CURSO LINUX: Administración de Sistema y Servicios (parte 3)

Transcripción

1 IRONTEC - CURSO LINUX: Administración de Sistema y Servicios (parte 3) 1 Iñaki Baz Castillo <ibc@irontec.com>

2 Apache2 Servidor web Apache2 Servidor web de código abierto. Plataformas Unix, Linux, BSD, Windows y otras. Versión 2 de Apache: Threads de UNIX. Soporte para Ipv6. Modular: Módulos para lenguajes de programación: php, perl, python, ruby, mono (.Net)... Módulos para autenticación: ldap, mysql... Otros módulos: ssl, rewrite, webdav, proxy... 2 Iñaki Baz Castillo <ibc@irontec.com>

3 Apache2 Instalación en Debian #> apt get install apache2 Se instalan los módulos core como dependencia (apache2-common) Soporte para PHP: #> apt get install libapache2 mod php4 Soporte MySQL para PHP: #> apt get install php4 mysql Habilitar el módulo en /etc/php4/apache2/php.ini: extension=mysql.so Reiniciar Apache2 tras cambios de configuración: #> /etc/init.d/apache2 restart En Debian el usuario que corre apache2 es www-data. 3 Iñaki Baz Castillo <ibc@irontec.com>

4 Apache2 Módulos Módulos disponibles en /etc/apache2/mods-available. Módulos habilitados en /etc/apache2/mods-enabled. Son enlaces simbólicos a los módulos disponibles! Habilitar un módulo: #> a2enmod nombre_módulo (crea el link) Deshabilitar un módulo: #> a2dismod nombre_módulo (borra el link) Reiniciar Apache2 al habilitar/deshabilitar módulos! 4 Iñaki Baz Castillo <ibc@irontec.com>

5 Apache2 Dominios virtuales Disponibles en /etc/apache2/sites-available. Habilitados en /etc/apache2/sites-enabled. Habilitar un dominio virtual: #> a2ensite nombre_sitio Deshabilitar un dominio virtual: #> a2dissite nombre_sitio Nota: Algunas aplicaciones web guardan su configuración de acceso en /etc/apache2/conf.d 5 Iñaki Baz Castillo <ibc@irontec.com>

6 Apache2 Dominios virtuales (II) Si se accede con la IP o con un dominio no asociado a ningún dominio virtual: Se ofrece el primer sitio por orden alfabético en /etc/apache2/sites-enabled. Por eso default se llama 000-default! 6 Iñaki Baz Castillo <ibc@irontec.com>

7 Dominios virtuales (III) Ejemplo de dominio virtual: /etc/apache2/sites available/mi_dominio Apache2 <VirtualHost *:80> ServerName dominio.org ServerAlias DocumentRoot /var/www dominio.org/ <Directory /var/www dominio.org/> #Permitimos.htaccess: AllowOverride All #Denegamos a todos menos a la red local: Order allow,deny Allow from / Deny from all </Directory> # Logs: TransferLog /var/log/apache2/dominio.org/access.log ErrorLog /var/log/apache2/dominio.org/error.log </VirtualHost> 7 Iñaki Baz Castillo <ibc@irontec.com>

8 Apache2 SSL Comunicación segura vía protocolo https. Configuración: Creación del certificado: #> apache2 ssl certificate Habilitamos el puerto 443 en /etc/apache2/ports.conf: Listen 80 Listen 443 Cargamos el módulo: #> a2enmod ssl 8 Iñaki Baz Castillo <ibc@irontec.com>

9 SSL (II) Apache2 Creamos un sitio default-ssl en /etc/apache2/sites-available: NameVirtualHost *:443 <VirtualHost *:443>... < copiamos el contenido #SSL: SSLEngine On SSLCertificateFile /etc/apache2/ssl/apache.pem </VirtualHost> Redirigimos los accesos http a https en el fichero default : NameVirtualHost *:80 <VirtualHost *:80> RewriteEngine on RewriteCond %{SERVER_PORT}!^443$ RewriteRule ^/(.*) [L,R,NC] </VirtualHost> Habilitamos el módulo rewrite : #> a2enmod rewrite 9 Iñaki Baz Castillo <ibc@irontec.com>

10 Apache2 Autenticación Restringir contenidos a usuarios que se autentiquen. Diversos tipos de autenticación: Fichero local LDAP Base de datos 10 Iñaki Baz Castillo <ibc@irontec.com>

