Soluciones con Tecnología Linux

VPN Roadwarrior con OpenVPN

2011-04-14T23:54:00.062-05:00

Una VPN roadwarrior es una VPN de Acceso Remoto, la teoría la puse en la entrada anterior, vamos de frente a la configuración.

Consideraciones preliminares

OpenVPN

Es el software de código abierto que nos permite implementar los diferentes tipos de VPN, de acuerdo a nuestras necesidad mas información aquí:

http://openvpn.net/

Lo instalamos:

# yum -y install openvpn

Configuración:

En el servidor de OpenVPN no te olvides de activar el ip_forwarding.

Edita /etc/sysctl.conf y cambia ip_forwarding a 1 (está normalmente en 0).

Entonces ejecuta:

# sysctl -p

De olvidar lo anterior la vpn no hará ping hacia la red interna!

En el servidor openvpn necesitamos crear una serie de claves y certificados iniciales, para poder autenticar y encriptar la información que transitará desde/hacia el servidor/clientes.

Contamos con una serie de scripts en el directorio /usr/share/easy-rsa los cuales nos ayudarán mucho a ejecutar ésta tarea inicial.

Como primer paso, sugiero copiar ese directorio (easy-rsa) hacia /etc/openvpn y cambiarnos a ese directorio:

# cp -a /usr/share/doc/openvpn*/easy-rsa /etc/openvpn

# cd /etc/openvpn/easy-rsa/2.0

Una vez dentro de éste directorio procedemos a ejecutar los siguientes pasos:

# .vars

# sh clean-all

# sh build-ca

Con ellos lo que haremos es:

* Inicializar variables de ambiente para poder trabajar con los siguientes scripts de shell para generar las variables.

* Inicializamos el directorio de las claves (borrando potenciales archivos viejos).

Primero: Creando el certidicado CA

Procedemos a generar el certificado CA, en el último paso se nos pedirá una serie de información sobre nuestra red/empresa que debemos llenar lo más fielmente posible.

La variable que debemos procurar llenar (no dejar en blanco! es: Common Name. Se refiere al nombre del servidor.

Ejecutamos:

# build-ca

Segundo: Generación del certificado y de la clave de encriptación para el servidor

Siguiente a la generación del Certificado de autoridad, procedemos a crear el certificado del servidor y de su clave de encriptación, ejecutamos:

# sh build-key-server server

En éste paso, también se nos pedirá nuevamente información sobre el certificado propio del servidor. En éste caso por favor, escoger en Common Name un nombre diferente al anteriormente escogido. En mi caso escogí: server

Este paso nos generará dos archivos en el directorio /etc/openvpn/easy-rsa/keys/ los que debemos copiar dentro del mismo servidor en /etc/openvpn, ellos son:

* server.crt
* server.key

Tercero: Generando certificados y claves privadas para los clientes

Cada cliente debe tener su propio certificado y clave de seguridad, para cada cliente que tengamos deberemos repetir el siguiente paso. Los archivos obtenidos debemos copiarlos hacia el directorio /etc/openvpn/ de los clientes.

En el caso de que nuestros clientes sean en windows, debemos copiarlos hacia c:\program files\openvpn\

En nuestro servidor, generamos el certificado y las claves privadas para los clientes, dentro de /etc/openvpn/easy-rsa/

Ejecutamos:

# sh build-key client1

Debemos tener en cuenta que al ejecutar el programa sh build-key, le pasamos como parámetro el nombre del cliente (client1 en el ejemplo anterior) el cual debe ser diferente para cada cliente. En el common name ponemos el nombre del cliente (client1 en éste ejemplo) tal y como le pasamos de parámetro.

Se pueden generar tantas claves como sean necesarias:

# sh build-key client2

# sh build-key client3

Esto nos genera dos claves y certificados más, para client2 y client3, no olvidar en Common Name debemos poner client2 o client3 respectivamente.

Cuarto: Generamos el parámetro Diffie-Hellman

Ejecutamos:

# sh build-dh

Quinto: archivos a copiar al servidor

Hacia el directorio /etc/openvpn del servidor copiamos los siguientes archivos:

* ca.crt
* ca.key
* server.key
* server.crt
* dh1024.pem

Estos archivos están presentes en: /etc/openvpn/easy-rsa/keys

Sexto: Archivos a copiar al cliente

Hacia el directorio /etc/openvpn de cada cliente copiamos los siguientes archivos:

* ca.crt
* clientX.crt

* clientX.key

Tenga en cuenta que X es un número que se corresponde con el cliente (para el cliente 2 sería: client2.crt y client2.key por ejemplo).

Estos archivos están presentes en: /etc/openvpn/easy-rsa/keys del servidor.

Para la configuración en modo roadwarrior las configuraciones del cliente y el servidor varían un poco:

Configuración del servidor:

El archivo /etc/openvpn/server.conf quedará así:

* un push de la ruta hacia la red local interna del servidor. Esa ruta estática permitirá que el road warrior vea a las máquinas de la red interna

* server: Indica el rango de direcciones que se asignará a los clientes que se conecten, deben ser direcciones no similares a las de la red local.

Configuración del cliente:

En el caso del cliente, así quedaría el archivo de configuración, client1.conf:

Si usamos como cliente algún windows el archivo de configuración debe tener la siguiente extensión client1.ovpn.

Servidores VPN

2011-04-14T23:01:00.019-05:00

Qué es una VPN?

Una VPN (Virtual Private Network o Red Privada Virtual), es la tecnología que nos permite extender una red privada LAN hacía la red mundial WAN, mediante un proceso de encapsulación (tunneling) y en su caso de encriptación, de tal manera que desde cualquier lugar del mundo podremos conectarnos a nuestra red local, y trabajar de manera similar tal como si estuviésemos físicamente dentro de ella, para ello es necesario una conexión a internet.

Tipos de VPN

Existen 4 tipos de VPN, las voy a detallar a continuación:

VPN de Acceso Remoto (roadwarrior)

Es quizás el modelo más usado actualmente, y consiste en usuario o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etc.) utilizando Internet como vínculo de acceso. Una vez autentificados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnología su infraestructura dial-up (módems y líneas telefónicas).

2. VPN Punto a Punto (site to site)

Este esquema se utiliza para conectar oficinas remotas con la sede central de la organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a punto tradicionales, sobre todo en las comunicaciones internacionales. Es más común el siguiente punto, también llamado tecnología de túnel o tunneling.

3. TUNNELING

La técnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un túnel dentro de una red de computadoras. El establecimiento de dicho túnel se implementa incluyendo una PDU determinada dentro de otra PDU con el objetivo de transmitirla desde un extremo al otro del túnel sin que sea necesaria una interpretación intermedia de la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos intermedios que son incapaces de ver en claro el contenido de dichos paquetes. El túnel queda definido por los puntos extremos y el protocolo de comunicación empleado, que entre otros, podría ser SSH.

4. VPN over LAN

Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar internet como medio de conexión, emplea la misma red LAN de la empresa. Sirve para aislar zonas de servidores dentro de la LAN. También es muy usada para mejorar la seguridad de las redes inalámbricas WIFI.

LANZAMIENTO DE CURSOS CON GNU/LINUX EN TRUJILLO

2011-04-14T01:05:00.005-05:00

La empresa RedLinux S.R.L. los invita a participar de los cursos que está lanzando, RedLinux está formada por 4 profesionales, con experiencia en implementación y docencia, a la vez cada uno cuenta con certificaciones reconocidas en el mundo de redes y servidores, como RedHat, CCNA, CCNA SECURITY y LPIC. Contamos también con la infraestructura adecuada: PCS core i3 4GB RAM, Monitores LCD, tarjetas asterisk, telefonos ip y analógicos, atas, etc.

- Linux Enterprise Servers

http://www.redlinux.com.pe/node/22

- Zimbra Collaboration Suite

http://www.redlinux.com.pe/node/23

- Centrales IP con Asterisk

http://www.redlinux.com.pe/node/25

- Alta Disponibilidad y seguridad en Redes

http://www.redlinux.com.pe/node/24

Estos cursos se dictarán por primera vez en la ciudad de Trujillo,y además cuentan con temas super interesantes, manteniendo el mismo nivel que los cursos ofertados en Lima, los cuales tienen precios muy elevados a diferencias de los nuestros. Tengan la seguridad que recibirán un curso de alta calidad.

Esperamos puedan revisar los temarios adjuntos y animarse de participar en ellos. Confiamos en contar con su presencia. Pasen la voz a sus amigos, hay descuentos si se matriculan en grupos de 2 o más.

Servidor de Mensajería Openfire integrado con OPenLDAP

2011-04-13T23:41:00.017-05:00

Hoy vamos a configurar el Servidor de Mensajería Instantánea Openfire (chat corporativo) y lo vamos a integrar con un server OpenLDAP (previamente configurado) o Active Directory, para centralizar y autenticar a nuestros usuarios. Openfire: Es desarrollado por la empresa Inigte Realtime, descargamos la último versión desde la web.

http://www.igniterealtime.org/downloads/

En este caso: openfire-3.6.4-1.i386.rpm

Descargamos el cliente Spark para windows y linux también de la misma web.

Procedimiento:

Instalamos openfire:

# rpm -Uvh openfire-3.6.4-1.i386.rpm

Ingresamos al directorio /opt/openfire/bin, ejecutamos el script openfire.sh

# cd /opt/openfire/bin

# ./openfire.sh
En nuestro navegador tecleamos y escogemos nuestro idioma : http://localhost:9090
Definimos nuestro dominio redlinux.org, click en Continuar.
Seleccionamos Base de datos interna, click Continuar:
Seleccionamos Servidor de Directorio (LDAP), podemos elegir (OpenLDAP, Novell NDS, Microsoft Active DIrectory, etc.) de acuerdo a nuestra necesidad y luego click en Continuar.
En la pagina Seteos de perfil: Seteos de Conexión Paso 1 de 3: Seteos de Conexión Servidor LDAP configure su conexión a servidor LDAP, en el ejemplo Tipo de Servidor: OpenLDAP, Servidor: localhost, DN Base: dc=redlinux,dc=org, en Autenticación, DN del Administrador: cn=admin,dc=redlinux,dc=org y Clave: la clave del administrador, para comprobar que todo ha sido ingresado correctamente presione el botón Testear seteos (recomendado) o continúe presionando el botón Salvar y continuar.
Ahora pasamos al Paso 2 de 3: Mapeos de Usuarios presione el botón de Seteos Avanzados ingrese el filtro de usuarios, (objectClass=posixaccount) ahora con la barra de desplazamiento del navegador muévase a la parte inferior de la pantalla y presione los botones de Testear Seteos (recomendado) y luego Salvar y Continuar.
Pasamos al Paso 3 de 3: Mapeos de Grupos presione el botón de Seteos Avanzados ingrese en Modo Posix: No y en filtro de grupos, (objectClass=posixGroup), presione los botones de Testear Seteos (recomendado) y luego Salvar y Continuar.

