Instalación y Configuración de un Servidor NFS, con NIS tras un Cortafuego con IPTables



Documentos relacionados
Prácticas A.S.O./A.S.O.P. - Boletín L08 NFS y NIS

Redes de área local Aplicaciones y Servicios Linux NFS

Existen tres configuraciones fundamentales para poder configurar correctamente nuestro servicio de NFS como servidor, estas son:

Vielka Mari Utate Tineo Instituto Tecnológico de las Américas ITLA. Profesor José Doñé. Sistema Operativo 3

Practica Extra: Creación de BACKUP+CRONTAB+NFS

Manual básico NFS. INSTALANDO Los paquetes necesarios para montar el servidor NFS son: nfs-kernel-server. nfs-common. portmap

PRACTICA NO.21: HOW TO INSTALL AND CONFIGURE NIS

Crear servidor NFS en Debian

Servidor. Comenzaremos por confirmar que el servicio NFS esta instalado y ejecutandose desde la terminal, escribiremos lo siguiente: #rpm -q nfs-utils

Network Information Service. Fabricio Jiménez

Instituto Tecnológico de Las América. Materia Sistemas operativos III. Temas. Facilitador José Doñe. Sustentante Robín Bienvenido Disla Ramirez

PRACTICA NO.4: HOW TO INSTALL NFS

Internet Information Server


Instalar protocolo, cliente o servicio nuevo. Seleccionar ubicación de red. Práctica - Compartir y conectar una carpeta

Instituto Tecnológico Las Américas (ITLA) Sistemas Operativos 3 (SO3) Daniel Alejandro Moreno Martínez. Matrícula:

DOCENTES FORMADORES UGEL 03 PRIMARIA

Instituto Tecnológico de Las Américas (ITLA)

Scripts de arranque. Pablo Sanz Mercado.

Guía de instalación de la carpeta Datos de IslaWin

Unit 7 Authentication Services. J. Valenzuela A. Instituto Profesional DUOC UC Semestre

Servicio de Alta, Baja, Modificación y Consulta de usuarios Medusa

Introducción a la Firma Electrónica en MIDAS

COMO CONFIGURAR UNA MAQUINA VIRTUAL EN VIRTUALBOX PARA ELASTIX

CÓMO CONFIGURAR DHCP EN SUSE LINUX

Configuración de clientes con Windows y Linux/Unix

PROYECTO FINAL Manual de Configuración Organización: Juan Lomo

PRACTICA 9 SERVIDOR WEB APACHE SERVIDOR WEB APACHE. JEAN CARLOS FAMILIA Página 1

Técnicas de Programación

Infraestructura Tecnológica. Sesión 8: Configurar y administrar almacenamiento virtual

Sistema NFS para compartir archivos.

WINDOWS : TERMINAL SERVER

Redes de área local: Aplicaciones y servicios WINDOWS

REDES DE ÁREA LOCAL. APLICACIONES Y SERVICIOS EN WINDOWS

Propuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA

LABORATORIO No 3. Realizar las lecturas que se requieren para el desarrollo del laboratorio.

El proceso de Instalación de Microsoft SQL Server 2008

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD

TPV VIRTUAL O PASARELA DE PAGOS DE CAJASTUR

Proyecto Tecnológico Prof. Carolina Quinodóz 6º2º - TM

Redes de Área Local: Configuración de una VPN en Windows XP

Configuración de la red

Acronis License Server. Guía del usuario

Instituto Tecnológico de Las América. Materia Sistemas operativos III. Temas. Facilitador José Doñe. Sustentante Robín Bienvenido Disla Ramirez

Tutorial: Primeros Pasos con Subversion

AGREGAR UN EQUIPO A UNA RED Y COMPARTIR ARCHIVOS CON WINDOWS 7

Introducción a las redes de computadores

Firewall Firestarter. Establece perímetros confiables.