11 Autenticación por fichero local Usuarios/password en fichero de texto: Usaremos el fichero /usr/local/www-users. Apache2 Debe tener permiso de lectura para www-data! Añadir usuario: #> htpasswd /usr/local/www users nuevo_usuario Modificar contraseña de un usuario: #> htpasswd /usr/local/www users usuario Eliminar un usuario: #> htpasswd D /usr/local/www users usuario 11 Iñaki Baz Castillo <ibc@irontec.com>

12 Apache2 Autenticación por fichero local (II) Modificación en nuestro dominio virtual: <Directory /var/www/>... # Autenticación: AuthName "Acceso privado" AuthType Basic AuthUserFile /usr/local/www users require valid user </Directory> Más info: 12 Iñaki Baz Castillo <ibc@irontec.com>

13 Apache2 Autenticación por LDAP Autenticamos los usuarios contra nuestro servidor LDAP en la rama ou=people,dc=dominio,dc=org. Modificación en nuestro dominio virtual: <Directory /var/www/>... # Autenticación: AuthName "Acceso privado" AuthType Basic AuthLDAPAuthoritative on AuthLDAPEnabled on AuthLDAPUrl ldap://ldap.dominio.org:389/ou=people,dc=dominio,dc=org?uid?sub require valid user </Directory> 13 Iñaki Baz Castillo <ibc@irontec.com>

14 Apache2 Autenticación por LDAP (II) Cargar el módulo de Apache2: #> a2enmod auth_ldap Más info: 14 Iñaki Baz Castillo

15 Apache2 Ficheros.htaccess Configuración de directorio (recursivo) en un fichero.htaccess en el propio directorio. Necesario permitir AllowOverride All en la configuración del sitio. Ejemplo de fichero.htaccess en /var/www: # Autenticación: AuthUserFile /usr/local/www users require valid user En el fichero del sitio: <Directory /> AllowOverride All... </Directory> 15 Iñaki Baz Castillo <ibc@irontec.com>

16 Apache2 Algunas directivas Alias Directiva que hacer corresponder una URL con un determinado directorio/fichero. Alias /wiki /usr/share/dokuwiki/ <Directory /usr/share/dokuwiki> AllowOverride All... </Directory> RedirectMacth Redirección a otra localización. # Redirigimos todo a otra página/servidor: RedirectMatch ^/$ dominio.net # Redirigimos a una carpeta con la portada: RedirectMatch ^/$ /frontpage/ 16 Iñaki Baz Castillo <ibc@irontec.com>

17 Apache2 WebDAV Protocolo paralelo a http. Permite acceso de escritura a los ficheros ofrecidos por el servidor web. Configuración: Cargamos los módulos: #> a2enmod dav #> a2enmod dav_fs Sitio/dominio virtual: DAVLockDB /tmp/davlock DAVMinTimeout 600 #Acceso por webdav://dominio.org/webdav <Location /webdav/> DAV On </Location> 17 Iñaki Baz Castillo <ibc@irontec.com>

18 Apache2 WebDAV (II) Los ficheros a los que queremos permitir acceso de escritura deben ser de www-data. Se puede aplicar autenticación para permitir escritura a sólo determinados usuarios y lectura a otros/el resto. Más info sobre WebDAV y clientes que lo soportan: 18 Iñaki Baz Castillo <ibc@irontec.com>

19 Apache2 Más información sobre Apache2: Ojo, es para la versión 2.0! 19 Iñaki Baz Castillo

20 MySQL Base de datos MySQL Empresa desarrolladora: Licencia dual: Licencia GPL Licencia privada Plataformas soportadas: AIX, BSD, FreeBSD, HP UX, GNU/Linux, Mac OS X, NetBSD, Novell Netware, OpenBSD, OS/2 Warp, QNX, SGI IRIX, Solaris, SunOS, Windows Iñaki Baz Castillo

21 MySQL Características: Motores de almacenamiento: MyISAM, Merge, InnoDB, BDB, Memory/heap, MySQL Cluster, Federated, Archive, CSV, Blackhole, Example (versión 5.X) Triggers Vistas actualizables Cursors Procedimientos almacenados Integridad referencial (versión 5.X) Transacciones (versión 5.X) SSL Soporte Unicode 21 Iñaki Baz Castillo

22 MySQL Instalación en Debian En Sarge la versión 4.1: mysql server 4.1 mysql server (meta package depending on the latest version) Se puede instalar la 5.0 con los repositorios backports : deb sarge backports main contrib non free Algunas aplicaciones necesitan MySQL 5.0! Iniciar/parar/reiniciar la base de datos: #> /etc/init.d/mysql start stop restart 22 Iñaki Baz Castillo <ibc@irontec.com>

