Linux Foundation Certified Engineer (LFCE) - Guía de estudio Table of Contents Introducción 0 Indice 1 Network administration. Configurar servicios de red para su inicio automático. 2 Network administration. Implementar filtrado de paquetes. 3 Network filesystems & file services. Introducción. 4 Network filesystems & file services. Configurar sistemas para montar bajo demanda sistemas de ficheros estándar, encriptados y de red. 5 Network filesystems & file services. Crear, montar y desmontar Sistemas de ficheros estándar de Linux. 6 Network filesystems & file services. Proveer / configurar discos compartidos de red mediante NFS. 7 Network filesystems & file services. Transferir ficheros de forma segura por la red. 8 Network filesystems & file services. Actualizar paquetes desde la red, un repositorio o el sistema de archivos local. 9 HTTP Services. Instalar y configurar un servidor web Apache 10 HTTP Services. Configurar un cliente para usar automáticamente un servidor proxy. HTTP Services. Restringir acceso a una página web con Apache. 12 11 Network security. Configurar acceso remoto usando pares de claves público/privada basado en SSH. 13 Network security. Configurar el firewall con iptables / firewalld. 14 Email services. Instalar y configurar un servidor SMTP. 15 2 Linux Foundation Certified Engineer (LFCE) - Guía de estudio Linux Foundation Certified Engineer (LFCE) - Guía de estudio. Guía de estudio para la certificación Linux Foundation Certified Engineer (LFCE). Algunos supuestos. Implicaciones de la versión de Centos En el momento de escribir esta documentación solo es posible examinarse para la versión 7 de Centos. Dicha versión de Centos tiene muchos cambios importantes que afectan a lo que tenemos que saber en el examen. Hay que tener cuidado además ya que muchos documentos que podemos encontrarnos por Internet a propósito del examen hacen referencia a versiones 6 de Centos y algunas cosas cambian. Algunos de los cambios son: Sistemd sustituye a init. Esto implica cambios muy importantes, basicamente nos afectará a la gestión de los servicios (comando systemctl ) aunque casi todos podremos seguir gestionandolos con service ya que existen alias para que sigan funcionando. Firewalld sustituye a iptables. Realmente cambia el servicio y los comandos ya que iptables sigue estando "debajo". En el momento de escribir este documento algunas competencias para el examen menciaban expresamente iptables . En un correo de consulta a LF contestaron que se pueden usar cualquiera de los dos firewall: iptables o firewalld. Optamos en esta documentacion, ya que estamos aprendiendo, por firewalld pero eres libre de usar iptables en el examen, solo tienes que desintalar uno e instalar otro. Es algo muy sencillo y hay mucha documentación en Internet al respecto. Selinux Dado que en ninguna parte en las competencias de la certificación se menciona SELinux damos por hecho que no se usa y por tanto no es necesario controlarlo. Imaginamos que en los sistemas que usemos para el examen estará desactivado. Algunos consejos Introducción 3 Desintoxicate de googl. siempre. 3. Debes controlar el mínimo el uso de VIM. No es necesario que seas un crack pero muevete rápido por ficheros. Si te molestan en la ubicación general o ni tienes claro que puedan ser interpretada las copias create un directorio p.- Uso del editor VI / VIM. No es necesario estudiar algo que eres consciente vas a localizar rapidamente en la ayuda. Durante el examen solo podrás usar la ayuda del sistema así que habituate a manejarte adecudadmente por ella y navega por la ayuda de las utilidades / comandos más importantes para familiarizarte como te dan la ayudas contienen o no ejemplos. siempre copia el ficherro antes de modificarlo. $HOME/Copias y los vas copiando en este.e.- Uso de la ayuda del sistema man y ficheros adicionales de ayuda.- Copia previamente cualquier fichero que tengas que modificar. Introducción 4 . Siempre. 2.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Algunos consejos a seguir que son útiles siempre en general pero mucho más en el examen. 1. outages and user requests Route IP traffic statically and dynamically Troubleshoot network issues Network filesystems and file services 80%Configure systems to mount standard. a repository or the local file system Network security Configure Apache log files 90% Configure the firewall with iptables / firewalld Install and configure SSL with Apache 90% Configuring SSH-based remote access using public/private key pairs Remote access R Configure the firewall with iptables / firewalld! Indice 5 . mount and unmount standard Linux file systems 70%Provide/configure network shares via NFS 90%Transfer files securely via the network 70%Update packages from the network. encrypted and network file systems on demand 80%Create. The core domains and related competencies covered by the LFCE Exam are: Network administration 80% Configure network services to start automatically at boot Implement packet filtering Monitor network performance Produce and deliver reports on system use.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Linux Foundation Certified Engineer (LFCE). Linux Foundation Certified Engineer (LFCE) - Guía de estudio HTTP services 99% Configure an http client to automatically use a proxy server 40% Install and configure an Apache web server Install and configure the Squid proxy server 2% Restrict access to a web page with Apache Restrict access to the Squid proxy server Setting up name-based virtual web hosts Email services Configure email aliases Install and configure an IMAP and IMAPS service Install and configure an smtp service Restrict access to an smtp server warqwr Indice 6 . Linux Foundation Certified Engineer (LFCE) - Guía de estudio Configurar servicios de red para su inicio automático. nfs.…).target. En Redhat 7 / Centos 7 se ha sustituido SysVinit por Systemd por tanto cambia la forma de gestionar el inicio de los servicios.service' Network administration. Los paquetes y servicios necesarios para cada aplicación se verán en cada apartado de instalación y configuración correspondiente (apache. Configurar servicios de red para su inicio automático. []# service NetworkManager stop Redirecting to /bin/systemctl stop NetworkManager. Para la gestión de servicios se usará el comando systemctl Configuración de inicio automático para servicios.wants/httpd. []# systemctl enable httpd ln -s '/usr/lib/systemd/system/httpd. Si usamos los antiguos comandos “service” veremos que la mayoría funcionaran ya que el sistema se encarga de enlazarlos a comandos Systemd y nos avisa al respecto pero no tenemos garantía de que todos funcionen y cuanto antes nos acostumbremos a Systemd mejor.service' '/etc/systemd/system/multi-user.service No vamos a hacer aquí un tutorial de Systemd ya que no es el caso y ya existen estupendos tutoriales al respecto (ver referencias al final de este artículo). 7 . Nos centraremos exclusivamente en ver como se gestionan los servicios y como se configuran para su inicio automático.wants/httpd. Activar o desactivar el inicio automático es muy sencillo y además el comando nos proporcionan información adicional de los enlaces simbólicos que crea / elimina. Introducción Comentaremos en esta sección como configurar el inicio automático genérico de servicios en Redhat / Centos 7.serv []# systemctl disable httpd rm '/etc/systemd/system/multi-user.target. Mediante is-active” también averiguamos si un servicio está activo. Network administration. reload . Podemos verificar si un servicio está activado para el inicio o no con is-enabled []# systemctl is-enabled httpd disabled []# systemctl enable httpd ln -s '/usr/lib/systemd/system/httpd.target. []# systemctl start httpd []# systemctl stop httpd []# systemctl restart httpd []# systemctl reload httpd []# systemctl is-active httpd Y por supuesto la verificación de estado que nos da información importante.Linux Foundation Certified Engineer (LFCE) - Guía de estudio NOTA: Cuando trabajamos con servicios sería más correcto añadir “.wants/httpd.serv []# systemctl is-enabled httpd enabled Otras operaciones básicas con servicios.service” tras el nombre de este en la forma systemctl enable httpd. start .service . Configurar servicios de red para su inicio automático.service' '/etc/systemd/system/multi-user. El resto de operaciones básicas con servicios usarán las palabras clave habituales stop . 8 . restart . por eso funciona correctamente. El comando systemctl interpreta que si no especificamos nada (unidad) por defecto será un servicio. Hint: Some lines were ellipsized." CGroup: /system.service. Referencias..service' []# systemctl start httpd Failed to issue method call: Unit httpd.service' Verificamos como siempre si el puerto está abierto con ss -tnlp | grep puerto ¿Y si el servicio que instalamos es de xinetd? Systemctl start servicio. 2s ago Process: 11929 ExecStop=/bin/kill -WINCH ${MAINPID} (code=exited.socket ???? Ver lo de SOCKET.ge ago 30 10:02:04 centos7 systemd[1]: Started The Apache HTTP Server. Se hace mediante mask / unmask []# systemctl mask httpd ln -s '/dev/null' '/etc/systemd/system/httpd. automática o semiautomática sin reactivarlo de nuevo. También podemos desactivar servicios de forma que no se puedan iniciar de forma manual.slice/httpd. RHEL7: How to get started with Systemd.. ago 30 10:02:03 centos7 httpd[11935]: AH00558: httpd: Could not reliably de.Linux Foundation Certified Engineer (LFCE) - Guía de estudio []# systemctl status httpd httpd. []# systemctl unmask httpd rm '/etc/systemd/system/httpd.. Overview of systemd for RHEL 7 Network administration.. enabled) Active: active (running) since dom 2015-08-30 10:02:04 CEST.service ├─11935 /usr/sbin/httpd -DFOREGROUND ├─11936 /usr/sbin/httpd -DFOREGROUND ├─11937 /usr/sbin/httpd -DFOREGROUND ├─11938 /usr/sbin/httpd -DFOREGROUND ├─11939 /usr/sbin/httpd -DFOREGROUND └─11940 /usr/sbin/httpd -DFOREGROUND ago 30 10:02:02 centos7 systemd[1]: Starting The Apache HTTP Server. En LinuxAcademy el video prueba con un servidor de telnet.service - The Apache HTTP Server Loaded: loaded (/usr/lib/systemd/system/httpd... use -l to show in full. 9 .service is masked. status=0/SUCCESS) Main PID: 11935 (httpd) Status: "Processing requests. Es una funcionalidad disponible para asegurarse de que no es posible iniciar un servicio de forma manual. Configurar servicios de red para su inicio automático. org/Linux_Firewall_iptables/ Network administration.ip) Activar en el firewall reglas para permitir tráfico entre interfaces (y NAT?) http://www. Implementar filtrado de paquetes. la posibilidad de enviar paquetes entre interfaces de red lo que suele suponer: Acivar ip_forward (net. Basicamente el filtrado de paquete consiste en gestionar mediante reglas el envio / recepción de paqetes. zones and custom rules. 10 .ipv4. to implement packet filtering and configure network address translation (NAT) (this objective replaces the Use iptables to implement packet filtering and configure network address translation objective).Linux Foundation Certified Engineer (LFCE) - Guía de estudio Network administration.linuxtopia. Implementar filtrado de paquetes. En la certificación de Redhat RHCE expecifica: Use firewalld and associated mechanisms such as rich rules. Competencias. mount and unmount standard Linux file systems Provide/configure network shares via NFS Transfer files securely via the network Update packages from the network. Esta es una de las secciones que mas dudas introduce en cuanto a las competencias exactas que es necesario conocer además de mezclar un tanto los temas. Particiones: Para poder trabajar sobre sistemas de ficheros debemos tener claro el uso de particiones tanto sobre dispositivos de disco directamente como sobre discos LVM. On demand (bajo demanda) Este es uno de los asuntos más espinosos. Aunque realmente debía ser un tema superado hacemos un breve resumen en esta documentación. encrypted and network file systems on demand Create. Pienso que bajo demanda se refiere a usar automount así que se veremos ambos casos además de repasar el montaje de dispositos al inicio del sistema (/etc/fstab). Network filesystems & file services. Introducción. Configure systems to mount standard. Esta sección del examen de certificación LFCE se compone de las siguientes secciones / competencias. Parece lo que tiene más sentido y es lo que interpretan en general para este tema otros sitios sobre esta certificación.