Servidor FTP en Ubuntu Juan Antonio Fañas

GUÍA PARA LA INSTALACIÓN DE MOODLE EN UN COMPUTADOR PERSONAL QUE USA EL SISTEMA OPERATIVO MS. WINDOWS

Activación de un Escritorio Remoto

Iptables, herramienta para controlar el tráfico de un servidor

Unidad Didáctica 12. La publicación

DHCP. Dynamic Host Configuration Protocol. Protocolo de Configuración Dinámica de Host. Administración de Redes de Computadores

CONECTANDO EL SOFTWARE EN REDES

Servidor DNS sencillo en Linux con dnsmasq

MANUAL DE USUARIO PARA LA INSTALACION DE LOS AGENTES COMMVAULT SIMPANA 9.0

En caso de que el cliente nunca haya obtenido una concesión de licencia de un servidor DHCP:

Servicio de Informática Vicerrectorado de Tecnologías de la Información y la Comunicación

Explotación de Sistemas Informáticos IES Murgi PRÁCTICA 9: SERVICIO WEB Y FTP DE INTERNET INFORMATION SERVICE

Módulos: Módulo 1. El núcleo de Linux - 5 Horas

Escudo Movistar Guía Rápida de Instalación Dispositivos Symbian

2. Accedemos al dominio, introducimos el nombre de usuario y la contraseña para acceder. Y damos click en Aceptar.

Informática 4º ESO Tema 1: Sistemas Informáticos. Sistemas Operativos (Parte 2)

GUIA DE LABORATORIO # Nombre de la Practica: Antivirus Laboratorio de Redes Tiempo Estimado: 2 Horas y 30 Minutos

UNIDAD DIDACTICA 16 USUARIOS SAMBA EN UN CONTROLADOR DE DOMINIO LINUX SERVER

Instituto Tecnológico Las Américas (ITLA) Sistemas Operativos 3 (SO3) Daniel Alejandro Moreno Martínez. Matrícula:

Componentes de Integración entre Plataformas Información Detallada

NAT y DHCP Server en los Speedlan

AGREGAR COMPONENTES ADICIONALES DE WINDOWS

Comisión Nacional de Bancos y Seguros

HOW TO SOBRE REMOTE ACCESS VPN MODE EN LINUX

Sistema de Gestión Portuaria Sistema de Gestión Portuaria Uso General del Sistema

Instituto Tecnológico Las Américas (ITLA) Sistemas Operativos 3 (SO3) Daniel Alejandro Moreno Martínez. Matrícula:

INSTITUTO TECNOLÓGICO DE COLIMA LIC. EN INFORMÁTICA

SEMANA 12 SEGURIDAD EN UNA RED

Instalación y Configuración de un Servidor FTP

Compartir Biblio en una red local con Windows XP

MultiBase y Cosmos. Particularidades sobre la instalación del motor de base de datos en modo cliente servidor. BASE 100, S.A.

Familia de Windows Server 2003

Clientes del dominio

Diego Mauricio Cortés Quiroga

Windows Server Windows Server 2003

HOW TO SOBRE FIREWALL

FTP. File Transfer Protocol. Protocolo De Transferencia De Archivo. Administración de Redes de Computadores. Ficha:

Facultad de Ciencias del Hombre y la Naturaleza SISTEMAS OPERATIVOS DE REDES CICLO II Materia: Sistemas Operativos de Redes Tema:

Software de Comunicaciones. Práctica 7 - Secure Shell. SSH

Utilización del sistema operativo GNU/ Linux en las netbooks

Creación y administración de grupos de dominio

Autenticación Centralizada

MANUAL DE USUARIO AVMsorguar

COMPARTIR RECURSOS. Pag. 1 de 7

Instalación y configuración servidor WDS

Infraestructura Tecnológica. Sesión 1: Infraestructura de servidores

Guía de Instalación Proscai

MANUAL COPIAS DE SEGURIDAD

Guía de instalación 1

Guía de instalación de la carpeta Datos de ContaWin

Ubuntu Server HOW TO : SQUID. EN ESTE SE REALIZA LO SIGUIENTE: En este how to se le va a enseñar como instalar servidor proxi Squid.

