UT05-Servicios de acceso y administración remota (parte 1).pdf



Comments



Description

CIFP Juan de Colonia Administración de Sistemas OperativosASIR Unidad 5: Servicios de acceso y administración remota Curso 2011/2012 1 UT 5: SERVICIOS DE ACCESO Y ADMINISTRACIÓN REMOTA 1. Descripción de los servicios de acceso remoto ...................................................................... 3 1.1. Introducción ..................................................................................................................... 3 1.2. TELNET........................................................................................................................... 4 1.3. RLOGIN........................................................................................................................... 4 1.4. SSH (secure shell) ........................................................................................................... 4 1.5. Escritorio Remoto VNC (Virtual Network Computing, Computación en Red Virtual) ........ 5 1.6. Terminal Server ............................................................................................................... 5 1.7. Acceso remoto mediante interfaz web ............................................................................. 5 2. Acceso remoto a un equipo Linux .......................................................................................... 6 2.1. TELNET y RLOGIN ......................................................................................................... 6 2.2. SSH: Implementación con OpenSSH .............................................................................. 6 2.3. Escritorio Remoto VNC .................................................................................................. 10 3. Acceso remoto a un equipo Windows .................................................................................. 10 BIBLIOGRAFÍA Y REFERENCIAS o Servicios de red e Internet, F.J. Molina Robles y E. Polo Ortega. Editorial Ra-Ma. Madrid 2011. Capítulo 5: "Terminal remoto". o Administración de Sistemas Operativos. J. Gómez López y O.D. Gómez López. Editorial RA-MA. Madrid 2011. Apartados 6.2 (Terminal Server), 6.3 (Windows Server Update Services), Apartado 13.2 (Linux: Acceso remoto al sistema) o Configuración de Infraestructura de red de Windows Server 2008. Training Kit. MCTS. Examen 70-642 Capítulo 9. Administrar las actualizaciones de software Capítulo 10. Monitorizar ordenadores Referencias en Internet: o SSH o http://www.openssh.com o http://bootlog.org/blog/linux/tip-ssh-scp-y-un-as-bajo-la-manga o Escritorio remoto VNC: o http://www.ubuntu-guia.com/2010/03/escritorio-remoto-en-ubuntu.html CIFP Juan de Colonia Administración de Sistemas Operativos ASIR Unidad 5: Servicios de acceso y administración remota Curso 2011/2012 2 CIFP Juan de Colonia Administración de Sistemas Operativos ASIR Unidad 5: Servicios de acceso y administración remota Curso 2011/2012 3 1. Descripción de los servicios de acceso remoto 1.1. Introducción ¿Para qué necesitamos el acceso remoto? o Utilizar un recurso software que no podemos utilizar en nuestro equipo porque o tiene un coste elevado o requiere un hardware del que no disponemos (costoso o cualquier otro motivo) o Realizar tareas administrativas en un equipo remoto. Características de los servicios de acceso remoto o Permiten al usuario acceder desde un equipo a otro equipo distante geográficamente, dando la impresión de estar situado frente al equipo. o El usuario tiene que autenticarse, aunque hay algunas excepciones. o Existen varios protocolos que proporcionan el servicio de acceso remoto. Cada protocolo tiene unas características diferentes. El protocolo elegido dependerá de la utilidad que le queramos dar. o En general, podemos clasificar los servicios de acceso remoto en dos grupos, según proporcionen acceso remoto mediante terminal o mediante interfaz gráfico. Acceso remoto mediante terminal o Los clientes pueden ser programas específicos (ej. telnet, ssh, scp, etc.) o emuladores de terminal. o Los emuladores de terminal son programas que simulan una de las antiguas terminales Unix (teclado, pantalla y dispositivo de comunicación del servidor). o Los principales servicios para acceso mediante terminal son: • TELNET • RLOGIN • SSH Acceso remoto mediante interfaz gráfico o Los principales servicios para acceso mediante terminal son: • Escritorio remoto VNC (Virtual Network Computing) • Terminal