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Network filesystems & file services. 11 . Relativo a trasferir ficheros de forma segura En este caso parece que hay que decantarse por la utilidades scp y sftp. También veremos por encima rsync y como hacer X forwarding . Introducción. En cuanto a Sistemas de ficheros Sistemas de ficheros estándar: Asumimos como estándard los sistemas de ficheros extX ( ext4 basicamente) y xfs que se usa ya de hecho por defecto en Centos 7. Interpretamos que se refiere a bajo demanda del usuario (montar particiones de forma manual) o bajo demanda de la aplicación (montarlas de forma automática cuando se necesiten / requieran -> Automount). a repository or the local file system Aclaraciones. encriptados y de red. Este es uno de esos temas que no sabes como enfocar exactamente. Como estamos con repositorios descartamos utilidades como rpm que además son más de LFCA y nos centramos en yum pero sin entrar mucho.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Actualización de paquetes Este punto es también un tanto confuso. El orden de lectura de estos capítulos afecta sobre todo a dos de ellos. Network filesystems & file services. Orden de lectura. Configurar sistemas para montar bajo demanda sistemas de ficheros estándar. 12 . 2. Veremos la configuración de repositorios de yum y como modificar el origen de nuestros repositorios. el resto da igual realmente: 1. Crear. Introducción. Network filesystems & file services. montar y desmontar Sistemas de ficheros estándar de Linux. Por otro lado veremos como configurar un repositorio "local" en un servidor y como usarlo desde el propio sistema o/y configurar Apache para que pueda ser accedido mediante http. Configuración de sistemas de ficheros encriptados. Configuración de sistemas de ficheros encriptados. montar y desmontar Sistemas de ficheros estándar de Linux. Montar sistemas de ficheros encriptados. Montaje de sistemas de ficheros bajo demanda con automount.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Network filesystems & file services. encriptados y de red. Montar sistemas de ficheros de red para su inicio automático. encriptados y de red. Para encriptar sistemas de ficheros usaremos Cryptsetup que es basicamente un frontend para usar el módulo de encriptación del Kernel. Introducción. Mediante estas utilidades encriptaremos las particiones de disco usando el estandar LUKS. Configurar sistemas para montar bajo demanda sistemas de ficheros estándar." ya habiamos repasado como se montan sistemas de ficheros "estándar" tanto manualmente mediante comandos como de forma automática en el inicio (no confundir con "bajo demanda"??) En este tema veremos. Será necesario encriptar la partición antes de crear el sistema de archivos por lo que si queremos encriptar una partición con información existente será necesario hacer una copia primero. 13 . Crear. Si no tenemos dichas utilidades instaladas lo hacemos: yum install cryptsetup Network filesystems & file services. Montar sistemas de ficheros de red. Configurar sistemas para montar bajo demanda sistemas de ficheros estándar. En el capítulo "Network filesystems & file services. eliminando las llamadas directas a dmsetup. dm-crypt. Parámetros predefinidos de fábrica de clave y de frase contraseña: Tamaño máximo del fichero de claves: 8192k8. Longitud máxima de frase contraseña interactiva: 512 Tiempo PBKDF2 de iteración de LUKS predefinido: 1000 (ms) Parámetros predefinidos de fábrica del algoritmo de cifrado de dispositivos: bucle-AES: aes. Clave: 256 bits.. Configurar sistemas para montar bajo demanda sistemas de ficheros estándar. Para ver las opciones que usa por defecto. Generador de número Abrimos el disco para acceso a este. Are you sure? (Type uppercase yes): YES Introduzca la frase contraseña: Verifique la frase contraseña: ATENCIÓN la respuesta YES debe ser así en mayúsculas (Type uppercase yes). Podriamos cambiar distintas opciones de encriptación relativas a los algoritmos usados (ver la ayuda del comando). Nos tenemos que asegurar primero de que no esté ni montada ni disponible en /etc/fstab inicialmente. Mediante la acción "luksOpen" accedemos al disco (y le damos un nombre). 14 . Este será accesible en /dev/mapper/NOMBRE []# cryptsetup luksOpen /dev/sdb1 disco_encriptado Introduzca la frase contraseña de /dev/sdb1: []# ll /dev/mapper/disco_encriptado /dev/mapper/disco_encriptado -> . []# cryptsetup --help . «hashing» de la cabecera LUKS: sha1. Encriptamos el sistema de archivos em formato LUKS en su forma más sencilla: []# cryptsetup -y luksFormat /dev/sdb1 WARNING! Esto sobreescribirá los datos en /dev/sdb1 de forma irrevocable./dm-2 Realmente el comando adecuado debería ser: []# cryptsetup open --type luks /dev/sdb1 disco_encriptado Introduzca la frase contraseña de /dev/sdb1: Network filesystems & file services. Clave: 256 bits. Clave 256 bits sin cifrado: aes-cbc-essiv:sha256.. encriptados y de red.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Siguiendo con el ejemplo del caṕitulo previo vamos a encriptar una partición estandar xfs. Contraseña «hashing»: ripemd160 LUKS1: aes-xts-plain64. xfs /dev/mapper/disco_encriptado mount /dev/mapper/disco_encriptado /mnt/midisco Cerrar el disco Para cerrar el disco se usa la acción 'luksClose' aplicado al nombre del disco pero tenemos que desmontar la partición previamente []# umount /dev/mapper/disco_encriptado []# cryptsetup luksClose disco_encriptado Montar sistemas de ficheros encriptados al inicio del sistema. Tampoco conviene en general.e. disco_encriptado /dev/sdb1 none noauto 2. En cualquier caso es más sencillo recordad para todo "luks+Accion" Creamos el sistema de archivos. Es mejor usar automount como veremos posteriormente para que el disco se monte y nos pida la clave cuando lo usemos. Nos aseguramos de poner la opción "noauto" para que no nos pida la password durante el inicio ya que ante cualquier problema no iniciará el sistema. encriptados y de red.- Configuramos el mapeo de nombre fijo para nuestro dispositivo. p.Linux Foundation Certified Engineer (LFCE) - Guía de estudio La opción "luksOpen" se mantiene por compatibilidad. 1. /dev/mapper/disco_encriptado /mnt/midisco xfs noauto. Network filesystems & file services. Montar sistemas de ficheros de red. 15 . mkfs. Lo hacemos añadiendo una línea a /etc/crypttab .defaults 1 2 En este caso podemos optar por no poner "noauto" para que en el inicio nos pida la clave de acceso y monte el volumen.-Configuramos la línea de inicio en /etc/fstab como cualquier otro disco. Configurar sistemas para montar bajo demanda sistemas de ficheros estándar. Los Sistemas de ficheros encriptados usan como el resto /etc/fstab para su configuración de inicio pero con una configuración adicional. Una vez abierto y accesible el disco podemos crear el sistema de archivos necesario y montarlo. 31.4 Export list for 172.0/24(rw. Debemos tener obviamente el servidor NFS correctamente configurado como se ve en el capitulo correspondiente de esta sección. La sintaxis es: mount -t nfs -o options host:/remote/export /local/directory Montamos nuestra unidad en un directorio local.0/24 []# exportfs -v /var/mi_share 192. encriptados y de red.no_roo Luego desde el cliente podemos verificar ya que vemos los recursos compartidos del servidor.no_subtree_check.no_root_squash. Siempre verificamos primero en el propio servidor que estamos exportando correctamente el/los recursos con showmount o exportfs.122.4: /var/mi_share * Usaremos como siempre mount para montar el sistema de ficheros nfs desde el equipo cliente. 16 .Linux Foundation Certified Engineer (LFCE) - Guía de estudio En otros capitulos hemos visto como configurar NFS para servio directorior por red.168. Realmente no se diferencia especialmente de montar cualquier sistema de ficheros pero si que tendremos que dedicarle algo más de tiempo a las utilidades de verificación y exploración para evitar problemas.18.sec=sys. []# showmount -e localhost Export list for localhost: /var/mi_share 192. [~]# showmount -e 172.122.168. Network filesystems & file services. sin opciones (usará opciones por defecto) y verificamos con df y con mount además vemos que opciones ha usado para montarlo. Configurar sistemas para montar bajo demanda sistemas de ficheros estándar.secure.rw.18.wdelay.31. Ahora echaremos un ojo rápido a como montarlos. Esta opción hace que el servidor muestre por la consola un mensaje cuando expira el tiempo de operación y continúa indefinidamente.9G 16G 25% /mnt/dir1 []# mount | grep mi_share 172. Esta opción causa un error de E/S a ser informado al proceso que intenta poner en funcionamiento un fichero cuando expira el tiempo de operación.31. Montar sistemas de ficheros de red para su inicio automático.ficheros Tamaño Usados Disp Uso% Montado en /dev/xvda1 20G 4. encriptados y de red.18. nfsvers=version Especifica que versión del protocolo NFS usará (2.18.4:/var/mi_share /mnt/dir1 []# df -h S.relatime. Configurar sistemas para montar bajo demanda sistemas de ficheros estándar. hard Explícitamente marca este volumen como montado físicamente. timeo=n Establece el tiempo (en décimas de segundo) que el cliente de NFS esperará por la respuesta a una petición. 17 . Si no se especifica usa la versión más alta que soporte el kernel y el comando mount . Network filesystems & file services.4:/var/mi_share 20G 4.Linux Foundation Certified Engineer (LFCE) - Guía de estudio []# mount -t nfs 172.vers=4.0K 100M 1% /run/user/1001 tmpfs 100M 0 100M 0% /run/user/0 172. Es el valor predeterminado.3 o 4). El valor predefinido vemos que es 600 (6 segundos).4:/var/mi_share on /mnt/dir1 type nfs4 (rw. udp / tcp Especifica que protocolo ser usará para montar el sistema de ficheros (si el servidor lo soporta).rsize=131072.0.9G 16G 25% / devtmpfs 473M 0 473M 0% /dev tmpfs 496M 0 496M 0% /dev/shm tmpfs 496M 13M 484M 3% /run tmpfs 496M 0 496M 0% /sys/fs/cgroup tmpfs 100M 4. intr Permite una señal para interrumpir una llamada a NFS. Lo que pase después depende de si usa la opción hard o soft.31. Es útil parar abortar cuando el el servidor no responde.18.31. soft Monta lógicamente (como opuesto al montaje físico) el controlador.naml Algunas opciones de montado de sistemas de ficheros NFS más habituales.wsize=131072. Es útil por si el Host soporta varias versiones y nos interesa usar una concreta. encriptados y de red. XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXxxxx XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXxxxx XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXxxxx Referencias. Configurar sistemas para montar bajo demanda sistemas de ficheros estándar. Además de montar sistemas de ficheros de forma automática al inicio (mediante configuración en fstab) podemos hacer que se monten solo cuando se necesiten.