Transcripción:

Instalación y Configuración de un Servidor NFS, con NIS tras un Cortafuego con IPTables Gerardo Beltrán Gutiérrez, Inés Fernando Vega López Facultad de Informática Culiacán Universidad Autónoma de Sinaloa Culiacán Sinaloa México { gerardo, ifvega@uas.uasnet.mx } Resumen El desarrollo de este trabajo se centra en proporcionar una solución a la problemática que se presenta con la implementación de los servicios de compartición de archivos de usuario en una red local mediante el servicio NFS. Este servicio es considerado como no seguro; esto es porque como mecanismo de seguridad solo hace uso de una lista de control de acceso definida, ya sea por las direcciones IP, o por los nombres de las computadoras a las que se les permite el acceso. Por lo anterior, resulta necesario que el sistema sea implementado detrás de un cortafuego o firewall como una medida de seguridad, lo que nos lleva a otro problema que tiene se ver con la necesidad de habilitar servicios complementarios que NFS requiere y definir reglas de acceso a los mismos. El proceso de centralización de la información de los usuarios con NFS no estaría completo sin una adecuada administración de los mecanismos de autentificación, por lo que, para tal efecto en este artículo proponemos el uso del servicio NIS para contar con un sistema de autentificación centralizado que facilitar las tareas de gestión del administrador. una lista de control de acceso definida, bien sea por las direcciones IP, o por los nombres de las computadoras a las que se les permite el acceso a los archivos compartidos. Por lo tanto, resulta crítico que el administrador o usuario del sistema entienda que un servidor NFS puede exponer un verdadero agujero de seguridad sino es implementado detrás de un cortafuego o firewall. En lo particular, los autores solo recomiendan utilizar NFS dentro de una red local detrás de un cortafuego que permita el acceso solo a las computadoras que integren dicha red. En ningún caso se recomienda su uso para compartir sistemas de archivos a través de Internet, pues, al no contar con un sistema de seguridad por contraseñas, NFS es un servicio susceptible de ataques [5]. 1. Introducción NFS (por sus siglas en Inglés de Network File System) es un servicio que permite a un conjunto de computadoras conectadas en red compartir archivos manera transparente para los usuarios. Este servicio es comúnmente utilizado en sistemas basados en UNIX o Linux [1]. Sin embargo, al no hacer uso de un sistema de autentificación basado en contraseñas, como el que utiliza SAMBA, NFS es considerado como un sistema de archivos no seguro; en su lugar, NFS hace uso de Figura 1. Esquema de Diseño de red para los servicios NFS y NIS. Nuestro deseo por compartir la experiencia adquirida en la implementación de estos

