Instalacin de servicios de Intranet con Linux Debian V- 4.

1
Paso 1 instalacin bsica del sistema

Arrancar el equipo con una distribucion debian. desde CD o cualquier otro metodo: PXE,Tftp, ISO, FTP, etc.. Crear dos particiones, una swap mnimo tamao el equivalente a la RAM fsica y sistema de ficheros Swap. otra root ( / ) minimo tamao 500 M. y Sistema de ficheros reiserFS. Interfaz ethernet por DHCP Reporitorios desde Internet espaa ftp://es.debian.org Reporitorios desde Intranet http://172.16.16.16:1010/debian Instalar sistema minimo, preferentemente sin entorno grfico. se reinicia la maquina sin el CD desde HD.

Paso 2 Configuracin de interfaces y resolutor DNS

Configurar las interfaces: nano -w /etc/networks/interfaces ( ver fichero adjunto ) 2.1 Se configura con IP estatica eth0 en este caso hemos puesto 192.168.10.56

luego se desactiva y se activa la interfaz con el comando ifup eth0 . ifdown etho; ifup eth0 Tmbien son vlidos las ordenes ifconfig eth0 up y ifup -a

Configurar todas las interfaces con IP esttica. incluyendo la que hemos utilizado durante la instalacin. (ver fichero adjunto)

2.2 Configurar resolutor DNS editar fichero /etc/resolv.conf agragar una linea nameserver ip_servidor_DNS

luego relanzar el servicio de networking. /etc/init.d/networking restart tambin es vlida la forma invoke-rc.d networking restart

Paso 3 Configuracin de repositorios

2.2 configurar la lista de repositorios : nano -w /etc/apt/sources.list (ver fichero adjunto)

Si se dispone de repositorios de paquetes internos para ganar velocidad se apunta al a un servidor de paquetes internos. Puede ser util si se va a implemtar servicio DHCP o DNS agregar repositorio de Webmin. Si el repositorio interno estiviese en host 192.168.10.10 y usando el puerto 1010 se deberia reemplazar deb http://es.debian.org/ por deb http://192.168.10.10:1010/

si se prevee instalar webmin puede aprovechar y aadir el repositorio para esta herramienta de administracin Web

deb http://download.webmin.com/download/repository sarge contrib o desde repositorio interno

deb http://192.168.10.10:1010/webmin sarge contrib

wget http://www.webmin.com/jcameron-key.asc; apt-key add jcameron-key.asc

2.3 actualizar el repositorio con apt-get update

Paso 4 Instalar paquetes de administracin remota segura (con protocolo SSL) 4.Instalar paquetes con apt-get install <paquete>

Lista de paquetes a instalar: sshd instala los servicios de servidor ssh para administracin remota. nos permite no tener que mantener conectado una pantalla y un teclado. webmin interface basada en servidor web para configuracion por https del servidor

Paso 5 Seguridad

8.1 Reglas de bastin con IPTABLES. (ver fichero adjunto) 8.2 Enlazar en la raz los ficheros de boot y kernel ln -s /boot/initrd* /initrd ln -s /boot/vmlinuz* /vmlinuz Paso 6 Administracin remota.

11. Administracin Remota. 11.1 Conectrase al router por SSH (suponiendo que 192.168.10.56 es la ip del router)

Consola remota. ssh root@192.168.10.56 Copia de ficheros scp root@192.168.10.56:/ruta/fichero directorio_destino

Copia de fichero con cliente SFTP. en direccin sftp://root@192.168.10.56 Para clientes windows utilize las utilidades putty.exe y winscp382.exe, puede obtenerlas gratuitamente en Internet. 11.2 Conectarse a webmin desde un navegador web con la url "https://192.168.10.56:10000" suponiendo que 192.168.10.56 es la ip del router y 10000 es el puerto por defecto por el que atiende webmin y configurar los servicios opcionales

Paso 7 Instalar Servicios Intranet

(instalar slo los paquetes necesarios, si es posible, utilizar servidores separados para cada uno de ellos)