23 MySQL Usuario root de MySQL Ojo! el usuario root de MySQL no tiene password por defecto. Lo primero que hay que hacer tras instalar: #> mysql u root USE mysql; UPDATE user SET Password=PASSWORD('*****') WHERE User='root'; FLUSH PRIVILEGES; 23 Iñaki Baz Castillo <ibc@irontec.com>

24 MySQL Backups, dos formas: Copiar /var/lib/mysql Comando mysqldump: Backup de la base de datos mi_bd : #> mysqldump uuser ppasswd mi_bd > backup.sql Backup de toda la base de datos: #> mysqldump all databases > backup.sql Restaurar una copia de seguridad: #> mysql user=usuario password=**** < backup.sql Ojo con las versiones! Al hacer un mysqldump para restaurarlo en un MySQL de distinta versión hay que habilitar algunas opciones de compatibilidad: #> man mysqldump 24 Iñaki Baz Castillo <ibc@irontec.com>

25 MySQL Logs de MySQL Habilitar log de consultas en formato texto: Descomentar en /etc/mysql/my.cnf: log = /var/log/mysql.log Ahora podemos monitorizar las consultas SQL: tail f /var/log/mysql.log 25 Iñaki Baz Castillo <ibc@irontec.com>

26 Configuración Fichero: /etc/mysql/my.cnf MySQL Existe también otro fichero debian.cnf para mantenimiento del sistema. Algunos parámetros: socket = /var/run/mysqld/mysqld.sock port = 3306 datadir = /var/lib/mysql Importante: IP's que escuchan. bind address = #Por defecto sólo local. #bind address = #Todas las direcciones. 26 Iñaki Baz Castillo <ibc@irontec.com>

27 Cortafuegos Netfilter/ Remplaza a Ipchains desde el Kernel 2.3. iptables: herramienta del espacio de usuario que permite: Reglas para filtrado de paquetes. NAT. Firewall stateful (controla estados de conexiones). Soporte IPv6. 27 Iñaki Baz Castillo <ibc@irontec.com>

28 Tablas y cadenas 28 Iñaki Baz Castillo <ibc@irontec.com>

29 Destino: nuestra máquina 29 Iñaki Baz Castillo

30 Origen: nuestra máquina 30 Iñaki Baz Castillo

31 Paquetes Reenviados (Forwarded) 31 Iñaki Baz Castillo

32 Tabla mangle Para modificar paquetes: TOS (Type of Service) TTL (Time To Live) MARK (marcar un paquete) -> iproute2, QoS No usar esta tabla para para DNAT, SNAT o Masquerading! 32 Iñaki Baz Castillo <ibc@irontec.com>

33 Tabla nat Sólo para hacer NAT (Network Address Translation). DNAT: Cambiar la IP destino. Ej: Redirigir entrantes a una DMZ con IP's locales. SNAT: Cambiar la IP origen a una definida (estática) Para dar salida a equipos LAN con IP's locales. Masquerade: Igual que SNAT con más carga de procesador. Cada vez chequea la IP saliente que debe asignarle. Ej: Router Linux con IP pública dinámica. 33 Iñaki Baz Castillo <ibc@irontec.com>

34 Tabla filter Filtrado de paquetes. Se puede hacer filtrado en otras tablas, pero no es recomendable! Acciones como: Aceptar un paquete (ACCEPT). Desecharlo (DROP). 34 Iñaki Baz Castillo

35 Estado de los paquetes NEW: paquete nuevo. ESTABLISHED: comunicación ya establecida. RELATED: relaionada a otra comunicación ESTABLISHED. Para protocolos como FTP que incluyen puerto de transmisión de datos dentro de datos de aplicación. Hace falta un módulo para Netfiler: ip_conntrack_ftp. --state Para comparar el estado de un paquete. El estado de conexiones se aplica sobre: TCP, UDP o ICMP. UPD y ICMP gracias al módulo ip_conntrack. 35 Iñaki Baz Castillo <ibc@irontec.com>

36 Estado de los paquetes (II) Ejemplo: Nuestra máquina envía un paquete a otra máquina: Estado de la comunicación: NEW. Cadena OUTPUT. La máquina destino nos responde con otro paquete. Estado de la comunicación: ESTABLISHED. Cadena PREROUTING. 36 Iñaki Baz Castillo <ibc@irontec.com>

37 Listar reglas actuales iptables -L -v iptables-save Lista las reglas en un formato válido para iptables restore. iptables-save > fichero-reglas (salva las reglas a fichero) iptables-restore < fichero-reglas (carga reglas desde fichero) 37 Iñaki Baz Castillo <ibc@irontec.com>