10. Ahora ingresamos el nombre de un usuario que actúa como administrador de Openfire, este debe ser un usuario valido que se encuentre en el árbol LDAP, en este caso agregar Administrador: rdavila y presione el botón Agregar.
Finalmente nos conectamos a la consola de administración.

Instalamos el cliente Spark en Linux o windows y nos conectamos con los usuarios de nuestro servidor OpenLDAP. Reiniciamos los servicios y probamos.

Cualquier consulta..................

Algo curioso jejeje

2010-12-14T01:40:00.002-05:00

Creando RAID por Software con Linux

2010-12-03T23:02:00.014-05:00

RAID (Arreglo Redundante de Discos Independientes), hace referencia a un sistema de almacenamiento que usa múltiples discos duros. Dependiendo de su configuración (nivel) con RAID tendremos: mayor integridad, mayor rendimiento, mayor tolerancia a fallas, mayor capacidad y redundancia.

Existen seis niveles diferentes de RAID de los cuales solo tres están disponibles para software: RAID 0, RAID 1 Y RAID 5. Aquí voy a crear un RAID 1.

Crear RAID 1

Crearemos un arreglo de 2 discos duros con la utilidad “mdadm”, en este caso nuestro sistema reconoce a los disco como hdb y hdd respectivamente. Asumimos que tenemos dos particiones hdb1 y hdd1, ambas con 500 MB de tamaño. Finalmente montamos el arreglo en la partición /var/cache.

Procedimiento:

1. Creamos el arreglo RAID 1, lo denominamos /dev/md0, compuesto por las particiones hdb1 y hdd1. Usamos el comando “mdadm”. De la siguiente manera:

mdadm --create --verbose /dev/md0 --level=1 --raid-devices=2 /dev/hdb1 /dev/hdd1

Luego ejecutamos:

2. Damos formato al arreglo /dev/md0, con ext3 como sistema de archivos. Usamos mkfs.ext3

3. Montamos el dispositivo raid /dev/md0 en algún directorio, para este caso sobre /var/cache

4. Agregamos la línea correspondiente al arreglo /dev/md0 en /etc/fstab

5. Finalmente comprobamos que RAID haya sido montado. Con df -h

Podemos testear y comprobar que el arreglo este correcto, con el siguiente mandato:

Protección de GRUB

2010-12-03T15:12:00.013-05:00

Es importante proteger el gestor de arranque GRUB, para evitar que personas no autorizadas puedan ingresar al sistema. Para ello le asignamos una contraseña, y podemos hacerlo de 2 formas:

1. Al momento de la instalación en la configuración de gestor de arranque podemos ingresar una contraseña.

2. Usamos el comando grub-md5-crypt, la que asignará una contraseña encriptada.

3. Para activar la contraseña encriptada, editamos el fichero grub.conf, que se encuentra en /etc /grub/grub.conf . Copiamos la contraseña encriptada de la siguiente manera:

password -- md5 (seguido de la contraeña encriptada -- ver imagen)

Recuperar la contraseña de ROOT en CentOS

2010-12-03T14:59:00.004-05:00

Procedimiento: Solo seguimos los siguientes pasos.

1.- Reiniciar la PC.

2.- Al cargar GRUB para escoger el sistema operativo, nos colocamos en la que corresponde a nuestra distribución y pulsamos la tecla “e” para entrar al modo de edición.

3.- En la siguiente ventana veremos varias líneas, que son los argumentos con los que inicia el sistema, nos colocamos en la que dice “kernel” y pulsamos “e” para editarla.

4.- En la siguiente ventana al final de la línea separamos con un espacio en blanco y escribimos “single” ó “1”, para ingresar al modo monousuario, pulsamos ENTER para ingresar.

5.- Otra vez nos colocamos sobre la línea del “kernel” y pulsamos “b” para iniciar el sistema.

6.- Una vez que estamos en el modo monousuario ejecutamos el comando passwd, para cambiar la contraseña. Finalmente reiniciamos el sistema para que haga efecto el cambio ejecutamos “reboot”.

¿Qué tan aficionado eres de Linux? Conoce tu Nivel!

2010-11-22T17:15:00.004-05:00

Estuve paseando por la web encontré este artículo, me pareció divertido se los comparto.

¿Cuál es tu Nivel?

Nivel 5: el usuario utiliza Linux y guindous indistintamente a conveniencia, ya que acepta que ninguno de los dos SO por sí mismos cubre todas sus expectativas, así que se divide entre los dos según lo que le haga falta. No toma partido por uno o por otro, sabe que tanto uno como otro tiene sus pro y sus contras, así que los acepta tal cual como son.

Nivel 4: el usuario utiliza Linux porque realmente le parece que cumple con todos los requisitos, y cubre sus expectativas diarias, no le hace falta guindous ya que todo lo que podría hacer sobre el, lo puede realizar en Linux sin ningún tipo de impedimento. A la hora de recomendar un SO a un tercero, antes de elegir a Linux, evalúa la situación y termina recomendando el SO que más se adapte al usuario.

Nivel 3: el usuario utiliza Linux públicamente sin embargo en privado utiliza guindous y lo oculta, como si fuera un gran pecado, o si se tratara de cocaína o fotos pornográficas de su madre en tanga. Defenderá a Linux a muerte, pero ocultará su guilty pleasure a los demás por miedo de dejar de ser parte de esa comunidad que para él es de una elite superior.

Nivel 2: el usuario utiliza Linux, solo usa lineas de comando y ya hace años que no le hace un doble click a un icono. No utiliza MSN ni GTalk, solo el MIRC. Se pasa el día paseándose por foros y blogs insultando a todo aquél que no piensa como el. Hackeó la web de Mocosoft, el buscador Google, y Yahoo utilizando solo un block de notas, lo hizo porque podía hacerlo y para demostrarle al mundo que era el mejor de todos. Para éste usuario, si está en internet, entonces es gratis, baja series de TV, música, películas, y luego se jacta públicamente de tenerlas antes que todos.

Nivel 1: utiliza Linux. Solo bebe agua, ya que para él, no saber la fórmula de la Coca Cola es como no saber el código fuente de un SO. Cuando niño le dejaron de regalar juguetes ya que siempre los desarmaba, se negaba a jugar con algo cuyo funcionamiento era un misterio. Tampoco utiliza nada que sea parte de ningún monopolio, fabricó su propia pc a la edad de 10 años con piezas creadas por el mismo por estar en contra de dar dinero a cambio de hardware, para el, el hardware debería de ser libre. No festeja navidad ya que para el, es solo una fecha en el que el libre comercio se basa para poder subsistir todo el verano. Tampoco cree en Papa Noel, ya que descubrió que era un producto comercial creado por Coca Cola, la misma empresa de la fórmula privativa. Odia a su abuela, ya que cocina unos fideos con tuco alucinantes, gracias a una receta secreta milenaria de la familia, la cual al ser secreta, es privativa.

Listas Negras - BlackLists

2010-11-22T15:47:00.005-05:00

Existen numerosos sistemas antispam, pero uno de los mas extendidos son las listas de spam. Para entenderlo, son unas listas de las que los servidores de correo pueden hacer uso para aceptar o denegar correos provenientes de ciertas IP´s. Si la IP esta listada en una de esas listas y el servidor de correo comprueba contra esa lista, no aceptara el correo que venga de esa IP listada.

Para saber si una determinada IP está listada existen multitud de "RBL lookups" (Realtime Blackhole List lookup), o "DNSBL lookups", basta con buscarlos en internet. Pueden ser IP´s de origen, o de cualquier SMTP a través del cual pase el correo. Uno de los mas usados es: simplemente escogemos la opción Blacklists e ingresamos la IP que queremos saber:

http://www.mxtoolbox.com/

Repito, estos no son las listas en si, si no buscadores que nos dicen si la IP que metemos esta listada en alguna RBL, o lista de spammers.

Aparte de estas listas también existen sistemas de reputación. Estos sistemas determinan si la actividad originada por una determinada IP esta dentro de unos parámetros aceptables. Generalmente si una IP está en listas de spammers, su reputación será mala. Les hablo por ejemplo de:

http://www.senderbase.org/

Al igual que con las listas de spam, si algun ssistema de correo usa en este caso senderbase, y senderbase le dice que la reputación de la IP de origen es pobre, no aceptara ese correo por razones obvias. Si una IP que gestionemos o administremos está en listas de spam o tiene reputación pobre muy probablemente estemos siendo víctimas de algún robo de contraseña de alguna de nuestras cuentas de correo, o estemos infectados por algún botnet (del que hablaré mas adelante) en nuestra LAN.

Mucho ojo con estos temas ya que nos pueden dar mas de un dolor de cabeza. Lo mejor para estos casos es tener buenos sistemas de seguridad, algún sistema antispam que nos de garantías, y sobre todo minimizar riesgos (contraseñas robustas etc).

¿Por qué mi Red está lenta?

2010-11-22T14:46:00.016-05:00

Muchas veces el administrador de sistemas se habrá preguntado porque su red va lenta, que es lo que ocurre, si es que hay algún software malintencionado saturando la red, o si hay algún usuario haciendo un uso exhaustivo de la red (p2p etc).