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Para que se monten los Sistemas de ficheros NFS en el inicio del sistema se configuraran en /etc/fstab igual que cualquier otro sistema de ficheros.linux-geex. How to Setup Encrypted Filesystems and Swap Space Using ‘Cryptsetup’ Tool in Linux https://www. o sea se montarán cuando se acceda al punto de montaje definido. Además se evita montarlos en inicio que a veces pueden ocasionar problemas de inicio y/o lentitud en caso de sistemas de ficheros de red. 18 .net/disk-encryption-on-centos-linux/ *Redhat 7 doc - nfs client Network filesystems & file services. XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXxxxx XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXxxxx XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXxxxx Montar y desmontar sistemas de ficheros bajo demanda.com/centos-7-how-to-setup-your-encrypted-filesystem-in-less- than-15-minutes/ Redhat 7 doc - AutoFS Cryptsetup Cryptsetup FAQ https://geekpeek. Es una característica muy interesante ya que al no estar montados no consumirán recursos. La alternativa gparted El consejo es que uses mejor fdisk. Para crear las particiones de disco tenemos varias opciones clásicas. En este tema no haremos mucho hincapié ya que entiendo que es algo superado en LFCS. El clásico fdisk El llamado a suceder al anterior por su capacidad de gestionar particiones GPT. Si por un casual en el examen hablan de discos GPT o de particiones mayores de 2 Tb (no creo) puedes usar gdisk que si se usa para particionar un disco nuevo es prácticamente igual en su uso que fdisk. montar y desmontar Sistemas de ficheros estándar de Linux. Imagino que la finalidad es repasar para controlar luego bien el tema de los Sistemas de ficheros encriptados.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Network filesystems & file services. Crear particiones de disco. Crear sistemas de ficheros estándar (ext3. 19 . Introducción. Crear. Crear. Montar sistemas de ficheros de forma automática mediante fstab. montar y desmontar Sistemas de ficheros estándar de Linux. Uso básico de fdisk Listamos discos con fdisk -l Network filesystems & file services. Si usas gdisk probablemente tengas que instalarla primero. ext4 y xfs) Montar y desmontar mediante comandos sistemas de ficheros. gdisk. Los temas a controlar serian: Crear particiones estándar de disco (no LVM en principio) ya que serán necesarias para crear los Sistemas de ficheros. 2). 1073741824 bytes.23. p -> partición primaria (en el menu de tipo de particionar). w -> escribir cambios a disco (muy importante). 2097152 sectors Units = sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disk /dev/sdc: 2147 MB. 2147483648 bytes. Dentro de fidsk podemos usar m para que nos ofrezca la ayuda de los comandos posibles. Changes will remain in memory only. Mostramos un particionado clásico con fdisk usando las opciones habituales: p -> imprimir particiones en pantalla. 41943040 sectors Units = sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disk label type: dos Identificador del disco: 0x000e9b33 Disposit.5 GB. n -> nueva particion. 1073741824 bytes. 21474836480 bytes. Inicio Comienzo Fin Bloques Id Sistema /dev/sda1 * 2048 1026047 512000 83 Linux /dev/sda2 1026048 41943039 20458496 8e Linux LVM Disk /dev/sdb: 1073 MB. []# fdisk /dev/sdb Welcome to fdisk (util-linux 2. montar y desmontar Sistemas de ficheros estándar de Linux. Be careful before using the write command. 20 . Crear. 4194304 sectors Units = sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Accedemos al disco para editar las particiones con fdisk dispositivo . until you decide to write them. 2097152 sectors Units = sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disk label type: dos Identificador del disco: 0x42956db5 Disposit. Orden (m para obtener ayuda): p <-------- VER PARTICIONES (p) Disk /dev/sdb: 1073 MB. Device does not contain a recognized partition table Building a new DOS disklabel with disk identifier 0x42956db5. Inicio Comienzo Fin Bloques Id Sistema Network filesystems & file services.Linux Foundation Certified Engineer (LFCE) - Guía de estudio []# fdisk -l Disk /dev/sda: 21. t -> tipo de partición. 2097152 sectors Units = sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disk label type: dos Identificador del disco: 0x42956db5 Disposit. Inicio Comienzo Fin Bloques Id Sistema /dev/sdb1 2048 2097151 1047552 83 Linux Orden (m para obtener ayuda): w <-------- ESCRIBIR PARTICIONES (p) ¡Se ha modificado la tabla de particiones! Llamando a ioctl() para volver a leer la tabla de particiones. montar y desmontar Sistemas de ficheros estándar de Linux. además ambas opciones son ya por defecto. Por defecto las nuevas particiones empezarán en el sector 2048 lo que nos permite un correcto alineamiento con cualquier tipo de disco en cualquier tipo de almacenamiento. valor predeterminado 2048): Se está utilizando el valor predeterminado 2048 Last sector. NOTA: En versiones previas de fdisk era habitual usar los parámetros -c (desactivar compatibilidad DOS) y -u (mostrar tamaño de disco en sectores). Crear. default 1): 1 <-------- PARTICION 1 Primer sector (2048-2097151. GPT nos permite entre otras cosas: Network filesystems & file services. 0 extended. valor predeterminado 2097151): Se está utilizando el valor predeterminado 2097151 Partition 1 of type Linux and of size 1023 MiB is set Orden (m para obtener ayuda): t <-------- TIPO DE PARTICION Selected partition 1 Hex code (type L to list all codes): 83 <-------- TIPO 83 = Linux Changed type of partition 'Linux' to 'Linux' Orden (m para obtener ayuda): p <-------- VER PARTICIONES (p) Disk /dev/sdb: 1073 MB. sobre todo.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Orden (m para obtener ayuda): n <-------- NUEVA PARTICION (n) Partition type: p primary (0 primary. 21 . +sectors or +size{K. 1073741824 bytes. 4 free) e extended Select (default p): p <-------- PARTICION PRIMARIA (p) Número de partición (1-4.G} (2048-2097151. Estos dos flags han cambiado la forma de uso en recientes versiones de fdisk y. Se están sincronizando los discos.M. Uso básico de gdisk La utilidad gdisk se creo para permitir gestionar además particiones de tipo GPT (cosa que fdisk no hace). Command (? for help): Si cambian completamente por ejemplo los codigos del tipo de partición (L). []# gdisk /dev/sdb GPT fdisk (gdisk) version 0. Basicamente cambia algo la presentación en cuanto al análisis y la información mostrada del disco pero las opciones de partición son iguales que con fdisk. Crear sistemas de ficheros estándar. Nos centraremos en Sistemas de ficheros ext3. Ojo: No usar fdisk en un disco ya particionado con gdisk. Network filesystems & file services. montar y desmontar Sistemas de ficheros estándar de Linux.6 Partition table scan: MBR: not present BSD: not present APM: not present GPT: not present Creating new GPT entries. Crear.8. En cualquier caso es sencillo localizar el adecuado y nos ofrece por defecto el código 8300 que equivale a "Linux filesystem". ext4 y xfs que se introduce en RHEL7 / Centos7 como estándar. Para evitar problemas seguir usando gdisk. 22 .Linux Foundation Certified Engineer (LFCE) - Guía de estudio Particiones de más de 2Tb. Actualmente todas las utilidades para crear sistemas de ficheros se suelen encontrar en /sbin y empiezan por mkfs (make filesystem). 128 particiones por disco Excepto el comienzo al ejecutar la utilidad el resto es muy similar a fdisk por lo que no vamos a profundizar mucho. 98304.42.00%) reserved for the super user Primer bloque de datos=0 Número máximo de bloques del sistema de ficheros=268435456 8 bloque de grupos 32768 bloques por grupo.cramfs 96240 /sbin/mkfs. Es obvio cual tendrás que usar en función del tipo de filesystem a usar.btrfs 32768 /sbin/mkfs.xfs 19488 /sbin/mkhomedir_helper 11360 /sbin/mklost+found 66984 /sbin/mkswap A partir de ahí es sencillo. mke2fs. Stripe width=0 blocks 65536 inodes.ext3 96240 /sbin/mkfs.ext4 32856 /sbin/mkfs. 229376 Allocating group tables: hecho Escribiendo las tablas de nodos-i: hecho Creating journal (4096 blocks): hecho Escribiendo superbloques y la información contable del sistema de ficheros: hecho NOTA: ¿mkfs.ext4 /dev/sdb1 mke2fs 1. La sintaxis basica es: mkfs. 163840.9 (28-Dec-2013) Discarding device blocks: hecho Etiqueta del sistema de ficheros= OS type: Linux Tamaño del bloque=4096 (bitácora=2) Tamaño del fragmento=4096 (bitácora=2) Stride=0 blocks. 32768 fragmentos por grupo 8192 nodos-i por grupo Respaldo del superbloque guardado en los bloques: 32768. mkfs.Linux Foundation Certified Engineer (LFCE) - Guía de estudio []# ll /sbin/mk* | awk '{print $5. 23 . Crear. montar y desmontar Sistemas de ficheros estándar de Linux.extX ? ¿Por que tantos comandos similares? Network filesystems & file services. $9}' 15 /sbin/mkdict 16890 /sbin/mkdumprd 96240 /sbin/mke2fs 11504 /sbin/mkfs 287400 /sbin/mkfs.typo /dev/particion Por ejemplo: []# mkfs. Sin o está el que necesitas probablemente tendrás que instalar el paquete adecuado para que instale el binario.minix 351440 /sbin/mkfs. 261883 blocks 13094 blocks (5.ext2 96240 /sbin/mkfs. xfs -f /dev/sdb1 meta-data=/dev/sdb1 isize=256 agcount=4. agsize=65471 blks = sectsz=512 attr=2. projid32bit=1 = crc=0 finobt=0 data = bsize=4096 blocks=261883.XXX". El parámetro -f (force) existente en todas las utilidades de particionado es para forzar la eliminación del sistema de ficheros actual de la partición. Otro ejemplo creando un sistemas de ficheros xfs . rtextents=0 Montar y desmontar sistemas de ficheros estándar mediante comandos. agsize=131008 blks = sectsz=512 attr=2. imaxpct=25 = sunit=0 swidth=0 blks naming =version 2 bsize=4096 ascii-ci=0 ftype=0 log =internal log bsize=4096 blocks=853. projid32bit=1 = crc=0 finobt=0 data = bsize=4096 blocks=524032. Sobreescribe el actual. imaxpct=25 = sunit=0 swidth=0 blks naming =version 2 bsize=4096 ascii-ci=0 ftype=0 log =internal log bsize=4096 blocks=2560. version=2 = sectsz=512 sunit=0 blks. lazy-count=1 realtime =none extsz=4096 blocks=0. montar y desmontar Sistemas de ficheros estándar de Linux. Se puede usar especifcando el tipo de FS con -t FileSystem y parece que existe sobre todo por temas de compatibilidad. lazy-count=1 realtime =none extsz=4096 blocks=0.xxx. 24 . version=2 = sectsz=512 sunit=0 blks. Network filesystems & file services.extX son "intermediarios" para mke2fs que es el comando usado para los sistemas de ficheros ext. []# mkfs. rtextents=0 No hay mucho más sobre la creación de sistemas de ficheros salvo repasar parámetros habituales de estas utilidades que son un móntón de ellos realmente pero que no es habitual su uso y sobre todo no deben ser objeto de este tema: -f fuerza la creación del Sistema de ficheros. []# mkfs.Linux Foundation Certified Engineer (LFCE) - Guía de estudio mkfs es solo un "intermediario" para el resto de binarios "mkfs. Creo que lo más práctico es usar siempre los comandos mkfs.xfs /dev/sdb1 meta-data=/dev/sdb1 isize=256 agcount=4. mkfs. Crear. -L etiqueta Asigna una etiqueta al FS Ejemplo de creación de Sistema de ficheros xfs . seclabel.attr2. mkdir /mnt/midisco mount /dev/sdb1 /mnt/midisco Vemos que no especificamos el tipo de sistema de fichero y lo monta igualmente porque lo detecta automáticamente.suid.0G 2% /mnt/midisco Network filesystems & file services. Algunas de estas opciones no tienen mucho sentido para el montaje manual de sistemas de ficheros. En cuanto a las opciones más habituales -o suelen ser: async Permite operaciones E/S asíncronas en el sistema de ficheros.0G 33M 2.noquota) []# df -h | grep /dev/sdb1 /dev/sdb1 2.auto. ro / rw Monta el sistema de ficehros en modo lectura (read only) o modo lectura y escritura (read write) remount Remonta el sistema de fichero si ya está montado.inode64. loop Monta una imagen como un dispositivo loop (hace un fichero p.e. Se usa mucho para pasar de ro a rw .nouser. montar y desmontar Sistemas de ficheros estándar de Linux. La sintaxis general básica será la siguiente: mount -t Tipo_sistema_ficheros -o Opciones <ORIGEN(Particion)> <DESTINO(directorio_ubicación)> El Sistema de ficheros a montar especificado con -t no es olbigatorio ya que si no se específica será capar de determinarlo automáticamente y montarlo. Por defecto usará los parámetros de defaults si no especificamos otros. defaults Un alias para las opciones: async. Vemos el sistemas de ficheros montad: []# mount | grep /dev/sdb1 /dev/sdb1 on /mnt/midisco type xfs (rw.exec.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Para montar desmontar sistemas de ficehros usarmos mount / umount . exec / noexec Permite o no la ejecución de ficheros binarios en el sistema de ficheros.relatime.dev. Ejemplo montar sistema de ficheros XFS creado previamente. Crear.rw. iso accesible como un disco) user / nouser Permite o no a un usuario "ordinario" montar / desmontar el Sistema de ficheros. auto / noauto Permite o no que el sistema de ficheros se monte automaticamente con mount -a . 