p "Introduce una opcion " opcion
case $opcion in
1) read -p "Introduce el 1 numero " numero1
read -p "Introduce el 2 numero " numero2
echo "El resultado es `expr $numero1 + $numero2`" ;;
2) read -p "Introduce el 1 numero " numero1
read -p "Introduce el 2 numero " numero2
echo "El resultado es `expr $numero1 - $numero2`" ;;
3) read -p "Introduce el 1 numero " numero1
read -p "Introduce el 2 numero " numero2
echo "El resultado es `expr $numero1 '*' $numero2`" ;;
4) read -p "Introduce el 1 numero " numero1
read -p "Introduce el 2 numero " numero2
echo "El resultado es `expr $numero1 '/' $numero2`" ;;
esac
done
Bucles For:
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 149
El bucle se ejecuta para cada uno de los valores que toma la variable en esa lista.
Sintaxis:
Ejemplo 1:
El siguiente script lanza un ping a las pcs cuyas ips son 192.168.7.4, 192.168.7.107 y
192.168.7.108
#! /bin/bash
clear
for ips in 4 107 108
do
ping -c 2 192.168.7.$ips
done
Ejercicios:
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 150
2. Crear un script que solicite el directorio a crear backup y que proceda a crearlo.
5. Crear un script que me cree los usuarios pepito, juanito, jose y que además la
contraseña inicial debe ser “password”.
6. Crear un script que cree usuarios a partir de un archivo(en este archivo están todos
los usuario a crear) además las contraseñas deben ser los nombres de usuarios (ej.
si el usuario pepito la contraseña también debe ser pepito).
Automatización de Tareas
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 151
El Servicio CRON
Crontab es un fichero de texto que se puede editar con un simple editor de texto.
Utilice el comando crontab con objeto de editar la tabla con el parámetro -e
Minutos: 0 – 59
Horas: 0 - 23
Días: 1 - 31
Meses: 1 - 12
Días del Semana: 0 - 6 (0 es domingo)
Ejemplo 1:
crontab –e
0, 15, 30,45 * * * * du –h
Ejemplo 2:
crontab –e
0 17 * * 1-5 du –h
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 152
crontab -r
crontab -u user
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
# run-parts
01 * * * * root run-parts /etc/cron.hourly
02 3 * * * root run-parts /etc/cron.daily
30 3 * * 0 root run-parts /etc/cron.weekly
30 20 1 * * root run-parts /etc/cron.monthly
Cada hora y un minute se ejecutan los scripts que están en /etc/ cron.hourly
Todos los días a las 03:02 se ejecutan los scripts que están en /etc/cron.daily
Todos los Domingos a las 03:30 se ejecutan los scripts que están en /etc/cron.weekl
Los 1 de cada mes a las 20:30 se ejecutan los scripts que están en /etc/cron.monthly
Control de acceso
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 153
Ud. Puede controlar el acceso al comando crontab por usuario con los ficheros
/etc/cron.allow y /etc/cron.deny
Capitulo Nº 14
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 154
TEMAS
OBJETIVOS
RECURSOS
Material Educativo.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 155
Los TCP wrappers proporcionan control de acceso a una variedad de servicios. La mayoría
de los servicios modernos de redes, tales como SSH, Telnet y FTP, hacen uso de TCP
wrappers, que escuchan entre las peticiones entrantes y el servicio solicitado.
Los beneficios ofrecidos por TCP wrappers son mejorados cuando se usan en conjunto con
xinetd, un súper servicio que proporciona acceso adicional, conexión, enlace, redirección y
control de la utilización de recursos.
TCP Wraper
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 156
Es una Herramienta que sirve para monitorear y controlar el tráfico que llega al servidor
evaluando el acceso o denegación del usuario a conectarse.
El paquete TCP wrapers está instalado por defecto en la mayoría de sistemas GNU/Linux y
brinda control de acceso basado en host a los servicios de red.
Una manera de determinar si el servicio de red ha sido enlazado con la librería de tcp
wraper es ejecutando la siguiente sentencia:
Funcionamiento
Cuando un servicio encapsulado por TCP recibe una petición de cliente, realiza los
siguientes pasos:
Archivos de configuración
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 157
Sintaxis:
<daemon list>: Lista separada por comas de los nombres de procesos (no de servicios).
<client list>: Lista separada por comas de nombres de máquinas, direcciones ip, patrones o
comodines especiales.
<option>: una acción opcional una lista separada con puntos y comas de acciones realizadas
cuando la regla es activada.