Server: 1. Escritorio remoto, protocolo RDP 2. Servidor de aplicaciones • Acceso remoto mediante interfaz Web CIFP Juan de Colonia Administración de Sistemas Operativos ASIR Unidad 5: Servicios de acceso y administración remota Curso 2011/2012 4 1.2. TELNET Proporciona acceso remoto mediante terminal. Es un servicio inseguro, ya que la autenticación de los usuarios se transmite por la red sin encriptar pudiendo ser interceptada. Tampoco se encripta el resto de las comunicaciones. Características o Es un servicio proporcionado por el protocolo que lleva el mismo nombre. o Es un protocolo muy flexible que permite, no sólo el acceso remoto a un servidor, sino que se utiliza como soporte de otros servicios (FTP o HTTP). o El puerto utilizado por defecto es el TCP 23. Cómo funciona o Inicialmente se puede efectuar un intercambio de parámetros como, por ejemplo, el tipo de terminal utilizado por el cliente (ej. vt100). o Después se requiere el nombre de un usuario y contraseña para iniciar sesión. o Tras comprobar su validez, queda establecida la sesión. o Una vez iniciada la sesión, el servidor recibe las pulsaciones emitidas por el cliente, el servidor las reenvía y se muestran al cliente (eco). El servidor interpreta esas pulsaciones (ej. ejecución de una orden) y devuelve su resultado visible al cliente. 1.3. RLOGIN Muy parecido a TELNET. También es inseguro, al no utilizar cifrado. Características o Los usuarios no tienen que introducir la contraseña para utilizar este servicio, con lo cual no será interceptada. o El puerto utilizado por defecto es el TCP 513. 1.4. SSH (secure shell) Características o Es un servicio proporcionado por el protocolo que lleva el mismo nombre. o Muy parecido a TELNET, pero con grandes mejoras: • Seguridad • Funciones adicionales para copia y transferencia de archivos • Posibilidad de ejecución de aplicaciones en el entorno gráfico • Permite establecer un túnel seguro para otros servicios menos seguros como POP, Telnet, VNC, FTP. o El puerto utilizado por defecto es el puerto TCP 22. Cómo implementa la seguridad o Utiliza mecanismos de clave pública y privada para el cifrado de la información, basados en algoritmos RSA y DSA. o Tanto el nombre del usuario como la contraseña viajan cifrados por la red. o Una vez iniciada la sesión, la información intercambiada entre ambos circula encriptada. CIFP Juan de Colonia Administración de Sistemas Operativos ASIR Unidad 5: Servicios de acceso y administración remota Curso 2011/2012 5 1.5. Escritorio Remoto VNC (Virtual Network Computing, Computación en Red Virtual) Características o Permite controlar de modo gráfico otro equipo. o El puerto utilizado por defecto es el puerto 5900. o Suele utilizar el puerto 5800 para accesos vía web. o El software servidor requiere establecer una contraseña que los clientes deberán conocer e indicar en cada uno de sus accesos. o Para establecer varias sesiones con el servidor, cada cliente debe indicar el número de terminal y puede configurar diversos parámetros, como los referentes a la transmisión y a las características del escritorio. 1.6. Terminal Server Aplicación de los sistemas operativos Windows Server 2000 y posteriores, que admite dos modos de funcionamiento. Modo de administración remota: escritorio remoto o Implementa el servicio de Escritorio Remoto, como VNC, pero en lugar de utilizar el protocolo VNC utiliza el protocolo RDP (Remote Desktop Protocol, Protocolo de Escritorio Remoto) o En los sistemas XP y siguientes viene instalado el cliente y el servidor. o El puerto utilizado por defecto es el puerto 3389. Modo servidor de aplicaciones o Permite al cliente ejecutar aplicaciones instaladas en el servidor. o Las aplicaciones a utilizar con Terminal Server deben instalarse posteriormente a este servicio. o Recomendable cuando los servicios hardware del cliente sean insuficientes para la ejecución de aplicaciones. 