25 . 5G 0 part ├─centos-swap 253:0 0 1G 0 lvm [SWAP] └─centos-root 253:1 0 18.seclabel.nosuid. resumimos: [root@centos7 ~]# mount sysfs on /sys type sysfs (rw.size=49320k. []# lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT fd0 2:0 1 4K 0 disk sda 8:0 0 20G 0 disk ├─sda1 8:1 0 500M 0 part /boot └─sda2 8:2 0 19. particiones y puntos de montaje.attr2.mode=700) Algunos ejemplos útiles de montaje de dispositivos.seclabel.nosuid.noexec.noexec.noexec.mode=620.nodev.relatime.nodev. Para desmontar un sistema de ficheros usamos umount .mode=755) securityfs on /sys/kernel/security type securityfs (rw.size=236380k.nr_inodes=59095.noexec.loop Centos7.relatime.inode64.nodev.relatime.mode=755) /dev/mapper/centos-root on / type xfs (rw.gid=5.nosuid. Pendrive USB -> mount -t vfat /dev/sdc1 /media/flashdisk Imagen (fichero) ISO -> mount -o ro.noexec. 26 . /dev/sda1 on /boot type xfs (rw.relatime.nosuid.relatime) devtmpfs on /dev type devtmpfs (rw.nosuid.relatime) tmpfs on /dev/shm type tmpfs (rw.ptmxmode=000) tmpfs on /run type tmpfs (rw. En Centos7 / REHL7 nos saldrán un montón de ellos que nos pueden confundir.seclabel) devpts on /dev/pts type devpts (rw.seclabel) proc on /proc type proc (rw.5G 0 lvm / sdb 8:16 0 2G 0 disk └─sdb1 8:17 0 2G 0 part /mnt/midisco sr0 11:0 1 1024M 0 rom Para ver todos los sistemas de ficheros actualmente montados usamos mount a secas.relatime. montar y desmontar Sistemas de ficheros estándar de Linux.nosuid.noquota) tmpfs on /run/user/0 type tmpfs (rw.nosuid.nosuid.seclabel..seclabel.noquota) .seclabel.nodev.attr2. Podemos desmontar un sistema de ficheros tanto aludiendo al dispositivo como al punto de montaje.iso /media/cdrom En últimas ditribuciones de linux lo normal ya será que incluso no sea necesario especificar los parámetros y detecte automaticamente lo que tiene que hacer. Crear..nodev.seclabel.nodev.seclabel.nosuid.inode64. Siguiendo con el ejemplo previo ambas opciones valdrían: umount /dev/sdb1 umount /mnt/midisco Network filesystems & file services.nodev.mode=755) tmpfs on /sys/fs/cgroup type tmpfs (ro.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Mediante lsblk podemos ver con una presentación muy cómoda los discos. Por eso debemos extremar la precaución al añadir entradas. p. Crear. pass - Usado por fsck al inicio para saber el orden de revisión de esta partición en busca de errores al inicio (0 = no se revisa.suid). montar y desmontar Sistemas de ficheros estándar de Linux.exec. /boot lo encontramos habitualmene montado por UUID.dev. No se suele usar dumpo actualmente. lo segundo si no es eso será echar un ojo a ver que ficheros hay en uso en el punto de montaje para intentar tener más datos de quien / que lo está usando con fuser -m directory .rw. én montadas. Lás básicas las hemos visto previamente. Las opciones de montaje (defaults = async. Lo mejor es probar cada nueva entrada que añadamos con mount -a que leerá el fichero /etc/fstab y montará todas las particiones que aún no estén montadas Si funciona funcionará correctamente al iniciar. Ejemplo de fstab ordenadito: /dev/mapper/centos-root / xfs defaults 1 1 UUID=777c6682-.e. 1 = si).auto.nouser.44479 /boot xfs defaults 1 2 /dev/mapper/centos-swap swap swap defaults 0 0 El formato es sencillo. dump - Usado por la utilidad dump para saber si debe hacer backup de este sistema de fichersos (0 = no. LABEL.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Si nos diera un error por estar ocupado lo primero será salirnos del directorio :-D..: fuser -m /mnt/midisco Montar y desmontar sistemas de ficheros de forma automática (en el inicio del sistema). 27 . 1 = prioritario. 2 = menos prioritario) El formato del fichero /etc/fstab es algo muy delicado dado que un pequeño error de sintaxis en este no solo puede suponer que no se monte un sistema de ficheros concreto si no que por error de lectura en el fichero no se monte nada en el inicio.. El punto de montaje El sistema de archivos del dispositivo. Montariamos nuestro sistema de ficheros de ejemplo en la forma: Network filesystems & file services. o por identificador único UUID (podemos usar blkid para localizar el UUID de los discos). en orden: El dispositivo a montar. Bien por nombre de udev (mapper). Si queremos montar sistemas de ficheros en el inicio del sistema los añadiremos al fichero /etc/fstab . umount. si de LFCS)..seclabel. Añadimos el parámetro -v / verbose para tener más datos ya que si no solo nos dará información en caso de error.xxx. Vemos que el resto de discos tienen una ruta en /dev/mapper proporcionada por udev ya que son particiones LVM (que no parece asunto de este examen. []# blkid /dev/sdb1: UUID="1d1b6227-5024-414b-beea-e42b70071578" TYPE="xfs" PARTLABEL="Linux filesystem" PARTUU /dev/sda1: UUID="dbbcd8cb-30e1-4d7c-b425-43ffab4e018a" TYPE="xfs" /dev/sda2: UUID="TyzPPb-WNya-cRao-JdnB-hs6T-VWie-cdmMtj" TYPE="LVM2_member" /dev/mapper/centos-swap: UUID="e542d710-558b-410c-84ad-58c21f30c31a" TYPE="swap" /dev/mapper/centos-root: UUID="9b40fb10-17f1-484b-9e58-271081677c5d" TYPE="xfs" Añadiriamos una línea a /etc/fstab UUID=1d1b6227-5024-414b-beea-e42b70071578 /mnt/midisco xfs defaults 1 2 Verificamos que no está.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Buscariamos primero el UUID de nuestra partición con la utilidad blkid que nos muestra el de todos los "discos". Páginas de man para las utilidades básicas: fdisk.attr2. mkfs. mount. Ayuda durante el examen. Podriamos usar el "dev" pero no es aconsejable ya que este podría llegar a cambiar. []# vim /etc/fstab []# mount | grep "disco" []# mount -av / : ignored /boot : already mounted swap : ignored mount: /mnt/midisco : successfully mounted []# mount | grep "disco" /dev/sdb1 on /mnt/midisco type xfs (rw. Crear.noquota) Recursos Redhat 7 doc - Using de mount command. Páginas de man para los archivos de configuración: fstab Network filesystems & file services.. Lo montamos con mount -av y volvemos a verificar.inode64.relatime. gdisk. montar y desmontar Sistemas de ficheros estándar de Linux.. 28 . . Proveer / configurar discos compartidos de red mediante NFS. Entiendo que la configuración cliente forma parte más de otros temas de esta sección.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Network filesystems & file services. Centos 7 / RHEL 7 usa una combinación de procesos y soporte a nivel de kernel para proporcionar ficheros compartidos mediante NFS. Proveer / configurar discos compartidos de red mediante NFS. Los servicios usados por NFS son: nfs-server - Servidor de NFS. Todas las versiones NFS dependen de RPC (Remote Procedure Calls) entre cliente y servidor. Instalación En este capítulo veremos como instalar y configurar un servidor NFS. Introducción. 29 . nfs-lock - Inicia los procesos RPC apropiados para permitir a los clientes NFS bloquear ficheros en el servidor. si están activados para su inicio automático y si están o no iniciados. No se usa con NFSv4. rpcbind - Gestiona reserva de puertos para servicios RPC. []# systemctl is-enabled rpcbind nfs-server nfs-lock disabled static static []# systemctl is-active rpcbind nfs-server nfs-lock inactive inactive unknown Activamos e iniciamos rpcbind y el servidor pincipal nfs-server Network filesystems & file services. En Centos7 esta comunicación la gestiona el servicio rpcbind. yum install nfs-utils Echamos un ojo siempre primero al estado inicial de los servicios. Respetamos las opciones que ya tenga). Verificamos el estado de nuestros servicios Network filesystems & file services. Despues de darle muchas vueltas al tema de desactivar nfs v3 en ese fichero sin éxito examiné la configuración del fichero que ejecuta el servicio (lo mejor es hacer un systemctl disable nfs-server ya que nos dice a que fichero enlaza).2 Lo normal sería pensar que el fichero de configuración es el ubicado en "/etc/sysconfig/nfs". si está deshabilitado el servicio rpcbind . En este se ve que el fichero de configuración que lee es /run/sysconfig/nfs-utils. Si no vamos a usar nfs v3 no necesitariamos el demonio rpcbind pero en la configuración por defecto. Ello es debido a que por defecto está habilitado en la configuración del servidor NFS la versión nfs 3.2 Para deshabilitar nfs v3 lo hacemos en el fichero de configuración /run/sysconfig/nfs-utils cambiando los parametros que se le pasan al demonio (le añadimos a la línea RPCNFSDARGS que no inicie NFS versión 3 con "-N 3". 30 . obtendremos un error en el inicio del servicio nfs-server . []# cat /proc/fs/nfsd/versions -2 +3 +4 +4.1 -4. Podemos ver las versiones habilitadas. Proveer / configurar discos compartidos de red mediante NFS.Linux Foundation Certified Engineer (LFCE) - Guía de estudio systemctl enable nfs-server systemctl start nfs-server OJO: No activamos ni iniciamos rpcbind ni nfs-lock porque no es necesario ya que lo debe iniciar nfs-server (-> 'indirect') ATENCIÓN.1 -4. Quedaría en nuestro caso: RPCNFSDARGS=" 8 -N 3" Ahora si podriamos iniciar el servicio nfs-server sin tener iniciado rpcbind y verificar []# systemctl start nfs-server []# cat /proc/fs/nfsd/versions -2 -3 +4 +4. no_root_squash.122.no_all_squash) Donde: /var/mi_share – Dirrectorio a compartir 192.168.0/24 – Red... rw – Lectura y escritura (read/write) sync – Syncronizar el directorio compartido. nombre de equipo. Network filesystems & file services.sync.122. no_root_squash – Activar el privilegio de root no_all_squash - Activar la autoridad de usuario.122.Linux Foundation Certified Engineer (LFCE) - Guía de estudio []# systemctl is-enabled rpcbind nfs-server nfs-lock indirect enabled static []# systemctl is-active rpcbind nfs-server nfs-lock active active active Firewall ???? Debemos habilitar (y verificar) los servicios NFS en el firewall []# firewall-cmd --list-services dhcpv6-client ssh []# firewall-cmd --permanent --zone=public --add-service nfs []# firewall-cmd --permanent --zone public --add-service mountd []# firewall-cmd --permanent --zone public --add-service rpc-bind success []# firewall-cmd --reload success []# firewall-cmd --list-services dhcpv6-client mountd nfs rpc-bind ssh Creamos un directorio para compartir p. ip. 31 .162/24: /var/mi_share 192.. Proveer / configurar discos compartidos de red mediante NFS.e.0/24(rw. a la que compartir. mkdir /var/mi_share chmod 777 /var/mi_share/ Configuramos en /etc/exports el servidor NFS para que "exporte" dicho directorio a mi red 192.168.168. com/nfs-server-and-client-on-centos-7 http://www. NOTAS Ver más opciones de montaje.122.rw.html#s2-nfs- how-daemons http://www.0/24(rw.0/24 []# exportfs -v /var/mi_share 192.122.secure. Tambien podemos exportar un nuevo directorio con exporfs -r systemctl restart nfs-server Verificamos primero en el propio servidor que estamos exportando correctamente el/los recursos con showmount o exportfs []# showmount -e localhost Export list for localhost: /var/mi_share 192.com/documentation/en- US/Red_Hat_Enterprise_Linux/7/html/Storage_Administration_Guide/ch-nfs. 32 . Proveer / configurar discos compartidos de red mediante NFS.no_subtree_check.net/rhel7-provide-nfs-network-shares-specific-clients/ Network filesystems & file services.redhat.com/setting-nfs-server-client-centos-7/ https://access.no_root_squash. selinux ???? Funciona si monto en otra ruta ??? Referencias https://www.168.unixmen.168.wdelay.howtoforge.no_roo De igual forma debemos ver desde el cliente los shares.certdepot.sec=sys.