Ejemplo:
En este ejemplo estamos denegando el acceso al servicio sshd de las maquinas pertenecientes al
dominio cetis.edu.pe
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 158
Patrones:
- Dominio:
ALL: .dominio.com
ALL: 10.50.
- Red / Mascara
ALL: 10.50.42.0/255.255.255.128
- Asterisco (*)
ALL: *.cetis.edu.pe
Operadores:
- EXCEPT
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 159
Campo de opciones
- Control de Acceso:
Los campos de opciones también permiten a los administradores permitir o denegar hosts en una
sola regla, añadiendo la directiva permit o deny como la opción final.
Por ejemplo, las dos reglas siguientes permiten conexiones SSH desde 10.50.42.11, pero niegan
conexiones desde 10.50.42.12
sshd: 10.50.42.11:permit
sshd: 10.50.42.12:deny
- Comandos Shell:
En el siguiente ejemplo, los clientes intentando acceder al servicio sshd desde el dominio
cetis.edu.pe son registrados discretamente en un archivo especial:
En el siguiente ejemplo, a los clientes intentando acceder al servicio sshd desde el dominio
cetis.edu.pe se les envía un mensaje de aviso:
Ampliaciones Descripción
%a IP del Cliente
%A IP del Servidor
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 160
Funcionamiento
Cuando un cliente intenta conectarse a un servicio de red controlado por xinetd, este
recibe la petición y verifica por cualquier regla de control de acceso (hosts.allow y
hosts.deny). Si se permite el acceso, xinetd verifica que la conexión sea permitida bajo sus
propias condiciones. Luego comienza una instancia del servicio solicitado y pasa el control
de la conexión al servicio solicitado. Una vez que es establecida la comunicación, xinetd no
interfiere más con la comunicación entre el cliente y el servidor.
/etc/xinetd.conf
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 161
Opciones:
log_type=SYSLOG authpriv
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 162
El directorio /etc/xinetd.d/
En este directorio se encuentran los archivos de configuración para cada servicio administrado por
xinetd, los nombres de los archivos aquí dentro se correlacionan al servicio.
El formato de los archivos en /etc/xinetd.d/ utilizan sintaxis parecida al archivo xinetd.conf
Los servicios administrados por xinetd suelen tener nombres descriptivos, para la identificación del
archivo de configuración del servicio a configurar por ejemplo, el archivo telnet hace referencia al
servidor telnet cuyas opciones son las siguientes:
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 163
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 164
Capitulo Nº 15
TEMAS
OBJETIVOS
Instalar apache
RECURSOS
Material Educativo
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 165
En este caso ya está instalado el paquete httpd, si no devolviera ningún resultado, eso
quiere decir que no está instalado si fuera el caso se instala con el siguiente comando:
2. Parada/Reinicio
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 166
3. Configuración
Los registros (logs) están referenciados al directorio logs que es un acceso directo a
/var/log/httpd
El directorio run contiene el archivo httpd.pid, cuyo contenido es el ID del proceso padre
httpd
4. Directivas generales
- Directivas generales: Todos los parámetros que se establecen en esta sección son
globales para el funcionamiento del servidor, por lo que no admiten estar dentro
de ninguna directiva
- Directivas de funcionamiento
- Hosts virtuales
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 167
Directivas generales:
- Modulos Multiproceso (MPM): son los responsables de iniciar los procesos del servidor y
de servir las solicitudes vía procesos hijos
MPM prefork: Cada proceso hijo tiene solamente un hilo donde cada hijo puede
hacerse cargo de una solicitud
MPM worker: cada proceso hijo puede tener un número determinado de hilos, donde
cada hilo puede hacerse cargo de una solicitud
- Listen: Puertos en los cuales escucha el servidor apache, por defecto el puerto es 80
- LoadModule: Directiva que sirve para cargar modulos que incluyen distintas
funcionalidades. La sintaxis es:
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 168
Directivas de funcionamiento:
Options FollowSymLinks: El servidor sigue los vínculos simbólicos, otro valor para
Options puede ser Indexes: si no encuentra ninguna página index, se mostrara el
contenido del directorio
Order: Controla el orden en el cual las directrices allow y deny son evaluadas
- CustomLog: Ubicación del archivo de registro de acceso y el tipo de formato del registro
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 169
- LogFormat: Formato en el que se guardaran los registros tales como fecha, hora o
dirección IP
Hosts virtuales
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 170
En el siguiente ejemplo validaremos el acceso a un usuario para que se conecte a nuestro sitio web
ubicado en /var/www/html/prueba el usuario a conectarse a este sitio deberá autenticarse.