Lo cierto es, que las herramientas de análisis de red requieren conocimientos avanzados, y son arduas de utilizar y generalmente en organizaciones pequeñas precisamente lo que falta es tiempo y recursos. Solo las organizaciones grandes pueden permitirse el lujo de tener su propio departamento de seguridad de red (quienes se ocupan de crear las reglas en sus firewalls, crear y mantener la DMZ, WIFI, VPN y demás), en el resto de empresas, la labor de dar seguridad la red y de mantener la buena actividad de la misma, sigue siendo una de las muchas que debe afrontar el departamento de informática.

¿Qué podemos hacer entonces?

Usar Ntop que es un proyecto Open Source para sistemas UNIX como puede serlo cualquier distribución Linux. Lo que nos permite es poder medir el tráfico de cada uno de los hosts de nuestra red, dividiendo este trafico entre diferentes servicios/protocolos (http, ftp, ssh, snmp...), pudiendo de esta manera detectar equipos infectados, o equipos que emitan demasiado tráfico por alguna razón no normal (generalmente porque están llenas de virus aquellas que saturan la red con tráfico Broadcast).

Lo que necesitamos en un equipo (puede ser un equipo viejo que esté en desuso), con al menos una tarjeta de red (que pueda ser habilitada en modo promiscuo para escuchar todo el tráfico de red), y que tenga un sistema UNIX instalado, si no se lo instalamos. En este caso explicaré como hacerlo con una distro RedHat bueno CentOS, instalamos:

Podemos instalar ntop sin problemas con yum pero existen muchas mejoras extras en la nueva versión por lo cual mejor compilaremos el paquete.

1) Instalaremos la dependencias necesarias para la compilación.

# yum install gcc make libtool gdbm-devel zlib-devel

2) Descargaremos la herramientas de rrdtool en la versión 4.

# wget http://www.express.org/~wrl/rrdtool/rrdtool-perl-1.4.4-1.el5.wrl.i386.rpm
# wget http://www.express.org/~wrl/rrdtool/rrdtool-1.4.4-1.e l5.wrl.i386.rpm
# wget http://www.express.org/~wrl/rrdtool/rrdtool-devel-1.4.4-1.el5.wrl.i386.rpm

3) Instalamos los 3 paquetes que descargamos:

# rpm -ivh *.rpm

4) Instalación de dependencias de ntop

# yum install libpcap-devel libpcap geoip geoip-devel php-pear python python-devel

5) Instalamos la aplicacion geoip para poder utilizar los mapas de google maps

# pecl install geoip

6) Descargamos la nueva versión de ntop dentro /opt

# cd /opt

Buscamos en la web ntop.tar.hz (descarguen la versión mas actual)

7)Descomprimimos el fichero descargado.

# tar -zxvf ntop-3.3.6.tar.gz

8) Entraremos a la carpeta ntop-3.3.6 y ejecutamos el siguiente comando.

# ./autogen.sh

9) terminado esto solamente queda compilar e instalar.

# make

# make install

10) Creamos usuario ntop y le damos permiso a los directorios ntop:

# useradd -M -s /sbin/nologin -r ntop

Damos permisos a usuario ntop:

# chown ntop:root /usr/local/var/ntop/

# chown ntop:root /usr/local/share/ntop/

11) Asignamos un password al administrador de ntop:

# ntop -A

Mon Nov 22 18:43:44 2010 NOTE: Interface merge enabled by default
Mon Nov 22 18:43:44 2010 Initializing gdbm databases
ntop startup - waiting for user response!
Please enter the password for the admin user:
Please enter the password again:
Mon Nov 22 18:43:52 2010 Admin user password has been set

11) Podremos ejecutar ntop de la siguiente manera.

# /usr/local/bin/ntop -d -L -u ntop -P /usr/local/var/ntop - -skip-version-check --use-syslog=daemon

Si tenemos múltiples interfaces (eth0, eth1...) ejecutamos:

# /usr/local/bin/ntop -i "eth0,eth1" -d -L -u ntop -P /usr/local/var/ntop - -skip-version-check --use-syslog=daemon

12) Entramos a la aplicación vía web de la siguiente manera:

http://localhost:3000

Libertad es una palabra amplia

2010-11-22T11:52:00.005-05:00

Durante estos últimos días, un amigo me preguntó ¿cuál era la mejor distro Linux?, recordé que alguna vez estuve leyendo un artículo sobre batallas de egos. Ya no sólo fue “todos contra Windows y el software privativo”, sino la eterna lucha mi distro es mejor, tu distro es peor. Muchos se olvidan de lo que significa la libertad en el Software Libre, y no sólo de eso, sino de la primera libertad: la libertad de elegir que herramienta utilizar.

La libertad no es sólo el derecho a elegir lo que creemos mejor, sino a respetar lo que el resto cree mejor. Esto último a menudo se confunde con el evangelizar, con el creer que la gente cuya decisión fue diferente a la nuestra es ignorante, y al intentar obligarlo a pensar de la misma manera en la que nosotros lo hacemos es de alguna manera coartar su propia libertad. Este es el fanboy: el que no sólo cree que tomó la mejor decisión sino que además no tolera que otros tomen otras decisiones.

Dentro de toda comunidad siempre está el fanboy: el fanboy de Apple, el fanboy de Windows (aunque no conozca deben existir) , el fanboy de Linux, y dentro de Linux, los fanboys de distintas distros. He leído tanto a fanboys de Ubuntu como a los que tienen un profunda aberración hacia ella, y me parece una discusión absurda; si vamos a luchar por nuestra libertad, lo menos que podemos hacer es respetarla. La decisión sobre que Sistema Operativo utilizar, y más profundo aún, sobre qué ideales perseguir al hacerlo, es una decisión que sólo puede tomar cada uno y que debe estar basado en sus propias opiniones y convicciones. Por lo tanto, pedirle de un día para otro a un usuario que toda la vida estuvo acostumbrado a Windows y a crackear aplicaciones que se pase a un Sistema Operativo completamente libre (tal como Trisquel o gNewSense) porque sí, es ilógico. Es necesario explicar qué es el Software Libre y qué significa esta libertad para que luego pueda tomar la decisión de acercarse y ver que no por ser Software Libre tiene que ser inferior o feo. La elección debe estar basada en el conocimiento, y ahí es donde se necesita ayudar.

Nunca olviden que la libertad es igual para todos, y si yo tengo el derecho a elegir, los que me rodean también; y esta elección debe ser propia de cada uno.

Cuotas de Disco

2010-09-10T19:09:00.014-05:00

La utilización de cuotas de disco permite gestionar de manera eficiente el espacio compartido en disco por múltiples usuarios. Por ejemplo cuando tenemos un servidor de correos.

Instalación

Primero debemos instalar el paquete necesario para trabajar con cuotas. De la siguiente manera:

# yum -y install quota

Procedimientos

Debemos iniciar el sistema en el nivel de ejecución 1 (mono usuario), ya que se requiere no haya procesos activos.
Previamente deberíamos haber asignado una partición dedicada, por ejemplo: /home , /var.
Con la finalidad de añadir soporte de cuotas para las partición asignada, añadimos al fichero /etc/fstab los parámetros usrquota y grpquota. Veamos la última línea

4. Remontamos la partición para que surtan efecto los cambios.

5. Creamos los ficheros aquota.user, aquota.group, quota.user, quota.group, para almacenar la información y estado de las cuotas en cada partición. Dentro de la partición asignada.

Ejecutamos quotacheck -avug, para convertir los ficheros de texto vacíos en formato binario.
Activamos las cuotas, ejecutamos: quotaon /home
Regresamos al nivel de ejecución 3 ó 5 para probar las cuotas.

Tipos de Cuotas

Cuota Absoluta

Es la cuota fijada en espacio de disco absoluta que el usuario no podrá rebasar de ninguna manera. Usamos comando edquota .

Cuota de gracia

La cuota de gracia establece el límite de bloques o inodos que un usuario tiene en una partición. Por defecto el periodo de gracia es de 7 días. Una vez excedido el límite establecido, el sistema advierte que se ha excedido la cuota de disco; sin embargo permite al usuario continuar escribiendo hasta que transcurra el tiempo establecido por el periodo de gracia. Modificamos el periodo con el comando edquota -t.

Asignando Cuotas

Comando edquota:

Con este comando asignamos las cuotas de disco a los usuarios de la siguiente manera. Previamente deberíamos haber creado usuarios.

Ejemplo: Asignamos al usuario ricardo una cuota absoluta de 4 MB:

Comprabando cuota de Disco

Para comprobar que hemos asignado la cuota correctamente. Iniciamos una sesión con el usuario y copiamos por ejemplo el contenido de /var/lib en el directorio personal.

Verificamos: ejecutamos comando quota.

Podemos ver las cuotas de disco de todos los demás usuarios: requota -a

Sistema de Archivos Linux

2010-09-10T18:48:00.006-05:00

El Sistema de Archivos de Linux

El Sistema de Archivos de Linux es básicamente la estructura en la que se almacena toda la información del sistema y de la computadora. Este sistema esta organizado de manera jerárquica a la forma de un árbol al revés. En la parte superior esta el directorio raíz representado por una barra simple “/” y por debajo de este un conjunto de directorios comunes del sistema Linux.

Consolas Virtuales y SHELL

Una vez instalado el sistema Linux, tenemos 2 vías para interactuar con él: una gráfica y una texto llamada consola o terminal.

Al igual que Unix, Linux ofrece el mecanismo de consolas o terminales virtuales, que consiste en que a partir de una entrada (teclado) y una salida (monitor) se simulen varias terminales,donde el mismo o distintos usuarios puedan conectarse indistinta y concurrentemente.

De esta forma se puede tener más de una sesión abierta en la misma máquina y trabajar con ellas indistintamente. Esto facilita la característica multiusuario del sistema GNU/Linux, pues cada conexión se puede realizar con diferentes usuarios.

El programa que se ejecuta en Linux cada vez que un usuario se conecta y que le permite interactuar con el sistema se conoce com

o shell, éste es capaz de interpretar una gama de comandos y sentencias.