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Reiniciamos el servidor (un reload sería suficiente en la mayoría de cambios de configuración). Introducción.local.doc Copiar desde un servidor remotor sería similar scp usuario1@srv-apache1. Actualmente las herramientas más usadas para transferir ficheros de forma segura por la red (excluyendo montaje de sistemas de ficheros remotos) son scp y sftp. Utilidad scp Scp se puede usar para tranferir ficheros entre servidores sobre una conexión segura y encriptada. Transferir ficheros de forma segura por la red.doc fichero. Adicionalmente podemos usar también para tareas concretas rsync especificándole que use ssh.local. La sintaxis es sencilla: scp origen destino Origen o destino será una rutal local o bien otro servidor que tendremos que especificarlo en el modo clásico de ruta a otro sistema.net:/home/usuario1/docs/fichero. Transferir ficheros de forma segura por la red. 33 .doc [email protected] Algunos parámetos adicionales para el comando scp Network filesystems & file services.net:/home/usuario1/docs/fichero. usuario@servidor:/ruta/fichero Algunos ejemplos: Copiar desde un filesytem local a un servidor remoto: scp fichero.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Network filesystems & file services. -I Limita el ancho de banda a usar en la transferencia. sftp> help Available commands: bye Quit sftp cd path Change remote directory to 'path' . Transferir ficheros de forma segura por la red. Si puedes conectarte con un sistema usando ssh puedes conectarte por sftp ya que este está basado en ssh (forma parte de hecho del mismo grupo / paquete de utilidades: openssh-clients). cd directorio. exit para cerrar la conexión… Nos conectmaos con el servidor sftp usuario@sistema_remoto El comando más útil que debemos conocer es help . Utilidad sftp La utilidad sftp se puede usar para abrir una sesión segura e interactiva con un servidor FTP. mkdir directorio. rmdir directorio y put y get para transferir ficheros. Network filesystems & file services. Copiar recursivamente. ls.. Útil si no queremos que la citada transferencia coma mucho ancho de banda. 34 .. que nos mostrará todos los comandos disponibles. Reduce el uso de red pero aumenta el uso de los recuros de los servidores para comprimir / descomprimir.Linux Foundation Certified Engineer (LFCE) - Guía de estudio -r El más útil. Para transferencia de directorios con todo su contenido. En Centos 7 está configurado por defecto en /etc/ssh/sshd_config mediante la línea: Subsystem sftp /usr/libexec/openssh/sftp-server La sintaxis para realizar una conexión contra un servidor remoto sería: sftp usuario@servidor Una vez conectados el juego de comandos a usar es el clásico de ftp: help.. -v Si queremos ver el debug de todo lo que va haciendo al realizar una transferencia -C Realiza compresión de los archivos previamente a la tranferencia. d /etc/yum.3KB/s 00:00 /etc/yum.d. sftp> get yum.conf.bcklocal Fetching /etc/yum.d/CentOS-Vault.conf.repos.0KB/s 00:00 Network filesystems & file services.conf to yum. sftp> pwd Remote working directory: /root sftp> rm test01 Removing /root/test01 sftp> rmdir test01 sftp> Para copiar ficheros remotos a local usaremos el comando “get”.repos.csv proyectos Biblioteca de calibre Imágenes Público Cambiar de directorio.cfg scripts sftp> lpwd Local working directory: /home/javier sftp> lls all.csv hosts. IMPORTANTE: para referirnos a nuestro equipo local basta con anteponer una “l” de local al comando como vemos: sftp> pwd Remote working directory: /root sftp> ls anaconda-ks.repos.6KB/s 00:00 /etc/yum.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Algunos ejemplo de los comandos más habituales para ver en que directorio estamos y listar ficheros.repo 100% 1664 1.conf yum.d.d/CentOS-Sources.repos.repos.repo 100% 1331 1.d yum. Transferir ficheros de forma segura por la red.repos. sftp> get -r yum.d/ to yum. borrar será con los comandos habituales sftp> mkdir test01 sftp> cd test01 sftp> cd .conf 100% 970 1.repos. crear.repo 100% 1002 1.0KB/s 00:00 Podemos copiar ficheros o directorios recursivamente.bcklocal Fetching /etc/yum.bcklocal Retrieving /etc/yum.bcklocal /etc/yum.d/CentOS-Base. 35 .repos.. Si no especificamos el destino local nos creará un directorio en el directorio actual. pdf web2py_manual_5th.7. Esto puede suponer reducir mucho tiempo y uso de la red en copias habituales recursivas entre sistemas.pdf Uploading web2py_manual_5th.9 Para salir de sftp podemos usar exit o bye Utilidad rsync Rsync no parece que sea una cuestión de examen.pdf to /root/web2py_manual_5th.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Para copia de local a remoto usaremos el comando put que trabaja exactamente igual que get . 36 . Basicamente el interés aquí es saber que puede usarse con ssh para transferir archivos de forma segura. Se instala como siempre: yum install rsync La sintaxis sería: rsync -parametros origen destino Ejemplo: rsync -avz -e ssh /directorio/fichero usuario@servidor:/directorio/fichero Los parámetos más habituales suelen ser: Network filesystems & file services.4MB/s 00:01 Podemos ejecutar un comando en una shell local sin salirnos de sftp con “!” sftp> python -V Invalid command. Transferir ficheros de forma segura por la red.pdf 100% 6582KB 6. sftp> lpwd Local working directory: /home/javier/Documentos sftp> lls ebooks web2py_manual_5th. se puede obviar. La especialidad de rsync es su habilidad de analizar los ficheros y copiar solo los que tienen cambios entre origen y destino. sftp> !python -V Python 2. Rsync tiene una sintaxis muy similar a scp pero con un amplio abanico de parámetros.pdf sftp> put web2py_manual_5th. man sftp - Buena ayuda de uso de parámetros y comandos interactivos. ssh -Y usuario@servidor Una vez autentificados ejecutamos la aplicación X en nuestro servidor X. Preserva permisos de ficheros y no sigue enlaces simbolicos (no copia destino de estos) -v Verbose -z Activar compresión (previo a la transferencia) En la ayuda del comando vienen muchos ejemplos pero estos son los que se usan habitualmente. Firefox & Ayuda local. X11 Forwarding. Para ello podemos abrir una sesión X11 sobre una conexión SSH. Podemos también necesitar ejecutar aplicaciones X en un servidor de forma segura. man scp - Ayuda de comando scp que es muy sencillo. Una vez dentro de sftp podemos invocar la ayuda con help y es bastante clarificadora. -a Modo archivo.Linux Foundation Certified Engineer (LFCE) - Guía de estudio -e ssh Obligatorio si queremos tranferir ficheros de forma segura. man rsync - Muy buena ayuda con muchos ejemplos útiles. Transferir ficheros de forma segura por la red. 37 . Para ello primero nos conectamos por SSH a la máquina desde la que queremos ejecutar la aplicación X. X11 Forwarding no parece que sea una cuestión de examen. se puede obviar. Las páginas de man de los comandos nos ofrecerán la ayuda necesaria. Network filesystems & file services. Linux Foundation Certified Engineer (LFCE) - Guía de estudio Network filesystems & file services. "Centos-Base. un repositorio o el sistema de archivos local.conf No suele ser normal que tengamos que tocar la configuración de este fichero salvo la configuración de los repositorios que se realiza en ficheros individuales en un directorio tal como nos indica al final de yum.repo 290 dic 9 09:59 CentOS-fasttrack.repo 2.repo # in /etc/yum. un repositorio o el sistema de archivos local.7K dic 9 09:59 CentOS-Base. Actualizar paquetes desde la red.repo 649 dic 9 09:59 CentOS-Debuginfo. Un vistazo a una instalación de Centos 7 nos mostrará una serie de fichero de configuración de repositorios [~]# ll -lh /etc/yum.3K dic 9 09:59 CentOS-CR.d Todo esto viene para que te acuerdes de que para obtener la ayuda de man para configurar estos ficheros deberás buscarla con man yum.repos.3K dic 9 09:59 CentOS-Sources.repo si no el sistemas los obvia (ya sabemos una forma de desactivarlos).repos.conf .e. Deben acabar en . p. Si echamos un ojo a uno.repo 630 dic 9 09:59 CentOS-Media. NOTAS SOLAMENTE Configuración de repositorios para yum La configuración de yum se realiza a través del fichero /etc/yum. Actualizar paquetes desde la red.0K dic 9 09:59 CentOS-Vault. 38 . Por ejemplo: Network filesystems & file services.repo 1.repo 1. Puede serte muy importante en el examen.d/ 1.repo Cada uno de ellos puede incluir uno o más repositorios.conf # PUT YOUR REPOS HERE OR IN separate files named file.repo" nos encontramos con varias secciones que definen repositorios. org/?release=$releasever&arch=$basearch&repo=os&infra=$infra gpgcheck=1 gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7 Una breve descripción de las opciones más importantes. Dirección "directa" del repositorio. (Solo curiosidad). un repositorio o el sistema de archivos local. [base] El identificador para esta sección de repositorio name El nombre del repositorio (tal como lo mostrará yum baseurl Excluyente con la siguiente. De dicho paquete centos-release (sería redhat- release para un RHEL) se obtienen las variables []# rpm -qa | grep centos-release centos-release-7-2.&%s saca el valor de las variables "$releasever".centos.1511..conf tiene una variable que apunta a un paquete "distroverpkg=centos-release". Al usar un archivo con varias nos aseguramos que si una falla puede acceder a otras.. fs local.. Por defecto es activado (otra forma de desactivar un repositorio).x86_64 O bien con yum info Network filesystems & file services. Actualizar paquetes desde la red. gpgcheck (0/1) Si va a chequear la clave gpg del repositorio (para verificar que es el "auténtico") gpgkey La clave de seguridad del repositorio que normalmente tendremos en local de la primera vez que se usa el repositorio.el7. mirrorlist Apunta a un archivo que contiene una lista de baseurls. Puede ser http.. .. $infra. Te preguntarás de donde o#. $basearch.centos.2.10.Linux Foundation Certified Engineer (LFCE) - Guía de estudio [base] name=CentOS-$releasever - Base mirrorlist=http://mirrorlist. enable (0/1) En este caso no aparece pero se usa mucho para activar o desactivar este repositorio. ftp. 39 . Pues el fichero yum. https. 1511.centos.1511 $basearch = x86_64 $infra = Este parece que no se usa de momento.heanet.ie * updates: ftp.heanet. 40 .ie Installed Packages Name : centos-release Arch : x86_64 Version : 7 Release : 2.567 Esto es lo mínimo a saber para moverte por la configuración de repositorios.el7. En este caso caso nuestro "mirrorlist" sería mirrorlist=http://mirrorlist.007 extras/7/x86_64 CentOS-7 - Extras 191 updates/7/x86_64 CentOS-7 - Updates 369 repolist: 9.ie id del repositorio nombre del repositorio estado base/7/x86_64 CentOS-7 - Base 9.ie * extras: ftp. Network filesystems & file services. Actualizar paquetes desde la red. un repositorio o el sistema de archivos local.centos.10 Size : 35 k Repo : installed From repo : base Summary : CentOS Linux release file License : GPLv2 Description : CentOS Linux release files $releasever = 7.heanet.Linux Foundation Certified Engineer (LFCE) - Guía de estudio []# yum info centos-release Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile * base: ftp.heanet.org/?release=7&arch=x86_64&repo=os&infra= Si listamos los repositorios con yum nos mostrará los configurados entre ellos el que acabamos de ver: []# yum repolist Complementos cargados:fastestmirror Loading mirror speeds from cached hostfile * base: ftp.2.ie * extras: ftp.2.heanet.heanet. Posteriormente modificaremos alguno para apuntar a una ruta de un Apache "nuestro".ie * updates: ftp. La estructura del directorio será conforme a Version / Release para poder crear más repositorios posteriormente con la misma sintaxis. mkdir -p /var/www/html/repos/centos/7/2/ Normalmente no será necesario hacer nada más ya que en la configuración por defecto de Apache en Centos 7 dejará navegar por dichas rutas -> http://host/repos/. La utilidad para crear / actualizar la BBDD del repositorio. Para poder servidor un repositorio desde un servidor necesitamos: Un servidor http con una configuración adecuada. En el examen no tendremos un navegador así que para probarlo usamos lynx que digo yo para algo lo hemos instalado. lynx http://localhost/repos Esto nos informará del directorio que estamos usando y nos dejará movernos por estos.. Inicialmente vamos a preparar un Apache que nos sirva un directorio "browseable" Instalación de Apache y preparación de la ruta. yum install httpd lynx systemctl enable httpd systemctl start httpd Creamos un directorio en la ruta por defecto que usa Apache para hacerlo más sencillo. 