Pasos:
Configurar el servidor para que solicite una contraseña y el usuario que desea otorgarle el
permiso. Abrir el archivo de configuración principal de apache
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 171
Pasos:
En /etc/httpd/conf/httpd.conf
Para este ejemplo solo los usuarios que pertenecen al grupo1 podrán acceder.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 172
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 173
Con una sola dirección IP funcionan varios sitios web con diferentes nombres
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 174
Usando un servidor normal (sin SSL), las comunicaciones entre el navegador y el servidor
se dan en texto plano, lo cual puede ser interceptado y leído por un usuario no autorizado.
El archivo de configuración para agregar soporte de SSL al servidor web está ubicado en:
/etc/httpd/conf.d/ssl.conf
Para implementar un servidor web con soporte SSL se debe tener en cuenta los siguientes
paquetes:
Configuración de SSL:
Paso I:
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 176
Paso II:
/etc/httpd/conf.d/ssl.conf
Buscamos las líneas siguientes para conocer las rutas donde poner nuestro certificado
privado y publico
1. Configurar un servidor web con 2 interfaces de modo que las paginas publicadas
en /var/www/html/test1 sean vista a través de la primera interfaz por su puerto
80 y la publicación de páginas en /var/www/html/test2 son vistas a través de la
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 177
segunda interface en su puerto 81(Crear subinterfaces si las PCs solo tuvieran una
sola tarjeta de red)
2. Del Ejercicio 1 modificar los puertos de escucha ahora ambas interfaces deben
escuchar por el puerto 80
3. Del ejercicio 1 modificar con lo siguiente, esta vez solo desde una interfaz de red se
publicaran las 2 rutas. (Virtual host)
Capitulo Nº 16
TEMAS
Servidor FTP
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 178
OBJETIVOS
RECURSOS
Material Educativo
Servidor FTP
El protocolo FTP (File Transfer Protocol) es utilizado para la copia de archivos de una
maquina a otra, también podemos subir archivos al servidor.
Modo Activo:
Modo Pasivo:
Instalación y configuración
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 180
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 181
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 182
Antes de comenzar con el laboratorio crear los siguientes usuarios con sus respectivas
contraseñas:
Además estos usuarios deberán ser configurados para que no accedan a la shell del sistema.
2. El acceso al FTP deberá ser por autenticación de usuarios, el usuario anónimo no debe
poder conectarse al servicio FTP
3. En el ejemplo anterior los usuarios: los usuarios soporte y redes no deben acceder al FTP
Capitulo Nº 17
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 183
TEMAS
Servidor NFS
OBJETIVOS
RECURSOS
Material Educativo
Servidor NFS
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 184
El Sistema de Ficheros NFS (Network File System) o Sistema de ficheros de red permite
compartir todo o parte de un sistema de ficheros destinado a clientes NFS.
Ejemplo de configuración:
Opciones
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 185
Herramientas:
Cliente NFS
Capitulo Nº 18
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 186
TEMAS
Servidor DHCP
OBJETIVOS
RECURSOS
Material Educativo
Servidor DHCP
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 187
El servicio DHCP (Dynamic Host Configuration Protocol), Permite a los anfitriones de una
red solicitar y recibir información de configuración (Dirección IP, Gateway, DNS, etc.)
Un cliente del servicio no tiene información de red disponible en el momento del inicio.
Debe encontrar solo un servidor DHCP. Para ellos hace una petición a la dirección
255.255.255.255 con una trama que contiene sus datos como la MAC y los datos deseados
(DHCPDISCOVER).
Se manda el broadcast a todos los host de la red local. Cuando el servidor DHCP detecta la
solicitud efectúa también un broadcast con la información básica que desea el cliente
DHCP (DHCPOFFER), el Cliente establece una primera configuración, luego pide
confirmación de la IP (DHCPREQUEST), el DHCP confirma (DHCPACK).