38 Comando iptables Sintaxis para añadir una regla: iptables [ t tabla] comando [comparación] [objetivo/salto] Los scripts de iptables constan de muchas líneas similares. 38 Iñaki Baz Castillo <ibc@irontec.com>

39 Tablas Explicado en transparencias anteriores. 39 Iñaki Baz Castillo

40 Comandos A : Añade la regla al final de la cadena. iptables A INPUT (añade una regla al final de la cadena INPUT) D : Borrar una regla (hay que ponerla entera). R : Reemplaza una regla. I : Inserta una regla en la posición indicada. L : Lista todas las reglas (de la cadena especificada). F : (Flush) Elimina todas las reglas (de la cadena especificada). 40 Iñaki Baz Castillo <ibc@irontec.com>

41 Comparaciones Comparaciones genéricas: p, protocol : Para comprobar si es TCP, UDP o ICMP. iptables A INPUT p tcp s, src : Comparación de IP origen. iptables A INPUT s iptables A INPUT s /24 iptables A INPUT s! /24 (invertir) d, dst : Comparación de IP destino. iptables A INPUT d iptables A INPUT d /16 i, in interface : Interfaz origen. Sólo válida en INPUT, FORWARD y PREROUTING. iptables A INPUT i eth0 iptables A INPUT i eth+ (por cualquier eth) o, out interface : Interfaz de salida. Sólo válida en OUTPUT, FORWARD y POSTROUTING. iptables A FORWARD o eth0 41 Iñaki Baz Castillo <ibc@irontec.com>

42 Comparaciones implícitas Comparaciones que se cargan implícitamente: TCP UDP ICMP Estas comparaciones se cargan con la opción -p: iptables p TCP (o UDP, ICMP) 42 Iñaki Baz Castillo <ibc@irontec.com>

43 Comparaciones implícitas TCP -p tcp sport : Puerto origen. iptables A INPUT p tcp sport 1003 iptables A INPUT p tcp sport 100:200 (rango) iptables A INPUT p tcp sport! 22 (invertir) dport : Puerto destino (ídem) tcp flags : Flags TCP: SYN, FIN, ACK, ACK SYN iptables A INPUT p tcp tcp flags SYN iptables A INPUT p tcp tcp flags SYN,FIN,ACK SYN 43 Iñaki Baz Castillo <ibc@irontec.com>

44 Comparaciones implícitas UDP -p upd sport : Igual que en TCP. dport : Igual que en TCP. 44 Iñaki Baz Castillo <ibc@irontec.com>

45 Comparaciones implícitas ICMP -p icmp icmp type : Tipo de ICMP. iptables A INPUT p icmp icmp type 8 Se puede ver un listado con: iptables p icmp help 45 Iñaki Baz Castillo <ibc@irontec.com>

46 Comparaciones explícitas Se deben cargan explícitamente con opción -m (--match). state ESTADO : Verifica el estado de la conexión. NEW, INVALID, ESTABLISHED, RELATED iptables A INPUT m state RELATED,ESTABLISHED limit VALOR : Limitar el nº de paquetes por tiempo. iptables A INPUT m limit limit 3/hour mac source : MAC origen. iptables A INPUT m mac mac source 00:00:00:00:11:22 mark : Comprobar paquetes marcados anteriormente. iptables t mangle A INPUT m mark mark 1 Más comparaciones: TOS, TTL, multiport Iñaki Baz Castillo <ibc@irontec.com>

47 Objetivos/Saltos Acción que se ejecuta sobre el paquete. j ACCIÓN Salto: Mandar el paquete a otra cadena: j cadena Podemos crear cadenas propias: iptables N cadena_tcp iptables A INPUT p tcp j cadena_tcp 47 Iñaki Baz Castillo <ibc@irontec.com>

48 Objetivos ACCEPT : Aceptamos el paquete. El paquete deja de compararse en la cadena actual y en las cadenas de la tabla actual! El paquete podría ser filtrado en otra tabla! DROP : Deseacha un paquete. REJECT : Rechaza un paquete (envía un ICMP informativo al origen). LOG : Loguea el paquete en ssylog. DNAT : Cambiamos la IP destino. Sólo en cadenas PREROUTING y OUTPUT de la tabla nat. iptables t nat A PREROUTING p tcp d dport 80 j DNAT to destination :80 48 Iñaki Baz Castillo <ibc@irontec.com>