Existen muchos tipos de shells como por ejemplo: csh(C shell), tcsh(extensión del csh), ksh(Korn shell), bsh(Bourne shell) y el más usado: bash(Bourne Again Shell).

A continuación tenemos la estructura de la shell de Linux:

Los 10 errores de un Administrador de Redes

2010-01-14T11:22:00.005-05:00

Leí esto en internet me pareció interesante....

Por: Carolyn Duffy Marsan, Network world

Cuando se observan los peores casos de violación de seguridad corporativa, está claro que los administradores de red continúan cometiendo las mismas equivocaciones una y otra vez, y que muchos de estos errores son fáciles de evitar.

“Solo no estamos haciendo lo fundamental,” dice Peter Tippett, vicepresidente de innovación y tecnología de Verizon, que ha estado revisando violaciones de seguridad por 18 años

Información relacionada

La misma contraseña para todo, el mayor riesgo para la seguridad

En 2008, Verizon Bussiness analizaba 90 violaciones de seguridad que representaron 285 millones de expedientes comprometidos. La mayor parte de estos incidentes implicaron al crimen organizado, que encontraba un acceso desprotegido a una red usado para robar los datos de una tarjeta de crédito, los números de la seguridad social u otra información de identificación personal.

10 historias lamentables de pérdida de datos

Lo que es asombroso es cuantas veces estas violaciones de seguridad fuerion el resultado de que los administradores de red olvidaban tomar medidas obvias para asegurar sus sistemas, particularmente los servidores no críticos.

“Solo no estamos haciendo lo fundamental,” dice Peter Tippett, vicepresidente de innovación y tecnología de Verizon Bussiness, que ha estado revisando violaciones de seguridad por 18 años.

Tippett nos ayudó a juntar una lista de las medidas más simples que un administrador de red puede tomar para eliminar la mayoría de violaciones de seguridad. No seguir los puntos de esta lista sería, simplemente estúpido.

Cambio de contraseñas por defecto en todos los dispositivos de la red.

Tippett dice que es “increíble” cuantas veces las corporaciones tienen un servidor, switch, ruteador o dispositivo de red con la contraseña por default -- típicamente “password” o “admin” -- aún habilitada. La mayoría de los CIO's (por sus siglas en inglés Chief Information Officer) piensa que este problema nunca podría sucederles, pero Tippett lo ve diariamente.

Para evitar este problema, usted necesita activar un explorador de vulnerabilidades en cada dispositivo de su red con una dirección IP, no solamente los sistemas críticos o conectados a Internet, dice Tippett. Luego necesita cambiar las contraseñas por default que encuentre por algo más. Más que la mitad de los registros comprometidos el año pasado fueron el resultado de usar la contraseña por default en un dispositivo de red, según el estudio de Verizon Bussiness.

2. Distribución de contraseñas a través de múltiples dispositivos de red.

Los departamentos de IT utilizan a menudo la misma contraseña a través de múltiples servidores y mucha gente sabe la contraseña. Podría ser un buen password -- una cadena complicada de números y letras -- pero una vez que se ha compartido entre varios sistemas, todos estos están en riesgo

Por ejemplo, una de las personas que sabe la contraseña, podría cambiar de trabajo y reutilizarla en su nueva empresa. O un empleado contratado por fuera (outsourcer) que maneja un sistema no crítico, tal como el sistema de enfriamiento del centro de datos, podría utilizar la misma contraseña en todos los sistemas que administra para todos sus clientes. En cualquier caso, si la contraseña es descubierta por un pirata informático (hacker), este puede acceder a muchos servidores y dar rienda suelta a provocar daños.

Tippett dice que los departamentos necesitan un proceso -- automatizado o manual -- para cerciorarse de que las contraseñas del servidor no sean compartidas entre sistemas múltiples, se cambien regularmente y se mantengan seguras. Dice que es tan simple como mantener las contraseñas actuales anotadas en tarjetas que son mantenidas en una caja de seguridad controlada por una persona.

3. No poder encontrar errores de codificación de SQL.

El ataque "hack" más común -- que representa el 79% de los registros comprometidos -- es contra una base de datos SQL conectada a un servidor web. La manera en que los piratas informáticos acceden a estos sistemas es incorporando un comando de SQL a una forma web (formulario de captura). Si la forma se cifra correctamente, no debe aceptar comandos de SQL. Pero a veces accidentalmente los desarrolladores crean lo que se conoce como errores de inyección SQL.

Tippett dice la manera más fácil de prevenir estos errores es ejecutar un firewall en modo “de aprendizaje”, de modo que pueda ver cómo los usuarios incorporan datos en un campo y después poner el firewall en modo “operativo” para que los comandos SQL no puedan ser "inyectados" en un campo. El problema de codificación de SQL es extenso. “Si una compañía prueba 100 servidores, probablemente encontrará un problema de inyección SQL en 90 de ellos,” dice Tippett.

A menudo, las compañías reparan solamente los errores de inyección SQL en sus servidores críticos, olvidando que la mayoría de los piratas informáticos acceden a sus redes a través de sistemas no críticos. Tippett sugiere que los administradores de red dividan sus redes en segmentos usando listas de control de acceso para restringir a los servidores de "hablar" con dispositivos no esenciales. Esto evitaría que un pirata informático ganara extenso acceso a datos gracias a un error de codificación inevitable de SQL.

4. Desconfiguración de listas de control de acceso.

Segmentar su red usando listas de control de acceso (ACL) es la manera más simple de cerciorarse de que los sistemas se comunican solamente con los sistemas que deben. Por ejemplo, si usted permite que los socios comerciales tengan acceso a dos servidores en su red con su VPN, debe utilizar las listas de control de acceso para cerciorarse de que estos tienen solamente acceso a los dos servidores. Así, si un pirata informático entra en su red por el acceso para socios comerciales, puede acceder solamente a los datos sobre estos dos servidores.

“A menudo un chico malo que entra en la red vía VPN tiene acceso a todo,” dice Tippett. De hecho, teniendo correctamente configuradas listas de control de acceso se habrían protegido el 66% de los registros que fueron comprometidos el año pasado, según el informe de Verizon. La razón por la que los CIO's no toman esta simple medida, es que implica el uso de sus rutedores como firewalls, y muchos encargados de red no quieren hacerlo.

5. Permitir la administración y acceso remotos de software no seguro.

Una de las formas más populares para que los piratas informáticos accedan a su red es utilizar y administrar un paquete de programas informáticos con acceso remoto, tal como PCAnywhere, Virtual Network Computing (VNC) o Secure Shell (SSH). A menudo, estas aplicaciones carecen de las más básicas medidas de seguridad, tales como buenas contraseñas.

La manera más simple de encontrar este problema es ejecutar una exploración externa a través de su espacio entero de direcciones IP, para buscar tráfico de PCAnywhere, VNC o SSH. Una vez que usted encuentre estas aplicaciones, ponga las medidas de seguridad adicionales en ellas tales como tokens o certificados además de contraseñas. Otra opción es explorar el flujo de datos de sus ruteadores externos y ver si tiene algún acceso remoto para administrar tráfico fluyendo a través de su red.

Este problema es bastante común para contar con el 27% de los registros comprometidos en el reporte de Verizon Bussiness.

Una vez que los hackers se meten a tu red, pueden poner su tienda, tomarse su tiempo y observar tu tráfico.

No poder probar vulnerabilidades básicas en aplicaciones no críticas.

Cerca del 80% de los ataques "hack" son el resultado de agujeros de seguridad en aplicaciones web, según el informe de Verizon Bussiness. Los administradores de red saben que su vulnerabilidad más grande está en aplicaciones web, así que ponen todo su esfuerzo en la prueba de sus sistemas críticos y sistemas conectados a Internet.

El problema es que la mayoría de los ataques refuerza errores de seguridad en sistemas no críticos dentro de las redes. “El mayor problema es que estamos probando como locos las aplicaciones web críticas, y no estamos probando las aplicaciones no-Web,” dice Tippett. Recomienda a los administradores de red probar vulnerabilidades básicas en todas sus aplicaciones.

"La gente ha sido enseñada por siempre a enfocarse enlas cosas por orden de importancia crítica", pero los chicos malos no saben que es crítico o no. Entran en el orden de cuán fácil es”, dice Tippett. “Una vez que los hackers se meten a tu red, pueden poner su tienda, tomarse su tiempo y observar tu tráfico.”

7. No proteger adecuadamente sus servidores contra software malicioso.

El software malicioso (malware) en los servidores explica el 38% de las violaciones de seguridad, dice Verizon Bussiness. La mayoría del software malicioso es instalado por un atacante remoto y utilizado para capturar datos. Típicamente, el malware se personaliza, así que no puede ser descubierto por el software antivirus. Una forma para que los administradores de red encuentren softwares maliciosos tales como un (keylogger) o programa espía (spyware) en sus servidores es ejecutar un software de detección de intrusos en un host (host-based) en cada servidor, no solo en servidores críticos.

Tippett sugiere una manera simple de prevenir muchos de estos ataques: Proteja los servidores de modo que ninguna nueva aplicación pueda funcionar en ellos. "Los administradores de red odian hacer eso porque puede ser que quieran agregar software nuevo más adelante,” dice Tippett. “Les digo que abran el candado, instalen el nuevo software y después cierren el candado otra vez.”

8. No configurar los ruteadores para prohibir tráfico externo no deseado.

Una forma popular que usa el software malicioso es poner de una puerta trasera o un intérprete de comandos en un servidor. Una forma para evitar que un pirata informático se aproveche de una puerta trasera o un intérprete de comandos es segmentar la red usando listas de control de acceso. De esta manera puede prevenir que los servidores envíen tráfico que no deben enviar. Por ejemplo, un servidor de correo debe enviar solamente el tráfico de correo, no tráfico SSH. Otra opción es utilizar sus ruteadores para aplicar por default el filtro de bloqueo de flujo externo (deny egress filtering), que bloquea todo el tráfico externo a excepción de lo que usted quiere dejar pasar a su red.