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 188
- El archivo de configuración
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 189
Gateway: 10.50.42.1
DNS: 10.31.1.21 y 10.31.1.22
Rango de IPs asignables es desde la 10.50.42.12 hasta la 10.50.42.15
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 190
5. Configuración en el cliente
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 191
Capitulo Nº 19
TEMAS
OBJETIVOS
RECURSOS
Material Educativo
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 192
Servicio SAMBA
- Autenticación y autorización
- Servidor WINS
Cliente SAMBA
La herramienta smbclient es un tipo de cliente FTP para el protocolo SMB. Las rutas de
acceso tienen la forma //maquina/compartido
Ejemplo:
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 193
- Listar el contenido
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 194
Servidor SAMBA
- Archivo de configuración
comment: comentario
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 195
guest ok: ninguna contraseña es necesaria para acceder al recurso. En este caso se
utilizara la cuenta invitado por defecto
- Métodos de autenticación:
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 196
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 197
Probamos
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 198
Capitulo Nº 20
TEMAS
Servidor DNS
OBJETIVOS
RECURSOS
Material Educativo
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 199
Servidor DNS
Un servidor DNS contiene una tabla que asocia los nombres de hosts de un dominio con
las direcciones IP correspondientes. Cuando un cliente tiene el nombre de un servidor,
como un servidor Web, pero necesita encontrar la dirección IP, envía una solicitud al
servidor DNS en el puerto 53. El cliente utiliza la dirección IP del servidor DNS configurada
en los parámetros DNS de la configuración IP del host.
Cuando el servidor DNS recibe la solicitud, verifica la tabla para determinar la dirección IP
asociada con ese servidor Web. Si el servidor DNS local no tiene una entrada para el
nombre solicitado, realiza una consulta a otro servidor DNS dentro del dominio. Cuando el
servidor DNS encuentra la dirección IP, esa información se envía nuevamente al cliente. Si
el servidor DNS no puede determinar la dirección IP, se agotará el tiempo de espera de la
respuesta y el cliente no podrá comunicarse con el servidor Web. El DNS permite referirse
a sistemas basados en IP empleando nombres.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 200
Recursiva:
Iterativa
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 201
nslookup
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 202
dig
host
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 203
CNAME: Registro del nombre canónico también conocido como alias, enlaza un
nombre con otro
PTR: Registro puntero, diseñado para apuntar a otra parte del espacio de
nombres
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 204
Cuando recibe una petición de DNS por parte de un cliente de nuestra red, la trasladará a
un DNS maestro que puede estar en nuestra red o fuera, almacenará en una memoria
caché la respuesta y a la vez la comunicará a quien hizo la petición. Si un segundo cliente
vuelve a realizar la misma petición, como nuestro servidor tiene la respuesta almacenada
en su memoria caché, responderá inmediatamente sin tener que cursar la petición a
ningún servidor DNS de Internet.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 205
Instalación
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 206
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 207
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 208
vi /var/named/db.prueba.com.pe
vi /var/named/db.192.168.7
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 209
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 210
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 211
Capitulo Nº 21
TEMAS
OBJETIVOS
RECURSOS
Material Educativo
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 212
Protocolos Utilizados:
- SMTP
- POP3
- IMAP
Protocolo SMTP
Un mensaje pasa a través de varias pasarelas SMTP antes de llegar a su destino final, en
cada parada es evaluado el mensaje, si el mensaje es suyo lo almacena sino lo envía a otro
SMTP hasta que encuentre su destino final. El protocolo SMTP trabaja sobre TCP y escucha
las peticiones por el puerto 25 y 465 modo seguro.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 213
Protocolo POP3
POP3 (Post Office Protocol), actualmente nos encontramos en la tercera versión de este
protocolo.
El protocolo POP3 trabaja sobre TCP y escucha las peticiones por el puerto 110 y 995
modo seguro.
Protocolo IMAP
IMAP escucha las peticiones por el puerto 143 y 993 modo seguro
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 214
El correo electrónico gira alrededor del uso de las casillas de correo electrónico. Cuando se
envía un correo electrónico, el mensaje se enruta de servidor a servidor hasta llegar al
servidor de correo electrónico del receptor. Más precisamente, el mensaje se envía al
servidor del correo electrónico llamado MTA(Mail Transport Agent -Agente de
Transporte de Correo) que tiene la tarea de transportarlos hacia el MTA del destinatario.