servicios ha sido la inspiración de este artículo que ofrece una descripción detallada del proceso de instalación y configuración de los servicios de compartición de almacenamiento en disco mediante NFS. Por otro lado, también describimos el proceso de la centralización del servicio de autentificación de usuarios a través de la implementación de NIS (por sus siglas en Inglés de Network Information Service) con el paquete de software YP. NIS es un servicio que permite a un grupo de computadoras, definidas dentro de un dominio administrativo, compartir un conjunto de archivos de configuración. Esto permite al administrador de sistemas centralizar la gestión de los archivos de configuración en una única ubicación (una sola computadora). Entre los archivos de configuración que se pueden compartir mediante este servicio podemos encontrar a /etc/hosts, /etc/passwd y /etc/shadow. Cuando NFS y NIS se implementan tras un cortafuego con IPTables sobre el sistema operativo Linux se presentan un problema con los números de puertos de comunicación utilizados por estos servicios, ya que estos son generados en forma aleatoria y administrados por el servicio portmap[1]. Es decir, los números de puertos gestionados por portmap pueden variar en cada inicio de los servicios y las reglas de filtrado sobre los puertos definidas para el cortafuego trabajan con puertos de valor fijo, lo que lleva a que al no conocen el número de puerto que será asignado a NFS o NIS, no será posible establecer reglas precisas de filtrado en el cortafuego. Como consecuencia, los servicios tienden a ser bloqueados o bien a dejar puertos abiertos que ponen en riego al sistema. El resto de este artículo se organiza de la siguiente forma: en la Sección 2 se numeran los requerimientos en cuanto a la configuración que los equipos cliente y servidor requieren. En la Sección 3 se establece con detalle la instalación del servicio NFS. En la Sección 4 se define los pasos a seguir para instalar un servidor de autentificación con NIS y por último en la Sección 5 hacemos énfasis en el establecimiento de reglas para la protección y habilitación de servicios a través de IPTables. 2. Requerimientos En esta sección describiremos el proceso de instalación y configuración de NFS y NIS considerando que existen dos o más computadoras interconectadas. En primera instancia, existe una o mas computadoras cliente que llamaremos clientenfs; existe, además otra computadora, que hará las funciones servidor, con el nombre servidornfs. Ambas computadoras tienen instalado el sistema operativo Linux. Aunque cualquier distribución de Linux basada en RedHat debería funcionar, nosotros asumimos la instalación de la distribución Centos 5.2. Consideraremos además que ambas computadoras se encuentran en la red 192.168.0.0 y que sus los nombre están registrados en algún servidor DNS o, bien, en el archivo /etc/hosts. En la Figura 1 proporcionamos un esquema del diseño de la red. Es importante aclarar algunas cosas que debemos tener en cuenta cuando se selecciona una computadora para actuar como servidor NIS. Una de las características desafortunadas de NIS es el alto nivel de dependencia que llegan a tener los clientes respecto del servidor de NIS. Si el cliente no puede conectarse con el servidor NIS en la búsqueda de información de usuarios o grupos, este cliente quedaría bloqueado. Conociendo lo anterior debemos asegurarnos de instalar el servidor de NIS en una computadora que no se reinicie de forma habitual. Si se dispone de una red con poca carga de trabajo puede resultar aceptable colocar el servidor de NIS en una computadora donde se ejecuten otros servicios. Sin embargo, en todo momento se debe tener presente que si por cualquier motivo el servidor de NIS queda inutilizable, todas las computadoras cliente podrían quedar inaccesibles. 3. Servidor y cliente NFS Para la instalación de un servidor NFS se requiere de un par de paquetes de software básicos llamados nfs-utils y portmap. Antes de intentar instalarlos es recomendable verificar su existencia en el servidor utilizando la siguiente instrucción desde la línea de comandos.

# rpm -q nfs-utils portmap El ejecutar la instrucción indicada debería retornar algo semejante a lo siguiente. nfs-utils-1.0.9-33.el5 portmap-4.0-65.2.2.1 En caso de que los paquetes nfs-utils y portmap no se encuentren previamente instalados en el servidor, se pueden instalar desde el CD o DVD de instalación a través del gestor de paquetes rpm, tal y como se indica a continuación. # rpm -iv /ruta/paquete.rpm Una alternativa más cómoda es utilizar los depósitos de software existentes en Internet. La mayoría de las distribuciones de Linux basadas en RedHat están preparadas para hacer uso de estos depósitos de una forma sencilla mediante el comando yum. Así, instalar el paquete en cuestión resulta tan fácil como escribir el siguiente comando en una terminal. # yum -y install nfs-utils portmap 3.1. Seguridad para Portmap archivos con computadoras individuales, por ejemplo. portmap:192.168.0.34 portmap:192.168.0.45 Además definiremos quienes no pueden tener acceso a los servicios agregando la siguiente línea al archivo /etc/hosts.deny portmap:all Hecho lo anterior debemos iniciar el servicio de portmap ejecutando la siguiente instrucción desde la línea de comandos. # service portmap start Para asegurarnos de que el servicio de portmap inicie cada vez que iniciamos la computadora ya sea en el nivel de ejecución 3 ó 5 de Linux, se ejecutará el siguiente comando. # chkconfig --level 35 portmap on Una herramienta grafica de administración de servicios que podria sustituir a service y chkconfig es system-config-services, misma que se muestra en la Figura 2. Previo al proceso de instalación y configuración del servidor NFS instalaremos el servicio portmap. Este servicio asigna dinámicamente puertos para servicios RPC, entre los que se incluyen tanto NIS como NFS [2]. Portmap tiene la habilidad de asignar un amplio rango de puertos para los servicios que controla. Por estas razones es importante habilitar el acceso a este servicio solo a computadoras cliente autorizadas. Esto se logra insertando líneas de control de acceso en los archivos /etc/hosts.allow y /etc/hosts.deny. Debemos entonces especificar en /etc/hosts.allow un rango de direcciones IP de computadoras permitidas agregando, por ejemplo, lo siguiente: portmap:192.168.0.0/255.255.255.0 Es este forma estamos dando acceso completo a la red 192.168.0.0. Alternativamente, podemos definir direcciones IP individuales. Esto es de utilidad cuando se desea compartir Figura 2. system-config-service, herramienta grafica para la administración de servicios en para Linux Centos. Es recomendable verificar los servicios ofrecidos a través de portmap para garantizar su disponibilidad; esto se pude hace con el comando rpcinfo [3]. # rpcinfo -p # rpcinfo -p servidornfs