Los “solamente 2% de compañías hacen esto. Me desconcierta en cuanto a porqué no lo hace el otro 98%,” dice Tippett. "Este tipo de filtrado es trivial.”

9. No saber donde se almacenan datos como tarjetas de crédito u otros datos críticos de clientes.

La mayoría de las compañías piensan que saben dónde se almacenan los datos críticos tales como información de tarjetas de crédito, números de la seguridad sociales u otra información de identificación personalmente, y refuerzan estos servidores con los más altos niveles de seguridad. Pero a menudo, estos datos se almacenan en alguna otra parte de la red, por ejemplo en un sitio de respaldo o en el departamento de desarrollo de software.

Son estos servidores secundarios, no críticos que consiguen ser atacados y llevan a menudo a la mayoría de violaciones de datos. Una manera fácil de indagar dónde se almacenan los datos críticos es practicar un descubrimiento de red (network discovery). “Típicamente pegamos un sniffer en la red y vemos donde los datos críticos se suponen que están y vemos a donde más van,” dice Tippett.

10. No seguir el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago.

El sistema de 12 controles para el trabajo de protección de información del titular de la tarjeta de pago, apodado PCI DSS, dice Tippett. “La mayoría de la gente incluso no busca cumplir los estándares PCI,” dice Tippett. A menudo una compañía sigue estos controles para los servidores donde sabe que almacena datos de tarjetas de crédito, pero no en los otros servidores desconocidos que tambien reciben estos datos críticos.

Aunque los 98% de todos los registros comprometidos implican datos de tarjetas de pago, sólo 19% de organizaciones con violaciones de seguridad siguieron los estándares PCI, según el informe de negocio de Verizon. “Es obvio. Siga los estándares PCI. Esencialmente trabajan,” dice Tippett.

Fuente: Network world

Reportes de Squid con SARG

2009-12-23T16:21:00.018-05:00

SARG: Squid Analysis Report Generator

SARG es un Squid Analysis Report Generator que te permite ver "dónde" están yendo tus usuarios dentro de Internet. SARG genera informes en HTML, con muchos campos, como: usuarios, Direcciones IP, bytes transmitidos, sitios web y tiempos.

1. Instalación:

Para instalar sarg en Centos 5 basta con ejecutar:

#yum -y install sarg

Y luego editar el archivo de configuración ubicado en /etc/sarg

# vim sarg.conf

Cambiamos el lenguaje por defecto viene “English” simplemente cambiamos a Spanish y más abajo podemos darle un titulo a nuestros reportes de la siguiente manera:

Creamos un directorio donde se puedan almacenar todos los reportes, esto dentro de la ruta de publicación de Apache /var/www/html, de tal manera que cuando queramos acceder a los reportes podemos hacerlo en el browser: http://localhost/reportes

# mkdir reportes

Y cambiamos el formato de hora a nuestra conveniencia en nuestro caso al formato e (europeo) dd/mm/yy:

Guardamos y listo…..

2. Ejecución

SARG tiene diversas opciones para generar diferentes tipos de reportes de acuerdo a nuestra necesidad, veremos a continuación las más importantes.

En la consola ejecutamos el comando:

# sarg

Esperamos que se genere el reporte al 100% e ingresamos vía web desde cualquier maquina de la red a los reportes SARG.

Ahora hacemos el reporte de un solo IP para ver a donde esta accediendo, de la siguiente manera:

# sarg -a 192.168.1.6

Accedemos vía web y seleccionamos el reporte también presenta las 4 categorías anteriormente mencionadas.

Reporte por dominio, con esta opción podemos ver todos los IP que acceden a un dominio específico con el siguiente comando:

# sarg -s www.hotmail.com

Nos muestra todos los IP que accedieron al dominio www.hotmail.com, el día, la hora y el tiempo que estuvieron en dicha página web.

Configuración de Servidor FTP

2009-11-30T12:10:00.004-05:00

Un Servidor FTP es un equipo que generalmente esta conectado a Internet WAN o una LAN desde el cual se pueden bajar o subir archivos mediante el protocolo FTP.

Servidor VSFTPD siglas de Very Secure FTP Daemon es un software utilizado para implementar servidores de archivos a través del protocolo FTP. Se caracteriza por su seguridad y configuración sencilla, en comparación con otras soluciones. Hoy en día se dice que VSFTPD es quizá el Servidor FTP más seguro del mundo.

Antes de empezar con la implementación del Servidor FTP debemos saber que el protocolo FTP requiere de múltiples puertos de red para funcionar correctamente. Cuando una aplicación cliente FTP inicia una conexión a un servidor FTP, abre el puerto 21 en el servidor, conocido como el puerto de comandos. Se utiliza este puerto para arrojar todos los comandos al servidor. Cualquier petición de datos desde el servidor se devuelve al cliente a través del puerto 20 llamado puerto de datos. Cuando el cliente FTP inicia una transferencia de datos, el servidor abre una conexión desde el puerto 20 en el servidor para la dirección IP y un puerto aleatorio sin privilegios (mayor que 1024) especificado por el cliente. Debido a esto muchos firewall normalmente rechazan las conexiones entrantes desde servidores FTP.

Para solucionar este pequeño obstáculo tenemos que crear reglas en el firewall que nos permitan encontrar puertos dinámicos de escucha de FTP, reglas para habilitar Connection Tracking. Bueno ahora empezamos con la implementación del Servidor FTP; el paquete requerido para este servidor es VSFTPD.

Instalamos software requerido:

# yum -y install vsftpd

Fichero de Configuración

El fichero para configurar es vsftpd.conf, cuya ruta es: /etc/vsftpd/vsftpd.conf
Entramos:

# cd /etc/vsftpd/
# ls (observamos el fichero de configuración)

es bueno hacer un backup del archivo.conf que viene por defecto:

# cp vsftpd.conf vsftpd.conf.backup

Ahora editamos el archivo con nuestro editor de texto preferido: # vim vsftpd.conf

Podemos configurar nuestro servidor FTP de tal manera que los usuarios puedan acceder como usuarios anónimos (no requiere autenticación) o usuarios autenticados.

1. Configuración de parámetros para usuarios anónimos

Para configurar correctamente un servidor FTP para usuarios anónimos debemos conocer algunos parámetros los que detallamos a continuación:

Parámetro anomymous_enable

Con este parámetro definimos si se van a permitir los accesos anónimos al servidor. Establecemos valor YES o NO. anonymous_enable=YES

Parámetro local_enable

Permitimos los accesos autenticados de los usuarios locales del sistema. Establecemos YES o NO.

local_enable=NO

Parámetro write-enable

Aquí definimos si se permite el mandato “write” (escritura) en el servidor. Establecemos YES o NO.

write_enable=YES

Parámetro anon_upload_enable

Con esto podemos permitir a usuario anónimos subir archivos al servidor. Antes tiene que estar activado el parámetro global write_enable.

anon_upload_enable=YES

Parámetro anon_mkdir_write_enable

Este parámetro permite a los usuarios anónimos, crear directorios en el servidor.

anon_mkdir_write_enable=YES

Parámetro ftp_banner

Este parámetro permite establecer una bienvenida cada vez que algún usuario se conecte al servidor.

ftpd_banner=Bienvenido al Servidor FTP de RedLinux S.R.L.

Parámetros para el Control del Ancho de Banda

Parámetro anon_max_rate

Con este parámetro limitamos la tasa de transferencia en bytes por segundo para los usuarios anónimos. Por ejemplo si queremos limitar la tasa de transferencia a 50 Kb por segundo para los usuarios anónimos: (esta línea la colocamos al final de vsfftpd.conf) .

anon_max_rate=51200

2. Configuración de parámetros para usuarios locales (autenticados)

Esta es la configuración de un servidor FTP para usuarios locales:

Parámetro anomymous_enable

Con este parámetro definimos si se van a permitir los accesos anónimos al servidor. Establecemos valor YES o NO.

anonymous_enable=NO (o comentamos la línea)

Parámetro local_enable

Permitimos los accesos autenticados de los usuarios locales del sistema. Establecemos YES o NO.

local_enable=YES

Parámetro write-enable

Aquí definimos si se permite el mandato “write” (escritura) en el servidor. Establecemos YES o NO.

write_enable=YES

Parámetro anon_upload_enable

anon_upload_enable=NO (o comentamos la línea)

Parámetro anon_mkdir_write_enable

anon_mkdir_write_enable=NO (o comentamos la línea)

Parámetro ftp_banner

Este parámetro permite establecer una bienvenida cada vez que algún usuario se conecte al servidor.

ftpd_banner=Bienvenido al Servidor FTP de RedLinux S.R.L.

Parámetro chroot_local_user y chroot_list_enable

El parámetro chroot_local_user permite o no a los usuarios locales acceder al servidor. Colocamos este parámetro a la altura de la siguiente sección del vsftpd.conf.

# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list

Parámetro local_max_rate

Con este parámetro limitamos la tasa de transferencia en bytes por segundo para los usuarios locales. Por ejemplo si queremos limitar la tasa de transferencia a 50 Kb por segundo para los usuarios locales. Esta línea la ponemos al final del archivo.

local_max_rate=51200

Finalmente iniciamos por primera vez el servidor VSFTPD:

# service vsftpd start

Para que se inicie automáticamente cada vez que iniciemos el sistema le damos:

# chkconfig vsftpd on

Para para vsftpd:

# service vsftpd stop

Para para reiniciar el servicio:

# service vsftpd restart

### espero les sirva ### se aceptan comentarios y sugerencias....gracias RDS.....

Configuración de Servidor Proxy

2009-10-30T23:34:00.014-05:00

1. Servidor PROXY

Un servidor Proxy , es básicamente un programa que acepta peticiones de clientes para las URL, obtiene, y devuelve los resultados al cliente. Los Proxy se utilizan en redes en la que los clientes no tienen acceso directo a Internet, pero tienen que ser capaces de ver páginas Web y para la memoria caché de las páginas comúnmente solicitadas, de manera que si más de un cliente quiere ver la misma página, sólo tiene que ser una vez descargada.