En la red, los MTA se comunican entre sí usando el protocolo SMTP, y por lo tanto se los
llama servidores SMTP o servidores de correo saliente tales como POSTFIX, SENDMAIL y
otros
Luego el MTA del destinatario entrega el correo electrónico al servidor del correo
entrante (llamado MDA, del inglés Mail Delivery Agent -Agente de Entrega de Correo), el
cual almacena el correo electrónico mientras espera que el usuario lo acepte. Existen dos
protocolos principales utilizados para recuperar un correo electrónico de un MDA:
- POP o IMAP
Para evitar que cualquiera lea los correos electrónicos de otros usuarios, el MDA está
protegido por un nombre de usuario llamado registro y una contraseña.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 215
El archivo de configuración
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 216
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 217
Instalamos el paquete:
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 218
- Evolution
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 219
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 220
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 221
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 222
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 223
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 224
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 225
Capitulo Nº 22
TEMAS
Servidor Proxy
OBJETIVOS
RECURSOS
Material Educativo
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 226
Servidor Proxy
Un servidor proxy puede utilizarse para registrar permitir o denegar el acceso a sitios en
internet, también permite acelerar la velocidad de navegación a internet almacenando
localmente las páginas más consultadas por los usuarios de la red LAN.
Funcionamiento de un proxy-cache
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 227
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 228
Configuración Básica:
- Parámetros Generales
- Reglas
- Lista de acceso
cache_mem: Establece la cantidad de memoria RAM dedicada para almacenar los datos más
solicitados
máximum_object_size: Utilizamos esta directiva para indicar el tamaño máximo para los objetos a
almacenar en la cache
visible_hostname: Es el nombre del equipo, el nombre debe ser igual a los siguientes ficheros
/etc/hosts y en /etc/sysconfig/network
cache_dir ufs: Con este parámetro establecemos el tamaño que deseamos que tenga la cache en
el disco – Para la configuración quiere decir lo siguiente: establecemos 700MB de cache con 16
directorios subordinados y 256 niveles cada uno
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 229
Regla src
Regla url_regex
Permite especificar expresiones regulares para comprobar dicha url, a este tipo de regla se
recomienda tener un archivo en cual agregamos todas la palabras que nosotros creamos
que importantes.
Regla dstdomain
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 230
Regla time
Esta regla estable un tiempo límite de conexión dentro de una semana. Parámetros por días de la
semana:
Parámetros Días
S Domingo
M Lunes
T Martes
Miércole
W
s
H Jueves
F Viernes
A Sábado
Regla urlpath_regex
Regla arp
Este tipo de regla nos permite administrar squid por medio de Mac Address
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 231
El control de acceso define si se permite o deniega el acceso a las reglas para que
empecemos a crear el filtrado
Ejemplo de configuración
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 232
Capitulo Nº 23
TEMAS
Firewall (iptables)
OBJETIVOS
RECURSOS
Material Educativo
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 233
IPTables
Filtrado de paquetes
El kernel de Linux emplea la herramienta Netfilter para filtrar paquetes, lo que permite a
algunos de ellos ser recibidos o pasados mediante el sistema mientras detiene a otros.
Esta herramienta se incorpora en el kernel de Linux y tiene tres tablas o listas de reglas
incorporadas, así:
Cada tabla tiene un grupo de cadenas incorporadas que corresponde a las acciones
realizadas en el paquete por netfilter.
Las cadenas incorporadas para la tabla de filter son las siguientes:
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 234
Cada paquete de redes recibido por o enviado desde el sistema de Linux está sujeto al
menos a una tabla. Sin embargo, el paquete puede estar sujeto a varias reglas dentro de
cada tabla antes de emerger al final de la cadena. La estructura y propósito de dichas
reglas pueden variar, pero suelen tratar de identificar el paquete que ingresa o sale de una
dirección IP determinada o de un grupo de direcciones, cuando usan un protocolo
determinado y un servicio de redes.
Cada cadena tiene una política predeterminada para ACCEPT, DROP, REJECT. Si ninguna
de estas reglas en la cadena se aplica al paquete, entonces el paquete es tratado de
acuerdo con la política predeterminada
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 235
Por ejemplo, el comando para retirar una regla de una cadena puede ser muy corto:
Opciones de comandos
Las opciones de comandos instruyen a iptables para realizar una acción específica.
Solamente una opción de comandos se permite por comando de iptables. A excepción del
comando de ayuda, todos los comandos se escriben en mayúsculas.
Los comandos iptables son los siguientes:
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 236
L: Lista todas las reglas en una cadena especificada después del comando. Para
listar todas las reglas en todas las cadenas en la tabla de filter predeterminada,
no especifique la cadena o la tabla.