La primera orden proporciona una relación de los servicios locales gestionados por portmap, en cambio la segunda retorna los servicios ofrecidos desde un equipo remoto. Una salida típica de cualquiera de estos comandos sería la que a continuación se muestra. program vers proto port 100000 2 tcp 111 portmapper 100000 2 ucp 111 portmapper 3.2. El servidor NFS El primer paso para configurar el servidor NFS es definir el directorio a compartir. Por ejemplo, pudiera compartirse el directorio /home, que contiene los directorios de cada usuario. Una vez hecho esto, necesitaremos establecer quiénes serán los clientes del directorio a compartir (/home). Para permitir los accesos de las computadoras cliente, debemos agregarlas en el archivo /etc/exports del servidor (servidornfs). Para especificar las computadoras cliente de NFS es necesario indicar su dirección IP o su nombre, en caso de existir un servidor DNS que pueda resolverlo. De no ser así, el nombre de la computadora cliente deberá también ser incluido en el archivo /etc/hosts de la computadora servidornfs para que ésta pueda resolverlo localmente. /home 192.168.0.0/255.255.255.0(rw,root_squash) Al incluir la línea anterior en el archivo /etc/exports del servidor NFS, indicamos que estamos compartiendo el directorio /home en el servidor a toda la red 192.168.0.0 para lectura y escritura. Además, se inhabilita la posibilidad de que el usuario root del sistema cliente acceda al sistema de archivos remoto como administrador. Una posibilidad adicional es hacer un listado explícito de los clientes que podrán acceder al servicio NFS. /home 192.168.1.10(rw) 192.168.1.20(ro) Al agregar la línea anterior indicamos que el servidor NFS comparte el directorio /home a los clientes 192.168.1.10 y 198.168.1.20. En el primer caso, el directorio se comparte en modo de lectura y escritura, mientras que en el segundo se comparte en modo solo lectura. Se cuenta con una herramienta gráfica de configuración llamada system-config-nfs, que se muestra en la Figura 3, y es bastante sencillo su uso. Por último, solo queda iniciar el servicio NFS. # service nfs start Para garantizar el inicio del servicio cada vez que se encienda el servidor utilizamos lo siguiente: # chkconfig --level 35 nfs on Con esta orden activamos el servicio NFS cuando se inicia el servidor en los niveles de ejecución 3 o 5. Figura 3. system-config-nfs Software de configuración y administración del servicio NFS 3.3. El Cliente NFS Para comprobar el adecuado funcionamiento del servicio NFS, desde algún equipo cliente que esté en la red autorizada (192.168.0.0) ejecutamos el siguiente comando. # showmount -e servidornfs Siendo servidornfs el equipo que acabamos de configurar, si todo funciona bien obtendremos: Export list for servidornfs: /home 192.168.0.0/255.255.255.0 Para montar el sistema de archivos remoto se hace uso del comando mount [5] (desde [root@clientenfs]) # mount -t nfs servidornfs:/home /home