Instalar paquetes de servidor con apt-get install <paquete> Lista de paquetes a instalar segun servicio a ofrecer: Servicios de infraestructura de red.

dhcp3-server instala un servidor dhcp bind9 insala el servidor dns basado en "bind" squid instala el proxy http openssl Servicios de cifrado SSL

approx instala servicio de proxy de paquetes .deb ntpd Servidor de tiempo

Servicios para el administrador de red syslogd Servidor syslog tftpd-hpa Servidor TFTP que admite iniciar estaciones sin disco mediante BOOTP y tarjetas de red con PXE

Paso 8 Configurar Servicios Intranet. Configurarlos todos antes de exponerlos a una red no confiable. ( instalar slo los necesarios, si es posible utilizar servidores separados para cada uno de ellos)

11.3 Configuracin de servicios

Los puede editar los ficheros de configuracin o bien usar la herramienta Web de administracin Webmin.

11.4 Para relanzar los servicios Desde CLI con /etc/init.d/<sevicio> restart donde servicio es el nombre servicio (demonio) a lanzar. Desde CLI con invoke-rc.d <sevicio> restart donde servicio es el nombre servicio (demonio) a lanzar.

Desde Webmin con la opcin aplicar cambios sobre el servicio a relanzar.

Instalar servidor apache2

apt-get install apache2 apt-get install apache2-mpm-prefork nano -w -w /etc/apache2/sites-available/default y modificamos los directorios DocumentRoot /var/www por DocumentRoot /home/http y <directory /var/www/> por <directory /home/http/> donde Tambin modificamos la linea RedirectMatch ^/$ /apache2-default/ por RedirectMatch ^/$ /www/ creamos el directorio base del servidor

mkdir -p /home/http/www

copiamos el fichero index.html en el directorio anterior cp /var/www/apache2-default/index.html /home/http/www Y reiniciamos servidor

/etc/init.d/apache2 restart

y reiniciamos el Apache con apache2ctl restart

9.1. Configurar apache2 para servidor https.

8.1 crear certificado de servidor

apt-get install ssl-cert mkdir /etc/apache2/ssl crear script llamado makecert.sh con comando siguiente make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/apache2/ssl/apache.pem ejecutarlo sh ./makecert.sh

8.2 copiar /etc/apache2/sites-available/default /etc/apache2/sitesavailable/default-443

cp /etc/apache2/sites-available/default /etc/apache2/sites-available/default-443 agragar la linea Listen 443 al fichero /etc/apache2/ports.conf

8.2 crear un enlace simblico del nuevo fichero en /etc/apache2/sites-enabled/ y editarlo a2ensite default-443 o bien (cd /etc/apache2/sites-enabled/ ; ln -s /etc/apache2/sites-available/default-443

.)

nano -w /etc/apache2/sites-available/default-443 cambiar el puerto de pordefecto "*" al 443 agregar las lneas (ojo a mayusculas y minusculas) SSLEngine On SSLCertificateFile /etc/apache2/ssl/apache.pem
y modificamos los directorios DocumentRoot /var/www por DocumentRoot /home/https y <directory /var/www/>

por <directory /home/https/> donde Tambin modificamos la linea RedirectMatch ^/$ /apache2-default/ por RedirectMatch ^/$ /www/ creamos el directorio base del servidor

mkdir -p /home/https/www copiamos el fichero index.html en el directorio anterior cp /var/www/apache2-default/index.html /home/https/www

8.3 Crear enlaces en mod-enbles a2enmod ssl* o bien (cd /etc/apache2/mods-enabled/ ; ln -s /etc/apache2/mods-available/ssl.* ) 8.4 y reiniciamos el Apache con
apache2ctl restart o bien /etc/init.d/apache2 restart o /etc/init.d/apache2 force-reload

ltimos retoques
cd /home/http chown -R root:nogroup * chmod -R 755 * cd /home/https chown -R root:nogroup * chmod -R 755 *

