(dns + ftp) servers
mate
Actualmente tenfo una máquina con Windows 2003 Server (web edition)
donde tengo montado un DNS Server (secundario) y un FTP Server
(Fastream IQ Web/FTP Server), que funciona bien con 20 usuarios (y
fácil de administrar, hasta un mono podría hacerlo) pero que cuando
son más de 50 se vuelve lleeeeennnnnnnnnntttttto.
Mi idea era migrar a una solución Linux.
Parte 1: software "básico"
¿que distribución? Evidentemente como vimos debian en el curso es con
la que más agusto me siento, pero no significa que pueda ser la mejor
opción.
¿que software servidor FTP?
¿existe alguna herramienta (web es la mejor opción) que me haga de
interfaz para administrar tanto el DNS como el FTP? No es por sacarme
las pulgas de encima, es por si alguien tiene que administrarlo y no
soy yo.
Parte 2: configuración de seguridad
¿como hacer que esta instalación sea segura?
En el curso vimos varias opciones, inetd, iptables (aunque esto es más
routing), pero seguro que hay miles de cosillas más por mirar. Incluso
el denyhost que comentaba hace unas semanas.
Parte 3: configuración de los servicios.
El tema de DNS no me preocupa tanto, pero el del ftp es harina de otro
costal.
La estructura que tengo montada ahora consiste en grupos de trabajo.
Cada grupo de trabajo tiene un usuario donde accede a su raiz. De esa
raiz cuelgan las carpetas de los proveedores / clientes que cada una
de ellas tiene asignado un usuario para ellos.
De esta manera el grupo de trabajo con 1 usuario pueden acceder a
todas las carpetas con las que trabaja y los clientes / proveedores
tienen su carpeta ajenos a la estructura que hay por encima.
En algunos casos, el cliente / proveedor es compartido por más de un
grupo de trabajo... :)
Supongo que dependerá del tipo de servidor FTP, pero si se quieren
instalar utilizando permisos de sistema, no creo que sea para hacerlo
a la ligera.
En fin, ya sé que puede parecer mucho morro, pero como trabajillo de
campo puede ser interesante.
Yo me comprometo a hacer un resumen en el apartado de páginas para
consultar cuando se quiera de las ideas / consejos que puedan
aparecet. Ya no solo para montar esto, puede que muchas otras cosas
aprovechando parte de lo que se diga.
Un saludo
Kenneth Peiruza
vEn/na mate ha escrit:
> Hola a todos,
>
> Actualmente tenfo una máquina con Windows 2003 Server (web edition)
> donde tengo montado un DNS Server (secundario) y un FTP Server
> (Fastream IQ Web/FTP Server), que funciona bien con 20 usuarios (y
> fácil de administrar, hasta un mono podría hacerlo) pero que cuando
> son más de 50 se vuelve lleeeeennnnnnnnnntttttto.
>
> Mi idea era migrar a una solución Linux.
>
> Parte 1: software "básico"
>
> ¿que distribución? Evidentemente como vimos debian en el curso es con
> la que más agusto me siento, pero no significa que pueda ser la mejor
> opción.
>
>
tiréis el pc, reiniciando sólo por cambios de kernel.
En las más comerciales, te van a tener una fecha de final de soporte y
te obligarán a migrar poniendo los cd's o dvd's, a parte de que tus
repositorios de software serán más pequeños. Por otro lado, si necesitas
soporte para cosas caras (tarjetas fiberchannel, oracle, SAN, etc...)
entonces tienes que ir de cabeza a SuSE o RedHat.
> ¿que software servidor FTP?
>
>
proftpd funciona muy bien y es fácil de configurar. pure-ftpd también
está muy bien y por un estilo de configuración.
La config de Proftpd se parece a la de Apache y la del pure es un
archivo rollo squid :D
> ¿existe alguna herramienta (web es la mejor opción) que me haga de
> interfaz para administrar tanto el DNS como el FTP? No es por sacarme
> las pulgas de encima, es por si alguien tiene que administrarlo y no
> soy yo.
>
>
Webmin mismo.
> Parte 2: configuración de seguridad
>
> ¿como hacer que esta instalación sea segura?
>
> En el curso vimos varias opciones, inetd, iptables (aunque esto es más
> routing), pero seguro que hay miles de cosillas más por mirar. Incluso
> el denyhost que comentaba hace unas semanas.
>
>
Lo primero, desinstala lo que no necesites.
Lo segundo, habilita en tus servicios sólo lo que necesites :D
Lo tercero, asegurarte que los permisos están finos finos en los scripts
de mantenimiento y archivos de config que hayas tocado.
Luego, si estás especialmente sensibilizado, instala snort, te hartarás
de ver alertas (falsos positivos y tonterías sin importancia) si no te
pasas 2 semanas afinándolo, queda dicho.
Te recomiendo que peines logs buscando intentos de login ssh
automatizados (se ve enseguida), y los vas añadiendo a una lista negra
de ip's.
Con esto tienes hecho el 95% :D
Si no tienes servicios innecesarios, sólo necesitarás iptables para
denegar ip's de gente non grata
> Parte 3: configuración de los servicios.
>
> El tema de DNS no me preocupa tanto, pero el del ftp es harina de otro
> costal.