1.7. Acceso remoto mediante interfaz web VNC VNC permite habilitar el puerto 5800 para poder acceder al servicio mediante un navegador web. Escritorio remoto A partir de Windows XP. Es necesario que esté instalado el servidor HTTP. Tras su instalación, el sistema operativo crea en el sitio web por defecto la carpeta tsweb (XP y 2003) o ts (2008) con las páginas necesarias y un control ActiveX disponible para los navegadores de los clientes que deseen utilizar este servicio. Administración remota (Windows 2003) Permite la instalación de un componente de IIS denominado Administración remota (HTML) para administrar mediante un navegador web un servidor. Atiende conexiones seguras a través del puerto 8098. CIFP Juan de Colonia Administración de Sistemas Operativos ASIR Unidad 5: Servicios de acceso y administración remota Curso 2011/2012 6 2. Acceso remoto a un equipo Linux 2.1. TELNET y RLOGIN Como se dijo antes, tanto TELNET como RLOGIN son protocolos no seguros, por lo que no se suelen utilizar para administrar remotamente un equipo. Los paquetes/programas servidor y cliente son: TELNET RLOGIN Servidor telnet-server (OpenSuSE y Fedora) telnetd (Ubuntu). rsh-server Cliente Linux telnet (suele estar instalado en todas las distribuciones Cliente Windows El Cliente telnet es una característica de Windows (o una opción de Windows en las versiones anteriores a Windows Vista). El emulador de terminal Putty puede realizar una conexión utilizando Telnet o Rlogin. 2.2. SSH: Implementación con OpenSSH 2.2.1. Introducción a OpenSSH OpenSSH es una versión LIBRE de las herramientas de conectividad SSH. Los usuarios de telnet, rlogin y ftp no se dan cuenta de que su contraseña se transmite por Intenet desencriptada, pero es así. OpenSSH encripta todo el tráfico (incluyendo las contraseñas) para eliminar efectivamente ataques. Adicionalmente, OpenSSH proporciona capacidades de crear túneles y varios métodos de autenticación, y soporta todas las versiones del protocolo SSH. La suite OpenSSH reemplaza rlogin y telnet con el programa ssh, rcp con scp, y ftp con sftp. También incluye sshd (el servidor ssh) y otras utilidades como ssh-add, ssh-agent, ssh- keysign, ssh-keyscan, ssh-keygen y sftp-server. 1 Los paquetes/programas servidor y cliente son: Paquetes Programas Servidor openssh-server sshd, ... Cliente Linux openssh-client (Ubuntu) openssh-clients (Fedora) (suele estar instalado) ssh scp sftp, ... Cliente Windows Emuladores de terminal, como puTTY, WinSCP 1 http://www.openssh.com CIFP Juan de Colonia Administración de Sistemas Operativos ASIR Unidad 5: Servicios de acceso y administración remota Curso 2011/2012 7 2.2.2. Configuración del servidor SSH Configuración del servidor Script de administración del servicio ssh /etc/init.d/sshd Directorio de configuración Contiene el archivo de configuración y las claves pública y privada del servidor utilizando distintos algoritmos. /etc/ssh/ Archivo de configuración /etc/ssh/sshd_config Fichero de configuración /etc/ssh/sshd_config Se ven a continuación algunas opciones que se pueden configurar. Para más información, consultar el manual: man sshd_config 5. Opción Significado Port 22 Puerto en el que escucha el servicio ListenAddress 0.0.0.0 Direcciones IP que se pueden escuchar. Por defecto, todas PermitRootLogin yes Por defecto, el usuario root puede iniciar sesión a través de ssh. AllowUsers usu1[@IP1] usu2[@IP2] Usuarios que pueden acceder, y desde qué equipo se admite la conexión (si se especifica) Subsystem sftp /... Si el subsistema sftp se implementa en ssh y qué comando lo implementa. 2.2.3. Configuración del cliente SSH Configuración del cliente E q u i p o l o c a l ( c l i e n t e ) Directorio de configuración Contiene el archivo de configuración general Para obtener ayuda: man ssh_config /etc/ssh/ Archivo de configuración general /etc/ssh/ssh_config Directorio de configuración de cada usuario en el equipo local ~/.ssh Archivo con las claves de los hosts reconocidos Contiene las claves públicas de servidores que el usuario ha aceptado. ~/.ssh/known_hosts E q u i p o r e m o t o ( s e r v i d o r ) Directorio de configuración de cada usuario en el equipo remoto ~/.ssh Archivo con las claves de los clientes reconocidos Contiene las claves públicas de clientes para que el usuario no tenga que escribir la contraseña cada vez que se conecta. ~/.ssh/authorized_keys CIFP Juan de Colonia Administración de Sistemas Operativos ASIR Unidad 5: Servicios de acceso y administración remota Curso 2011/2012 8 2.2.4. El comando SSH Iniciar sesión con ssh Realiza una conexión con el equipo remoto. Para cerrar la sesión: exit, logout, ctrl+D. Sintaxis: ssh [usuario@]equipo donde: usuario Si no se especifica, se intentará iniciar sesión con un usuario que se llama como el usuario actual equipo Se puede utilizar el nombre de la máquina o su IP Ejemplos ssh [email protected] ssh a00so@fedora00 ssh 192.168.200.150 ssh fedora00 Ejecutar comandos con ssh Sintaxis: ssh [-X][usuario@]equipo comando donde: -X Indica que comando es una aplicación con entorno gráfico comando