Donde servidornfs:/home es el recurso compartido y /home es un directorio local en el cliente donde se montará el sistema de archivos remoto. Lo más conveniente es montar el sistema de archivos cuando se inicializa el cliente. Esto se indica en el archivo /etc/fstab al agregar la siguiente línea. servidornfs:/home /home nfs defaults 0 0 Es importante aclarar que hasta el momento se está considerando que el cortafuego está deshabilitado, posteriormente veremos cómo resolver el problema de los puertos bloqueados si éste se activa. 4. Servidor y cliente NIS Con frecuencia los usuarios de una red de área local requieren utilizar el mismo usuario y contraseña en cualquier equipo. Esto permite, entre otras cosas conservar el mismo entorno de trabajo independientemente del equipo al que se ingrese. En este contexto, se vuelve necesario mantener la misma lista de usuarios y grupos en todas las máquinas cliente de la red [6]. Estos requerimientos obligan a cualquier administrador de la red a utilizar herramientas que resuelva la problemática antes planteada y faciliten la gestión de la seguridad en la red sin caer en redundancia o inconsistencias. Para proporcionar una solución al problema es recomendable hacer uso del servicio NIS. El propósito de NIS es proveer información que requieran conocer las maquinas cliente de la red. [6]. Entre la información más frecuentemente distribuida por NIS podemos encontrar: nombres de usuarios, contraseñas, directorios home, es decir información contenida en /etc/passwd, además de Información de grupos contenida en /etc/group. Así, si el usuario y contraseña está almacenada en la base de datos del servidor NIS, será posible ingresar a cualquiera de las máquinas de la red que tengan activo el servicio de clientes NIS. En una implementación de NIS se deberá tener cuando al menos un servidor, sin dejar de considerar que es posible tener múltiples servidores, cada uno de ellos sirviendo a diferentes segmentos de la red. En complemento a lo anterior también es posible contar con servidores NIS cooperativos, es decir, un grupo de servidores trabajando en colaboración, donde se define a un servidor maestro, y el resto son llamados servidores esclavos. Estos últimos solo tienen copias de las bases de datos, y reciben estas copias del servidor maestro cada vez que registran cambios en su base de datos [6]. Los paquetes requeridos para configurar tanto al cliente como al servidor NIS son ypserv y yp-tools, así como ypbind. Al igual que hicimos con NFS es recomendable verificar que estos paquetes se encuentran instalados a través de la siguiente instrucción. # rpm -q ypserv yp-tools ypbind Cuando los paquetes están instalados en el servidor, el comando anterior arrojará el siguiente resultado. ypserv-2.19-3 yp-tools-2.9-0.1 ypbind-1.19-8.el5 Si los paquetes de software no están presentes, el procedimiento de instalación se asemeja al ya descrito para NFS, es decir, desde CD o DVD de instalación, pero si contamos con conexión a Internet lo más sencillo es hacer la instalación desde los depósitos de archivos mediante el comando yum como se ilustra a continuación. # yum -y install ypserv yp-tools ypbind 4.1. Configurando el servidor NIS Para que el servidor NIS funcione es necesario utilizar el comando domainname para registrar el dominio al que se ofrecerá su base de datos. #domainame nis.servidornfs.local.net Si deseamos que se defina el dominio desde el arranque del sistema se debe incluir la variable NISDOMAIN en el archivo