9. Servidor Apache2 con soporte php

apt-get install php-common libapache2-mod-php Opcionales y no impresindibles: apt-get install php-cgi php-cli Cambiamos el orden de busqueda de los ficheros de indices en los directorios echo DirectoryIndex index.html index.cgi index.pl index.php index.xhtml index.shtml >> /etc/apache2/apache2.conf Creamos un fichero indice PHP en los directorios principal echo '<?php phpinfo(); ?>' > /home/http/www/index.php

y se prueba si al conectarnos al servidor sale algo parecido a ..

informacion del servidor

Paso 11 Servidor de bases de datos. MySql y para su administracin PhpMyadmin

apt-get install mysql-server apt-get install mysql-client php-mysql apt-get install phpmyadmin Para facilitarnos manejo y la administracin de nuestras bases de datos vamos a usar el entorno web PhpMyAdmin, con este software podremos crear, borrar, modificar, dar permisos, bueno podemos hacer todo a lo que se refiere a la administracin de bases de datos MySQL. Resulta que el programa phpmyadmin se instala en la ruta /var/www/ de nuestro apache2 por defecto Pero podemos editar los ficheros /etc/apache2/sites-enabled preferentemente slo el default-443 (para administracin mas segura), y agregar

<Directory "/home/https/dbadmin"> Options Indexes FollowSymLinks MultiViews AllowOverride None order allow,deny allow from all

</Directory>

y enlazamos el directorio

ln -s /var/www/phpmyadmin/phpmyadmin /home/https/dbadmin y reiniciamos el Apache con

apache2ctl restart para conectarnos lanzar en el navegador https://nom_servidor/dbadmin/ Seguidamente introducimos en la casilla de usuario ( root ), la de password la dejamos en blanco y pulsamos la tecla ( Enter ) A continuacin editaremos el usuario root para localhost pinchando sobre el icono ( Editar ) Antes de nada vamos a eliminar esta brecha de seguridad que por defecto nos ofrece este programa. De momento podemos administrar las bases de datos sin password, esto mismo es lo que vamos a cambiar accediendo al apartado de privilegios Y buscamos la seccin de cambio de contrasea que se encuentra mas abajo Introducimos el nuevo password en las dos casillas y pinchamos en el botn ( Continuar ) Ahora ya lo tenemos todo listo y seguro. Recordad que a partir de ahora necesitaremos ese password para administrar las bases de datos que mas adelante crearemos. Recordad apuntaros todos los passwords que estamos usando para crear este servidor ya - Usuario normal - Usuario administrador del sistema, en mi caso y en el de todos vosotros ( root ) - Usuario administrador de las bases de datos MySQL ( root )

programas para estadsticas AwStats y Webalizer.

apt-get install awstats Para su instalacin en el sistema vamos a ejecutar un script de configuracin escrito en Perl situado en la ruta ( /usr/share/doc/awstats/examples cd /usr/share/doc/awstats/examples perl awstats_configure.pl Para su configuracin nos encontraremos con algunas preguntas que tendremos que responder. ( Lo que esta en negrita son las respuestas ) - And then, run configure.pl from this location. Do you want to continue setup from this NON standard directory [yN] ? Y - Enter full config file path of your Web server. Example: /etc/httpd/httpd.conf Example: /usr/local/apache2/conf/httpd.conf Example: c:\Program files\apache group\apache\conf\httpd.conf Config file path (none to skip web server setup): > /etc/apache2/apache2.conf - Check and complete web server config file /etc/apache2/apache2.conf Add Alias /awstatsclasses /usr/share/doc/awstats/examples/wwwroot/classes/ Add Alias /awstatscss /usr/share/doc/awstats/examples/wwwroot/css/ Add Alias /awstatsicons /usr/share/doc/awstats/examples/wwwroot/icon/ Add ScriptAlias /awstats/ /usr/share/doc/awstats/examples/wwwroot/cgi-bin/ Add directive AWStats directives added to Apache config file. - Need to create a new config file ? Do you want me to build a new AWStats config/profile file (required if first install) [y/N] ? N - Restart Web server with /etc/init.d/apache restart > Add update process inside a scheduler Sorry, configure.pl does not support automatic add to cron yet. You can do it manually by adding the following command to your cron: /usr/share/doc/awstats/examples/wwwroot/cgi-bin/awstats.pl -update -config=myvirtualserver Or if you have several config files and prefer having only one command:

/usr/share/doc/awstats/examples/tools/awstats_updateall.pl now Press ENTER to continue - No config file was built. You can run this tool later to build as much config/profile files as you want. Once you have a config/profile file, for example awstats.demo.conf, You can manually update your statistics for demo with command: > perl awstats.pl -update -config=demo You can also read your statistics for demo with URL: > http://localhost/awstats/awstats.pl?config=demo Press ENTER to finish Una vez completada la instalacin vamos a configurar el archivo ( awstats.conf ) que se encuentra en la ruta ( /etc/awstats/ ) nano -w -w /etc/awstats/awstats.conf Una vez dentro buscamos la linea LogFile=/var/log/apache/access.log y la substituimos por LogFile=/var/log/apache2/access.log Cambiamos la linea LogFormat=4 por LogFormat=1 Buscamos la linea SiteDomain=" Aqu vamos a indicarle cual es nuestro dominio, para esto vamos a usar el nombre que le pusimos a nuestro servidor ( en mi caso hsnet2 ) y le agregaremos el subdominio sytes.net, aqu os dejo un ejemplo SiteDomain=hsnet2.sytes.net Ahora vamos ha hacer una copia de este fichero pero con nuestro nombre de dominio ( en mi caso www.aglez.edu ) adjundando awstats por delante y conf por detrs.

cp awstats.conf awstats.www.aglez.edu.conf Vamos a darle permisos al fichero log que almacena apache2 para que awstats pueda leerlo sin problemas chmod o+r /var/log/apache2/access.log Ahora vamos a ejecutar la configuracin que antes hicimos con el archivo awstats.conf pero para nuestro servidor /usr/lib/cgi-bin/awstats.pl -config=awstats.www.aglez.edu.conf Una vez hecho esto se actualizara y tomara la informacin de los ficheros Log de nuestro apache2. Ahora vamos a crear un enlace simbolico de la carpeta cgi-bin que awstats nos a creado en la ruta ( /usr/lib/ ) hacia el directorio raz de nuestro servidor Web con ln -s /usr/lib/cgi-bin /home/usuario/www/cgi-bin Seguidamente configuraremos el fichero apache2.conf para que se muestren bien las imgenes en los resultados de las estadsticas nano -w -w /etc/apache2/apache2.conf Nos situamos al final del fichero y modificamos las siguiente lineas Alias /awstatscss /usr/share/doc/awstats/examples/wwwroot/css/ por Alias /awstatscss /usr/share/doc/awstats/examples/css/ y Alias /awstatsicons /usr/share/doc/awstats/examples/wwwroot/icon/ por Alias /awstatsicons /usr/share/awstats/icon/ y ScriptAlias /awstats/ /usr/share/doc/awstats/examples/wwwroot/cgi-bin/ por

ScriptAlias /awstats/ /usr/lib/cgi-bin/ Tambin modificaremos por y finalmente agregaremos estas lineas al final del archivo Alias /awstats-icon/ /usr/share/awstats/icon/ <Directory /usr/share/awstats/icon> Options none
AllowOverride None order allow,deny allow from all </Directory>

Para ver los resultados http://www.aglez.edu/cgi-bin/awstats.pl?config=awstats.www.aglez.edu.conf

Ya tan solo nos queda un ultimo paso para automatizar la tarea de actualizacin de este programa. Para esto vamos a usar el programador de tareas ( Crontab ) que lleva nuestra Linux Debian de serie. nano -w -w /etc/crontab Nos situamos en el final del fichero y pegamos esta linea 0-59/60 * * * * root /usr/lib/cgi-bin/awstats.pl -config=www.aglez.edu -update >/dev/null

Recordad modificar ( www.aglez.edu por vuestro servidor )