41 . Actualizar paquetes desde la red. Si da algún tipo de error algo está mal. Obtención de los paquetes. createrepo .Linux Foundation Certified Engineer (LFCE) - Guía de estudio Configuración de Apache para servir directorios navegables. Apache en este caso pero podría ser otro Directorios con los paquetes en el formato adecuado y una BBDD asociada. Esta titulo tan raro de esta sección es ciertamente aclarativo. Activamos e iniciamos Apache (el puerto en el FW lo habilita ya el instalador).. un repositorio o el sistema de archivos local. Network filesystems & file services. Instalamos Apache y un navegador local para hacer pruebas. Podemos irnos a la sección "Pruebas de repositorio local" para ir probándolo.digitesters.fr/ftp/linux/CentOS/7.2G /var/www/html/repos/centos/7/2/os/x86_64/ 4.iso /media/ cp -R /media/* /var/www/html/repos/centos/7. Usaremos esa dirección para soncronizar con nuestro repositorio. Un par de ellas que combinadas son las mejores probablemente.1511/"..1511/os/x86_64/ ¿Por que hemos creado directorios adicionales? Para no limitarlos. Esto es tan sencillo como bajar la ISO adecuada de los repositorios correspondientes.2.repo con una configuración nuestra que apunte Network filesystems & file services. cloud.. Podemos tener solo este repositorio pero si queremos crear el resto de repositorios adicionales que no incluye el DVD base como extras. Sería correcto pero nos limitaríamos. updates.repo.. 42 .. Si navegamos por los mirror de Centos vemos que el equivalente a la ISO base cuando bajas un DVD es ese mismo directorio ".1511/os/x86_64/ /var/www/html/repos/centos/7 La -n es para que solo informe de los ficheros que cambian Podemos verificarlo previamente y posteriormente du -sch /var/www/html/repos/centos/7/2/os/x86_64/ 4. Actualizar paquetes desde la red. Copiar los paquetes de una ISO y/o sincronizarlos con un repositorio..) o los moverlos a un directorio de Backup. Creamos un fichero p.1511/os/x86_64/ mount -t iso9660 CentOS-7-x86_64-DVD-1511.2G total Pruebas de repositorio local Para probar nuestro repositorio en red local lo mejor es desactivar el resto.e. mkdir -p /var/www/html/repos/centos/7.NO p.e. un repositorio o el sistema de archivos local.in2p3.2.2. CentOS-Base-local. Podríamos no haberlo hecho y servir el "base" directamente en ". montarla y copiar los ficheros.. Lo más rápido es renombrar los ficheros (..Linux Foundation Certified Engineer (LFCE) - Guía de estudio Para obtener los paquetes tenemos varias opciones. Copia de paquetes de la ISO de Centos en la versión correspondiente.com/create-a-local-centos-mirror-and-use-with-nfs/ Si buscamos en el internete Mirrors de Centos veremos que en el listado aparecen muchos que además de servir por http/https y/ ftp tambien nos facilitan una "dirección" rsync./os/x86_64". también podremos hacerlo. Sincronización desde un repositorio PENDIENTE VERIFICAR No funciona desde mv externa./7.2. http://www. rsync -avzn rsync://mirror. 43 .e. un repositorio o el sistema de archivos local. Lo probamos ahora de forma sencilla con yum repolist []# yum repolist Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile repo id repo name status base_local CentOS-7.Linux Foundation Certified Engineer (LFCE) - Guía de estudio a nuestro servidor de Apache. Podemos probar a instalar un paquete que no tengamos.723 Lo importante es que nos liste el nuestro repositorio y SOBRE TODO el número de paquetes.: yum install git Veremos que el nos resuelve dependencias y nos informa que el repositorio de instalación es el nuestro "base_local". Es algo solo informativo y para que funcione un lynx http://localhost Crear repositorios locales Para crear repositorios se usar createrepo yum install createrepo Ejemplo (no se hace esto???) createrepo /var/www/html/repos/centos/6/7/ Network filesystems & file services. p. Si no conecta a nuestro repositorio nos pondrá 0 paquetes. Si lo instalamos y hacemos un "yum info git" nos informará que está instalado desde nuestro repositorio. [base_local] name=CentOS-7. xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx APUNTES REVISAR y BORRAR XXXXXXXXXXXXXXX Creamos fichero de configuración en /var/www/html/ (a la aútra de repos): index.2 Base -LOCAL- 3.2.723 repolist: 3.html Y espscificamos en este en formato texto la ubicación del repo. Actualizar paquetes desde la red.1511/os/x86_64/ gpgcheck=0 Sin complicaciones como variables y sin gpg key (podemos apuntar esta igual a local como estaba en los otros ficheros repo).2 Base -LOCAL- baseurl=http://localhost/repos/centos/7. Actualizar paquetes desde la red.com/centos/6. Seguimos. Se puede empezar probablemente copiando la ISO en dicho directorio. 44 .conf y buscas por "name=" para ir directo a la sección de definiciones de repos. creando el repositorio (actualizandolo mejo) createrepo --update /var/www/html/repos/centos/6/7/ Esto es necesario para actualizar la BBDD de paquetes que incluiye Ayudas.xxxx.org/download/mirrors/" podemos ver que muchos repositorios incluyen además de una dirección http/ftp otra con rsync..Linux Foundation Certified Engineer (LFCE) - Guía de estudio Si echamos un ojo a la página de mirror de centos "https://www.. un repositorio o el sistema de archivos local. Realmente esto no creo entre en el examen pero.centos. Network filesystems & file services.7/os/x86_64/ /var/www/html/repos/centos/6/7/ Esto realmente e genial. Lo que vamos a hacer es hacer una sincronización en un directorio local: rsync -avz rsync://mirror.zzzz. man yum. aunque puedes instalarlo).Linux Foundation Certified Engineer (LFCE) - Guía de estudio Instalación y configuración básica de Apache.168. Configurar Apache para que arranque en el inicio del sistema e iniciarlo.122.0. “ss -tan” []# ss -tan State Recv-Q Send-Q Local Address:Port Peer Address:Port LISTEN 0 128 *:22 *:* LISTEN 0 100 127.0.122.e.168. El comando a usar y aprender ya es “ss”. yum -y update yum -y install httpd httpd-manual Habilitar el acceso a Apache en el Firewall (puertos 80 y 443) firewall-cmd --permanent --zone=public --add-service=http firewall-cmd --permanent --zone=public --add-service=https firewall-cmd --reload Verificamos que esté abierto (aparecen listados en servicios) []# firewall-cmd --permanent --list-all public (default) interfaces: sources: services: dhcpv6-client http https ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules: Verificamos que puertos tiene abiertos el sistema. Primero actualizaremos preferentemente el sistema y luego instalamos Apache y el manual que nos podrá ser de mucha utilidad durante el examen.1:25 *:* ESTAB 0 0 192. Instalar y configurar un servidor web Apache 45 .215:22 192. Para ver los puertos TCP abiertos con número de puerto p.1:37731 LISTEN 0 128 :::22 :::* LISTEN 0 100 ::1:25 :::* Vemos que no están abiertos los puertos de Apache porque aún no está iniciado este. Olvídate ya de netstat (cuanto antes mejor. HTTP Services. Current traffic: 0 B/sec" CGroup: /system. Current requests/sec: 0. Verificar que podemos conectar al menos localmente y acceder al manual: lynx http://localhost/manual Parámetros de configuración importantes.service. con “ss -tan” veremos que está abierto ya el puerto 80 (aun no tenemos configurado SSL para HTTPS) Podemos desde otra máquina a abrir con la IP / nombre de nuestro equipo la página de Apache y nos debe aparecer la página de Testing de este. Es interesante probar también que funcione el manual en http://ip_servidor/manual.service - The Apache HTTP Server Loaded: loaded (/usr/lib/systemd/system/httpd. 3min 20s ago Main PID: 2788 (httpd) Status: "Total requests: 2. Configuración básica de sites en Apache Probarlo con lynx (localhost) y ver puertos abiertos (ss) HTTP Services.slice/httpd.e.Linux Foundation Certified Engineer (LFCE) - Guía de estudio systemctl enable httpd systemctl start httpd Verificamos que inició correctamente systemctl status httpd httpd.service ├─2788 /usr/sbin/httpd -DFOREGROUND ├─2789 /usr/sbin/httpd -DFOREGROUND ├─2790 /usr/sbin/httpd -DFOREGROUND ├─2791 /usr/sbin/httpd -DFOREGROUND ├─2792 /usr/sbin/httpd -DFOREGROUND ├─2793 /usr/sbin/httpd -DFOREGROUND └─2808 /usr/sbin/httpd -DFOREGROUND Si miramos ahora los puertos abiertos p. Instalar y configurar un servidor web Apache 46 . enabled) Active: active (running) since sáb 2015-08-22 18:39:07 CEST. 47 . Todos los navegadores tienen en sus opciones de configuración la posibilidad de configurar el acceso a Internet a través de un servidor proxy. Firefox: Configuracion → Opciones → Avanzado → Red → Conexión (Configurar como Firefox se conecta a Internet HTTP Services. Configurar un cliente para usar automáticamente un servidor proxy.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Configurar un cliente para usar automáticamente un servidor proxy. En nuestro caso para hacer pruebas con Squid podemos usar un navegador con el proxy configurado pero para el examen previsiblemente no nos será de mucha utilidad ya que tendremos solo la línea de comandos de Linux (pienso…) por lo que deberiamos centrarnos en conocer mejor las opciones de shell y algunas utilidades concretas. Navegadores gráficos. En cualquier caso vemos un ejemplo de configuración de proxy con con Firefox (En Chrome e IE es muy similar). En general todos nos dejarán tambien maracar autorderección y/o una URL para una configuración automática a través de protocolos específicos para tal efecto. En Linux podemos configurar el proxy del sistema mediante variables de entorno. 48 . La mayoría de aplicaciones y utilidades tendrán en cuenta dichas variables si están presentes aunque muchas de ellas dejan configurarlo como opciones en sus ficheros de configuración y/o parámetros. ftp. Uso de proxy en la shell HTTP Services. Configurar un cliente para usar automáticamente un servidor proxy. …) y excluir direcciones para su acceso directo sin que intente acceder a estas a través del proxy..Linux Foundation Certified Engineer (LFCE) - Guía de estudio La mayoría de navegadores nos dejarán configurar el proxy para “todo” o separar algunas configuraciones concretas (ssl. Linux shell. Si lo queremos fijar para todos los usuarios podemos ponerlo en /etc/bashrc (o /etc/environment o aún mejor en un fichero que incluya p.. 49 . Ejemplos: http_proxy="http://myproxy:3128" https_proxy="https://myproxy:3128" ftp_proxy="ftp://myproxy:3128" no_proxy=". Configurar un cliente para usar automáticamente un servidor proxy.host1.sh ) Debemos acordarnos de hacer el export de cada variable en la forma: export http_proxy="http://myproxy:3128" Configurar YUM para usar un proxy En el caso de Redhat / Centos que se usa Yum como gestor de paquetes este usará también el proxy del sistema si está establecido en la variable http_proxy.e. HTTP Services.conf mediante la línea: proxy=http://webserv. /etc/profile.domain1. pero si queremos configurar un proxy específico para YUM podemos hacerlo en su archivo de configuración /etc/yum.local.yourdomain.host2" Si lo queremos fijar para un usuario podremos dichas líneas en su ~/.bashrc.com:8080/ proxy_user=user proxy_password=password Existen más utilidades que pueden incluir la configuración de proxy en su fichero de configuración pero la mayoría de ellas detectarán el proxy del sistema si está establecido.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Mediante las siguientes variables podemos establecer un proxy para nuestro shell que usarán la mayoría de las aplicaciones.d/proxy.com:8080 Ejecutamos luego yum clean all Uso de wget con un proxy wget usará el proxy del sistema pero si queremos que use autenticación añadiremos en el fichero /etc/wgetrc file: http_proxy=http://proxy.mylan.domain.com.bash_profile o ~/. Linux Foundation Certified Engineer (LFCE) - Guía de estudio HTTP Services. Restringir acceso a una página Restringir acceso por dirección / red IP origen. En el archivo principal de confguración de Apache, en Centos es /etc/httpd/conf/httpd.conf Mejor primero saber configurar virtual Hosts HTTP Services. Restringir acceso a una página web con Apache. 