Comando que se va a ejecutar Ejemplos ssh [email protected] uname -a ssh -X a00so@fedora00 gnomemine 2.2.5. El comando scp (Secure CoPy) SCP es una utilidad de SSH que permite transferir archivos o carpetas entre ordenador. La sintaxis es simple scp [-r] origen destino Donde origen y destino archivos o carpetas locales o remotas pueden ser de esta forma: [[usuario@]equipo:]archivo -r Permite copiar directorios de forma recursiva Ejemplos scp archivo_local usuario@equipo: Copiar de local a remoto scp usuario@equipo:archivo arch_local Copiar de remoto a local scp -r usuario@equipo:dir dir_local Copiar una carpeta CIFP Juan de Colonia Administración de Sistemas Operativos ASIR Unidad 5: Servicios de acceso y administración remota Curso 2011/2012 9 2.2.6. El comando sftp El comando sftp es similar al comando ftp, pero la conexión se realiza cifrada. Para poder utilizarlo, en el archivo /etc/ssh/sshd_config tiene que estar configurado el subsistema sftp: subsystem sftp …. Sintaxis: sftp [usuario@]equipo Comandos dentro de sftp Los mismos que con ftp: help, get, put, mkdir, … 2.2.7. Configurar el servidor para admitir conexiones sin contraseña Para que el servidor acepte conexiones sin contraseña, el cliente debe generar su clave pública y añadirla al fichero ~/.ssh/authorized_keys. Los pasos para hacerlo desde el cliente serían: o Generar un par de claves pública y privada ssh-keygen -t rsa Este comando crea dos archivos: id_rsa.pub e id_rsa. o Copiar la clave pública (el archivo id_rsa.pub) en el servidor con scp scp id_rsa.pub usuario@servidor: o Conectarse con ssh y ver si existe el directorio ~/.ssh. o Si el directorio no existe, crearlo con permisos 700. (Es necesario modificar los permisos para que funcione. La opción StrictModes, cuyo valor por defecto es yes, obliga a que se comprueben los permisos de directorios y ficheros antes de aceptar una conexión.) o Añadir la clave pública mv id_rsa.pub al archivo ~/.ssh/authorized_keys .Si no existiera, se crea. Si ya existía, significa que ese usuario tiene ya otros equipos "de confianza". cat id_rsa.pub >> .ssh/authorized_keys 2.2.8. SSHFS (Secure SHell FileSystem) SSHFS es un sistema de ficheros para Linux (y otros sistemas operativos con una implementación FUSE, como Mac OS X o Free-BSD) capaz de trabajar con ficheros de un equipo remoto usando una conexión de shell segura al equipo remoto. Los efectos prácticos de esto es que el usuario pueden interactuar con los ficheros remotos, que son servidos sobre SSH como si estuvieran en su equipo local. En el equipo remoto se utiliza el subsistema SFTP de SSH. Montar sshfs [usuario@]host:[directorio] punto_de_montaje [opciones] Desmontar fusermount -u punto_de_montaje CIFP Juan de Colonia Administración de Sistemas Operativos ASIR Unidad 5: Servicios de acceso y administración remota Curso 2011/2012 10 2.3. Escritorio Remoto VNC 2.3.1. Introducción al Escritorio Remoto VNC En GNU/Linux se utiliza el protocolo VNC para acceso a un escritorio remoto. VNC es software con licencia GNU/GPL, existiendo versiones para diversas plataformas como GNU/Linux y Microsoft Windows. Hay varios modos de compartir el escritorio remoto. Aquí veremos sólo el proporcionado por GNOME Los paquetes/programas servidor y cliente son: Paquetes Programas Servidor vino vino-server vino-preferences Cliente Linux vinagre gnome-rdp vinagre tightvnc (OpenSuse) tigervnc (Fedora) xtightvncviewer (Debian) vncviewer Cliente Windows Clientes VNC como tightvnc, realVNC, UltraVNC. 2.3.2. Configuración del servidor VNC Por defecto el paquete está instalado. Se puede ejecutar la orden vino- preferences como administrador desde una consola de terminal para establecer los parámetros del servicio. 2.3.3. Acceso desde un cliente Linux Se puede acceder mediante cualquiera de los programas indicados antes. 2.3.4. Acceso remoto mediante interfaz Web Se puede acceder a un servidor remoto mediante VNC utilizando un navegador HTTP. Como requisito, debe tener activa la ejecución de applets de Java del navegador, además de tener instalado el plugin JRE (Java Runtime Environment) para el navegador a utilizar. Para acceder al equipo remoto se indicará como URL el servidor al que se quiere acceder, seguido de dos puntos y el puerto de acceso, sumándole en su caso el número de terminal. Por jemplo, si queremos utilizar el terminal número 1, indicaríamos como URL http://Servidor: 5801. También se puede utilizar la herramienta tscliente.
Copyright © 2024 DOKUMEN.SITE Inc.