/etc/sysconfig/network, tal y como se indica a continuación. NETWORKING=yes HOSTNAME=servidornfs.local.net NISDOMAIN=nis.servidornfs.local.net El paso siguiente es iniciar el servidor NIS ejecutando la siguiente instrucción desde la línea de comandos. # service ypserv start Usando el comando rpcinfo podemos observar si el servicio ypserv fue capaz de registrar su servicio en el gestor de puertos portmap. Para garantizar el inicio del servicio con el arranque del sistema de nuevo utilizaremos chkconfig. # chkconfig --level 35 ypserv on Lo siguiente es generar la base de datos, también conocida como mapa de recursos, que el servidor NIS gestionará. Para esto es necesario ejecutar el siguiente comando. # /usr/lib/yp/ypinit -m Es importante que cada vez que se registre un nuevo usuario al sistema (modificaciones al archivo /etc/passwd), este cambio se refleje en la base de datos de NIS. La forma de lograr esto es mediante el uso del siguiente comando: # make -C /var/yp con make estamos reconstruyendo la base de datos de NIS que se encuentran el directorio /var/yp. 4.2. Configurando el Cliente NIS El servicio ypbind permite conectar a los clientes con un servidor NIS y acceder a los mapas de recursos que éste sirva (usuarios y grupos) [5]. Para garantizar que ypbind funcione debemos definir el dominio de NIS en el cual nuestro servidor fue definido. El dominio en los clientes se establece de la misma forma que se hizo para el servidor, es decir, modificando el archivo /etc/sysconfig/network de cada cliente. En el archivo /etc/yp.conf de cada cliente definiremos exactamente quien es nuestro servidor NIS agregando la siguiente línea. ypserver servidornfs.local.net Un aspecto adicional a considerar en esta configuración es el contenido del archivo /etc/nsswitch.conf de las computadoras cliente. Este archivo determina el orden en el que se realizarán las búsquedas de recursos (usuarios y grupos). En nuestro caso nos centraremos en los usuarios, contraseñas y grupos, y para ello el archivo cuenta con el siguiente segmento. passwd: files shadow: files group: files que cambiaremos a passwd: nis files shadow: nis files group: nis files La configuración anterior hará que el sistema primero busque los recursos de usuario y contraseña en el servidor NIS. Si el servidor NIS no tiene registrado al usuario en su base de datos, el sistema iniciará su búsqueda en los archivos locales es decir en /etc/passwd y /etc/shadow. Por último, iniciamos el cliente NIS, si ypbind logra encontrar el servidor NIS mostrará algo como lo siguiente: Enlazando al dominio NIS: [ OK ] Escuchando por un servidor de dominio NIS. 4.3. Gestión de Contraseñas con NIS Para el cambio de contraseñas de los usuarios con NIS se cuenta con un servicio denominado yppasswdd, mismo que pone en marcha en el servidor. Este servicio permite que desde cualquier cliente pueda hacer el cambio de contraseña. Con esto, el tradicional comando passwd deja de funcionar para tal efecto [5]. Iniciar el servicio es una tarea trivial, pero necesaria. Se debe ejecutar el siguiente comando. # service yppasswdd start

Iniciado el servicio podremos hacer los cambios de contraseña desde cualquier cliente con el comando yppasswd. Al igual que los servicios anteriores es posible activarlo cuando se inicia el servidor. # chkconfig --level 35 yppasswdd on 5. Firewall: Abriendo los Puertos Como preámbulo a la configuración del cortafuego es importante conocer que aunado al servicio NFS, también se inician procesos complementarios [2] como nfslock, un servicio que permite que clientes NFS bloqueen archivos en el servidor. Otro proceso que se inicia es mountd, que recibe las peticiones de montaje desde clientes NFS y verifica que el sistema de archivos solicitado esté actualmente exportado. Aunado a los anteriores servicios se tiene rpc.statd, proceso que implementa el protocolo Network Status Monitor (NSM) y que notifica a los clientes NFS cuando un servidor NFS es reiniciado luego de haber sido apagado abruptamente. Por último tenemos a rpc.rquotad, que proporciona información de cuotas de usuario para los usuarios remotos. 5.1. Fijando los Puertos de Servicios Cada uno de los servicios mencionados también es gestionado por portmap; lo que nos debe hacer pensar que los puertos asignados fueron también generados aleatoriamente, haciendo uso de rcpinfo es posible confirmar esto. Para garantizar que estos servicios están disponibles para los clientes NFS o NIS de la red, aun cuando el cortafuego esté activo, necesitamos especificar valores fijos para cada puerto. Esto se logra a través del archivo /etc/sysconfig/nfs agregando las siguientes líneas. LOCKD TCPPORT=11101 LOCKD UDPPORT=11101 MOUNTD PORT=11102 RQUOTAD PORT=11103 STATD PORT=11104 RQUOTAD= /usr/sbin/rpc.rquotad Cada línea agregada corresponde a un servicio con el correspondiente puerto fijo asignado. Además de NFS, el servicio NIS también genera sus puertos en forma aleatoria por lo que se hace necesario dejarlos con valores fijos. Para establecer el puerto fijo de NIS agregaremos una nueva línea al archivo /etc/sysconfig/network que quedaría de la siguiente forma. NETWORKING=yes HOSTNAME=servidornfs.local.net NISDOMAIN=nis.servidornfs.local.net YPSERV ARGS= -p 834 YPPASSWDD ARGS= -port 835 Con este cambio hemos establecido el puerto del servidor NIS en 834 y el de cambio de contraseña a 835 que de igual manera podría ser otro que no esté en uso. Solo resta reiniciar los servicios NFS y NIS. # service nfs restart # service ypserver restart # service yppasswdd restart 5.2. Estableciendo las Reglas del Cortafuego con IPTables. Activar un cortafuego con IPTables en un proceso relativamente sencillo. Pero es importante tener cuidado con la definición de las reglas, ya que en ocasiones son complejas y riesgosas. Una regla erróneamente establecida puede generar bloqueo o habilitación de puertos que restrinjan servicio, o bien generen agujeros de seguridad [4]. Las reglas básicas que se requieren se agregan en el archivo de configuración /etc/iptables. Las reglas necesarias para los servicios portmap, NFS y NIS serán como sigue.... -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 111 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 111 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 2049 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 2049 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m tcp --dport 834 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m tcp --dport 834 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m tcp --dport 835 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 835 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 11101 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m ucp --dport 11101 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 11102 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m ucp --dport 11102 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 11103 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m ucp --dport 11103 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 11104 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m ucp --dport 11104 -j ACCEPT