50 Linux Foundation Certified Engineer (LFCE) - Guía de estudio Network security. Configurar acceso remoto usando pares de claves público/privada basado en SSH. Para la conexión a servidores SSH con certificados se usa criptografía asimétrica (criptografía de clave pública o de dos claves). Dicho método consistente en el uso de una clave pública conocida y una privada confidencial nos permitirá usar encriptación de forma sencilla y segura. Conviene que tengamos claro como funciona ya que nos ayudará a no dudar en lo que estamos haciendo. Servidor SSH. Introducción. En teoría no es asunto de examen el servidor SSH en si. De hecho lo normal es que no toquemos ni su configuración a la hora de configurar el acceso remoto a este mediante pares de claves. En cualquier caso no tiene mucha complicación. Repasaremos solo los temas necesarios relacionados con el asunto que nos trae para el examen. El servidor SSH es otro de los componentes que se instala incluso en una instalación mínima. El paquete necesariuo ya instalado es openssh-server. Operaciones habituales con el servicio. systemctl start/stop/reload/restart/enable/disable sshd.service Ficheros de configuración. Normalmente, tanto en Centos como en la mayoría de sistemas Linux con pocas variaciones la configuración de SSH con certificados será similar en cuanto a ficheros y ubicación. El fichero principal de configuración del servicio servidor ssh es /etc/ssh/sshd_config. Algunos parámetros importantes de configuración en “/etc/ssh/sshd_config” relacionados con acceso mediante pares de claves: PasswordAuthentication yes/no - Nos permite deshabilitar el acceso al servidor SSH mediantes password. Solo nos permitirá acceso mediante certificados. Ficheros de configuración utilidades ssh. Desde el usuario que nos conectaremos a otros sistemas con servidor SSH debemos conocer los siguientes ubicaciones / ficheros importantes en el Home del usuario: Network security. Configurar acceso remoto usando pares de claves público/privada basado en SSH. 51 Linux Foundation Certified Engineer (LFCE) - Guía de estudio Fichero Descripción /etc/ssh/ssh_config ó Cliente SSH. Si existe el fichero concreto en el home ~/.ssh/config sobreescribe el de etc. Servidor SSH. Almacena una lista de claves públicos para servidores. Cuando nuestro cliente se conecta a un servidor ~/.ssh/authorized_keys este le autentifica chequeando su clave pública firmada almacenada en este fichero. Cliente SSH. The RSA private key used by ssh for version 2 ~/.ssh/id_rsa of the SSH protocol. Cliente SSH. The RSA public key used by ssh for version 2 of ~/.ssh/id_rsa.pub the SSH protocol. Cliente SSH. Cuando un cliente SSH se conecta por primera vez a un servidor SSH este le proporciona una clave de Host que se guarda en este fichero. En sucesivas conexiones la ~/.ssh/known_hosts usará para verificar que el servidor al que se conecta es el mismo. Las utilidades cliente nos alertarán habitualmente ante incongruencias en de la clave de Host. Más información en la documentación oficial de Redhat al respecto. Utilidades ssh. ssh-keygen – Se usa inicialmente para generar los certificados. ssh-copy-id – Se usa para simplificar la copa de certificados públicos entre sistemas ya que simplifica la tarea copiando el certificado en el sitio correcto sin que tengamos necesidad de saber más. Generación y uso de certificados (cliente) La configuración de acceso SSH con claves publico – privadas es muy sencilla. La mayor dificultad que nos podemos encontrar de cara al examen es tener claro el funcionamiento y un par de comandos. Los pasos a seguir serán los siguientes: Generar los certificados. Generaremos los certificados en el servidor mediante el comando ssh-keygen. ssh-keygen - t rsa Como vemos durante el proceso nos pregunta donde almacenar el certificado privado (y luego almanca el público también en la misma ruta). También nos da la posibilidad de introducir una “passphrase” que nos preguntará cada vez que usemos el certificado. Podemos también no darle una passphrase para generar un certificado de uso directo. Verificamos que los permisos son bastante restrictivos para el directorio y fichero con certificado de clave privada. Network security. Configurar acceso remoto usando pares de claves público/privada basado en SSH. 52 ssh/authorized_keys el certificado público de nuestro usuario root local ( /root/. copiaremos la clave ssh para ese usuario exclusivamente.110. XXXXXXXXXXXXXXXXXXXXXXXXXxx COPIA SUCESOS XXXXXXXXXXXXXXXXXXXXXXXXXxx COPIA SUCESOS XXXXXXXXXXXXXXXXXXXXXXXXXxx COPIA SUCESOS ¿Que ha pasado en este proceso? Básicamente se ha copiado al equipo y usuario remoto en el fichero /root/.pub ).ssh/id_rsa.ssh/id_rsa. ¿Y la clave privada? Esta se queda siempre en local bien protegida y obviamente no es para intercambiar.168. Además nos ha añadido a nuestro fichero local /root/. Básicamente lo más importante es saber que podemos copiarle a mano el contenido de nuestro fichero de certificado de clave pública en ~/.ssh/known_hosts el key fingerprint del servidor remoto para identificarlo en sucesiva conexiones como el mismo equipo. 53 .ssh/known_hosts . REVISAR ssh -l usuario SERVER ssh usuario@SERVER Paso a paso Conectar por ssh y echar un ojo al knowhosts Network security. No es necesario que el usuario sea el mismo. Si existe el fichero es que ya tiene otros certificados por tanto le añade otra línea adicional para el nuevo certificado. Le indicamos el usuario y equipo remoto al que queremos copiar nuestro certificado. esta tendrá que disponer de nuestro certificado público en su almacén de accesos confiables. Si le dimos una passphrase al certificado nos la pedirá Es importante conocer el proceso para poder realizarlo manualmente cuando sea necesario. Ahora nos podremos ya conectar directamente con un cliente ssh y usará de forma transparente los certificados. Como hemos visto la utilidad ssh-copy-id nos puede facilitar la tarea.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Es muy importante que solo el usuario concreto pueda ver y manipular el certificado de clave privada. Copiar el certificado público a otra máquina.pub al fichero de certificados autorizados en el home del usuario en el equipo remoto ~/. Ahora. Configurar acceso remoto usando pares de claves público/privada basado en SSH. ssh-copy-id root@192. si queremos acceder con nuestro usuario a otra máquina mediante certificado.135 OJO con el usuario. html#s2-ssh-configuration-keypairs https://linuxcode.com/how-tos/linux/centos-how-tos/ssh-passwordless-login-centos-7-rhel- 7.html http://www.html#s2-ssh-configuration-keypairs http://www. Configurar acceso remoto usando pares de claves público/privada basado en SSH.com/documentation/en- US/Red_Hat_Enterprise_Linux/7/html/System_Administrators_Guide/s1-ssh- configuration.wordpress.com/2009/08/08/autentificacion-mediante-claves-publicas-en- ssh/ https://access.redhat.com/documentation/en- US/Red_Hat_Enterprise_Linux/7/html/System_Administrators_Guide/s1-ssh- configuration.redhat.tecmint.Linux Foundation Certified Engineer (LFCE) - Guía de estudio ¿Generar certificado con passphrse? Referencias https://access. 54 .itzgeek.com/ssh-passwordless-login-using-ssh-keygen-in-5-easy-steps/ Network security. Configurar el firewall con iptables / firewalld. 55 . Firewalld sustituye al SERVICIO iptables (aunque “debajo” sigue estando iptables - comando- y por supuesto Netfilter) Ya no se usan las cadenas INPUT. Firewalld sustituye a iptables (al servicio). Los cambios que se hagan pueden aplicarse en cualquier momento sin necesidad de recargar las reglas y de perder conexiones de red existentes. Si manejas habitualmente iptables y pensabas que sabias algo de configuración de Firewalls en Redhat / Centos… se fastidió. Sigue existiendo la posibilidad de instalar iptables mediante yum y desactivar firewalld pero no se recomienda Algunas novedades en la gestión del Firewall. Configurar el firewall con iptables / firewalld. OUTPUT y FORWARD si no que cambia el concepto y ahora se usan Zonas. pero no se verá en este artículo). Instalación y configuración de inicio El paquete firewalld viene por defecto instalado e iniciado incluso en la instalación mínima. Existen servicios predefinidos para evitar tener que trabajar con puertos (se pueden definir nuevos servicios y si se desea también trabajar con puertos). ====================================================================== == Introducción. Se usa la utilidad firewall-cmd para la configuración (Puedes usar firewall-config si tienes un interface gráfico. La configuración es dinámica.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Network security. Cambian completamente los ficheros de configuración. Network security. Con Centos 7 cambian las utilidades de configuración del Firewall y toca aprendérselas de nuevo. Si fuera necesario instalarlo y configurarlo al inicio. Solo conexiones de red de salida son posibles. Existen una serie de Zonas predefinidas y listas para usar en /etc/firewalld/. Dichas Zonas son las siguientes: drop – Cualquier paquete de red entrante será eliminado. No hay replica. Configurar el firewall con iptables / firewalld. 56 .Linux Foundation Certified Engineer (LFCE) - Guía de estudio yum install -y firewalld systemctl enable firewalld systemctl start firewalld La configuración se realiza en modo comandos con la utilidad firewall-cmd. Como siempre disponemos de la ayuda tanto en formato man como en formato rápido: man firewall-cmd firewall-cmd --help Podemosver el estado del servicio firewalld []# firewall-cmd --state running Y listar de forma general la configuración con []# firewall-cmd --list-all public (default. active) interfaces: ens33 sources: services: dhcpv6-client ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules: Zonas. Una Zona es básicamente un conjunto de reglas que definen que tráfico estará permitido dependiendo del nivel de confianza que se tenga en la red a la que se está conectado. Solo se permiten Network security. Cuando configuramos firewalld lo primero que tendremos que hacer es asignar nuestro/s interface/s a una Zona. block – Cualquier conexión de red de entrada será rechazada con el mensaje “icmp- host-prohibited” para IPv4 y “icmp6-adm-prohibited” para IPv6. Solo se permiten conexiones de entrada seleccionadas. internal – Para usar en redes internas. Solo acepta conexiones internas seleccionadas. trusted – Se aceptan todas las conexiones de red. active) interfaces: ens33 sources: services: dhcpv6-client ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules: Si no tuvieramos en public ningún interface nos echa una mano para que nos centremos. No se confiá en el resto de equipos en la red para proteger tu equipo. Solo se aceptan conexiones de entrada seleccionadas. Se confiá en general que el resto de equipos de la red no dañará tu equipo. []# firewall-cmd --list-all You're performing an operation over default zone ('public'). home – Para usar en la red de área doméstica. but your connections/interfaces are in zone 'work' (see --get-active-zones) You most likely need to use --zone=work option. dmz – Para equipos en tu zona desmilitarizada accesibles públicamente pero con acceso limitado a tu red interna. Solo acepta conexiones internas seleccionadas. No se confiá en el resto de equipos en la red para proteger tu equipo. Solo acepta conexiones internas seleccionadas.Linux Foundation Certified Engineer (LFCE) - Guía de estudio conexiones de red iniciadas desde el sistema. Solo acepta conexiones internas seleccionadas. work – Para usar en áreas de trabajo. Es la zona por defecto. Podemos ver una lista de zonas activas y sus interfaces []# firewall-cmd --get-active-zones public interfaces: ens33 Ver la configuración de una zona (sin indicarle una concreta mostrará la zona por defecto -> public) []# firewall-cmd --zone=public --list-all public (default. public – Para usar en áreas públicas. external – Para usar en redes externas con enmascaramiento (masquerading) activado especialmente para Routers. Configurar el firewall con iptables / firewalld. Se confiá en general que el resto de equipos de la red no dañará tu equipo. Barra libre. Network security. Se confiá en general que el resto de equipos de la red no dañará tu equipo. 