P: Establece la política predeterminada para la cadena especificada, para que
cuando los paquetes atraviesen toda la cadena sin coincidir con una regla, sean
enviados al destino especificado, tal como ACCEPT o DROP
Algunos comandos de iptables, entre ellos los utilizados para adicionar, adjuntar, borrar
insertar, o remplazar reglas dentro de una cadena particular, requieren varios parámetros
para construir una regla de filtraje de paquetes.
i — Establece la interfaz de redes, tal como eth0 o ppp0. Con iptables, este
parámetro opcional puede servir como cadenas de ENTRADA y REENVÍO
cuando se usan con la tabla de filter y la cadena de PREROUTING con las tablas
nat y mangle.
Este parámetro también soporta las siguientes opciones:
o: Establece la interfaz de red saliente para una regla. Esta opción es solamente
válida para las cadenas de OUPUT Y FORWARD en la tabla filter, y la cadena de
POSTROUTING en las tablas nat y mangle. Este parámetro acepta las mismas
opciones que las del parámetro de interfaz de redes (-i).
p <protocol> — Establece el protocolo IP afectado por la regla. Este protocolo
puede ser icmp, tcp, udp o all, o también puede ser un valor numérico que
represente alguno de estos protocolos o un protocolo diferente.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 237
Protocolo TCP
Estas opciones coincidentes están disponibles para el protocolo TCP (-p tcp):
--dport: Establece el puerto de destino para el paquete. Para configurar esta
opción, utilice el nombre del servicio de red (tal como www o smtp); un
número de puerto; o un rango de números de puerto.
Para especificar un rango de número de puertos, separe los dos números con
dos puntos (:). Por ejemplo:
-p tcp --dport 3000:3200.
El rango más amplio que se acepta es 0:65535.
Use el signo de exclamación (!) antes de la opción --dport para hacer coincidir todos los
paquetes que no usen ese servicio o puerto de red.
Para explorar los nombres y alias de los servicios de red y los números de puerto que
utilizan, consulte el archivo /etc/services.
• --sport: Establece el puerto de origen mediante las mismas opciones como --dport. La
opción coincidente --source-port es sinónima de --sport.
• --syn: Se aplica a todos los paquetes TCP diseñados para iniciar la comunicación,
conocidos comúnmente como Paquetes SYN. Los paquetes que llevan carga útil de datos
no se tocan.
Use un signo de exclamación (!) antes de la opción --syn para que coincida con todos los
paquetes non-SYN.
Protocolo UDP
Estas opciones de coincidencia están disponibles para el protocolo UDP (-p udp):
--dport: Especifica el puerto de destino del paquete UDP, mediante el nombre
del servicio, el número de puerto o el rango de número de puertos. La opción
de coincidencia
--sport: Especifica el puerto de origen del paquete UDP, mediante el nombre
de servicio, el número de puerto o el rango de números de puerto.
La opción --source-port es sinónima de --sport.
Respecto a las opciones --dport y --sport, para especificar el rango de números de puerto,
separe los dos números con dos puntos (:). Por ejemplo: -p tcp --dport 3000:3200. El
rango más amplio aceptable es 0:65535.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 238
Protocolo ICMP
Las opciones a continuación están disponibles para el Protocolo de mensajes de Internet
(ICMP) (-p icmp):
Para usar un módulo de opción de coincidencia, cargue el módulo por nombre mediante
-m <nombre-módulo>, donde <nombre-módulo> es el nombre del módulo.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 239
Opciones de destino
Cuando un paquete ha coincidido con una determinada regla, la regla puede dirigir el
paquete a un número de destinos diferentes los cuales determinan la acción apropiada.
Cada cadena tiene un destino predeterminado, el cual se utiliza si ninguna de las reglas en
esa cadena concuerda con un paquete o si ninguna de las reglas que coinciden con el
paquete especifica el destino. Los siguientes parámetros son los estándares de destino:
ACCEPT: Acepta que el paquete continúe a su destino o a otra cadena.
DROP: Elimina el paquete sin responder al solicitante. El sistema que envió el
paquete no es notificado sobre la falla.
REJECT: Devuelve un paquete de errores al sistema remoto y elimina el
paquete.
________________________________________________________________________________
Administración y Seguridad en GNU/Linux 240
Referencias
Libros:
Libro Oficial Red Hat Administration I - Autor Red Hat
Libro Oficial Red Hat Administration II - Autor Red Hat
Libro Oficial Red Hat Administration III - Autor Red Hat
Libro Para La Certificación LPIC I y II –
Recursos WEB:
http://www.centos.org/docs/
https://academy.redhat.com/
http://www.alcancelibre.org/
http://fedoraproject.org/wiki/
________________________________________________________________________________