1.1. Squid PROXY

Squid es el Proxy más popular servidor para sistemas Unix. Es libre y está disponible para su descarga desde www.squid-cache.org, y se incluye como paquete estándar con todas las distribuciones de Linux y muchos otros sistemas operativos. Squid soporta Proxy, caching y aceleración HTTP, y tiene un gran número de opciones de configuración para controlar el comportamiento de estas características.

2. Instalación y Configuración de Squid

Empezamos instalando squid y httpd:

# yum - y install squid httpd

Squid utiliza el fichero de configuración ubicado en la siguiente ruta:

/etc/squid/squid.conf, el cual podremos trabajar con nuestro editor preferido.

Configuración squid.conf

Antes de empezar a configurar algún servicio en Linux es recomendable hacer una copia del archivo de configuración que viene por defecto, esto lo hacemos de la siguiente manera:

# cp squid.conf squid.conf.original

Ahora pasamos a configurar squid.conf. Usamos algún editor vim, mcedit, etc. Entramos en la ruta absoluta del archivo de configuración:

# cd /etc/squid
# vim squid.conf

Configurar: parámetro http_port: (puerto que utilizará Squid)

De acuerdo a las asignaciones hechas por IANA y continuadas por la ICANN desde el 21 de marzo de 2001, los Puertos Registrados recomendados para servidores intermediarios (proxies) pueden ser el 3128 y 8080 a través de TCP.

De modo predefinido Squid utilizará el puerto 3128 para atender a peticiones, sin embargo podemos especificar que lo haga en cualquier otro puerto disponible o bien que lo haga en varios puertos a la vez.

Si queremos darle mayor seguridad, vinculamos el servicio a una IP que solo se pueda acceder desde la red local. Si nuestro servidor tiene la dirección IP: 192.168.1.45, hacemos lo siguiente:

Configurar: parámetro cache_mem

Este parámetro cache_mem establece la cantidad de memoria para:

-Objetos de transito
-Objetos frecuentemente utilizados (Hot).

Por defecto vienen 8 MB. Podemos especificar una cantidad mayor dependiendo de nuestras necesidades.

Si tenemos un servidor con al menos 128 MB de RAM, establecemos 16 MB como valor para este parámetro:

cache_mem 16 MB

Configurar: parámetro cache_dir

Establecemos que tamaño deseamos que tenga el caché en el disco duro para Squid. De modo predefinido Squid utilizará un caché de 100 MB, de modo que encontramos la siguiente línea:

cache_dir ufs /var/spool/squid 100 16 256

Podemos incrementar el tamaño del caché según nuestra necesidad.

Mientras más caché tengamos, más objetos se almacenarán en éste y por lo tanto se utilizará menos ancho de banda. Por ejemplo establecemos un caché de 10000 MB:

cache_dir ufs /var/spool/squid 10000 16 256

Los números 16 y 256 significan que el directorio del caché contendrá 16 directorios subordinados con 256 niveles cada uno. No es necesario modificar estos números.

Configurar: parámetro cache_mgr

De modo predefinido, si algo ocurre con el caché, como por ejemplo que muera el proceso, se enviará un mensaje de aviso a la cuenta webmaster del servidor. Puede especificarse una distinta si acaso de considere conveniente.

cache_mgr webmaster@redlinux.com

Controles de Acceso

Es necesario establecer Listas de Control de Acceso que definan una red o bien ciertos equipos en particular. A cada lista se le asignará una Regla de Control de Acceso que permitirá o denegará el acceso a Squid.

* Listas de Control de Acceso

La sintaxis para una lista de control de acceso por lo general es la siguiente:

acl [nombre de la lista] src [lo que compone la lista]

Si deseamos establecer una lista de control de acceso que abarque a toda la red, tenemos que definir la dirección IP correspondiente a la red y la máscara de sub-red.

Por ejemplo:

Mi red: 192.168.1.0 (nuestra red local) Máscara de sub-red: 255.255.255.0

La lista sería:

acl mired src 192.168.1.0/255.255.255.0

También podemos especificar una Lista de Control de Acceso especificando un fichero que contenga una lista de direcciones IP. Por ejemplo un grupo de IPs de los jefes.

Primero creamos el fichero dentro de la ruta de Squid:

# cd /etc/squid
# touch jefes

Editamos el fichero e ingresamos las direcciones IP:

# vim jefes

192.168.1.6

192.168.1.7

192.168.1.8

192.168.1.9

192.168.1.10

Aquí estamos definiendo la Lista de Control de Acceso denominada jefes estaría compuesta para las IP incluidas en el fichero /etc/squid/jefes. La lista sería:

acl jefes src “/etc/squid/jefes”

Reglas de Control de Acceso

Estas definen si se permite o no el acceso hacia Squid. Se aplican a las Listas de Control de Acceso. Deben colocarse en la sección de reglas de control de acceso, es decir, a partir de donde se localiza la siguiente leyenda:

La sintaxis básica es la siguiente:

http_access [deny o allow] [lista de control de acceso]

Ahora un ejemplo con la Lista de Control de Acceso jefes definida anteriormente:

http_access allow jefes

También podemos definir reglas haciendo uso de la expresión ! que significa no. Por ejemplo: Dos listas de control de acceso una denominada jefes (acceso a Squid), y mired (sin acceso). Aquí establecemos que solo la lista jefes tendrá acceso a squid excepto todo lo que comprenda a mired.
http_access allow jefes !mired

Esto tipo de reglas se aplican cuando tenemos un grupo de IP dentro de un rango de red

al que se debe permitir acceso, y otro grupo dentro de la misma red al que se debe denegar el acceso.

Aplicando Listas y Reglas de Control de Acceso

Ahora vamos a ver algunos casos donde podemos aplicar listas y reglas de control de acceso.

Ejemplo:

Si tenemos una red 192.168.1.0/255.255.255.0, si se desea definir toda la red local, utilizaremos la siguiente línea en la sección de Listas de Control de Acceso:

acl mired src 192.168.1.0/255.255.255.0

Ahora la sección de listas de control de acceso deberá quedar más o menos del siguiente modo:

# Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.0
acl mired src 192.168.1.0/255.255.255.0

Ahora procedemos a aplicar la regla de control de acceso:

http_access allow mired

Ahora la sección de reglas de control de acceso deberá quedar más o menos del siguiente modo:

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTES
#

La regla http_access allow mired permite el acceso a squid a la Lista de Control de Acceso denominada mired, la cual está conformada por 192.168.1.0/255.255.255.0. Lo que significa que cualquier maquina desde 192.168.1.1 hasta 192.168.1.254 podrá acceder a Squid.

Iniciado Squid

Una vez que terminamos de configurar Squid, ejecutamos por primera vez la siguiente instrucción:

# service squid start

Si necesitamos reiniciar el servicio para ejecutar algún cambio de configuración, hacemos:

# service squid restart

Para que Squid se inicie de manera automática cada vez que iniciemos el sistema, hacemos:

# chkconfig squid on

Restricción de Páginas Web Indebidas

Denegar el acceso a ciertos sitios de red permite hacer un uso más racional del ancho de banda. El proceso es simple, y consiste en denegar el acceso a nombres de dominio o direcciones Web que contengan patrones en común.

Definiendo patrones comunes

Debemos de generar una lista que contenga las direcciones Web y palabras utilizadas en nombres de ciertos dominios.

Ejemplos:

http://www.sitioporno.com/
http://www.otrositioporno.com/
sitioindeseable.com
otrositioindeseable.com
napster
sex
porn
mp3
xxx
adult
warez
celebri

Se recomienda denegar la dirección web del sitio, así como también el dominio, tal como se indico en el ejemplo anterior

Estos dominios y palabras las ingresaremos dentro de una lista en la ruta:

/etc/squid/sitiosdenegados

Previamente deberíamos haber creado el fichero sitiosdenegados dentro de /etc/squid

Parámetros en /etc/squid/squid.conf

Una vez generado el fichero sitiosdenegados, también debemos definir una Lista de Control de Acceso que defina a dicho fichero y la denominaremos “sitiosdenegados”.

La línea correspondiente debería quedar así:

acl sitiosdenegados url_regex “/etc/squid/sitiosdenegados”

Debemos tener lo siguiente:

Ahora generamos la Regla de Control de Acceso correspondiente a la lista “sitiosdenegados”, de la siguiente manera:

http_access allow mired !sitiosdenegados

Luego en squid.conf tendremos:

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTES
#
http_access allow localhost
http_access allow mired !sitiosdenegados
http_access deny all

Para que se efectúen los cambios de configuración ejecutamos:

# service squid restart

Restricción de Archivos por su Extensión

Squid permite denegar el acceso a ciertos tipos de extensiones, lo que nos permite hacer

un uso más racional del ancho de banda. El funcionamiento es simple, y consiste en denegar el acceso a ciertos tipos de extensiones que coincidan con lo establecido en una Lista de Control de Acceso.

Definiendo elementos de la Lista de Control de Acceso

Primero debemos generar una lista que contenga las extensiones que vamos a denegar, esta lista la generamos dentro de /etc/squid.

Ejemplo:

\.avi$
\.mp4$
\.mp3$
\.mpg$
\.mpeg$
\.exe$

Esta lista debe ser guardada con todas las extensiones de fichero que consideremos pertinentes, la guardamos como /etc/squid/listaextensiones.

Parámetros en /etc/squid/squid.conf

Debemos definir una Lista de Control de Acceso que a su vez defina al fichero /etc/squid/listaextensiones. Esta lista será denominada “listaextensiones”. Lo que debe quedar de la siguiente manera:

acl listaextensiones urlpath_regex “/etc/squid/listaextensiones”

Habiendo hecho esto, en la sección de Lista de Control de Acceso debemos tener:

Ahora generamos una Regla de Control de Acceso para la lista “listaextensiones”, de la siguiente manera:

http_access allow mired !sitiosdenegados !listaextensiones

Para que se efectúen los cambios de configuración reiniciamos Squid:

# service squid restart

###espero les sirva RDS......####

Herramientas para Monitorear el tráfico de Red

2009-09-25T11:30:00.044-05:00

Como a todos nosotros que nos gusta administrar la red, debemos estar siempre atentos con aquellos usuarios que hacen abuso del ancho de banda. Existen herramientas que nos ayudan a monitorear el tráfico de red entre ellas tcptrack, iptraf, iftop, y por ahi ifstat para ver como va nuestro consumo de ancho de banda...