>
>
Es sencillo. De serie los dos servidores ftp hacen casi todo lo que
quieres. Diría que sólo tendrás que cambiar la máscara de permisos.
> La estructura que tengo montada ahora consiste en grupos de trabajo.
> Cada grupo de trabajo tiene un usuario donde accede a su raiz. De esa
> raiz cuelgan las carpetas de los proveedores / clientes que cada una
> de ellas tiene asignado un usuario para ellos.
>
> De esta manera el grupo de trabajo con 1 usuario pueden acceder a
> todas las carpetas con las que trabaja y los clientes / proveedores
> tienen su carpeta ajenos a la estructura que hay por encima.
>
> En algunos casos, el cliente / proveedor es compartido por más de un
> grupo de trabajo... :)
>
> Supongo que dependerá del tipo de servidor FTP, pero si se quieren
> instalar utilizando permisos de sistema, no creo que sea para hacerlo
> a la ligera.
>
>
Si el árbol no tiene 'links raros', es decir, 1 cliente <-> 1 proveedor
y 1 proveedor -> 1 o más clientes, lo puedes hacer incluso con permisos
unix, con un poco de imaginación, claro. Os dejo que os escurráis las
neuronas cómo ejercicio xDDD
> En fin, ya sé que puede parecer mucho morro, pero como trabajillo de
> campo puede ser interesante.
>
Muchísimo, me debes una birra en la próxima cena :P
> Yo me comprometo a hacer un resumen en el apartado de páginas para
> consultar cuando se quiera de las ideas / consejos que puedan
> aparecet. Ya no solo para montar esto, puede que muchas otras cosas
> aprovechando parte de lo que se diga.
>
> Un saludo
Saludos!
Kenneth
mate
Empezaré la instalación en una máquina virtual para hacer las pruebas
y las dudas.
Y lo prometido es deuda, pienso colgar el HOW-TO:
mate
Estoy avnazando en paralelo (con un ordenador de verdad) y voyo
poniendo mis "avances" en un fichero desntro de este "site".
La duda que me asalta ahora es el "Lo primero, desinstala lo que no
necesites."
Algunas cosas puedo tenerlas claras y otras no tanto.
La idea, para no hacer aquí un volcado es mirar en:
dpkg -l (aquí me vuelvo loco)
/etc/passwd (por los usuarios de servicios)
/etc/init.d (por los servicios)
¿me dejo algo? ¿puedo mirar en algún otro sitio (o he de mirar...)?
Me dejo para otro rato el tema de los paquetes "en general", pero algo
que si me interesa es: ¿como dejar la debian como un "clásico" server?
es decir, sin X y sin otras mariconadas obvias...
Recuerdo hace tiempo que en el proceso de instalación te preguntaban
si lo que ibas a instalar era un server o un desktop y según eso
instalaba o no ciertas cosas. Ahora no lo hace (lo cual agradecería),
pero aún así, ¿en que me puedo basar, exceptuando el prueba y error?
gracias!
Sergio Pérez
Yo lo que suelo hacer al instalar debian es bajarme la distro netinst e instalar solo lo que necesito.
Lo único que te instala es el sistema base y a partir de ahy uno mismo...
Puede ser una opción...
Kenneth Peiruza
Esta de Sergio es buena, continuo inline:
En/na Sergio Pérez ha escrit:
>
> Yo lo que suelo hacer al instalar debian es bajarme la distro netinst
> e instalar solo lo que necesito.
>
biz tiene 38 mb xDDdd
> Lo único que te instala es el sistema base y a partir de ahy uno mismo...
>
directamente de última versión de los repositorios ;)
Otra cosilla que va fenomenal pare ver que servicios de red tienes
activos es:
lsof -i -n | grep LISTEN
también sirve netstat -aunt, pero la salida de lsof es más comprensible :D
Salu2!
Kenneth
> <mailto:mate...@gmail.com>> escribió:
>
> Buenas, de nuevo al ataque.
>
>
> Estoy avnazando en paralelo (con un ordenador de verdad) y voyo
> poniendo mis "avances" en un fichero desntro de este "site".
>
> La duda que me asalta ahora es el "Lo primero, desinstala lo que no
> necesites."
>
> Algunas cosas puedo tenerlas claras y otras no tanto.
>
> La idea, para no hacer aquí un volcado es mirar en:
> dpkg -l (aquí me vuelvo loco)
> /etc/passwd (por los usuarios de servicios)
> /etc/init.d (por los servicios)
>
> ¿me dejo algo? ¿puedo mirar en algún otro sitio (o he de mirar...)?
>
> Me dejo para otro rato el tema de los paquetes "en general", pero algo
> que si me interesa es: ¿como dejar la debian como un "clásico" server?
> es decir, sin X y sin otras mariconadas obvias...
>
> Recuerdo hace tiempo que en el proceso de instalación te preguntaban
> si lo que ibas a instalar era un server o un desktop y según eso
> instalaba o no ciertas cosas. Ahora no lo hace (lo cual agradecería),
> pero aún así, ¿en que me puedo basar, exceptuando el prueba y error?
>
> gracias!
>
> On 22 Oct, 16:50, Kenneth Peiruza <kenn...@gnun.net
Sergio Pérez
No habia caido en esa...
Saludos!