49 Objetivos (II) SNAT : Cambiamos la IP origen. Sólo en la cadena POSTROUTING de la tabla nat. iptables t nat A POSTROUTING p tcp o eth0 j SNAT to source : MASQUERADE : Cambiamos la IP origen (detecta la IP) Sólo en la cadena POSTROUTING de la tabla nat. iptables t nat A POSTROUTING p tcp o eth0 j MASQUERADE to ports REDIRECT : Redirigir paquetes hacia la máquina. Sólo en cadenas PREROUTING y POSTROUTING de tabla nat. iptables t nat A PREROUTING p tcp dport 80 j REDIRECT to ports 8080 Util para proxy transparente. Otros objetivos: RETURN, QUEUE, MIRROR, MARK, TOS, TTL, ULOG 49 Iñaki Baz Castillo <ibc@irontec.com>

50 Política por defecto Dos filosofías: 1ª: Permitido todo excepto lo explícitamente negado 2ª: Denegado todo excepto lo explícitamente permitido Mucho más segura la 2ª! Política por defecto en cada cadena (sólo se cumple si el paquete no coincide con ninguna regla): iptables P cadena política Denegamos acceso a la máquina y otras máquinas: iptables P INPUT DROP iptables P FORWARD DROP Permitimos acceso total al exterior desde nuestra propia máquina: iptables P OUTPUT ACCEPT 50 Iñaki Baz Castillo <ibc@irontec.com>

51 Política por defecto (II) OJO con el interfaz lo! lo es el interfaz de localhost. Si ponemos: iptables P INPUT DROP Estamos bloqueando los accesos por red en localhost! Solución: Añadir: iptables A INPUT p ALL i lo j ACCEPT 51 Iñaki Baz Castillo <ibc@irontec.com>

52 Módulos 52 Iñaki Baz Castillo

53 Módulos (II) Es necesario cargar módulos para según las necesidades: insmod : carga el módulo. insmod ipt_masquerade rmmod : descarga el módulo. modprobe : carga el módulo y sus módulos dependientes. modprobe ip_nat modprobe -r : descarga el módulo. modconf (sólo Debian) : muestra la pantalla anterior con módulos cargados [+] y no cargados [-]. Al cargar con modconf el módulo se añade a /etc/modules y se carga en el arranque! 53 Iñaki Baz Castillo <ibc@irontec.com>

54 sysctl Para habilitar el rutado: #> echo 1 > /proc/sys/net/ipv4/ip_forward Más elegante: #> sysctl w net.ipv4.ip_forward=1 Para dejarlo definitivo (activo en el arranque): Fichero /etc/sysctl.conf: net/ipv4/ip_forward=1 54 Iñaki Baz Castillo <ibc@irontec.com>

55 Notas a recordad No bloquear todos los ICMP! por qué?? Supone cargarse la mitad del protocolo de internet. No olvidarse del interfaz lo. Cargar módulos necesarios para nuestras reglas. Imprescindible el módulo ip_tables! 55 Iñaki Baz Castillo <ibc@irontec.com>

56 Ejemplo Aspectos comunes de los scripts: Borrado de las reglas aplicadas actualmente (flush) Aplicación de políticas por defecto para INPUT, OUPUT, FORWARD Listado de reglas iptables. 56 Iñaki Baz Castillo

57 Ejemplo (II) #!/bin/sh ## SCRIPT de IPTABLES ## Red local: eth /24 ## Internet: eth1 IP dinámica # Borrar reglas: iptables F iptables t nat F # Política por defecto: iptables P INPUT DROP iptables P OUTPUT ACCEPT iptables P FORWARD DROP iptables t nat P PREROUTING ACCEPT iptables t nat P POSTROUTING ACCEPT # Permito acceso local: iptables A INPUT p ALL i lo j ACCEPT 57 Iñaki Baz Castillo <ibc@irontec.com>

58 Ejemplo (III) # Masquerading para red local con IP pública dinámica: iptables t nat A POSTROUTING s /24 o eth1 j MASQUERADE # Dejo pasar los paquetes ICMP: iptables A INPUT p ICMP j ACCEPT # Acepto paquetes de conexiones ya establecidas: iptables A INPUT p TCP m state state RELATED,ESTABLISHED j ACCEPT # Permitir SSH a la máquina: iptables A INPUT p TCP dport 22 m state state NEW j ACCEPT # Redirigir HTTP a una máquina local: iptables t nat A PREROUTING i eth1 p tcp dport 80 j DNAT to :80 58 Iñaki Baz Castillo <ibc@irontec.com>

59 Más info: Tutorial completo de en castellano. 59 Iñaki Baz Castillo