57 . org/view. La zona por defecto viene definida en el fichero de configuración /etc/firewalld/firewalld. La forma “adecuada” de hacerlo es configurarlo en la definición del interface correspondiente en /etc/sysconfig/network-scripts/ en la forma “ZONE=work”. También existe la posibilidad de configurarlo con Network Manager.php?id=7407.centos. 58 . Configurar el firewall con iptables / firewalld. ¿Y como sabe si un interface está o no en una zona? La forma más efectiva debería ser: []# firewall-cmd --get-zone-of-interface=ens33 home NOTA: Pueden existir ficheros XML de definición de zonas en /etc/firewalld/zones/ Dichos ficheros solo se crean si hay cambios en la zona. []# firewall-cmd --get-active-zones work interfaces: ens33 En teoría se puede cambiar un interface de zona mediate firewall-cmd ya que existen comando para ello []# firewall-cmd --zone=public --add-interface=ens33 Error: ZONE_CONFLICT []# firewall-cmd --permanent --zone=public --change-interface=ens33 success Pero parece NO FUNCIONA correctamente actualmente (agosto 2015) aunque modifica correctamente los ficheros XML de zona no funcionará. Si no existe la definición de ZONE para el interface en el fichero de configuración lo asignará a la zona por defecto.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Podemos listar también de un plumazo la configuración de todas las zonas firewall-cmd --list-all-zones O ver solo las zonas activas. Las zonas por defecto estarán en: /usr/lib/firewalld Zona por defecto.conf con el valor “DefaultZone” pero es posible cambiarla también con el comando: firewall-cmd --set-default-zone=work Network security. Si no has añadido cambios de interfaces o servicios en una zona dicho fichero XML no existirá y dicha zona tendrá una configuración por defecto. Más información en: https://bugs. xml) tal como se describe en el man firewalld. Ver servicios disponibles []# firewall-cmd --get-service RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability Por tanto cuando habilitemos el acceso a las aplicaciones con firewalld lo haremos normalmente habilitando servicios predefinidos.xml <?xml version="1. Los servicios no solo son listas de puertos locales y destino si no que pueden añadir listas de módulos “firewall helpers” que se activan automáticamente al activar el servicio.service(5). La ubicación de los ficheros será: /usr/lib/firewalld/services/ → Para los servicios predefinidos. No se deben editar. Para crear un nuevo servicio lo mejor será copiar uno de los servicios predefinidos en la nueva ubicación y modificar el fichero XML. enable this option. En firewalld existe el concepto de servicio y una serie de servicios predefinidos con el propósito de facilitar la configuración de acceso de las aplicaciones. Podemos echar un ojo a la definición XML de un servicio sencillo (puerto básicamente) como HTTP.0" encoding="utf-8"?> <service> <short>WWW (HTTP)</short> <description>HTTP is the protocol used to serve Web pages. Configurar el firewall con iptables / firewalld. /etc/firewalld/services/ → Para generar los nuevos servicios.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Servicios. La idea es hacer la vida del administrador más fácil. If you plan to make your Web server publicly available. This option is not required for viewing pages locally or developing Web pages. Los servicios son configuraciones en ficheros de configuración individuales XML (service-name. 59 . Network security. vim /usr/lib/firewalld/services/http.</description> <port protocol="tcp" port="80"/> </service> La forma de activar por tanto de forma permanente el acceso a Apache sería activando el/los servicios correspondientes y recargando la configuración. Los comandos que activan / desactivan / visualizan el modo pánico son: firewall-cmd --panic-on firewall-cmd --panic-off firewall-cmd --query-panic Un comando normal de estado no nos mostrará si está en este estado así que si entrás en pánico ten cuidado no te vuelvas loco después. Verificamos que efectivamente están activados. Configurar el firewall con iptables / firewalld. además de especificarlo realizar un “reload” de la configuración. puertos habilitados.. [~]# firewall-cmd --permanent --list-all public (default) interfaces: sources: services: dhcpv6-client http https ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules: Vemos que nos muestra los interfaces pertenecientes a la zona. Network security.Linux Foundation Certified Engineer (LFCE) - Guía de estudio firewall-cmd --permanent --zone=public --add-service=http # Podemos ya habilitar https (443) si queremos firewall-cmd --permanent --zone=public --add-service=https firewall-cmd --reload NOTA: Activación inmediata o no de servicios... servicios habilitados (que vemos en un segundo). Si hacemos el reload mediante el comando firewall-cmd lo realizará sin interrumpir las conexiones de usuario y por tanto no perderá la información de estado. Ficheros de configuración. Comentábamos que unas de las bondades de Firewalld es que podemos configurar una regla para que se aplique inmediatamente sin recargar la configuración (sin usar “permanent” se aplicará al momento) pero si queremos que la regla sea permanente debemos. Modo pánico Podemos de forma rápida conmutar el firewall a modo pánico para bloquear TODO el tráfico entrante / saliente. 60 . El fichero log por defecto para el servicio Firewalld está en /var/log/firewalld Referencias. Tenemos en directorios valores para las zonas predefinidas. imagino. 61 . Ficheros logs.conf Las configuraciones propias estarán en e directorio /etc/firewalld/ en: services/ Definición de servicios propios zones/ Cuando alteramos una zona añadiendole servicios nos creará el fichero en esta ubicación y prevalecerá sobre el fichero de zona por defecto. icmptypes/ cambios / adiciones en tipos icmp. Hacemos un repaso interesante: Todos los valores por defecto (predefinidos) están en: /usr/lib/firewalld . RHEL7 Doc.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Ya hemos ido viendo donde están los ficheros de configuración. Using Firewalls How to Configure ‘FirewallD’ in RHEL/CentOS 7 and Fedora 21 Network security. servicios por defecto y tipos de comandos icmp El fichero “principal” de configuración del servicio es /etc/firewalld/firewalld. Configurar el firewall con iptables / firewalld. com Instalación de Postfix Postfix es el MTA por defecto en Centos 7.cf Párametros importantes. yum install postfix systemctl enable postfix Configuración. PENDIENTE XXXXXXXXXXXXXXXXXXXXXXXXXXXXX Antes de meternos en harina con configuración de componentes de correo es necesario que sepamos Enlace interesante a componentes de un sistema de envio de correo: http://es.Linux Foundation Certified Engineer (LFCE) - Guía de estudio EMAIL SERVICES Instalar y configurar un servidor SMTP.mylabserver. Asegurarse lo primero que nuestro host tiene definida su dirección IP y nombre corto y de dominio en el fichero /etc/hosts. El fichero de configuración principal de postfix es: /etc/postfix/main. Introducción.206 recuncho-gmail-com1 recuncho-gmail-com1. 62 .net/contents/115-como-funciona-el-correo-electronico-mta-mda-mua Condiguración previa.107.ccm. 72. Nos evitaremos problemas con Postfix. Si no lo estuviera se instala como siempre. Lo normal incluso en una instalación mínima es que esté siempre instalado.31. Instalar y configurar un servidor SMTP. Email services. Se debe usar el nobre entero (con dominio). localhost que será lo normal en cualquier hosts que solo usa el correo local o el interface concreto donde queremos que escuche.Linux Foundation Certified Engineer (LFCE) - Guía de estudio Los parámetros de uso más habitual y que debermos revisar en toda nueva instalacíón de Postfix son los siguientes: myhostname - Especifica el nombre de Internet de este servidor. mydomain - Especifica el dominio al que pertenece el servidor que también se verá reflejado en el nombre $myhostname . Los valores habituales fijos suelen ser $myhostname. Cuando hacemos cambios importantes de este tipo debemos reiniciar postfix. Como vemos muchos parámetros en su definición se componen del valor de otros parámetros por lo que un único cambio puede suponer realmente grandes cambios en la configuración. Se usa para muchas otras configuraciones. localhost. Instalar y configurar un servidor SMTP. mynetworks - Especifica las redes de confianza que pueden mandar emails a través de Postfix.localdomain. localhost .net Reiniciamos.$mydomain. 63 . inet_protocols - Si no vamos a usar IPV6 conviene sustituir el valor por defecto all por el valor ipv4 para evitar warnings molestos. systemctl restart postfix Ejemplo de configuración Probar un ejemplo con usuarios locales / externos (con acceso desde otras máquinas) Primero establecemos adecuadamente el hostname de nuestra máquina. Esa es la idea. [~]# hostnamectl set-hostname centos7. Reiniciamos y verificamos. Valores habituales son all . Añadimos una entrada adecuada de nuestro host con su IP en /etc/hosts Email services. Suele ser igual a $myhostname + $mydomain mydestination - La lista de dominios para la que esta máquina se considera el destino final (los dominios que considerará propios).localdomain. myorigin - Especifica el origen de los correos propios que enviará el servidor. inet_interfaces - Especifica los interfaces de red en los que aceptará correo.net [~]# reboot [~]# hostname centos7. localdomain. systemctl restart postfix tail -f /var/log/maillog Pruebas de envio de correo Realizaremos unas pruebas rápidas para verificar el funcionamiento del correo.168. Nos abrirá el editor vim para escriber el cuerpo del correo.net mydomain = localdomain.$mydomain. Componemos un correo. localhost mynetworks = subnet inet_interfaces = all inet_protocols = ipv4 Reiniciamos Postfix y echamos un vistazo al log de postfix por si hubiera errores. useradd test02 passwd test01 passwd test02 Tercero Accedemos con nuestro usuario y ejecutamos mutt [~]# su - test01 [~]# mutt /home/test01/Mail no existe. Instalar y configurar un servidor SMTP.net Editamos el fichero de configuración de Postfix (previa copia siempre) y cambiamos los siguientes valores myhostname = centos7. Primero instalamos un cliente de correo en modo texto yum install mutt Segundo creamos un par de usuarios y establecemos sus paswords: useradd test01. Para ello instalaremos mutt . un sencillo cliente de correo que nos facilitará la labor. ¿Crearlo? ([sí]/no): Las acciones de menú para enviar correo son muy sencillas y bien descritas. Email services.net myorigin = $myhostname mydestination = $myhostname. Acabamos guardando y saliendo de vi.122. localhost.localdomain.21 centos7 centos7. Luego nos ofrece el menu para enviarlo. 64 .Linux Foundation Certified Engineer (LFCE) - Guía de estudio 192. localdomain.net Subject: Prueba desde test01 a test02 Ayuda.net To: test02@centos7. ¿Crearlo? ([sí]/no): Nos mostrará en una "lista" el correo enviado desde el usario test01 con los datos de cabecera de nuestros usuarios y dominios que es una de las configuraciones que nos interesa verificar. From: test01@centos7. PENDIENTE XXXXXXXXXXXXXXXXXXXXXXXXXXXXX Referencias. To: test02 Subject: Prueba desde test01 a test02 Prueba de envio de correo de usuario test01 a usuario test02 :wq y mandar i salir q salir Accedemos con el usuario test02 para verificar el correo recibido. Instalar y configurar un servidor SMTP.localdomain. [~]# su - test02 [~]# mutt /home/test01/Mail no existe.. 65 . Imap and Imaps) and Restricting Access to SMTP Mutt – A Command Line Email Client to Send Mails from Terminal Email services.Linux Foundation Certified Engineer (LFCE) - Guía de estudio m Nuevo correo. Setting Up Email Services (SMTP.