Antes de instalar las herramientas anteriormente descritas debemos primero instalar los repositorios DAG en nuestro CentOS.

Instalar repositorios DAG

Esto es importantísimo en algunas ocasiones que queramos instalar un paquete con yum en CentOS (por ejemplo rar y unrar para comprimir y descomprimir paquetes con extensión .rar), si lo intentamos nos saldrá un mensaje"nothing to do", que se muestra cada vez que CentOS no encuentra el paquete para instalarlo. Esto debido a que los repositorios que vienen por defecto, no tienen el paquete. Entonces instalamos el paquete rpmforge, que nos permitirá instalar un sin fin de paquetes (que no vienen por defecto en CentOS) de los repositorios.

Para 32 bits:

Click en este enlace : rpmforge_32bits- Abre una consola y teclea:

# cd /root/Desktop (Directorio por defecto que utiliza Mozilla para descargar los paquetes. Si lo cambiaste entrar en el directorio de descarga.)

# rpm -Uvh rpmforge-release-0.3.6-1.el5.rf.i386.rpm

Para 64 bits:

Click en este enlace : rpmforge_64bits- Abre una consola y teclea:# cd /root/Desktop (Directorio por defecto que utiliza Mozilla para descargar los paquetes. Si lo cambiaste entrar en el directorio de descarga.)

# rpm -Uvh rpmforge-release-0.3.6-1.el5.rf.x86_64.rpm

Luego de esto ya podemos instalar lo demas.....

Instalando herramientas de monitoreo

TCPtrack: Es un sniffer que muestra información acerca de las conexiones TCP, se ve en una interfaz de red. Se observa de manera pasiva las conexiones en la interfaz de red. Muestra también las direcciones de origen y destino así como también los puertos, el estado de las conexiones, el tiemo de inactividad y el consumo del ancho de banda. Es una herramienta muy interesante.

Podemos instalarla como rpm, tar.gz o simplemente con yum, de la siguiente manera

# yum -y install tcptrack

Una vez instalada solo ejecutamos

# tcptrack -i eth1 (interfaz que querramos monitorear)

IPtraf: Es un progama informático basado en consola que proporciona estadísticas de red. Funciona recolectando información de las conexiones TCP, como las estadísticas y la actividad de las interfaces, así como las caídas de tráfico TCP y UDP. Se encuentra disponible en sistemas operativos GNU/Linux.

Instalamos iptraf con el siguiente comando.

# yum -y install iptraf

# ahora para usarlo simplemente tenemos que ejecutar en la consola el sigte comando en consola

# iptraf .................................... (elegimos la primera opción IP traffic monitor)

# luego se muestran todas nuestras interfaces seleccionamos la que queremos monitorear en mi caso eth1 (mi redlan) y enter

## y así podemos ver lo que esta ocurriendo en nuestra red...

IFTOP: muestra el uso de ancho de banda en una interfase; iftop escucha el tráfico de red en una interfase indicada por su nombre, o en la primera interfase que encuentre que le parezca una interfase externa si no ha especificado la interfase, y muestra una tabla con el uso actual del ancho de banda por parte de máquinas involucradas, iftop debe ejecutarse con suficientes privilegios para monitorear todo el tráfico de red en la interfase dada, en la mayoría de los sistemas ello significa ejecutarse con los privilegios de root.

# instalamos iftop:

# yum -y install iftop

# ahora empezamos a monitorear la red

# iftop -i eth1 ......................... (eth=interfaz que deseas monitorear. En mi caso eth1 mi red LAN)

IFSTAT: ifstat es una herramienta para informar sobre el ancho de banda en las interfaces de red.

# instalamos ifstat

# yum -y install ifstat

# y ejecutamos en la consola:

# ifstat ..................................................(nos devolverá)

## bye spero les sirva .... RDS ##

Instar paquetes con RPM y YUM

2009-07-17T22:27:00.006-05:00

I. INSTALAR PAQUETES CON EL COMANDO RPM

RPM Package Manager (o RPM, originalmente llamado Red Hat Package Manager) es una herramienta de administración de paquetes pensada básicamente para Linux. Es capaz de instalar, actualizar, desinstalar, verificar y solicitar programas. RPM es el formato de paquete de partida de Linux Estándar Base. Es decir, para instalar o actualizar software de sistema.

Originalmente desarrollado por Red_Hat para Red_Hat_Linux, en la actualidad muchas distribuciones GNU/Linux lo usan, como: Fedora Linux, Mandriva Linux, SuSE Linux y Conectiva Linux. También se ha aportado a otros sistemas operativos.

1. Instalar un paquete RPM:

# rpm –ivh nombredelpaquete.rpm

2. Desinstalar un paquete RPM:

# rpm –e nombredelpaquete.rpm

3. Actualizar un paquete RPM:

# rpm –Uvh nombredelpaquete.rpm

Nota: Cuando este comando es utilizado, RPM no desinstala la versión anterior del paquete e instala la nueva versión.

4. Consulta de un paquete RPM:

#rpm –q nombredelpaquete

Ejemplo:

[root@ricardo]# rpm –q squid
squid-2.6.STABLE6-3.el5

Nota: El comando rpm –q mostrará el nombre del paquete, la versión y el número de la realización del paquete instalado. Usted puede usar este comando para verificar si el paquete está instalado o no en el sistema.

5. Información del Paquete RPM:

# rpm –qi nombredelpaquete

Nota: Este comando muestra la información del paquete, incluyendo el nombre, versión, y descripción del programa instalado.

6. Lista de archivos del paquete rpm:

# rpm –ql nombredelpaquete

Nota: Este comando mostrará toda la lista de todos los archivos instalados por el paquete RPM. Por lo tanto esto funcionará solamente cuando el paquete se encuentre instalado en su sistema.

II. INSTALAR PAQUETES CON EL COMANDO YUM

Yum es un paquete administrador de software (software package manager). Es una herramienta muy útil para instalar, actualizar y remiver paquetes junto con sus dependencias en distribuciones Linux basadas en RPM (RedHat, Fedora, CentOS, etc). Automáticamente determina las dependencias necesarias y lo que debe realizarse para instalar paquetes.

· yum install paquete

Instala la última versión del paquete indicado. Pide confirmación.

Ejemplo:

# yum install mysql

· yum –y install paquete

Instala la última versión del paquete indicado. Instala sin pedir confirmación.

Ejemplo:

# yum –y install squid

· yum – y install paquete 1 paquete2

Instala la última versión de los paquetes indicados, no hay límite de cuantos paquetes se pueden indicar. Instala sin pedir confirmación.

Ejemplo:

# yum –y install mysql mysql- server php-mysql

· yum –y update

Actualiza todos los paquetes en el sistema.

# yum –y update

· yum – y update paquete

Actualiza solo el paquete indicado.

Ejemplo:

# yum –y update httpd

· yum – y update paquete1 paquete2

Actuliza los paquetes indicados.

Ejemplo:

# yum – y update opera firefox

· yum info paquete

Descripción completa del paquete indicado.

Ejemplo:

# yum info samba

· yum remove paquete

Remueve el paquete indicado.

Ejemplo:

# yum remove telnet

· yum remove paquete1 paquete2

Ejemplo:

# yum remove telnet vncserver

· yum search paquete

Busca el paquete en la base de datos de paquetes instalados o para instalar. “Paquete” puede ser una palabra parcial del paquete a buscar.

Comandos

2009-06-18T22:13:00.008-05:00

Al ya tener una breve historia de lo que es GNU/Linux, empezaré dejando material sobre los comandos de Linux para ir familiarizandonos con esta "belleza" y más adelante empezaremos con la configuración de servicios.

Espero sus comentarios, sugerencias, aportes, críticas constructivas, y sobre todo disposición a aprender juntos......

La distro que utilizaré para ejemplos será CentOS Linux...

Aquí dejo la lista de comandos más indispensables para Linux:

· Comando: ls

list: listar. Es el primer comando que todo linuxero debe aprender. Nos muestra el contenido de la carpeta que le indiquemos después. Por ejemplo. Si queremos que nos muestre lo que contiene /etc:

# ls /etc

Si no ponemos nada interpretará que lo que queremos ver es el contenido de la carpeta donde estamos actualmente:

# ls

Además acepta ciertos argumentos que pueden ser interesantes. Para mostrar todos los archivos y carpetas, incluyendo los ocultos:

# ls -a

Para mostrar los archivos y carpetas junto con lo que ocupa, etc:

# ls -l

Además se pueden observar los argumentos. Además de mostrar también los ocultos:

# ls -la

· Comando cd

change directory: cambiar directorio. Podemos usarlo con rutas absolutas o relativas. En las absolutas le indicamos toda la ruta desde la raíz (/). Por ejemplo, estemos donde estemos, si escribimos en consola…

# cd /etc/squid

…nos llevará a esa carpeta directamente. Del mismo modo si escribimos…

# cd /

…nos mandará a la raíz del sistema de ficheros.

Las rutas relativas son relativas a algo, y ese algo es la carpeta donde estemos actualmente. Imaginad que estamos en /home y queremos ir a una carpeta que se llama temporal dentro de nuestra carpeta personal. Con escribir…

# cd richard/temporal

…nos situará allí. Como vemos, hemos obviado el /home inicial ya que si no lo introducimos toma como referencia el directorio donde estamos, que es ese.

¿Y qué sucede si escribimos tan sólo…

# cd

Sí, sólo “cd”. Esto lo que hace es que te lleva a tu carpeta personal directamente y estemos donde estemos. Es algo realmente muy práctico, muy simple y que no todos conocen.

· Comando mkdir

make directory: hacer directorio. Crea una carpeta con el nombre que le indiquemos. Nuevamente podemos usar rutas absolutas y relativas.

Por ejm: creamos la carpeta prueba dentro de mi carpeta personal:

# mkdir /home/richard/prueba

Si ya estamos en nuestra carpeta personal. Por ejem: /home/richard

# mkdir prueba

· Comando rm

remove: borrar. Borra el archivo o la carpeta que le indiquemos. Como antes se puede indicar la ruta completa o el nombre del archivo. Para borrar un archivo.

Por ejem: borramos la carpeta anteriormente creada:

# rm /home/richard/prueba

Si ya estamos en nuestra carpeta personal: /home/richard

# rm prueba (todo esto con una carpeta vacía)

Para borrar una carpeta que contiene archivos y/o otras carpetas que pueden incluso contener más:

# rm -r nombre_carpeta

Otras opciones: “-f” no te pide una confirmación para eliminar o “-v” va mostrando lo que va borrando.

· Comando cp

copy: copiar. Copia el archivo indicado donde le digamos. Aquí podemos también jugar con las rutas, tanto para el fichero origen, como en el del destino. También podéis poner el nombre que le queréis poner a la copia. Por ejemplo, si estuviéramos en /etc/squid y quisiéramos hacer una copia de seguridad de squid .conf en nuestra carpeta personal:

# cp squid.conf /home/carpetapersonal/squid.conf.backup

· Comando mv

move: mover. Es igual que el anterior, sólo que en lugar de hacer una copia, mueve directamente el archivo con el nombre que le indiquemos, puede ser otro distinto al original:

# mv /etc/prueba.html /home/carpetapersonal/prueba.html

Otro uso muy práctico que se le puede dar es para renombrar un archivo. Basta con indicar el nuevo nombre en el segundo argumento con la misma ruta del primero. En este ejemplo suponemos que ya estamos en la carpeta que lo contiene:

# mv prueba.html prueba1.html

· Comando find

find: encontrar. Busca el archivo o carpeta que le indiques:

# find / -name prueba

El comando anterior buscaría en todos los sitios las carpetas y archivos que se llamen prueba. Si tuviéramos la seguridad de que se encuentra en /var por ejemplo, se lo indicaríamos:

# find /var -name prueba

Si no estamos muy seguros del nombre podemos indicárselo con comodines. Supongamos que el nombre de lo que buscamos contiene “prue”, en la misma carpeta de antes:

# find /var -name *prue*

Tiene otras opciones. Por ejemplo podemos decirle que encuentre los archivos/carpetas de más de 1500 KB:

# find / -size +1500

O los archivos/carpetas contienen el nombre “prue” y tienen menos de 1000 KB:

# find / -name *prue* -size -1000

· Comando clear

clear: despejar. Limpia la pantalla/consola quedándola como si acabáramos de abrirla.

# clear

· Comando ps

process status: estado de los procesos. Nos muestra lo que queramos saber de los procesos que están corriendo en nuestro sistema. Cada proceso está identificado con un número llamado PID. Si hacemos…

# ps -A

…nos mostrará un listado de todos los procesos, su PID a la izquierda y su nombre a la derecha. Si queremos más información:

# ps aux

· Comando kill

kill: matar. Elimina el proceso que le indiquemos con su PID:

# kill

En ocasiones el proceso no “muere” del todo, pero se le puede forzar al sistema para que lo mate con seguridad del siguiente modo:

# kill -9 (numero de proceso)

· Comando useradd

useradd: permite añadir nuevos usuarios al sistema, además de establecer la información por defecto de los nuevos usuarios que se añadan. Se encuentra enlazado simbólicamente por el nombre adduser. Ambos se pueden usar indistintamente:

Por ejm: crear los usuarios: ricardo y Javier

# useradd ricardo …crea el usuario ricardo con las propiedades por defecto.
# useradd javier …crea el usuario javier con las propiedades por defecto.

· Comando userdel

userdel: estecomando permite eliminar definitivamente un usuario del sistema.

# userdel Ricardo …eliminar el usuario Ricardo y borra su directorio base.

· Comando passwd

passwd: este comando permite cambiar el password de un usuario. Si se invoca sin argumentos se asume el usuario actual.

# passwd ricardo …coloca una contraseña para el usuario ricardo.

Historia GNU/Linux

2009-06-18T11:57:00.012-05:00

1. GNU/Linux

Es un sistema operativo tipo Unix que se distribuye bajo la Licencia Pública General de GNU (GNU/GPL), es decir que es software libre. Su nombre proviene del Núcleo de Linux, desarrollado desde 1991 por Linus Torvalds. Es usado ampliamente en servidores y super-computadores y cuenta con el respaldo de corporaciones como Dell, Hewlett Packard, IBM, Novell, Oracle, Red Hat, Sun Microsystems.

Las variantes de estos sistemas se denominan “distribuciones” y su objetivo es ofrecer una edición que cumpla con las necesidades de determinado grupo de usuarios. Algunas son gratuitas y otras de pago, algunas insertan software no libre y otras contienen solo software libre. Existen numerosos grupos de usuarios de Linux en casi todos los países del mundo.

2. Razones para usar GNU/Linux

• Libre de los Virus

Linux difícilmente tendrá algún virus. De hecho, un virus en Linux no es imposible pero Linux hace que esto sea bien difícil que pase, por varias razones:
La mayoría de personas usa Microsoft Windows y los delincuentes informáticos quieren hacer tanto daño (o controlar) como sea posible; es por esto que ellos apuntan sus ataques a Windows.

• Es más seguro

Ya que la gran mayoría de los ataques de hackers son dirigidos a servidores Windows al igual que los virus los cuales se enfocan principalmente a servidores con éste sistema operativo.
La plataforma Linux es más robusta lo cual hace más difícil que algún intruso pueda violar el sistema de seguridad de Linux.

• Estabilidad

Las últimas versiones de Windows, especialmente las “Profesionales” se están volviendo más estables que antes. Pero esta clase de problema todavía aparece muy a menudo. Definitivamente ningún sistema operativo es perfecto y la gente que te dice que el suyo jamás se va a colgar, nunca, están mintiendo. Sin embargo, algunos sistemas operativos pueden ser tan estables que la mayoría de usuarios nunca verán su sistema operativo colgarse, incluso por varios años. Esto es cierto para Linux.

• Protección

Virus, troyanos, adwares, programas espías Windows deja que todos estos entren a tu computadora muy fácilmente. Entonces puedes:
1) instalar un firewall
2) instalar un antivirus,
3) instalar un anti-adware,
4) deshacerte del Internet Explorer y Outlook (con Firefox y Thunderbird para reemplazarlos), y
5) rezar para que los delincuentes informáticos no sean lo suficientemente listos para superar estas protecciones y que, si una falla de seguridad es descubierta, Microsoft tome menos de un mes para hacer que una actualización esté disponible (y esto no pasa muy a menudo). O puedes instalar Linux y dormir profundamente de ahora en adelante.

• Costo y Licencias

Si tu computadora vino con una copia de Windows, entonces pagaste por ella, incluso si la tienda no te dijo nada al respecto. El precio de una licencia de Windows llega a ser en promedio un cuarto del precio de cada computadora nueva. Entonces a menos que hayas obtenido Windows ilegalmente, tú probablemente pagaste por él. Si es pirata también tuviste que pagar menos, pero pagaste, en tiempo, Internet, etc. Por otro lado, tú puedes tener Linux completamente gratis. De hecho, algunas compañías están haciendo un buen negocio vendiendo soporte, documentación, servicio en línea, etc., para su propia versión de Linux y esto es algo realmente bueno. Afortunadamente la mayor parte del tiempo tú no vas a tener que pagar un centavo.

• Libertad

Linux y los software de “Fuente Abierta” son “libres”. Esto significa que su licencia es una “licencia libre” y la más común es la GPL (Licencia Pública General). Esta licencia establece que cualquiera está permitido de copiar el software, ver el código fuente, modificarlo y redistribuirlo siempre y cuando mantenga la licencia GPL.

• Instalación

Instalar Windows es sólo el inicio. Un amigo te manda un e-mail con un archivo PDF adjunto y no tienes un programa para leerlo. Adjunto al e-mail de tu amigo encuentras un documento de texto file.doc. Windows tampoco puede leer eso. Alguien más también te mandó una imagen pero tiene un mal contraste, mala luminosidad y necesita una buena reducción. Windows está lejos de ser completo e instalarlo es sólo el comienzo de los problemas. Cuando obtienes una distribución Linux también tienes, sin instalar nada más: Todo lo que necesitas para escribir textos, editar hojas de cálculo, hacer presentaciones ordenadas, dibujar, editar ecuaciones, un navegador Web y un cliente de correo, un editor de imágenes, un programa de mensajería instantánea, un reproductor y organizador de música, un lector de PDF, todo lo que necesitas para descomprimir archivos, etc.

• Actualización

Windows tiene una herramienta muy conveniente llamada “Windows Update”, el cual te permite tener al día tu sistema con las últimas actualizaciones disponibles. Pero ¿qué tal todo tu software no-Microsoft? ¿Aplicaciones Adobe? ¿Compresor ZIP? ¿Grabador de CD? ¿Navegadores Web, clientes de correo, etc. no-Microsoft? Linux tiene una aplicación especial llamada “Gestor de Paquetes”, la cual se encarga de todo lo que esté instalado en tu sistema, pero también de cada pieza de software que tu computadora tiene. Entonces si quieres mantener todo actualizado, lo único que necesitas hacer es presionar el botón de “Instalar Actualizaciones”.

• Legalidad

Para la mayoría de personas tener software ilegal es muy común. Si usas Linux e instalas software libre, no vas a tener que preocuparte por esto ¡nunca más! La mayoría del software libre es gratis. Puedes encontrar reemplazos libres para la mayoría del software comercial que hay por ahí. Podrán carecer de algunas de las funcionalidades avanzadas pero serán más que suficientes para la mayoría de personas.

• Es más rápido

Al tener una plataforma más estable, ésto favorece el desempeño de aplicaciones de todo tipo tales como: bases de datos, aplicaciones XML, multimedia, etc.
La eficiencia de su código fuente hace que la velocidad de las aplicaciones Linux sean superiores a las que corren sobre Windows lo cual se traduce en velocidad de su página.