... Observemos que se han agregado entradas para aceptar conexiones a los puertos 111, 2049, 834 y 835 que corresponden a los servicio portmap, NFS, NIS, y yppassword respectivamente, además de los servicios complementarios a NFS que van del puerto 11101 al 11104. Es necesario reiniciar del servicio IPtables al igual que cualquier otro servicio reconfigurado. # service iptables restart Una alternativa de configuración del cortafuego es a través de system-configsecuritylevel, una herramienta totalmente grafica y simple de usar como se observa en la Figura 4. A partir de este momento los usuarios registrados en el servidor NIS podrán ingresar a cualquier equipo cliente de la red, teniendo acceso a los archivos ubicados en el directorio /home del servidor. recomendable revisar y profundizar en su estudio, lo que seguramente permitirá mejorar el funcionamiento de estos servicios. El proteger los servicios de red no es una tarea trivial, por el contrario es una actividad que requiere de toda una amalgama de conocimientos que se conjugan para tener bajo buen resguardo la información contenida en nuestros servidores. En nuestro caso de estudio nos centramos en la protección de un recurso tan preciado como los archivos de los usuarios ubicados en la carpeta /home del sistema, así como la base de datos de nuestros usuarios de la red la cual garantiza el ingreso a los equipos cliente. Este par de recursos por si solos ya hacen justificable el tiempo que le dediquemos a aspectos como la seguridad que hoy en día son constantemente atacados y en muchos casos vulnerados. Referencias [1] MacCarty Bill. Firewalls. RedHat Press- Anaya Multimedia, Madrid, 2003. [2] Schroder Carla. Linux Networking Cookbook, O Reilly, Sebastopol, CA, 2008. [3] Negus Christopher. Linux Bible 2008 Edition. Wiley Publishing, Indianapolis, IN, 2008. [4] Rash Michael. Linux Firewalls. Starch Press, San Francisco, CA, 2007. [5] Adelstein Tom. Linux System Administration. O Reilly, Sebastopol, CA, 2007. [6] von Hagen Bill. Linux Server los mejores trucos, O Reilly-Anaya Multimedia, Madrid, 2006. Figura 4. system-config-securitylevel Herramienta de administración de seguridad a nivel de puertos de servicio 6. Conclusiones Es importante aclarar que tanto NFS como NIS cuentan con una enorme lista de opciones de configuración que sería

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback